Beschreibung:

Um eine Advanced VPN Client Verbindung gegen den Zugriff Unbefugter abzusichern (etwa bei Diebstahl des Endgerätes), ist es sinnvoll diese mit einem Passwort zu versehen, welches beim Aufbau der VPN-Verbindung eingegeben werden muss. Bisher konnte dazu aber nur ein statisches Passwort verwendet werden. Geriet dieses in die Hände der Angreifer, war der Zugriff per Advanced VPN Client wieder möglich.

Daher ist es sinnvoll wechselnde Passwörter als zusätzlichen Faktor zu verwenden. Dies lässt sich auf einem LANCOM Router und dem Advanced VPN Client über EAP-OTP (Extensible Authentication Protocol - One Time Password) realisieren. Dazu wird auf dem Router ein OTP-Benutzer erstellt und dieser mit einer Authenticator-App verbunden. Der Router und die Authenticator-App generieren periodisch anhand des Passworts und der aktuellen Uhrzeit ein Einmal-Passwort (OTP). Der Router gleicht das von der Authenticator-App eingegebene Passwort dann mit dem generierten Passwort ab. Stimmen diese überein, wird die VPN-Verbindung aufgebaut. 

In diesem Artikel wird beschrieben, wie eine VPN-Verbindung für den Advanced VPN Client für macOS zu einem LANCOM Router mit Zwei-Faktor-Authentifizierung eingerichtet werden kann (IKEv2-EAP-OTP).

Die Konfiguration mit einem LANCOM Advanced VPN Client für Windows ist in diesem Knowledge Base Artikel beschrieben.


Voraussetzungen:

  • LANCOM Router mit mindestens 25 VPN-Lizenzen (Central Site Gateway, Router der 19xx Serie oder Router mit VPN-25 Option)
  • Advanced VPN Client für macOS ab Version 4.7x
  • LCOS ab Version 10.70 REL (download aktuelle Version)
  • LANtools ab Version 10.70 REL (download aktuelle Version)
  • Authenticator-App für Android oder iOS (etwa der Google-Authenticator oder der Microsoft-Authenticator)

Alle involvierten Geräte (LANCOM Router, PC mit dem Advanced VPN Client und Smartphone mit der Authenticator-App) müssen über aktuelle Zeit-Einstellungen verfügen.

Informationen zur Konfiguration der Zeit-Synchronisation auf einem LANCOM Router erhalten Sie in diesem Artikel.


Szenario:

Für den Aufbau einer Advanced VPN Client Verbindung zu einem Router soll ein Einmal-Passwort (OTP) generiert werden, welches in einer Authenticator-App angezeigt wird und beim Start der VPN-Verbindung eingegeben werden muss.


Vorgehensweise:

1. Aktivieren der CA und Erstellen der Zertifikate auf dem Router per Smart Certificate:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Zertifikate → Zertifizierungsstelle (CA) und setzen den Haken bei Zertifizierungsstelle (CA) aktiviert.

Schreiben Sie die Konfiguration anschließend in den Router zurück.

Zertifizierungsstelle aktivieren

1.2 Öffnen Sie das Webinterface des Routers und wechseln in das Menü Setup-Wizards → Zertifikate verwalten.

Zertifikate in WEBconfig verwalten

1.3 Klicken Sie auf Neues Zertifikat erstellen.

Verwaltungsdialog für Zertifikate in WEBconfig

1.4 Passen Sie folgende Parameter an, klicken auf Erstellen (PKCS#12) und speichern das Zertifikat ab:

  • Profilname: Wählen Sie im Dropdownmenü VPN aus.
  • Allgemeiner Name (CN): Geben Sie einen aussagekräftigen Common Name an (in diesem Beispiel VPN-Gateway).
  • Gültigkeitsperiode: Hinterlegen Sie eine möglichst lange Gültigkeitsdauer (in diesem Beispiel 10 Jahre).
  • Passwort: Geben Sie ein Passwort an, mit welchem das Zertifikat verschlüsselt wird. 

Dialog zur Erstellung eines neuen Zertifikats

1.5 Wechseln Sie im Webinterface in das Menü Extras → Zertifikat oder Datei hochladen.

WEBconfig-Menü zum Hochladen eines Zertifikats

1.6 Passen Sie folgende Parameter an und klicken auf Upload starten:

  • Dateityp: Wählen Sie im Dropdownmenü einen bisher nicht verwendeten VPN-Container aus (in diesem Beispiel wird der VPN-Container (VPN1) verwendet).
  • Dateiname: Wählen Sie das in Schritt 1.4 erstellte Zertifikat aus.
  • Passphrase: Geben Sie das in Schritt 1.4 hinterlegte Passwort an.

