Beschreibung:

In diesem Artikel wird beschrieben, wie eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls eingerichtet werden kann.

In LCOS FX 10.7 wurde das Zertifikatsmodul erneuert, sodass die entsprechenden Menüs von älteren LCOS FX Versionen abweichen. Die Konfiguration einer zertifikatsbasierten IKEv2-Verbindung zwischen zwei Unified Firewalls ab LCOS FX 10.7 ist in dem folgenden Artikel beschrieben:

Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.7)



Voraussetzungen:

  • Zwei LANCOM R&S® Unified Firewalls mit LCOS FX ab Version 10.4 bis einschließlich Version 10.6
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den beiden Unified Firewalls
  • Web-Browser zur Konfiguration der Unified Firewalls.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

  • Es soll eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei Unified Firewalls eingerichtet werden (Zentrale und Filiale).
  • Die Unified Firewall in der Zentrale hat das lokale Netzwerk 192.168.1.0/24.
  • Die Unified Firewall in der Filiale hat das lokale Netzwerk 192.168.2.0/24.
  • Die Unified Firewall in der Zentrale hat die feste öffentliche IP-Adresse 81.81.81.81 .
  • Die Unified Firewall in der Filiale hat die feste öffentliche IP-Adresse 80.80.80.80 .

Diagramm einer VPN-Verbindung zwischen einer Hauptzentrale und einer Filiale, angezeigt als technische Benutzeroberfläche mit Feldern für öffentliche IP-Adressen und lokale Netzwerke.


2. Die Unified Firewall ist über einen vorgeschalteten Router mit dem Internet verbunden:

  • Es soll eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei Unified Firewalls eingerichtet werden (Zentrale und Filiale).
  • Die Unified Firewall in der Zentrale hat das lokale Netzwerk 192.168.1.0/24.
  • Die Unified Firewall in der Filiale hat das lokale Netzwerk 192.168.2.0/24.
  • Die Unified Firewall in der Zentrale ist mit einem Router verbunden, welcher die Internet-Verbindung herstellt. Dieser hat die feste öffentliche IP-Adresse 81.81.81.81 .
  • Die Unified Firewall in der Filiale ist mit einem Router verbunden, welcher die Internet-Verbindung herstellt. Dieser hat die feste öffentliche IP-Adresse 80.80.80.80 .

Schematische Darstellung einer Netzwerkverbindung mit zentralen und filialen LANCOM-Routern, die über UnifiedFirewall VPN miteinander verbunden sind, einschließlich öffentlicher IP-Adressen.



Vorgehensweise:

Die Einrichtung ist bei  Szenario 1  und  2  grundsätzlich gleich. Bei  Szenario 2  muss zusätzlich ein  Port- und Protokollforwarding  auf dem vorgeschalteten Router eingerichtet werden (siehe  Abschnitt 3 ).


1. Konfigurations-Schritte auf der Unified Firewall in der Zentrale:

1.1 Erstellen und Export der Zertifikate:

1.1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Symbol", um ein neues Zertifikat zu erstellen. 

Bildschirmansicht einer technischen Benutzeroberfläche zur Verwaltung von Sicherheitseinstellungen, einschließlich Firewall, Benutzerauthentifizierung, HTTPS-Proxy, Mail-Proxy und Zertifikatsverwaltung.

1.1.2 Erstellen Sie als Erstes eine CA (Certificate Authority). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie im Dropdownmenü die Option CA für VPN-/Webserver-Zertifikat aus.
  • Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für die CA (in diesem Beispiel IKEv2_CA).
  • Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine CA soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • Private-Key-Passwort: Vergeben Sie ein beliebiges Private-Key-Passwort. Dieses dient dazu den Private Key der CA zu verschlüsseln.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Zertifikate wie Zertifikatstyp, Gültigkeit, Private Key-Optionen, Verschlüsselungseinstellungen und Details zum Distinguished Name, Common Name, und zusätzlichen Einstellungen für Subject Alternative Names und Certificate Authority-Dienste.

