Quelle anzeigen

Beschreibung:

Damit bei einem Wechsel von einem LANCOM Router zu einer LANCOM R&S®Unified Firewall die Profile der Advanced VPN Client Verbindungen nicht neu auf die Endgeräte ausgerollt werden müssen, ist es sinnvoll die Konfiguration der Advanced VPN Client Verbindungen vom Router in die LANCOM R&S®Unified Firewall zu übernehmen.

In diesem Artikel wird beschrieben, wie eine IKEv2 Verbindung für den Advanced VPN Client von einem LANCOM Router in eine LANCOM R&S®Unified Firewall übernommen werden kann.

Das Szenario und die generelle Vorgehensweise entsprechen der Vorgehensweise bei der Einrichtung einer neuen IKEv2 Verbindung für den Advanced VPN Client auf einer Unified Firewall.

Voraussetzungen:

LANCOM R&S® Unified Firewall mit LCOS FX ab Version 10.4
LANCOM Advanced VPN Client ab Version 4.1
LCOS ab Version 9.20 (download aktuelle Version)
LANtools ab Version 9.20 (download aktuelle Version)
Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
Web-Browser zur Konfiguration der Unified Firewall.

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Vorgehensweise:

1. Auslesen der Authentifizierungs-Parameter der Advanced VPN Client Verbindung im LANCOM Router:

1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln in das Menü VPN → IKEv2/IPSec → Authentifizierung.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von VPN-Verbindungen, einschließlich Parametern wie Datum, Zeit, Zertifikate und Spezifizierung von Verschlüsselungsparametern.

1.2 Öffnen Sie den Eintrag der VPN-Verbindung, welche auf die Unified Firewall übernommen werden soll und notieren die folgenden Parameter:

Name
Lokale Identität bzw. Entfernte Identität
Lokales Passwort bzw. Entferntes Passwort

Die Einträge für die Parameter Lokale Identität / Entfernte Identität und Lokales Passwort / Entferntes Passwort werden durch den Setup-Assistenten im Router gleich gesetzt.

Screenshot einer technischen Konfigurationsseite mit Optionen für lokale und entfernte Authentifizierung, Identitätstypen, Passworterzeugung, Signaturprofilen und weiteren Sicherheitsüberprüfungen.

2. Konfiguration der Advanced VPN Client Verbindung in der Unified Firewall:

2.1 Verbinden Sie sich mit der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Firewall-Monitoring, Netzwerkeinstellungen, Desktop, Benutzerauthentifizierung und IPsec-Einstellungen.

2.2 Stellen Sie sicher, dass IPSec aktiv ist.

Schnappschuss einer technischen Benutzeroberfläche zur Konfiguration von IPsec-Einstellungen, einschließlich Auswahlmöglichkeiten für ausgenommene IP-Adressen und CIDR-Adressen, die den IPsec-Tunnel ignorieren, sowie einem aktivierten DHCP-Server.

2.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-Verbindung zu erstellen.

Screenshot einer technischen Benutzeroberfläche, die verschiedene Netzwerkeinstellungen und Statistiken zeigt, einschließlich Benutzerauthentifizierung und IPsec-Konfigurationen.

2.4 Passen Sie die folgenden Parameter an:

Name: Tragen Sie den in Schritt 1.2 notierten Namen der VPN-Verbindung auf dem Router ein (in diesem Beispiel IKEV2C_0001).
Sicherheits-Profil: Wählen Sie im Dropdownmenü das vorgefertigte Sicherheits-Profil LANCOM Advanced VPN Client IKEv2 aus.
Verbindung: Wählen Sie im Dropdownmenü die Internet-Verbindung der Unified Firewall aus.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Netzwerkverbindungen, inklusive Tunnel, Authentifizierung, Routing, Traffic Shaping und NAT sowie Hinweisen zu Änderungen, die bis zur Abmeldung bestehen bleiben.

