Beschreibung: Dieses Dokument beschreibt, wie Sie eine VPN Site-to-Site Verbindung zwischen zwei LANCOM Routern manuell, also ohne Verwendung des Setup-Assistenten, einrichten können. Die VPN-Verbindung soll im Main Mode aufgebaut werden. Bei Main Mode-Verbindungen wird auf jeder Seite jeweils eine öffentliche IP-Adresse zur Authentifizierung benötigt. Ein DynDNS-Eintrag kann anstelle einer öffentlichen IP-Adresse verwendet werden. Voraussetzungen: Szenario: - Ein Unternehmen möchte die lokalen IPv6-Netzwerke in der Zentrale und einer Filiale über eine IKEv1 Site-To-Site VPN-Verbindung miteinander koppeln.
- Beide Standorte verfügen über einen LANCOM Router als Gateway und eine IPv6-Internetverbindung mit einer öffentlichen IPv6-Adresse. Die öffentliche IPv6-Adresse der Zentrale lautet fd00::a, die der Filiale fd00::b.
- Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
- Das lokale IPv6-Netzwerk der Zentrale hat den IP-Adressbereich 2001:db8:a::/64, in der Filiale wid der lokale IPv6-Adressbereich 2001:db8:b::/64 verwendet.
Vorgehensweise:
1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale: 1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN → IKE/IPSec. 1.2 Klicken Sie auf die Schaltfläche IKE-Proposal-Listen. 1.3 Legen Sie eine neue IKE-Proposal-Liste an. Tragen Sie als Bezeichnung FILIALE ein und füllen Sie die Proposal-Liste mit den IKE-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IKE-Proposals eintragen. 1.4 Klicken Sie auf die Schaltfläche IPSec-Proposal-Listen. 1.5 Legen Sie eine neue IPSec-Proposal-Liste an. Tragen Sie als Bezeichnung FILIALE ein und füllen Sie die Proposal-Liste mit den IPSec-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IPSec-Proposals eintragen. 1.6 Klicken Sie auf die Schaltfläche IKE Schlüssel & Identitäten. 1.7 Legen Sie einen neuen Eintrag an. Tragen Sie als Bezeichnung FILIALE ein und vergeben Sie im Feld Preshared Key ein ausreichend sicheres Passwort. - Name: Geben Sie einen beliebigen Namen ein.
- Lokaler Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
- Lokale Identität: Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die lokale Identität zentrale@test.de verwendet.
- Entfernter Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
- Entfernte Identität: Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den LANCOM Router in der Filiale die entfernte Identität filiale@test.de verwendet.
1.8 Wechseln Sie in das Menü VPN → Allgemein. - Aktivieren Sie die VPN-Funktion des LANCOM Routers.
- Stellen Sie die Option Aufbau Netzbeziehungen (SAs) auf den Wert Gemeinsam für KeepAlive.
1.9 Klicken Sie dann im Menü IKE/IPSec auf die Schaltfläche Verbindungs-Parameter. 1.10 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung FILIALE ein und wählen Sie in den Feldern IKE-Proposals, IKE-Schlüssel und IPSec-Proposals jeweils den Eintrag FILIALE aus. Als PFS- und IKE-Gruppe wird in diesem Beispiel jeweils die Standard-Gruppe 2 (MODP-1024) übernommen. Sie können diese aber auch Ihren Wünschen entsprechend ändern. Achten Sie jedoch darauf, dass auf beiden Seiten der VPN-Verbindung die gleichen PFS- und IKE-Gruppen verwendet werden. 1.11 Klicken Sie auf die Schaltfläche Verbindungs-Liste. 1.12 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung FILIALE ein und vergeben Sie in folgenden Feldern die folgenden Werte: - Der LANCOM Router in der Zentrale soll die VPN-Verbindung annehmen, daher muss hier der Wert für die Haltezeit auf 0 Sekunden eingestellt werden.
- Die Dead Peer Detection dient der VPN-Verbindungsüberwachung. Tragen Sie hier z.B. den Wert 60 Sekunden ein. Weitere Informationen zur Dead Peer Detection erhalten Sie in diesem Knowledge Base Artikel.
- Im Feld Entferntes Gateway müssen Sie die öffentliche IP-Adresse des LANCOM Routers in der Filiale eintragen. In diesem Beispiel ist das die fd00::b.
- Als Verbindungs-Parameter muss der Eintrag FILIALE ausgewählt werden.
- Die Regelerzeugung wird in diesem Beispiel Automatisch durchgeführt.
- Als IKE-Exchange Mode muss die Option Main Mode aktiviert sein.
1.13 Wechseln Sie in das Menü IP-Router → Routing → IPv6-Routing-Tabelle. 1.14 Erstellen Sie einen neuen Routing-Eintrag. - Tragen Sie als IP-Adresse die Adresse des lokalen IPv6-Netzwerkes in der Filiale ein. In diesem Beispiel ist dies die 2001:db8:b::/64.
- Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: FILIALE) eingestellt werden.
1.15 Wechseln Sie in das Menü IPv6 → Allgemein → WAN-Schnittstellen. 1.16 Erstellen Sie einen neuen Eintrag. Wählen Sie dabei als Interface die VPN-Verbindung zur Filiale aus.Die Option Firewall für dieses Interface aktiv muss ausgeschaltet werden. 1.17 Öffnen Sie das Menü Firewall/QoS → IPv6-Regeln → IPv6-Inbound-Regeln und erstellen Sie eine neue Firewall-Regel. 1.18 Geben Sie im Feld Name eine Namensbezeichnung ein. - Die Priorität müssen Sie auf den Wert 1 setzen.
