Quelle anzeigen

Beschreibung:

LANCOM Trusted Access (LTA) ist die vertrauenswürdige Network Access Security-Lösung für Unternehmensnetzwerke. Es ermöglicht einen sicheren und skalierenden Zugriff auf Unternehmensanwendungen für Mitarbeitende im Büro, zuhause oder unterwegs und schützt damit modernes hybrides Arbeiten von überall und jederzeit.

Die LANCOM Trusted Access-Lösung passt sich an steigende Sicherheitsanforderungen in Ihrer Organisation an und ermöglicht sowohl Cloud-managed VPN-Client-Vernetzung für den Zugriff auf ganze Netze als auch den Umstieg auf eine Zero-Trust-Sicherheitsarchitektur für eine umfassende Netzwerksicherheit. Dabei erhalten Benutzer auf Basis granularer Zugriffsrechte ausschließlich Zugangsberechtigung auf Anwendungen, die ihnen zugewiesen wurden (Zero-Trust-Prinzip). Bestehende Systeme zur Verwaltung von Benutzern und Benutzergruppen (Active Directory) lassen sich vollständig in die LANCOM Management Cloud (LMC) integrieren. Für kleinere Netzwerke bietet die LMC alternativ eine interne Benutzerverwaltung.

In diesem Artikel wird beschrieben wie der LTA-Client in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID (ehemals Azure AD) konfiguriert werden kann.

Voraussetzungen:

Zugang zur LMC samt eigenem Projekt (kostenpflichtig)
LANCOM Router oder LANCOM R&S®Unified Firewall als LTA-Gateway
- LCOS ab Version 10.80 Rel
- LCOS FX ab Version 10.12 RU3
LTA-Client
Bereits konfiguriertes und funktionsfähiges Netzwerk samt Internet-Verbindung
Beliebiger Web-Browser für den Zugriff auf die LMC
DynDNS-Anbieter für die E-Mail-Domäne mit Unterstützung für einen "TXT Resource Record"

Der in der LMC integrierte DynDNS-Dienst unterstützt keinen "TXT Resource Record" und kann daher leider nicht verwendet werden.

Vorgehensweise:

1. Konfigurations-Schritte in der LMC:

1.1 Aktivierung der VPN-Funktionalität:

1.1.1 Wechseln Sie in der LMC in das Menü Netze und klicken auf das Netzwerk, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 1.png

1.1.2 Klicken Sie in der Übersicht auf Netz bearbeiten.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 2.png

1.1.3 Passen Sie die folgenden Parameter an und klicken auf Speichern:

Aktivieren Sie die Option Geräte über eine sichere Verbindung miteinander koppeln (VPN).
Tragen Sie bei Central-Site IP-Adressen oder DNS-Namen / LMC Dynamic DNS die öffentliche IP-Adresse oder den DNS-Namen des Routers ein.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 3.png

1.2 LTA-Funktion aktivieren:

1.2.1 Wechseln Sie im Menü Sicherheit in den Reiter LANCOM Trusted Access und klicken bei LTA: aktiv auf den Schieberegler.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 4.png

1.2.2 Klicken Sie auf Aktivieren.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 5.png

1.3 Client-Konfiguration:

In der Client-Konfiguration werden grundlegende Parameter wie die Adresse des LTA-Gateways hinterlegt. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden.

1.3.1 Wechseln Sie in den Reiter Client-Konfiguration und passen die folgenden Parameter an:

Erreichbares Netz: Wählen Sie im Dropdown-Menü das in Schritt 1.1 bearbeite Netzwerk aus, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).
Gateway IP oder Domain: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein, unter der/dem der LTA-Client den Router erreichen kann (in diesem Beispiel 81.81.81.1).
Trusted Access Client IP Netzwerk: Geben Sie die Netzadresse eines Netzwerks in CIDR-Schreibweise (Classless Inter Domain Routing) an. Aus diesem Netzwerk wird dem LTA-Client eine IP-Adresse zugewiesen (in diesem Beispiel 10.0.0.0/8). In den meisten Fällen wird dazu das Erreichbare Netz verwendet werden, es ist aber auch möglich, ein anderes Netzwerk anzugeben.
Getunnelte Domains für DNS-Auflösung: Tragen Sie Domains ein, die immer über den VPN-Tunnel übertragen werden sollen (in diesem Beispiel *.intern).

