Beschreibung:Dieses Dokument bescheibt, wie Sie eine
Netzkopplung per IKEv2 Client-To-Site VPN-Verbindung zwischen einem Smartphone oder Tablet-PC mit iOS Betriebssystem und einem LANCOM Router einrichten können.
Voraussetzungen:- Mobiles Endgerät (Smartphone, Tablet-PC, etc.) mit iOS ab Version 9.x
Szenario:- Ein Unternehmen möchte seinen Aussendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
- Die Mitarbeiter sollen die VPN-Verbindung mit mobilen Endgeräten (Smartphone, Tablet-PC, etc.) herstellen können, auf welchen ein iOS Betriebssystem installiert ist.
- Die Firmenzentrale verfügt über einen LANCOM Router als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse81.81.81.81.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24.
Vorgehensweise:1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü
VPN -> Allgemein.
1.2
Aktivieren Sie die Funktion
Virtual Private Network.
1.3 Wechseln Sie in das Menü
VPN > IKEv2/IPSec und klicken Sie auf die Schaltfläche
Authentifizierung.
1.4 Klicken Sie auf die Schaltfläche
Hinzufügen um einen neuen Eintrag zu erzeugen.
1.5 Tragen Sie in dem Konfigurationsfenster die
Informationen zur Authentifizierung für die VPN-Verbindung ein.
Name:Namen für die Authentifizierung ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 1.8).
Lokale Authentifizierung:Typ der Authentifizierung im Router der Zentrale aus. In diesem Beispiel wird die Authentifizierung über einen
Pre-shared Key (PSK)Lokaler Identitätstyp:Typ der Identität des Routers in der Zentrale den Parameter
Domänenname (FQDN)Lokale Identität:Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den
LANCOM Router in der Zentrale lokale Identität "zentrale" Lokales Passwort:Pre-shared Key , welcher verwendet werden soll um sich beim iOS-Endgerät erfolgreich zu authentifizieren.
Entfernte Authentifizierung:Authentifizierungstypen des iOS-Endgerätes aus. In diesem Beispiel wird die Authentifizierung über einen
Pre-shared Key (PSK)Entfernter Identitätstyp:Typ der Identität des iOS-Endgeräts den Parameter
Domänenname (FQDN)Entfernte Identität:Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für d as iOS-Endgerät die
entfernte Identität "mitarbeiter" Entferntes Passwort:Pre-shared Key , welcher verwendet werden soll um sich gegenüber dem LANCOM Router in der Zentrale erfolgreich zu authentifizieren.
Entfernter Zert.-ID Check:Diese Funktion wird nicht benötigt, daher müssen Sie
Nein 1.6 Wechseln Sie in das Menü
VPN > IKEv2/IPSec und klicken Sie auf die Schaltfläche
Verschlüsselung.1.7 Klicken Sie auf die Schaltfläche
Hinzufügen um einen neuen Eintrag zu erzeugen.
- Vergeben Sie einen eindeutigen Namen für das neue Verschlüsselungsprofil.
- Konfigurieren Sie die Parameter so, wie es in der folgenden Abbildung dargestellt ist. Wichtig ist, dass der Parameter PFS deaktiviert ist.
1.8 Wechseln Sie in das Menü
VPN > IKEv2/IPSec und klicken Sie auf die Schaltfläche
Verbindungs-Liste.1.9 Klicken Sie auf die Schaltfläche
Hinzufügen um einen neuen Eintrag zu erzeugen.
1.10 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:
Name der Verbindung:Geben Sie die Bezeichnung für die VPN-Verbindung an.
Haltezeit:Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Zentrale eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut.
Verschlüsselung:Schritt 1.7 erstellte Verschlüsselungsprofil Authentifizierung:Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 1.5 festgelegt haben.
IKE-CFG:Server IPv4-Adress-Pool:Bereich lokaler IP-Adressen definieren, aus welchem eingewählten VPN-Clients eine IP-Adresse zugewiesen wird . Wenn Sie noch keinen Adress-Pool eingerichtet haben, klicken Sie auf die Schaltfläche
Wählen und im nächsten Dialog auf den Link
Quelle verwalten...Info:
IKEv2-Verbindungen muss der IPv4-Adress-Pool zwingend in diesem Dialog eingerichtet werden. Die Nutzung der Adress-Pools in den Dialogen
Kommunikation -> Gegenstellen -> WAN-Tag-TabelleIPv4 -> Adressen hat bei IKEv2-Verbindungen keine Wirkung, diese werden nur für IKEv1-Verbindungen verwendet.
Legen Sie im folgenden Dialog einen IPv4-Adress Pool an.
Regelerzeugung:Regelerzeugung muss manuell durchgeführt IPv4-Regeln:Hier müssen Sie den Parameter
RAS-WITH-CONFIG-PAYLOAD1.11 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.
2. Manuelle Einrichtung der VPN-Verbindung auf dem Smartphone oder Tablet-PC:2.1 Öffnen Sie die
Systemeinstellungen Ihres iOS-Endgerätes und tippen Sie auf die Option
VPN.
2.2 Tippen Sie anschließend auf
VPN hinzufügen.
2.3 Wählen Sie als Verbindungstyp
IKEv2 aus.
- Im Feld Beschreibung können Sie einen beliebigen Text einfügen.
- Im Feld Server müssen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen des LANCOM Routers in der Zentrale eintragen. In diesem Beispiel ist das die 81.81.81.81.
- Als entfernte ID müssen Sie den Wert eintragen, welchen Sie im Schritt 1.5 als lokale Identität der Zentrale konfiguriert haben.
- Als lokale ID müssen Sie den Wert eintragen, welchen Sie im Schritt 1.5 als entfernte Identität des iOS-Endgerätes konfiguriert haben.
2.4 Tippen Sie anschließend auf die Option
Benutzername.
2.5 Wählen Sie als
Benutzerauthentifizierung die Option
Keine aus.
Kehren Sie dann mit Link in der oberen linken Ecke zum VPN-Verbindungsprofil zurück.
2.6 Im Feld
Shared Secret muss der
Pre-shared Key eingetragen werden, welchen Sie bei der
Konfiguration des LANCOM Routers im Schritt 1.5 als entferntes Passwort vergeben haben.
2.7 Tippen Sie dann auf
Fertig, um die Konfiguration des VPN-Verbindungsprofils abzuschließen.
2.8 Tippen Sie auf den
Eintrag des VPN-Verbindungsprofils und die VPN-Verbindung zum LANCOM Router in der Zentrale wird aufgebaut.