Es soll eine VPN Einwahlverbindung mit dem LANCOM Advanced VPN-Client zu einer LANCOM Gegenstelle aufgebaut werden. Diese Verbindung soll erst nach Eingabe eines zusätzlich einzugebenden Benutzernamens und Passworts aufgebaut werden.
Für den vorliegenden Aufbau wird von einer bereits konfigurierten VPN Einwahl-Verbindung ohne XAUTH-Erweiterung ausgegangen. Informationen zum Erstellen einer VPN-Clientverbindung mit dem LANCOM Advanced VPN-Client erhalten Sie in folgendem Knowledgebase-Dokument .
Vorgehensweise:
Konfigurationsschritte auf dem LANCOM-Router:
1. Öffnen Sie die Konfiguration in LANconfig und wechseln Sie in das Menü Konfiguration -> VPN -> Allgemein-> Verbindungs-Liste.
2. Markieren Sie den Eintrag für die VPN-Clientverbindung in der Liste und klicken Sie auf Bearbeiten.
3. Wählen Sie im Feld XAUTH die Option Server aus. Schließen Sie den Dialog dann mit der Schaltfläche OK.
4. Wechseln Sie in das Menü Konfiguration -> VPN -> IKE-Auth.-> IKE-Schlüssel und Identitäten.
5. Öffnen Sie den Eintrag für die VPN-Clientverbindung in der Liste und wählen Sie in den Feldern Lokaler Identität-Typ und EntfernterIdentität-Typ jeweils die Option Key-ID (Gruppenname). In den Feldern Lokale Identität und Entfernte Identität müssen Sie dann einen Wert eintragen (z.B. das Wort zentrale).
6. Um für XAUTH die Abfrage eines Benutzernamens und Passwortes zu ermöglichen, muss in der PPP-Liste unter Konfiguration -> Kommunikation -> Protokolle-> PPP-Liste ein Eintrag hinzugefügt werden.
7. Hier wird als Gegenstelle-Name der Name der benutzten VPN-Verbindung aus der Verbindungs-Liste im Drop-Down Menü ausgewählt. Die Angabe eines Benutzernamens erfolgt nicht. Im Feld für das Passwort muss ein Kennwort eingetragen werden. Zum Schluss muss noch das IP-Routing aktiviert werden.
8. Schließen Sie die Dialoge mit der Schaltfläche OK und schreiben Sie die geänderte Konfiguration in den LANCOM-Router zurück.
Konfigurationsschritte im LANCOM Advanced VPN-Client:
1. Öffnen Sie das VPN-Clientprofil im Menu Konfiguration -> Profile.
2. Wechseln Sie in das Menü Identität. Im Bereich Lokale Identität (IKE) müssen Sie die Option Freier String für Gruppen-Identifizierung einstellen und im Feld ID den Wert eintragen, welchen Sie im Router-Konfigurationsschritt 5 vergeben haben. In diesem Beispiel ist das zentrale.
3. Aktivieren Sie zusätzlich die Option Extended Authentication (XAUTH). Die Felder für Benutzername und Passwort müssen nicht ausgefüllt werden, dies hat zur Folge, dass die Anmeldedaten bei jedem Aufbau der VPN-Verbindung angegeben werden müssen.
4. Speichern Sie das geänderte Profil mit der Schaltfläche OK.
5. Bevor die VPN-Verbindung aufgebaut wird, erscheint ein Dialog zur Abfrage der Benutzerdaten. Hier müssen Sie als Benutzername den im Router-Konfigurationsschritt 7 ausgewählten VPN-Gegenstellennamen eintragen. Als Passwort muss das im Router-Konfigurationsschritt 7 vergebene Kennwort eingegeben werden.
Ergänzende Information:
Durch XAUTH wird nicht die VPN-Verbindung selbst sicherer. Mit der Erweiterung kann jedoch verhindert werden, dass sich Unbefugte Zugang zum Firmennetz verschaffen, indem sie nicht gesperrte oder passwortgecrackte Geräte verwenden. Gerade Windows bietet nur einen relativ geringen Passwortschutz für seine Benutzer an. Hat man das Benutzerpasswort umgangen, kann immer noch keine Verbindung zum Firmennetzwerk aufgebaut werden.
XAUTH kann auch zusammen mit Zertifikaten genutzt werden. Auch in diesem Falle bleibt die XAUTH Konfiguration gleich. Es ändern sich nur die entsprechenden Einstellungen für die Verwendung von Zertifikaten bei einer Client-Einwahl.