Dialog zum Hochladen eines Zertifikats



2. Einrichtung der IKEv2-EAP Verbindung auf dem Router:

2.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü VPN → Allgemein und wählen bei Virtual Private Network im Dropdownmenü Aktiviert aus.

LANconfig-Menü zur Aktivierung der VPN-Funktion

2.2 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.

Aufruf des Dialogs Authentifikation im VPN-Menü

2.3 Erstellen Sie ein neues Authentifizierungs-Profil.

LANconfig-Menü zur Konfiguratiion einer VPN-Authentifikation

2.4 Passen Sie folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Lokale Authentifizierung: Wählen Sie im Dropdownmenü RSA-Signature aus.
  • Lokaler Identitätstyp: Wählen Sie im Dropdownmenü ASN.1.Distinguished-Name aus.
  • Lokale Identität: Hinterlegen Sie den in Schritt 1.4 vergebenen Common Name (in diesem Beispiel CN=VPN-Gateway).
  • Entfernte Authentifizierung: Wählen Sie im Dropdownmenü EAP aus.
  • Lokales Zertifikat: Wählen Sie im Dropdownmenü den in Schritt 1.6 verwendeten VPN-Container aus.

Anpassungen in der VPN-Authentifikation vornehmen

2.5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → IPv4-Adressen.

Aufruf des Dialogs IPv4-Adressen im VPN-Menü

2.6 Passen Sie folgende Parameter an, um einen neuen IPv4-Adress-Pool zu erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Erste Adresse: Geben Sie die erste IP-Adresse aus einem Adress-Pool an, aus dem die VPN-Clients bei der Einwahl eine IP-Adresse beziehen.
  • Letzte Adresse: Geben Sie die letzte IP-Adresse aus einem Adress-Pool an, aus dem die VPN-Clients bei der Einwahl eine IP-Adresse beziehen.

Konfiguration eines neuen IPv4-Adress-Pool

2.7 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.

Aufruf des Dialogs Erweiterte Einstellungen im VPN-Menü

2.8 Wechseln Sie in das Menü RADIUS-Server.

Aufruf des Dialogs zur Konfiguration eines RADIUS-Servers

2.9 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
  • Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
  • Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS hinterlegt ist.

Dialog zur Konfiguration einer Verbindung zum RADIUS-Server

2.10 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.

Aufruf des Dialogs VPN-Verbindungen im VPN-Menü

2.11 Bearbeiten Sie den vorhandenen DEFAULT-Eintrag.

Bearbeiten des DEFAULT-Eintrags für VPN-Verbindungen

2.12 Passen Sie folgende Parameter an:

  • Authentifizierung: Wählen Sie im Dropdownmenü das in Schritt 2.4 erstellte Authentifizierungs-Profil aus.
  • Regelerzeugung: Stellen Sie sicher, dass im Dropdownmenü die Option Manuell ausgewählt ist.
  • IPv4-Regeln: Wählen Sie im Dropdownmenü das ab Werk vorhandene Objekt RAS-WITH-CONFIG-PAYLOAD aus.
  • IKE-CFG: Wählen Sie im Dropdownmenü Server aus.
  • IPv4-Adress-Pool: Wählen Sie im Dropdownmenü den in Schritt 2.6 erstellten IP-Adress-Pool aus.
  • RADIUS-Auth.-Server: Wählen Sie im Dropdownmenü das in Schritt 2.9 erstellte RADIUS-Objekt aus.

Vorhandene VPN-Verbindungen mit Preshared-Key funktionieren nach der Anpassung weiterhin wie gewohnt.

Modifikation der Parameter in der DEFAULT-VPN-Verbindung

2.13 Die Konfiguration der VPN-Verbindung ist damit abgeschlossen.


3. Konfiguration der RADIUS- und OTP-Einstellungen auf dem Router:

3.1 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Option RADIUS-Authentisierung aktiv, um den RADIUS-Server zu aktivieren. Stellen Sie sicher, das im Menü RADIUS-Dienste-Ports die RADIUS Ports 1.812 und 1.813 eingetragen sind (Standardeinstellung).

Aktivierung der RADIUS-Authentisierung

3.2 Wechseln Sie in das Menü RADIUS → Server → EAP.

Aufruf des EAP-Dialogs im RADIUS-Menü

3.3 Wählen Sie im Dropdownmenü bei Default-Methode die Option OTP aus.

Dialog zur Konfiguration einer EAP-Authentifizierung

3.4 Wechseln Sie in das Menü RADIUS → Server → Benutzerkonten.

Aufruf des Dialogs Benutzerkonten im RADIUS-Menü

3.5 Erstellen Sie einen neuen Benutzer und passen die folgenden Parameter an:

  • Name/MAC-Adresse: Tragen Sie den Benutzernamen für den VPN-Benutzer ein.
  • Passwort: Tragen Sie ein Passwort für den VPN-Benutzer ein.
  • Protokolleinschränkung für Authentifizierung: Entfernen Sie alle Protokolle bis auf EAP.
  • Ablauf-Art: Wählen Sie im Dropdownmenü die Option Niemals aus, damit der VPN-Benutzer dauerhaft gültig bleibt.

Wiederholen Sie diesen Schritt für jeden weiteren VPN-Benutzer.

Optional können Sie in dem Feld Attributwerte dem VPN-Client mit dem Parameter Framed-IP-Address eine feste IP-Adresse zuweisen. Diese muss in der Syntax Framed-IP-Address=<IP-Adresse> angegeben werden (z.B. Framed-IP-Address=192.168.1.10). Die IP-Adresse muss sich innerhalb des in Schritt 2.6 gewählten IPv4-Adress-Pools befinden. Durch die Zuweisung einer festen IP-Adresse ist es möglich, einzelnen Benutzern individuelle Berechtigungen über die Firewall zu erteilen.

Eintragung eines Benutzerkontos

3.6 Wechseln Sie in das Menü RADIUS → Server → OTP-Benutzerkonten.

Aufruf des Dialogs OTP-Benutzerkonten im RADIUS-Menü

3.7 Erstellen Sie ein neues OTP-Benutzerkonto und passen die folgenden Parameter an:

  • Benutzername: Wählen Sie im Dropdownmenü den Namen des in Schritt 3.5 erstellten Benutzerkontos aus.
  • Hash-Algorithmus: Wählen Sie im Dropdownmenü die Option SHA1 aus.

  • Zeitschritt: Dieser Parameter stellt das Intervall dar, in dem ein neuer OTP-Token erzeugt wird. Belassen Sie die Einstellung auf dem Standard-Wert 30 Sekunden.  
  • Netzwerk-Verzögerung: Dieser Parameter definiert, um wieviele Zeitschritte die Uhr des Endgerätes mit der Authenticator App von der Uhrzeit des Routers abweichen darf. Der Router prüft dann zusätzlich die OTPs davor und danach. Belassen Sie die Einstellung auf dem Standard-Wert von 1 (in diesem Fall werden OTPs also 30 Sekunden davor und danach geprüft). 
  • Secret: Vergeben Sie ein 16-stelliges Kennwort. Dieses darf nur Großbuchstaben und Zahlen zwischen 2 - 7 enthalten (siehe RFC3548). Das Passwort wird in Base32 codiert und mit dem Authenticator geteilt. 
  • Aussteller: Tragen Sie einen aussagekräftigen Namen für den Aussteller ein (in diesem Beispiel LANCOM-OTP).
  • Anzahl-Stellen: Belassen Sie die Einstellung auf dem Standard-Wert von 6 Zeichen

Wiederholen Sie diesen Schritt für jeden weiteren VPN-Benutzer.

Bei Verwendung des Google Authenticators muss mindestens ein 16-stelliges Secret vergeben werden, da ansonsten der Scan des QR-Codes fehlschlägt.

Anpassung der Parameter für OTP-Benutzerdaten


4. Export des CA-Zertifikats vom LANCOM Router und Import im Advanced VPN Client:

4.1 Verbinden Sie sich mit dem Webinterface des LANCOM Routers, wechseln in das Menü Extras → Aktuelles CA Zertifikat herunterladen und speichern das Zertifikat ab.

WEBconfig-Menü zum herunterladen eines CA-Zertifikats aus dem LANCOM Router

4.2 Kopieren Sie das Zertifikat auf dem Computer, der die VPN-Verbindung aufbauen soll, in den Ordner /Library/Application Support/NCP/Secure Client/cacerts.

4.3 Starten Sie den Advanced VPN Client und wechseln in das Menü Verbindung → Zertifikate anzeigen.

Aufruf des Menü CA-Zertifikate anzeigen im Advanced VPN Client

4.4 Prüfen Sie, ob das Zertifikat vom Advanced VPN Client erkannt wird.

Dialog mit Anzeige vorhandener CA-Zertifikate


5. Einrichtung einer IKEv2-EAP-OTP Verbindung mit dem Advanced VPN Client:

5.1 Wechseln Sie im Advanced VPN Client in das Menü LANCOM Advanced VPN Client → Profile.

Aufruf des Profile-Menü im Advanced VPN Client

5.2 Klicken Sie auf die Plus-Schaltfläche, um eine neue VPN-Verbindung zu erstellen.

Hinzufügen eines neuen VPN-Profils

5.3 Vergeben Sie einen aussagekräftigen Profil-Namen.

Eingabe eines Profil-Namens im Profil-Assistent

5.4 Tragen Sie bei Gateway (Tunnel-Endpunkt) die öffentliche IP-Adresse oder den DNS-Namen des Routers ein.

Eingabe der IP-Adresse des Gateway im Profil-Assistent

5.5 Passen Sie im folgenden Dialog folgende Parameter an:

  • Austausch-Modus: Wählen Sie im Dropdownmenü IKEv2 aus.
  • PFS-Gruppe: Wählen Sie im Dropdownmenü DH14 (modp2048) aus.