- Als Aktion muss ACCEPT eingestellt werden.
- Im Feld Server-Dienste müssen Sie das Objekt ANY einstellen.
- Im Feld Quell-Stationen müssen Sie den Namen der VPN-Verbindung zur Filiale eintragen.
1.19 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
2. Manuelle Konfigurationsschritte auf dem LANCOM Router der Filiale: 2.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Filiale und wechseln Sie in das Menü VPN → IKE/IPSec. 2.2 Klicken Sie auf die Schaltfläche IKE-Proposal-Listen. 2.3 Legen Sie eine neue IKE-Proposal-Liste an. Tragen Sie als Bezeichnung ZENTRALE ein und füllen Sie die Proposal-Liste mit den IKE-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IKE-Proposals eintragen. 2.4 Klicken Sie auf die Schaltfläche IPSec-Proposal-Listen. 2.5 Legen Sie eine neue IPSec-Proposal-Liste an. Tragen Sie als Bezeichnung ZENTRALE ein und füllen Sie die Proposal-Liste mit den IPSec-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IPSec-Proposals eintragen. 2.6 Klicken Sie auf die Schaltfläche IKE Schlüssel & Identitäten. 2.7 Legen Sie einen neuen Eintrag an. Tragen Sie als Bezeichnung ZENTRALE ein tragen Sie im Feld Preshared Key das gleiche Passwort ein, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.7). - Name: Geben Sie einen beliebigen Namen ein.
- Lokaler Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
- Lokale Identität: Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Filiale die lokale Identität filiale@test.de verwendet.
- Entfernter Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
- Entfernte Identität: Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die entfernte Identität zentrale@test.de verwendet.
2.8 Wechseln Sie in das Menü VPN → Allgemein. - Aktivieren Sie die VPN-Funktion des LANCOM Routers.
- Stellen Sie die Option Aufbau Netzbeziehungen (SAs) auf den Wert Gemeinsam für KeepAlive.
2.9 Klicken Sie dann im Menü VPN → IKE/IPSec auf die Schaltfläche Verbindungs-Parameter. 2.10 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung ZENTRALE ein und wählen Sie in den Feldern IKE-Proposals, IKE-Schlüssel und IPSec-Proposals jeweils den Eintrag ZENTRALE aus. Als PFS- und IKE-Gruppe wird in diesem Beispiel jeweils die Standard-Gruppe 2 (MODP-1024) übernommen. Sie können diese aber auch Ihren Wünschen entsprechend ändern. Achten Sie jedoch darauf, dass auf beiden Seiten der VPN-Verbindung die gleichen PFS- und IKE-Gruppen verwendet werden. 2.11 Klicken Sie auf die Schaltfläche Verbindungs-Liste. 2.12 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung ZENTRALE ein und vergeben Sie in folgenden Feldern die folgenden Werte: - Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Zentrale aktiv aufbauen, daher muss hier der Wert für die Haltezeit auf 9.999 Sekunden eingestellt werden.
- Die Dead Peer Detection dient der VPN-Verbindungsüberwachung. Tragen Sie hier z.B. den Wert 60 Sekunden ein.
- Im Feld Entferntes Gateway müssen Sie die öffentliche IPv6-Adresse des LANCOM Routers in der ZENTRALE eintragen. In diesem Beispiel ist das die fd00::a.
- Als Verbindungs-Parameter muss der Eintrag ZENTRALE ausgewählt werden.
- Die Regelerzeugung wird in diesem Beispiel Automatisch durchgeführt.
- Als IKE-Exchange Mode muss die Option Main Mode aktiviert sein.
2.13 Wechseln Sie in das Menü IP-Router → Routing → IPv6-Routing-Tabelle. 2.14 Erstellen Sie einen neuen Routing-Eintrag. - Tragen Sie als IP-Adresse die Adresse des lokalen IPv6-Netzwerkes in der Zentrale ein. In diesem Beispiel ist dies die 2001:db8:a::/64.
- Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: ZENTRALE) eingestellt werden.
2.15 Wechseln Sie in das Menü IPv6 → Allgemein → WAN-Schnittstellen. 2.16 Erstellen Sie einen neuen Eintrag. Wählen Sie dabei als Interface die VPN-Verbindung zur Zentrale aus. Die Option Firewall für dieses Interface aktiv muss ausgeschaltet werden. 2.17 Öffnen Sie das Menü Firewall/QoS → IPv6-Regeln → IPv6-Inbound-Regeln und erstellen Sie eine neue Firewall-Regel. 2.18 Geben Sie im Feld Name eine Namensbezeichnung ein. - Die Priorität müssen Sie auf den Wert 1 setzen.
- Als Aktion muss ACCEPT eingestellt werden.
- Im Feld Server-Dienste müssen Sie das Objekt ANY einstellen.
- Im Feld Quell-Stationen müssen Sie den Namen der VPN-Verbindung zur Zentrale eintragen.
2.19 Schreiben Sie die Konfiguration in den LANCOM Router zurück. Nachdem die Konfiguration in den LANCOM Router der Filiale zurückgeschrieben wurde, wird die VPN-Verbindung zwischen beiden LANCOM Routern aufgebaut. Überprüfen können Sie dies, indem Sie z.B. beide LANCOM Router in den LANmonitor laden. |