2.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

Lokale Netzwerke: Tragen Sie die lokalen Netzwerke in CIDR-Schreibweise (Classless Inter Domain Routing) ein, in welche die Kommunikation über den Advanced VPN Client erlaubt sein (in diesem Beispiel die 192.168.3.0/24).
Virtueller IP-Pool: Wählen Sie im Dropdownmenü die Option Default Virtual-IP pool aus, damit dem Advanced VPN Client eine IP-Adresse aus diesem Pool zugewiesen wird.

Bildschirmfoto einer Konfigurationsoberfläche mit Optionen zur Netzwerkverbindung, Sicherheitseinstellungen und Kompatibilitätsmodi, Text enthält teilweise unvollständige Worte und Abkürzungen.

2.6 Wechseln Sie in den Reiter Authentifizierung, passen die folgenden Parameter an und klicken auf Erstellen:

Authentifizierungstyp: Wählen Sie im Dropdownmenü die Option PSK (Preshared Key) aus.
PSK (Preshared Key): Tragen Sie das in Schritt 1.2 notierte Lokale Passwort / Entfernte Passwort ein (in diesem Beispiel presharedkey).
Lokaler Identifier: Tragen Sie die in Schritt 1.2 notierte Lokale Identität / Entfernte Identität ein (in diesem Beispiel IKEV2C_0001@intern).
Erweiterte Authentifizierung: Belassen Sie die Einstellung auf keine erweiterte Authentifizierung.
Remote Identifier: Tragen Sie die in Schritt 1.2 notierte Lokale Identität / Entfernte Identität ein (in diesem Beispiel IKEV2C_0001@intern).

Ein Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerksicherheitseinstellungen, einschließlich Bereiche für Verbindungstypen, Authentifizierungsoptionen, Routing und Traffic Shaping.

Sollen weitere VPN-Verbindungen übernommen werden, für welche die Kommunikation in das gleiche Netzwerk erlaubt sein soll, kann die vorhandene Verbindung kopiert werden. Es müssen dann nur noch der Name sowie die Authentifizierungsparameter angepasst werden.

Bild einer technischen Benutzeroberfläche mit verschiedenen Optionen und Menüpunkten wie Firewall, Netzwerkverbindungen, Benutzerauthentifizierung und Sicherheitseinstellungen.

2.7 Klicken Sie auf das Symbol zum Erstellen eines VPN-Hosts.

Bildschirmanzeige einer technischen Benutzeroberfläche, die Firewall-Überwachungsstatistiken darstellt.

2.8 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel IKEV2C_0001).
VPN-Verbindungstyp: Wählen sie die Option IPSec aus.
IPSec-Verbindung: Wählen Sie die in Schritt 2.3 - 2.6 erstellte VPN-Verbindung aus.

Bildschirmfoto einer technischen Benutzeroberfläche mit Hinweis, dass Änderungen erhalten bleiben, sowie verschiedenen Benennungen und Abkürzungen in der Interface-Beschreibung.

9. Klicken Sie auf dem Desktop auf den VPN-Host, wählen das "Verbindungswerkzeug" aus und klicken auf das Netzwerk, mit welchem die Kommunikation über den Advanced VPN Client erlaubt sein soll.

Bildschirmansicht eines technischen Konfigurationsmenüs mit dem Text 'I N a IKEVZCOO', wahrscheinlich als Teil eines Software-Interfaces oder Diagramms.

10. Weisen Sie dem VPN-Host die erforderlichen Protokolle über die "Plus-Zeichen" zu.

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Bild einer technischen Benutzeroberfläche mit verschiedenen Netzwerkeinstellungen und Optionen wie URLContentFilter, ApplicationFilter, ApplicationBasedRouting und TrafficShaping, sowie Knöpfen für Aktionen und Zeitsteuerung.

11. Klicken Sie abschließend auf Aktivieren, damit die Änderungen übernommen werden.

Screenshot einer technischen Benutzeroberfläche zur Überwachung und Darstellung von Statistiken einer Firewall.

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.