Auswahl von Austausch-Modus und PFS-Gruppe im Profil-Assistent

5.6 Da die Authentifizierung per EAP-OTP nicht im Assistenten konfiguriert werden kann, muss dies im Nachgang manuell vorgenommen werden. Klicken Sie daher auf Weiter ohne Änderungen vorzunehmen. 

Eingabe einer lokalen Identität und eines Pre-Shared-Key im Profil-Assistent

5.7 Wählen Sie bei IP-Adressen-Zuweisung im Dropdownmenü IKE Config Mode verwenden aus, damit der Advanced VPN Client bei der VPN-Einwahl eine IP-Adresse vom Router bezieht.

Festlegung der IP-Adressen-Zuweisung im Profil-Assistent

5.8 Klicken Sie anschließend auf Fertigstellen.

5.9 Markieren Sie das erstellte VPN-Profil und klicken auf Bearbeiten.

Auswahl des erstellten Profils zur weiteren Bearbeitung

5.10 Tragen Sie im Menü Split Tunneling das Zielnetzwerk ein, zu dem die VPN-Verbindung aufgebaut werden soll. Dadurch wird nur der für das Zielnetzwerk bestimmte Datenverkehr über den VPN-Tunnel geroutet.

Weitere Informationen zum Split Tunneling finden Sie in diesem Knowledge Base Artikel.

Konfiguration des Split-Tunneling im Profil-Assistent

5.11 Wechseln Sie in den Reiter IPSec-Einstellungen und setzen die IKEv2-Authentisierung auf EAP.

Änderung der IKEv2-Authentisierung auf EAP

5.12 Wechseln Sie in den Reiter Identität und tragen den Benutzer-Namen des RADIUS-Benutzers als Lokale Identität sowie den Namen des OTP-Benutzers als Benutzername für die EAP-Authentisierung ein.

WICHTIGER HINWEIS

5.12.1 Wenn Sie eine LCOS Firmware bis Version 10.80 einsetzen, lassen Sie das Feld Passwort bitte leer.

Anpassung der Daten für die VPN-Identität

5.12.2 Wenn Sie eine LCOS Firmware ab Version 10.90 einsetzen, tragen Sie in das Feld Passwort das in Schritt 3.5 vergebene Passwort des VPN-Benutzers ein.

Anpassung der Daten für die VPN-Identität

5.13 Die Einrichtung der VPN-Verbindung im Advanced VPN Client ist damit abgeschlossen. Bestätigen Sie die manuell vorgenommenen Änderungen mit einem Klick auf OK.


6. Hinzufügen des VPN-OTP-Benutzers in der Authenticator-App:

6.1 Verbinden Sie sich per WEBconfig mit dem Router und wechseln in das Menü Extras → EAP-OTP-Benutzer.

Aufruf des Menü EAP-OTP-Benutzer im WEBconfig

6.2 Klicken Sie bei dem Benutzer auf das "Augen-Symbol", um den QR-Code anzuzeigen.

Dialog mit Liste der EAP-OTP-Benutzer

6.3 Scannen Sie den QR-Code mit einer Authenticator-App ein. Es werden nun OTP-Codes generiert und in der App angezeigt.

QR-Code eines ausgewählten EAP-OTP-Benutzers

WCHTIGER HINWEIS

6.4.1 Wenn Sie eine LCOS Firmware bis Version 10.80 einsetzen, muss beim Aufbau der VPN-Verbindung nun das in Schritt 3.5 vergebene Passwort des RADIUS-Benutzers direkt gefolgt von dem in der Authenticator-App angezeigte Einmalpasswort (OTP) eingegeben werden.

Eingabe des Passwortes und OTP-Token beim Aufbau der VPN-Verbindung

6.4.2  Wenn Sie eine LCOS Firmware ab Version 10.90 einsetzen, muss beim Aufbau der VPN-Verbindung das in der Authenticator-App angezeigte Einmalpasswort (OTP) eingegeben werden.

Eingabe des OTP-Token beim Aufbau der VPN-Verbindung