Beschreibung: In der Regel muss für jeden VPN-Einwahl-Zugang ein eigener Benutzer angelegt werden. In größeren Szenarien ist es daher sinnvoll eine IKEv2-Verbindung mit RADIUS-Weiterleitung einzurichten. Es muss dann lediglich ein VPN-Einwahl-Zugang im Router angelegt werden. In diesem Artikel wird beschrieben wie eine IKEv2 Client-To-Site VPN-Verbindung zwischen einem Endgerät mit dem Advanced VPN Client und einem LANCOM Router eingerichtet werden kann. Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server. Voraussetzungen:
- VPN fähiger Router in der Zentrale
- Bereits eingerichtete und funktionsfähige Internet-Verbindung in der Zentrale
Szenario:
- Es soll eine VPN-Client-Einwahl in der Zentrale eingerichtet werden mit dem sich alle mobilen Mitarbeiter verbinden.
- Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server.
-
- Die Zentrale hat den IP-Adressbereich 192.168.0.0/24.
Vorgehensweise: 1. Konfigurationsschritte auf dem Router in der Zentrale: 1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN -> Allgemein. 1.2 Passen Sie folgende Parameter an:
- Wählen Sie bei Virtual Private Network im Dropdownmenü Aktiviert aus.
- Setzen Sie den Haken bei NAT-Traversal aktiviert.
- Setzen Sie den Haken bei IPSec-over-HTTPS annehmen.
1.3 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Erweiterte Einstellungen. 1.4 Tragen Sie in dem Feld Passwort ein Challenge-Passwort ein. Dieses erhält der RADIUS-Server im Access-Request-Attribut als Benutzer-Passwort.
Info:
Der
RADIUS-Server ordnet
das
Challenge-Passwort im Normalfall direkt einer VPN-Gegenstelle zu
. Bei
IKEv2 autorisiert aber nicht der RADIUS-Server die anfragende VPN-Gegenstelle, sondern das VPN-Modul
. Nachdem das VPN-Modul die
Access-Accept Nachricht
vom RADIUS-Server erhalten
hat,
authentifiziert das VPN-Modul die VPN-Gegenstelle
.
1.5 Wechseln Sie bei RADIUS-Authentifizierung in das Menü RADIUS-Server. 1.6 Hinterlegen Sie folgende Parameter:
- Name: Geben Sie einen aussagekräftigen Namen an.
- Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
- Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
1.7 Tragen Sie bei Update-Zyklus den Wert 60 ein, damit alle 60 Sekunden ein Update des Accounting erfolgt.
Wichtig:
Der Update-Zyklus muss auf einen Wert ungleich 0 gesetzt werden, da bei hinterlegtem Wert 0 das Update deaktiviert ist!
1.8 Wechseln Sie bei RADIUS-Accounting in das Menü RADIUS-Server. 1.9 Hinterlegen Sie folgende Parameter:
- Name: Geben Sie einen aussagekräftigen Namen an.
- Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
- Port: Stellen Sie sicher, dass der Port 1813 hinterlegt ist.
1.10 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Authentifizierung. 1.11 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Lokaler Identitätstyp: Wählen Sie aus dem Dropdown-Menü einen Identitätstyp, etwa Fully Qualied Domain Name (FQDN).
- Lokale Identität: Vergeben Sie eine zu dem gewählten Identitätstyp passende Lokale Identität.
1.12 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> IPv4-Adressen. 1.13 Erstellen Sie sofern noch nicht vorhanden einen neuen Eintrag für den Einwahl-Adressbereich und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Erste Adresse: Hinterlegen Sie die erste IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
- Letzte Adresse: Hinterlegen Sie die letzte IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
- Erster DNS: Hinterlegen Sie die IP-Adresse eines DNS-Servers. Dieser wird den VPN-Clients als erster DNS-Server zugewiesen. Im Regelfall wird die IP-Adresse des Routers verwendet.
