Beschreibung:

Dieses Dokument bescheibt, wie Sie eine Netzkopplung per IKEv2 Client-To-Site VPN-Verbindung zwischen einem Smartphone oder Tablet-PC mit Android Betriebssystem und einem LANCOM Router einrichten können.


Voraussetzungen:

Die Verfügbarkeit von IKEv2 in Android-Versionen ist abhängig vom Hersteller Ihres mobilen Endgerätes. So bietet z.B. der Hersteller Samsung IKEv2 in vielen Android-Distributionen seiner Endgeräte an, andere Hersteller verzichten darauf.

Sollte in Ihrer Andoid-Distribution IKEv2 nicht verfügbar sein, müssen Sie eine entsprechende App verwenden (z.B. der kostenpflichtige NCP VPN Client für Android oder StrongSwan).


Szenario:

  • Ein Unternehmen möchte seinen Aussendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
  • Die Mitarbeiter sollen die VPN-Verbindung mit mobilen Endgeräten (Smartphone, Tablet-PC, etc.) herstellen können, auf welchen ein Android Betriebssystem installiert ist.
  • Die Firmenzentrale verfügt über einen LANCOM Router als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse  81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24.

Beispiel-Szenario zur Konfiguration einer Client-to-Site VPN-Verbindung mit Android-Client



Vorgehensweise:

1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:

1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN → Allgemein.

1.2 Aktivieren Sie die Funktion Virtual Private Network.

Aktivierung der VPN-Funktion im VPN-Menü

1.3 Wechseln Sie in das Menü VPN → IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung.

Dialog zur Erstellung eines neuen Authentifizierungs-Eintrags im Menü VPN aufrufen

1.4 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.

1.5 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein.

  • Name: Geben Sie den Namen für die Authentifizierung  ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 1.8).
  • Lokale Authentifizierung: Wählen Sie den Typ der Authentifizierung im Router der Zentrale  aus. In diesem Beispiel wird die Authentifizierung über einen  Pre-shared Key (PSK)  vorgenommen.
  • Lokaler Identitätstyp: Wählen Sie als  Typ der Identität  des Routers in der Zentrale den Parameter  Key-ID (Gruppenname)  aus.
  • Lokale Identität: Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die lokale Identität "zentrale" verwendet.
  • Lokales Passwort: Vergeben Sie den Pre-shared Key, welcher verwendet werden soll um sich beim Android-Endgerät erfolgreich zu authentifizieren. Da in der späteren Konfiguration von Android (siehe Punkt 2.4) nur ein Pre-shared Key angegeben werden kann, müssen das lokale Passwort und das entfernte Passwort gleich sein.
  • Entfernte Authentifizierung: Wählen Sie den  Authentifizierungstypen des  Android-Endgerätes aus. In diesem Beispiel wird die Authentifizierung über einen  Pre-shared Key (PSK)  vorgenommen.
  • Entfernter Identitätstyp: Wählen Sie als Typ der Identität des Android-Endgeräts den Parameter Key-ID (Gruppenname) aus.
  • Entfernte Identität: Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für das Android-Endgerät die entfernte Identität "mitarbeiter" verwendet.
  • Entferntes Passwort: Vergeben Sie den Pre-shared Key, welcher verwendet werden soll um sich gegenüber dem LANCOM Router in der Zentrale erfolgreich zu authentifizieren. Da in der späteren Konfiguration von Android (siehe Punkt 2.4) nur ein Pre-shared Key angegeben werden kann, müssen das lokale Passwort und das entfernte Passwort gleich sein.
  • Entfernter Zert.-ID Check: Diese Funktion wird nicht benötigt, daher müssen Sie  Nein auswählen.

Je nach verwendeter Android-Version bzw. der IKEv2-Implementation des Herstellers muss in den Feldern Lokaler Identitätstyp und Entfernter Identitätstyp statt der Option Key-ID (Gruppenname) eine andere Option verwendet werden (z.B.  Domänen-Name (FQDN) oder E-Mail-Adresse (FQUN)). Dies muss entsprechend in dem Android VPN Client angepasst werden (siehe Schritt 2.4).