1.1.3 Erstellen Sie anschließend ein VPN-Zertifikat für die Zentrale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
  • Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Zentrale.
  • Gültigkeit: Wählen Sie eine Laufzeit für das Zertifikat aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • CA-Passwort: Hinterlegen Sie das in  Schritt 1.1.2  vergebene  Private-Key-Passwort.
  • Private-Key-Passwort: Vergeben Sie ein beliebiges Private-Key-Passwort.

Ein Bildschirmfoto einer technischen Konfigurationsoberfläche, das verschiedene Zertifikats- und Sicherheitseinstellungen wie PrivateKey, Distinguished Name (DN), Common Name, und Felder für Bundesland- und Abteilungs-Informationen anzeigt, sowie Optionen für Subject Alternative Name und E-Mail-Verwaltungen umfasst.

1.1.4 Erstellen Sie abschließend ein VPN-Zertifikat für die Filiale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
  • Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Filiale.
  • Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • CA-Passwort: Hinterlegen Sie das in  Schritt 1.1.2  vergebene  Private-Key-Passwort.
  • Private-Key-Passwort: Vergeben Sie ein beliebiges Private-Key-Passwort.

Bildschirmanzeige eines technischen Konfigurationsmenüs für ein VPN-Zertifikat, das Optionen für Passwörter, Verschlüsselung und Benutzeridentifizierung inklusive eines Bereichs für Distinguished Name und Subject Alternative Names zeigt.

1.1.5 Klicken Sie in der Zertifikatsverwaltung bei dem Zertifikat der Filiale auf die Schaltfläche zum Export.

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Optionen wie Aktivieren von Firewalls, Zertifikatsverwaltung, MonitoringStatistiken, Netzwerkeinstellungen und Benutzerauthentifizierung.

1.1.6 Wählen Sie als Format die Option PKCS #12 aus, tragen die Passwörter ein und klicken auf Exportieren:

  • Private-Key-Passwort: Tragen Sie das Private-Key-Passwort ein, welches Sie in Schritt 1.1.4 vergeben haben.
  • Transport-Passwort: Tragen sie ein Passwort ein. Dieses wird beim Import des Zertifikates auf der Unified Firewall in der Filiale benötigt (siehe Schritt 2.1.2).

Bildschirmfoto einer technischen Benutzeroberfläche zur Konfiguration von Zertifikatsexporten, zeigt Optionen für den Export öffentlicher Teile der Zertifizierungsstelle sowie vollständige Zertifikate inklusive privater Schlüssel mit Sicherheitshinweisen.

1.1.7 Klicken Sie in der Zertifikatsverwaltung bei dem Zertifikat der Zentrale auf die Schaltfläche zum Export.

Bildschirmansicht einer technischen Benutzeroberfläche mit Einstellungen für Firewall, Zertifikatsverwaltung, Netzwerk, Benutzerauthentifizierung und verschiedene Proxy-Konfigurationen.

1.1.8 Wählen Sie als Format die Option PEM aus und klicken auf Exportieren.

Bildschirmansicht eines Konfigurationsmenüs für den Export von Zertifikaten, das Optionen für das Exportieren des öffentlichen Teils der Zertifizierungsstelle sowie das vollständige Zertifikat mit privatem Schlüssel zeigt, jeweils mit Hinweisen zum Schutz und zur Verwendung.


1.2 Einrichtung der VPN-Verbindung:

1.2.1 Wechseln Sie in das Menü VPN → IPSec → IPSec-Einstellungen.

Bildschirmansicht einer technischen Konfigurationsoberfläche mit Optionen für Firewall, Monitoring, Netzwerkstatistiken, Desktop-Einstellungen, Benutzerauthentifizierung und IPsec-Sicherheitsprofile.

