Beschreibung:In der Regel muss für jeden VPN-Einwahl-Zugang ein eigener Benutzer angelegt werden. In größeren Szenarien ist es daher sinnvoll eine IKEv2-Verbindung mit RADIUS-Weiterleitung einzurichten. Es muss dann lediglich ein VPN-Einwahl-Zugang im Router angelegt werden.
In diesem Artikel wird beschrieben wie eine
IKEv2 Client-To-Site VPN-Verbindung zwischen einem
Endgerät mit dem Advanced VPN Client und einem
LANCOM Router eingerichtet werden kann. Die Authentifizierung erfolgt über den
im LANCOM Router integrierten RADIUS-Server.
Voraussetzungen:- VPN fähiger Router in der Zentrale
- Bereits eingerichtete und funktionsfähige Internet-Verbindung in der Zentrale
Szenario:- Es soll eine VPN-Client-Einwahl in der Zentrale eingerichtet werden mit dem sich alle mobilen Mitarbeiter verbinden.
- Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server.
- Die Zentrale hat den IP-Adressbereich 192.168.0.0/24.
Vorgehensweise:1. Konfigurationsschritte auf dem Router in der Zentrale:1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü
VPN -> Allgemein.
1.2 Passen Sie folgende Parameter an:
- Wählen Sie bei Virtual Private Network im Dropdownmenü Aktiviert aus.
- Setzen Sie den Haken bei NAT-Traversal aktiviert.
- Setzen Sie den Haken bei IPSec-over-HTTPS annehmen.
1.3 Wechseln Sie in das Menü
VPN -> IKEv2/IPSec -> Erweiterte Einstellungen.
1.4 Tragen Sie in dem Feld
Passwort ein
Challenge-Passwort ein. Dieses erhält der RADIUS-Server im
Access-Request-Attribut als
Benutzer-Passwort.
Info:Der RADIUS-Server ordnet das Challenge-Passwort im Normalfall direkt einer VPN-Gegenstelle zu. Bei IKEv2 autorisiert aber nicht der RADIUS-Server die anfragende VPN-Gegenstelle, sondern das VPN-Modul. Nachdem das VPN-Modul die Access-Accept Nachricht vom RADIUS-Server erhalten hat, authentifiziert das VPN-Modul die VPN-Gegenstelle.1.5 Wechseln Sie bei
RADIUS-Authentifizierung in das Menü
RADIUS-Server.
1.6 Hinterlegen Sie folgende Parameter:
- Name: Geben Sie einen aussagekräftigen Namen an.
- Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
- Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
1.7 Tragen Sie bei
Update-Zyklus den Wert
60 ein, damit alle 60 Sekunden ein Update des Accounting erfolgt.
Wichtig:Der Update-Zyklus muss auf einen Wert ungleich 0 gesetzt werden, da bei hinterlegtem Wert 0 das Update deaktiviert ist!1.8 Wechseln Sie bei
RADIUS-Accounting in das Menü
RADIUS-Server.
1.9 Hinterlegen Sie folgende Parameter:
- Name: Geben Sie einen aussagekräftigen Namen an.
- Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
- Port: Stellen Sie sicher, dass der Port 1813 hinterlegt ist.
1.10 Wechseln Sie in das Menü
VPN -> IKEv2/IPSec -> Authentifizierung.
1.11 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Lokaler Identitätstyp: Wählen Sie aus dem Dropdown-Menü einen Identitätstyp, etwa Fully Qualied Domain Name (FQDN).
- Lokale Identität: Vergeben Sie eine zu dem gewählten Identitätstyp passende Lokale Identität.
1.12 Wechseln Sie in das Menü
VPN -> IKEv2/IPSec -> IPv4-Adressen.
1.13 Erstellen Sie sofern noch nicht vorhanden einen neuen Eintrag für den
Einwahl-Adressbereich und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Erste Adresse: Hinterlegen Sie die erste IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
- Letzte Adresse: Hinterlegen Sie die letzte IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
- Erster DNS: Hinterlegen Sie die IP-Adresse eines DNS-Servers. Dieser wird den VPN-Clients als erster DNS-Server zugewiesen. Im Regelfall wird die IP-Adresse des Routers verwendet.
