Quelle anzeigen

Beschreibung:

Dieses Dokument beschreibt, wie Sie mit LANCOM Routern eine Advanced Mesh VPN-Verbindung einrichten können.

Informationen zu LANCOM Advanced Mesh erhalten Sie im LCOS-Referenzhandbuch.

Voraussetzungen:

LCOS ab Version 10.70 (download aktuelle Version)
LANtools ab Version 10.70 (download aktuelle Version)
Jeweils funktionsfähige IKEv2-VPN-Verbindung von den Filialen zur Zentrale (siehe Artikel "Konfiguration einer IKEv2 VPN-Verbindung zwischen zwei LANCOM-Routern mit dem Setup-Assistenten (IPv4)")

Szenario:

Das Szenario besteht aus zwei Filialen (A und B) mit öffentlichen IPv4-Adressen sowie einer Zentrale, ebenfalls mit einer öffentlichen IPv4-Adresse.
Die beiden Filialen haben bereits einen statischen IKEv2-VPN-Tunnel zur Zentrale eingerichtet, der funktionsfähig aufgebaut ist.
Die VPN-Gegenstelle auf den Filialen heißt jeweils „ZENTRALE“.
Filiale A hat das Subnetz 192.168.1.0/24 mit dem Namen „INTRANET“.
Filiale B das Subnetz 192.168.2.0/24 mit dem Namen „INTRANET“.

Grafische Darstellung einer Netzwerkkonfiguration mit Elementen wie VPNTunnel, IKEv, Subnetz und Dynamischer Mesh VPNTunnel, die zwischen verschiedenen Standorten wie FilialeA und FilialeB verknüpft sind.

Vorgehensweise:

1. Konfigurationsschritte in der Filiale A:

1.1 Legen Sie einen neuen Eintrag, z.B. „MESH-TEMPLATE“, in der IKEv2-Verbindungsliste unter VPN → IKEv2/IPSec → Verbindungs-Liste an.

Dieser Eintrag dient als Vorlage, aus der die dynamischen Mesh-Tunnel ihre Parameter übernehmen.

1.2 Als Haltezeit wird die Zeit konfiguriert, nach der die Mesh-VPN-Tunnel ohne Datenverkehr getrennt werden sollen, z.B. 300 Sekunden.

Eine Deaktvierung der Haltezeit über den Wert 0 wird nicht empfohlen, da dynamische Mesh-VPN-Tunnel niemals bei Inaktivität abgebaut werden und Lizenzen verbrauchen.

1.3 Das entfernte Gateway muss leer gelassen werden, da es dynamisch bestimmt wird.

1.4 Über den Parameter Routing wird das lokale Netz an die gegenüberliegende Filiale übertragen, in diesem Fall das Netz „INTRANET“.

Legen Sie dazu in der Tabelle "IPv4-Routing" unter "VPN → IKEv2/IPSec → Erweiterte Einstellungen" einen neuen Eintrag an.
Wählen Sie z.B. als Name „INTRANET-ROUTING“ und wählen Sie im Feld Netzwerk das lokale Netzwerk aus, das für Mesh VPN verwendet werden soll, z. B. „INTRANET“.

Ein Bild einer technischen Benutzeroberfläche, die Details zur Konfiguration von IP-Routing mit dem Namen INTRANETROUTING und Netzwerk-Referenzen zeigt.

1.5 Wählen Sie unter Authentifizierung die Option Quelle verwalten aus.

Erzeugen Sie einen neuen Eintrag, z. B. „MESH“.
Geben Sie die lokale Identität der Filiale an, sowie den PSK, der für alle dynamischen Mesh-Tunnel verwendet wird. Der PSK muss auf allen beteiligten Filialen für den Mesh-VPN-Tunnel identisch sein.
Lassen Sie das Feld "Entfernte Identität" leer und wählen Sie die Option „Keine Identität“ für den entfernten Identitätstyp, so dass alle ankommenden Identitäten mit dem korrekten PSK als Mesh-Tunnel akzeptiert werden.

Bildschirmanzeige einer technischen Konfigurationsoberfläche mit Optionen zur Auswahl von Identitätstypen, Domainnamen und OCSP-Überprüfungseinstellungen.

1.6 Setzen Sie die VPN-Regel auf „ANY“ bzw. wählen Sie für IPv4-Regeln den Eintrag „RAS-WITH-NETWORK-SELECTION“. Somit wird 0.0.0.0/0 <=> 0.0.0.0/0 verwendet.

1.7 Setzen Sie die Regelerzeugung auf „Manuell“.

1.8 Konfigurieren Sie nun die Mesh-VPN-Parameter unter VPN → IKEv2/IPSec → Erweiterte Einstellungen → Advanced Mesh VPN.

1.9 Setzen Sie die Betriebsart auf „Spoke“.

1.10 Wählen Sie unter VPN-Gegenstellen-Vorlage die zuvor angelegte IKEv2-Gegenstelle als Vorlage für die Mesh-VPN-Tunnel aus.

1.11 Wählen Sie unter Detektiere auf VPN-Gegenstelle den Namen der VPN-Gegenstelle aus, der dem Namen des Tunnels zur Zentrale entspricht.

Bildschirmfoto einer technischen Konfigurationsoberfläche für AdvancedMeshVPN mit verschiedenen Einstellungsoptionen wie Betriebsart, VPN-Sicherheitslagerung und akzeptierte Gruppenmodelle.

1.12 Schreiben Sie die Konfiguration in den Router der Filiale A zurück.

2. Konfigurationsschritte in der Filiale B:

2.1 Die Konfiguration erfolgt analog zur Filiale A (siehe Schritte 1.1 bis 1.11).

2.2 Ändern Sie die lokale Identität bei der Authentifizierung entsprechend auf den Namen der Filiale B.

3. Konfigurationsschritte in der Zentrale:

3.1 Da die Zentrale selbst keine dynamischen Mesh-Tunnel aufbaut, wird auch keine Gegenstellen-Vorlage angelegt.

Setzen Sie die Betriebsart unter VPN → IKEv2/IPSec → Erweiterte Einstellungen → Advanced Mesh VPN auf „Hub“.

3.2 Schreiben Sie die Konfiguration den den Router der Zentrale zurück.

Wenn Sie nun Daten von der Filiale A an Filiale B übertragen, so gehen die ersten Pakete zunächst über den Umweg der Zentrale.

Daraufhin wird der dynamische Mesh-Tunnel zwischen den Filialen aufgebaut.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von AdvancedMeshVPN, inklusive Optionen für Weiterleitungsfilter und verschiedene Netzwerkverwaltungsfunktionen.

Ein Ping auf die IP-Adresse des Routers der gegenüberliegenden Seite wird keinen Mesh-Tunnel aufbauen.

Es muss eine (ggf. nicht existierende) Station im LAN der anderen Seite als Ziel verwendet werden.

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.