1.2.2 Aktivieren Sie die IPSec-Funktionalität über den Schieberegler und klicken auf Speichern.

1.2.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue VPN-Verbindung zu erstellen.

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Menüoptionen für Netzwerkverbindungen, Benutzerauthentifizierung, IPsec-Einstellungen und Sicherheitsprofile.

1.2.4 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Filiale).
  • Sicherheits-Profil: Wählen Sie im Dropdownmenü das Sicherheits-Profil LANCOM LCOS Default IKEv2 aus. Bei Bedarf können Sie auf beiden Seiten auch ein anderes Profil verwenden.
  • Verbindung: Wählen Sie im Dropdownmenü die Internet-Verbindung aus (in diesem Beispiel Internet).
  • Remote-Gateway: Geben Sie die IP-Adresse oder den DNS-Namen der Unified Firewall in der Filiale an (in diesem Beispiel die IP-Adresse 80.80.80.80).

Screenshot einer technischen Konfigurationsbenutzeroberfläche zur Einstellung von Verbindungen, Sicherheitsprofilen und Authentifizierungsoptionen mit Menüpunkten und Einstellungen, die Änderungen bis zum Logout oder Abbrechen des Dialogs beibehalten.

1.2.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

  • Lokale Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Zentrale in CIDR-Schreibweise (in diesem Beispiel also 192.168.1.0/24). 
  • Remote Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Filiale in CIDR-Schreibweise (in diesem Beispiel also 192.168.2.0/24). 

Screenshot einer technischen Benutzeroberfläche eines Konfigurationsmenüs mit Optionen einschließlich Sicherheitsprofil, Verbindung, Authentifizierung und Routing-Einstellungen.

1.2.6 Wechseln Sie in den Reiter Authentifizierung, passen die folgenden Parameter an und klicken auf Erstellen:

  • Authentifizierungstyp: Stellen Sie sichder, dass im Dropdownmenü die Option Zertifikat ausgewählt ist.
  • Lokales Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.1.3 erstellte Zertifikat für die Zentrale aus.
  • Erweiterte Authentifizierung: Stellen Sie sicher, dass die Option Keine erweiterte Authentifizierung ausgewählt ist.
  • Remote-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.1.4 erstellte Zertifikat für die Filiale aus.

Bildschirmansicht einer technischen Benutzeroberfläche für Netzwerkverbindungen, die Optionen wie Tunnelauthentifizierung, Routing und Certifikatspezifikationen zeigt.

1.2.7 Klicken Sie auf das Symbol zum Erstellen eines VPN-Netzwerks.

Bild der Benutzeroberfläche eines Konfigurationsmenüs mit dem Wort Firewall als markanter Text, umgeben von unklaren Fragmenten ähnlicher Textelemente.

1.2.8 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Filiale).
  • Verbindungstyp: Wählen Sie die Option IPSec aus.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.2.4 - 1.2.6 erstellte VPN-Verbindung aus.

Benutzeroberfläche eines Netzwerk-Konfigurationsmenüs, zeigt Optionen zur Einstellung und Speicherung von Änderungen an Remote-Netzwerken.


1.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:

1.3.1 Klicken sie auf dem Desktop auf das in Schritt 1.2.8 erstellte VPN-Netzwerk, wählen das Verbindungswerkzeug aus und klicken auf das Netzwerk-Objekt, für welches die Kommunikation erlaubt werden soll.

Bildschirmanzeige einer Benutzeroberfläche oder eines Menüs mit dem unvollständigen Text IKEvZFiliale a.

1.3.2 Wählen Sie auf der rechten Seite die erforderlichen Protokolle aus und fügen diese über die "Plus-Symbole" hinzu.

Screenshot eines Konfigurationsmenüs für eine Verbindungsanwendung mit Optionen für URLContentFilter, ApplicationFilter und ApplicationBasedRouting, sowie einer Aufforderung zum Hinzufügen von Einträgen durch Klicken auf das entsprechende Symbol.  Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen, unklar beschrifteten Menüoptionen und Konfigurationseinstellungen.