1.14 Wechseln Sie in das Menü
VPN -> IKEv2/IPSec -> Verbindungsliste.
1.15 Bearbeiten Sie den Eintrag
DEFAULT und ändern folgende Parameter:
- Authentifizierung: Wählen Sie im Dropdown-Menü das in Schritt 1.11 erstellte Authentifizierungs-Objekt aus.
- IPv4-Regeln: Wählen Sie im Dropdown-Menü das Objekt RAS-WITH-NETWORK-SELECTION aus.
- IKE-CFG: Wählen Sie im Dropdown-Menü Server aus.
- IPv4-Adress-Pool: Wählen Sie im Dropdown-Menü das in Schritt 1.13 erstellte Einwahl-Adress-Objekt aus.
- RADIUS-Auth.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.6 erstellte RADIUS-Objekt aus.
- RADIUS-Acc.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.9 erstellte Accounting-Objekt aus.
Info:Die Anpassung des Profils
DEFAULT hat keine Auswirkungen auf bereits bestehende Einwahl-VPN-Verbindungen.
1.16 Wechseln Sie in das Menü
RADIUS -> Server und setzen jeweils einen Haken bei
RADIUS-Authentisierung aktiv und bei
RADIUS-Accounting aktiv.
1.17 Wechseln Sie in das Menü
RADIUS-Dienste Ports.
1.18 Stellen Sie sicher, dass bei
Authentifizierungs-Port der
Port 1812 und bei
Accounting-Port der
Port 1813 hinterlegt ist.
1.19 Wechseln Sie in das Menü
Benutzerkonten.
1.20 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- Name / MAC-Adresse: Vergeben Sie einen aussagekräftigen Namen.
- Passwort: Hinterlegen Sie das in Schritt 1.4 vergebene Challenge-Passwort.
- Tunnel-Passwort: Vergeben Sie ein Passwort, mit dem der Einwahl-Benutzer sich am VPN-Modul authentifiziert.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus.
- Deaktivieren Sie die Mehrfache Anmeldung.
1.20 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration des Routers ist damit abgeschlossen.
2. Konfigurationsschritte im Advanced VPN Client:2.1 Öffnen Sie den Advanced VPN Client und wechseln in das Menü
Konfiguration -> Profile.
2.2 Klicken Sie auf
Hinzufügen/Import, um einen neuen VPN-Zugang zu erstellen.
2.3 Wählen Sie
Verbindung zum Firmennetz über IPSec.
2.4 Vergeben Sie einen
aussagekräftigen Namen.
2.5 Wählen Sie das
Verbindungsmedium aus.
Info:VerbindungsmedienLANWLANVerbindungsmedium automatisch2.6 Geben Sie die
öffentliche IP-Adresse oder den
DynDNS-Namen der Zentrale an.
2.7 Setzen Sie den
Austausch-Modus auf
IKEv2 und die
PFS-Gruppe auf
DH14 (modp2048).
2.8 Hinterlegen Sie folgende Parameter:
- Typ: Wählen Sie im Dropdown-Menü den Identitätstyp Fully Qualified Username (FQUN) aus.
- ID: Hinterlegen Sie den in Schritt 1.20 vergebenen Namen / MAC-Adresse.
- Shared Secret: Hinterlegen Sie das in Schritt 1.20 vergebene Tunnel-Passwort.
2.9 Wählen Sie im Dropdown-Menü
IKE Config Mode verwenden aus, damit dem VPN-Client die IP-Adresse automatisch durch den Router zugewiesen wird.
2.10 Hinterlegen Sie zwecks Verwendung der Funktion
Split-Tunneling das
Zielnetz, welches über den VPN-Tunnel erreicht werden soll.
Wichtig:Ohne konfiguriertes Split-Tunneling wird bei aufgebautem VPN-Tunnel aller Datenverkehr über den VPN-Tunnel übertragen, also auch der für das lokale Netzwerk oder das Internet bestimmte Datenverkehr. Dies kann zu Kommunikations-Problemen führen! 2.11 Die Konfigurationsschritte im Advanced VPN Client sind damit abgeschlossen.