Quelle anzeigen

Beschreibung:

In diesem Artikel wird beschrieben, wie eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls eingerichtet werden kann.

Voraussetzungen:

Zwei LANCOM R&S® Unified Firewalls mit LCOS FX ab Version 10.3
Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den beiden Unified Firewalls
Web-Browser zur Konfiguration der Unified Firewalls.

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Szenario:

Vorgehensweise:

1. Konfigurations-Schritte auf der Unified Firewall in der Zentrale:

1.1 Erstellen und Export der Zertifikate:

1.1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Symbol", um ein neues Zertifikat zu erstellen.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 1.png

1.1.2 Erstellen Sie zuerst eine CA (Certificate Authority). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

Zertifikatstyp: Wählen Sie im Dropdownmenü die Option CA für VPN-/Webserver-Zertifikat aus.
Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für die CA (in diesem Beispiel IKEv2_CA).
Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine CA soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 2.png

1.1.3 Erstellen Sie nun ein VPN-Zertifikat für die Zentrale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Zentrale (in diesem Beispiel IKEv2_Zentrale).
Gültigkeit: Wählen Sie eine Laufzeit für das Zertifikat aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 3.png

1.1.4 Erstellen Sie ein VPN-Zertifikat für die Filiale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Filiale (in diesem Beispiel IKEv2_Filiale).
Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 4.png

1.1.5 Klicken Sie in der Zertifikatsverwaltung bei dem Zertifikat der Filiale auf die Schaltfläche zum Export.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 5.png

1.1.6 Wählen Sie als Format die Option PKCS #12 aus, tragen die Passwörter ein und klicken auf Exportieren:

Private-Key-Passwort: Tragen Sie das Private-Key-Passwort ein, welches Sie in Schritt 1.1.4 vergeben haben.
Transport-Passwort: Tragen sie ein Passwort ein. Dieses wird beim Import des Zertifikates auf der Unified Firewall in der Filiale benötigt.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 6.png

1.1.7 Klicken Sie in der Zertifikatsverwaltung bei dem Zertifikat der Zentrale auf die Schaltfläche zum Export.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 7.png

1.1.8 Wählen Sie als Format die Option PEM aus und klicken auf Exportieren.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 8.png

1.2 Einrichtung der VPN-Verbindung:

1.2.1 Wechseln Sie in das Menü VPN → IPSec → IPSec-Einstellungen.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 9.png

1.2.2 Aktivieren Sie die IPSec-Funktionalität über den Schieberegler und klicken auf Speichern.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 10.png

1.2.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue VPN-Verbindung zu erstellen.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 11.png

1.2.4 Passen Sie die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Filiale).
Sicherheits-Profil: Wählen Sie im Dropdownmenü das Sicherheits-Profil LANCOM LCOS Default IKEv2 aus. Bei Bedarf können Sie auf beiden Seiten auch ein anderes Profil verwenden.
Verbindung: Wählen Sie im Dropdownmenü die Internet-Verbindung aus (in diesem Beispiel Internet).
Remote-Gateway: Geben Sie die IP-Adresse oder den DNS-Namen der Unified Firewall in der Filiale an.

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 12.png

1.2.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

Lokale Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Zentrale in CIDR-Schreibweise (in diesem Beispiel also 192.168.1.0/24).
Remote Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Filiale in CIDR-Schreibweise (in diesem Beispiel also 192.168.2.0/24).

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 13.png

1.2.6

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 14.png

1.2.7

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 15.png

1.2.8

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 16.png

1.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:

1.3.1

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 17.png

1.3.2

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 18.png

1.3.3

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 20.png

1.3.4

LANCOM Support Knowledge Base > Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6) > 21.png

2. Konfigurations-Schritte auf der Unified Firewall in der Filiale:

2.1 Import der Zertifikate:

2.2 Einrichtung der VPN-Verbindung:

2.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben: