Konfiguration einer Active Directory Anbindung mit IKEv2-EAP und einem LANCOM Router

Description:

Dieser Artikel beschreibt, wie Sie mit einem LANCOM Router VPN-Clients per IKEv2-EAP an einer Microsoft Active Directory Domäne authentifizieren.

Requirements:

• LCOS ab Version 10.40 Rel (download aktuelle Version)
• LANtools ab Version 10.40 Rel (download aktuelle Version)
• LANCOM Central Site Gateway, Router der 19xx Serie, WLAN Controller oder LANCOM Router mit aktivierter VPN 25-Option
• Advanced VPN Client ab Version 3.10
• Windows Server mit bereits eingerichteter und funktionsfähiger Domäne
• Beliebiger Web-Browser für den Zugriff auf das Webinterface des Routers

Scenario:

VPN-Clients sollen an einem Windows Server per Active Directory mit Benutzername und Passwort (MSCAHPv2) authentifiziert werden.

Procedure:

1. Aktivieren der CA und Erstellen der Zertifikate auf dem Router per Smart Certificate:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Zertifikate → Zertifizierungsstelle (CA) und setzen den Haken bei Zertifizierungsstelle (CA) aktiviert.

Schreiben Sie die Konfiguration anschließend in den Router zurück.

1.2 Öffnen Sie das Webinterface des Routers und wechseln in das Menü Setup Wizards → Manage certificates.

1.3 Klicken Sie auf Create new certificate.

1.4 Passen Sie folgende Parameter an, klicken auf Erstellen (PKCS#12) und speichern das Zertifikat ab:

• Profile-name: Wählen Sie im Dropdownmenü VPN aus.
• Common-name (CN): Geben Sie einen aussagekräftigen Common Name an.
• Validity-period: Hinterlegen Sie eine möglichst lange Gültigkeitsdauer (in diesem Beispiel 10 Jahre).
• Password: Geben Sie ein Passwort an, mit welchem das Zertifikat verschlüsselt wird. 

1.5 Wechseln Sie im Webinterface in das Menü Extras → Upload Certificate or File.

1.6 Passen Sie folgende Parameter an und klicken auf Upload starten:

• File Type: Wählen Sie im Dropdownmenü einen bisher nicht verwendeten VPN-Container aus (in diesem Beispiel wird der VPN-Container (VPN1) verwendet).
• File Name/Location: Wählen Sie das in Schritt 1.4 erstellte Zertifikat aus.
• Passphrase: Geben Sie das in Schritt 1.4 hinterlegte Passwort an.

2. Einrichtung der IKEv2-EAP Verbindung auf dem Router:

2.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü VPN → General und wählen bei Virtual Private Network im Dropdownmenü Activated aus.

2.2 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentication .

2.3 Erstellen Sie ein neues Authentication profile.

2.4 Passen Sie folgende Parameter an:

• Name: Vergeben Sie einen aussagekräftigen Namen.
• Lokale authentication: Wählen Sie im Dropdownmenü RSA signature aus.
• Local identifier type: Wählen Sie im Dropdownmenü ASN.1.Distinguished-Name aus.
• Local identifier: Hinterlegen Sie die in Schritt 1.4 vergebenen Common Name.
• Remote authentication: Wählen Sie im Dropdownmenü EAP aus.
• Local certificate: Wählen Sie im Dropdownmenü den in Schritt 1.6 verwendeten VPN-Container aus.

2.5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → IPv4 adresses.

2.6 Passen Sie folgende Parameter an, um einen neuen IPv4-Adress-Pool zu erstellen:

• Name: Vergeben Sie einen aussagekräftigen Namen.
• First address: Geben Sie die erste IP-Adresse aus einem Adress-Pool an, aus dem die VPN-Clients bei der Einwahl eine IP-Adresse beziehen.
• Last address: Geben Sie die letzte IP-Adresse aus einem Adress-Pool an, aus dem die VPN-Clients bei der Einwahl eine IP-Adresse beziehen.

2.7 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Extended settings.

2.8 Wechseln Sie in das Menü RADIUS server.

2.9 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

• Name: Vergeben Sie einen aussagekräftigen Namen.
• Server adress: Hinterlegen Sie die IP-Adresse oder einen DNS-Namen unter dem der Windows Server erreichbar ist.
• Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
• Secret: Geben Sie ein Passwort an, mit dem der Router sich bei dem Windows Server authentifizieren und RADIUS-Anfragen stellen kann (siehe Schritt 3.3). 
• Protocols: Stellen Sie sicher, dass das Protokoll RADIUS hinterlegt ist.

2.10 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Connection list.

2.11 Erstellen Sie einen neuen Eintrag.

2.12 Passen Sie folgende Parameter an:

• Name of connection: Vergeben Sie einen aussagekräftigen Namen.
• Authentication: Wählen Sie im Dropdownmenü das in Schritt 2.4 erstellte Authentifizierungs-Profil aus.
• Rule Creation: Setzen Sie die Regelerzeugung auf Manuell.
• IPv4 rules: Wählen Sie im Dropdownmenü das ab Werk vorhandene Objekt RAS-WITH-CONFIG-PAYLOAD aus.
• IKE-CFG: Wählen Sie im Dropdownmenü Server aus.
• IPv4 adress pool: Wählen Sie im Dropdownmenü den in Schritt 2.6 erstellten IP-Adress-Pool aus.
• RADIUS auth. server: Wählen Sie im Dropdownmenü das in Schritt 2.9 erstellte RADIUS-Objekt aus.