Erstellung eines neuen Authentifizierungs-Eintrags für die VPN-Verbindung

1.6 Wechseln Sie in das Menü VPN → IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste.

1.7 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.

Dialog zum Erstellen eines neuen Verbindungs-Eintrags im VPN-Menü aufrufen

1.8 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:

  • Name der Verbindung:  Geben Sie die Bezeichnung für die VPN-Verbindung an.
  • Haltezeit:  Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Zentrale eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut.
  • Authentifizierung:  Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 1.5 festgelegt haben.
  • IKE-CFG:  Hier muss der Parameter  Server  eingestellt werden.
  • IPv4-Adress-Pool:  Hier müssen Sie einen  Bereich lokaler IP-Adressen definieren, aus welchem eingewählten VPN-Clients eine IP-Adresse zugewiesen wird . Wenn Sie noch keinen Adress-Pool eingerichtet haben, klicken Sie auf die Schaltfläche  Wählen  und im nächsten Dialog auf den Link  Quelle verwalten...

Bei IKEv2-Verbindungen muss der IPv4-Adress-Pool zwingend in diesem Dialog eingerichtet werden. Die Nutzung der Adress-Pools in den Dialogen Kommunikation → Gegenstellen → WAN-Tag-Tabelle bzw. IPv4 → Adressen hat bei IKEv2-Verbindungen keine Wirkung, diese werden nur für IKEv1-Verbindungen verwendet. Legen Sie im folgenden Dialog einen IPv4-Adress-Pool an. 

Erstellen eines neuen IPv4-Adress-Pool für die VPN-Verbindung

  • Regelerzeugung:  Die  Regelerzeugung muss manuell durchgeführt werden.
  • IPv4-Regeln:  Hier müssen Sie den Parameter  RAS-WITH-CONFIG-PAYLOAD e instellen.

Konfiguration des Verbindungseintrags für den VPN-Client

1.9 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.


2. Manuelle Einrichtung der VPN-Verbindung auf dem Smartphone oder Tablet-PC:

2.1 Öffnen Sie das Menü Einstellungen und wählen Sie unter Verbindungen den Menüpunkt Weitere Einstellungen.

Menü zur Konfiguration einer VPN-Verbindung in Android aufrufen

2.2 Wählen Sie die Option VPN aus.

VPN-Funktion in Android-Menü aufrufen

2.3 Tippen Sie auf das Plus-Zeichen in der rechten oberen Ecke um einen neuen Eintrag hinzuzufügen.

Schaltfläche zum Erstellen eines neuen VPN-Eintrags in Android drücken

2.4 Im nächsten Dialog müssen Sie folgende Einstellungen vornehmen:

  • Im Feld Name müssen Sie eine Namensbezeichnung für das neue VPN-Profil eintragen. Es kann ein beliebiger Name verwendet werden.
  • Im Auswählfeld Typ muss IPSec IKEv2 PSK eingestellt werden.
  • Im Feld Server-Adresse müssen Sie die öffentliche IP-Adresse oder die öffentliche DNS-Adresse des LANCOM Routers eintragen.
  • Geben Sie im Feld IPSec Identifier die Bezeichnung der entfernten Identität an, welchen Sie bei der Konfiguration des LANCOM Routers im Schritt 1.5 vergeben haben. In diesem Beispiel ist das der Name mitarbeiter.
  • Im Feld IPSec Pre-shared Key muss der Pre-shared Key eingetragen werden, welchen Sie bei der Konfiguration des LANCOM Routers im Schritt 1.5 vergeben haben.

VPN-Verbindungsparameter in Android eintragen

2.5 Tippen Sie auf Speichern, um das konfigurierte VPN-Profil zu sichern.

2.6 Zum Starten der VPN-Verbindung müssen Sie auf das eben erstellte VPN-Profil tippen.

Anzeige in Android zur erfolgreichen VPN-Verbindung