Für die Getunnelten Domains für DNS-Auflösung kann die Wildcard * verwendet werden. Diese steht für beliebig viele Zeichen. Mehrere Einträge können durch ein Komma separiert werden.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 6.png

1.3.2 Wählen Sie bei Split Tunnel die Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel (Split Tunnel) aus und klicken auf das "Plus-Zeichen", um die Ziel-Netzwerke anzugeben.

Wird die Option Gesamter Netzwerkverkehr durch Tunnel verwendet oder bei der Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel (Split Tunnel) kein Ziel-Netzwerk hinterlegt, wird jeglicher Datenverkehr über den VPN-Tunnel übertragen. Dies führt dazu, dass lokale Ressourcen im Netzwerk des Benutzers bei aufgebautem VPN-Tunnel nicht erreicht werden können. Zudem kann es zu einer langsameren Übetragung des Internet-Datenverkehrs kommen, da dieser über das LTA-Gateway übertragen wird.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 6a.png

1.3.3 Tragen Sie die Ziel-Netzwerke in CIDR-Schreibweise ein und klicken auf Speichern.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 7.png

1.4 Endpoint Security (optional):

Optional kann die Endpoint Security aktiviert werden. Der LTA-Client prüft dann, ob die vorgegebenen Parameter erfüllt sind und baut nur dann die VPN-Verbindung auf. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden.

1.4.1 Wechseln Sie in den Reiter Endpoint Security, passen die folgenden Parameter an und klicken auf Speichern:

Endpoint Verifikation aktivieren: Aktivieren Sie die Option über den Schieberegler.
Erlaubte Betriebssysteme: Wählen Sie bei Bedarf die erlaubten Betriebssysteme sowie die minimalen und maximalen Build-Versionen aus (in diesem Beispiel wird Windows 10 bzw. Windows 11 vorausgesetzt).
Anti-Virus: Aktivieren Sie bei Bedarf die Prüfung der Antivirus-Funktion auf dem Computer des Benutzers (in diesem Beispiel wird die Option Aktiviert und up-to-date verwendet).
Firewall: Aktivieren Sie bei Bedarf die Prüfung der Firewall-Funkion auf dem Computer des Benutzers (in diesem Beispiel wird die Option Aktiviert verwendet und somit geprüft, ob eine Firewall aktiv ist).

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 8.png

1.5 Benutzerverwaltung:

In der Benutzerverwaltung wird die eigene Domäne hinterlegt. Benutzer können - sofern vorhanden - über ein Active Directory angebunden oder in der LMC konfiguriert werden.

1.5.1 Wechseln Sie in den Reiter Benutzerverwaltung und klicken bei TXT Resource Record auf Text kopieren. Tragen Sie diesen anschließend bei Ihrem DynDNS-Anbieter für die Domäne als TXT Resource Record ein.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 9a.png

1.5.2 Passen Sie die folgenden Parameter an und klicken auf Speichern:

Wählen Sie die Option LMC-verwaltet aus, damit die Benutzer in der LMC angelegt werden können.
Tragen Sie bei Domain die von Ihnen verwendete Domäne ein (in diesem Beispiel mydomain.de).