1.14 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Verbindungsliste. 1.15 Bearbeiten Sie den Eintrag DEFAULT und ändern folgende Parameter:
- Authentifizierung: Wählen Sie im Dropdown-Menü das in Schritt 1.11 erstellte Authentifizierungs-Objekt aus.
- IPv4-Regeln: Wählen Sie im Dropdown-Menü das Objekt RAS-WITH-NETWORK-SELECTION aus.
- IKE-CFG: Wählen Sie im Dropdown-Menü Server aus.
- IPv4-Adress-Pool: Wählen Sie im Dropdown-Menü das in Schritt 1.13 erstellte Einwahl-Adress-Objekt aus.
- RADIUS-Auth.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.6 erstellte RADIUS-Objekt aus.
- RADIUS-Acc.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.9 erstellte Accounting-Objekt aus.
Info:
Die Anpassung des Profils
DEFAULT hat keine Auswirkungen auf bereits bestehende Einwahl-VPN-Verbindungen.
1.16 Wechseln Sie in das Menü RADIUS -> Server und setzen jeweils einen Haken bei RADIUS-Authentisierung aktiv und bei RADIUS-Accounting aktiv. 1.17 Wechseln Sie in das Menü RADIUS-Dienste Ports. 1.18 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist. 1.19 Wechseln Sie in das Menü Benutzerkonten. 1.20 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- Name / MAC-Adresse: Vergeben Sie einen aussagekräftigen Namen.
- Passwort: Hinterlegen Sie das in Schritt 1.4 vergebene Challenge-Passwort.
- Tunnel-Passwort: Vergeben Sie ein Passwort, mit dem der Einwahl-Benutzer sich am VPN-Modul authentifiziert.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus.
-
- Deaktivieren Sie die Mehrfache Anmeldung.
1.20 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration des Routers ist damit abgeschlossen. 2. Konfigurationsschritte im Advanced VPN Client: 2.1 Öffnen Sie den Advanced VPN Client und wechseln in das Menü Konfiguration -> Profile. 2.2 Klicken Sie auf Hinzufügen/Import, um einen neuen VPN-Zugang zu erstellen. 2.3 Wählen Sie Verbindung zum Firmennetz über IPSec. 2.4 Vergeben Sie einen aussagekräftigen Namen. 2.5 Wählen Sie das Verbindungsmedium aus.
Info:
Werden wechselnde
Verbindungsmedien verwendet (z.B.
LAN und
WLAN ), verwenden Sie das
Verbindungsmedium automatisch .
2.6 Geben Sie die öffentliche IP-Adresse oder den DynDNS-Namen der Zentrale an. 2.7 Setzen Sie den Austausch-Modus auf IKEv2 und die PFS-Gruppe auf DH14 (modp2048). 2.8 Hinterlegen Sie folgende Parameter:
- Typ: Wählen Sie im Dropdown-Menü den Identitätstyp Fully Qualified Username (FQUN) aus.
- ID: Hinterlegen Sie den in Schritt 1.20 vergebenen Namen / MAC-Adresse.
- Shared Secret: Hinterlegen Sie das in Schritt 1.20 vergebene Tunnel-Passwort.
2.9 Wählen Sie im Dropdown-Menü IKE Config Mode verwenden aus, damit dem VPN-Client die IP-Adresse automatisch durch den Router zugewiesen wird. 2.10 Hinterlegen Sie zwecks Verwendung der Funktion Split-Tunneling das Zielnetz, welches über den VPN-Tunnel erreicht werden soll.
Wichtig:
Ohne konfiguriertes Split-Tunneling wird bei aufgebautem VPN-Tunnel aller Datenverkehr über den VPN-Tunnel übertragen, also auch der für das lokale Netzwerk oder das Internet bestimmte Datenverkehr. Dies kann zu Kommunikations-Problemen führen!
2.11 Die Konfigurationsschritte im Advanced VPN Client sind damit abgeschlossen. |
|