2.13 Die Konfiguration der VPN-Verbindung ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.

3. Einrichtung der Netzwerkrichtlinien-Dienste auf dem Windows Server:

3.1 Installieren Sie die Rolle Network Policy and Access Services auf dem Windows Server.

3.2 Wechseln Sie in den in Schritt 3.1 erstellten Network Policy Server.

3.3 Erstellen Sie unter NPS → RADIUS Clients and Server einen neuen RADIUS-Client und passen folgende Parameter an:

• Stellen Sie sicher, dass der Haken bei Enable this RADIUS client gesetzt ist.
• Friendly name: Vergeben Sie einen aussagekräftigen Namen.
• Adress (IP or DNS): Geben Sie die IP-Adresse oder den DNS-Namen des Routers an.
• Shared secret: Geben Sie das Shared Secret an, welches Sie in Schritt 2.9 auf dem Router hinterlegt haben.
• Confirm shared secret: Wiederholen Sie das Shared Secret.

3.4 Erstellen Sie unter Richtlinien eine neue Netzwerkrichtlinie und vergeben einen aussagekräftigen Namen:

3.5 Wechseln Sie in den Reiter Conditions und klicken auf Add.

3.6 Klicken Sie auf Add Groups, um eine neue Benutzergruppe zu hinterlegen. 

3.7 Wählen Sie die Benutzergruppe aus, die eine VPN-Verbindung aufbauen können soll.

3.8 Wechseln Sie in den Reiter Constraints und wählen bei Authentication Methods den EAP-Type Microsoft: Secured password (EAP-MSCHAP v2) aus.

3.9 Wechseln Sie in den Reiter Settings und stellen sicher, dass in dem Menü RADIUS Attributes → Standard die Attribute Framed-Protocol - PPP und Service-Type - Framed hinterlegt sind.

3.10 Importieren Sie das in Schritt 1.4 erstellte Zertifikat in den Windows Zertifikats-Speicher.

3.11 Führen Sie einen Rechtsklick auf NPS aus und wählen im Kontextmenü Start NPS Service aus.

3.12 Führen Sie einen weiteren Rechtsklick auf NPS aus und wählen im Kontextmenü Register server in Active Directory aus.

3.13 Erstellen Sie in der Windows Firewall eine Regel, die den eingehenden Datenverkehr für den UDP-Port 1812 erlaubt.

3.14 Erlauben Sie die Verbindung und wählen aus von wo ein Zugriff über die Firewall-Regel erlaubt sein soll.

3.15 Vergeben Sie einen aussagekräftigen Namen für die Regel.

3.16 Fügen Sie zu der in Schritt 3.7 ausgewählten Benutzergruppe AD-Benutzerkonten hinzu, damit diese per EAP authentifiziert werden können.

3.17 Die Einrichtung der Netzwerkrichtlinien-Dienste auf dem Windows Server ist damit abgeschlossen.

4. Export des CA-Zertifikats vom LANCOM Router und Import im Advanced VPN Client:

4.1 Verbinden Sie sich mit dem Webinterface des LANCOM Routers, wechseln in das Menü Extras → Aktuelles CA Zertifikat herunterladen und speichern das Zertifikat ab.

4.2 Kopieren Sie das Zertifikat auf dem Computer, der die VPN-Verbindung aufbauen soll, in den Ordner C:\ProgramData\LANCOM\Advanced VPN Client\cacerts.

4.3 Starten Sie den Advanced VPN Client und wechseln in das Menü Verbindung → Zertifikate → CA-Zertifikate anzeigen.

4.4 Prüfen Sie, ob das Zertifikat vom Advanced VPN Client erkannt wird.

5. Einrichtung einer IKEv2-EAP Verbindung mit dem Advanced VPN Client:

5.1 Wechseln Sie im Advanced VPN Client in das Menü Konfiguration → Profile.

5.2 Klicken Sie auf Hinzufügen/Import, um eine neue VPN-Verbindung zu erstellen.

5.3 Wählen Sie Verbindung zum Firmennetz über IPSec aus und klicken auf Weiter.

5.4 Vergeben Sie einen aussagekräftigen Profil-Namen.

5.5 Wählen Sie im Dropdownmenü das verwendete Verbindungsmedium aus, mit dem die VPN-Verbindung aufgebaut werden soll.

5.6 Tragen Sie bei Gateway (Tunnel-Endpunkt) die öffentliche IP-Adresse oder den DNS-Namen des Routers ein.

5.7 Passen sie folgende Parameter an:

• Austausch-Modus: Wählen Sie im Dropdownmenü IKEv2 aus.
• PFS-Gruppe: Wählen Sie im Dropdownmenü DH14 (modp2048) aus.

5.8 Klicken Sie auf Weiter ohne Änderungen vorzunehmen.

5.9 Wählen Sie bei IP-Adressen-Zuweisung im Dropdownmenü IKE Config Mode verwenden aus, damit der Advanced VPN Client bei der VPN-Einwahl eine IP-Adresse vom Router bezieht.

5.10 Tragen Sie das Zielnetzwerk ein, zu dem die VPN-Verbindung aufgebaut werden soll. Dadurch wird nur der für das Zielnetzwerk bestimmte Datenverkehr über den VPN-Tunnel geroutet.

Klicken Sie anschließend auf Fertigstellen.

5.11 Markieren Sie das in Schritt 5.1 - 5.10 erstellte VPN-Profil und klicken auf Bearbeiten.

5.12 Wechseln Sie in den Reiter IPSec-Einstellungen und setzen die IKEv2-Authentisierung auf EAP.

5.13 Wechseln Sie in den Reiter Identität und tragen die Zugangsdaten für den Benutzer ein. 

5.14 Die Einrichtung der VPN-Verbindung im Advanced VPN Client ist damit abgeschlossen. Bestätigen Sie die manuell vorgenommenen Änderungen mit einem Klick auf OK.