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 9.png

1.5.3 Klicken Sie auf Benutzer hinzufügen.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 10.png

1.5.4 Passen Sie die folgenden Parameter an und klicken auf Speichern:

Name: Vergeben Sie einen aussagekräftigen Namen für den Benutzer (in diesem Beispiel admin).
E-Mail-Adresse: Tragen Sie den Benutzernamen der E-Mail-Adresse für den Benutzer ein. Die Domain ist bereits hinterlegt.
Passwort: Vergeben Sie ein Passwort, welches der Benutzer beim ersten Verbindungs-Aufbau mit dem LTA-Client angeben muss (der Benutzer wird anschließend aufgefordert ein eigenes Passwort zu vergeben).
Passwort wiederholen: Bestätigen Sie das Passwort.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 11.png

1.5.5 Aktivieren Sie unter Für Trusted Access freigeben die Benutzer-Accounts über die Schieberegler.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 12.png

1.6 Verbindungsziele:

In den Verbindungszielen werden Ressourcen angelegt, welche den Benutzern zugewiesen werden können (siehe Schritt 1.7).

1.6.1 Wechseln Sie in den Reiter Verbindungsziele und klicken auf Verbindungsziel hinzufügen.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 13.png

1.6.2 Passen Sie die folgenden Parameter an und klicken auf Speichern:

Name: Vergeben Sie einen aussagekräftigen Namen für das Verbindungsziel (in diesem Beispiel Web-Server).
Hostname / IPv4-Adresse / CIDR-Adresse: Tragen Sie einen DNS-Namen oder die IP-Adresse eines Verbindungsziels ein (in diesem Beispiel 10.0.0.250). Alternativ können Sie auch den Zugriff auf ein ganzes Netzwerk freigeben, indem Sie die Netz-Adresse in CIDR-Schreibweise angeben (z.B. 10.0.0.0/8).
Protokoll: Wählen Sie das Protokoll für die Kommunikation aus (in diesem Beispiel TCP).
- Die folgenden Protokolle stehen zur Verfügung:
  - TCP
  - UDP
  - ICMP
  - AH
  - ESP
  - GRE
  - TCP + UDP
  - Alle Protokolle
Port: Tragen Sie die Ports für die Kommunikation ein (in diesem Beispiel 443 und 80). Mehrere Ports können durch ein Komma separiert werden (z.B. 443,80). Port-Bereiche können durch einen Bindestrich hinterlegt werden (z.B 5060-5061).

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 14.png

1.7 Berechtigungsprofile:

In den Berechtigungsprofilen werden die Benutzer mit den Verbindungszielen verknüpft. Dabei ist es möglich unterschiedlichen Benutzern individuelle Verbindungsziele zuzuweisen. Die LMC erstellt anhand der vorgenommenen Einstellungen automatisch Firewall-Regeln, welche die Kommunikation zu den Verbindungszielen erlaubt.

1.7.1 Wechseln Sie in den Reiter Berechtigungsprofile und klicken auf Berechtigungsprofil hinzufügen.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 15.png

1.7.2 Aktivieren Sie das Berechtigungsprofil über den Schieberegler und passen die folgenden Parameter an:

Profilname: Vergeben Sie einen aussagekräftigen Namen für das Profil (in diesem Beispiel Administrator).
Benutzer / Gruppen: Wählen Sie im Dropdownmenü den in Schritt 1.5.4 erstellten Benutzer aus (in diesem Beispiel admin). Sie können auch mehrere Benutzer auswählen und diesen die gleichen Berechtigungen zuweisen.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 16.png

1.7.3 Aktivieren Sie unter Status die gewünschten Verbindungsziele für den Benutzer (siehe Schritt 1.6.2) und klicken auf Erstellen.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > 17.png

2. Konfigurations-Schritte im LTA-Client:

2.1 Klicken Sie im LTA-Client auf Einstellungen und wählen die Option LMC Domäne aus.

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > AVC1.png

2.2 Passen Sie die folgenden Parmeter an:

URL: Tragen Sie die URL cloud.lancom.de ein.
Domäne: Tragen Sie die E-Mail Domäne ein, welche Sie in Schritt 1.5.1 in der LMC hinterlegt haben (in diesem Beispiel mydomain.de).

LANCOM Support Knowledge Base DE > Konfiguration des LTA-Clients in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID > AVC2.png