1.3.3 Klicken Sie auf Erstellen, um die Firewall-Regel anzulegen.

Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Konfigurationseinstellungen wie URL Content Filter, Application Filter und Application Based Routing, wobei Änderungen bis zum Abmelden oder Schließen des Dialogs erhalten bleiben.

1.3.4 Die Konfiguration der Unified Firewall in der Zentrale ist damit abgeschlossen. Klicken Sie auf Aktivieren, damit die auf dem Desktop vorgenommenen Änderungen umgesetzt werden.

Grafische Darstellung einer Firewall mit zugehörigen Konfigurationseinstellungen auf einem technischen Monitor.



2. Konfigurations-Schritte auf der Unified Firewall in der Filiale:

2.1 Import der Zertifikate:

2.1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall in der Filiale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das Symbol zum Import eines Zertifikates.

Bildschirmansicht einer technischen Benutzeroberfläche mit Optionen für Firewall, Zertifikatsverwaltung, Monitoring, Netzwerkverwaltung und verschiedene Proxy-Konfigurationen.

2.1.2 Wählen Sie bei Zertifikatsdatei das Zertifikat der Filiale aus, geben die Passwörter an und klicken auf Importieren:

  • Passwort: Tragen Sie das in Schritt 1.1.6 vergebene Transport-Passwort  ein.
  • Neues Passwort: Tragen Sie ein neues Passwort ein. Mit diesem wird der Private Key nach dem Import verschlüsselt.

Screenshot einer Benutzeroberfläche zur Verwaltung von Sicherheitszertifikaten, die Optionen zur Passworteingabe, Passworterneuerung und Auswahl einer Zertifikatsdatei zeigt.

2.1.3 Importieren Sie ein weiteres Zertifikat. Wählen sie bei Zertifikatsdatei das Zertifikat der Zentrale aus und klicken auf Importieren:

Die Passwörter müssen nicht angegeben werden, da bei dem Export des Zertifikats für die Zentrale keine Passwörter angegeben wurden.

Bildschirmansicht eines Konfigurationsmenüs zur Eingabe eines neuen Passworts und zum Import eines Zertifikats, wobei der private Schlüssel des Zertifikats durch das eingegebene Passwort geschützt wird.

2.1.4 Die Zertifikatsverwaltung sieht nach dem Import der Zertifikate wie folgt aus.

Screenshot einer technischen Benutzeroberfläche zur Netzwerkverwaltung, die verschiedene Module wie Firewall, Zertifikatsverwaltung, Benutzerauthentifizierung und HTTPS-Proxy-Konfigurationen anzeigt.


2.2 Einrichtung der VPN-Verbindung:

2.2.1 Wechseln Sie in das Menü VPN → IPSec → IPSec-Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Firewall, IPsec-Einstellungen, Netzwerküberwachung, Sicherheitsprofile und Benutzerauthentifizierung.

2.2.2 Aktivieren Sie die IPSec-Funktionalität über den Schieberegler und klicken auf Speichern.

Bildschirmansicht eines Netzwerkkonfigurationsmenüs mit IPsec-Einstellungen, die ausgenommene Interfaces und IP-Adressen anzeigen, mit Optionen zur Verwaltung des Datenverkehrs, DHCP-Server, Proxy und Radius-Server Einstellungen.

2.2.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue VPN-Verbindung zu erstellen.

Screenshot einer technischen Benutzeroberfläche für Netzwerkmanagement mit Abschnitten für Benutzerauthentifizierung, IPsec-Einstellungen, Sicherheitsprofile und virtuelle IP-Pools.

2.2.4 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Zentrale).
  • Sicherheits-Profil: Wählen Sie im Dropdownmenü das Sicherheits-Profil LANCOM LCOS Default IKEv2 aus. Bei Bedarf können Sie auf beiden Seiten auch ein anderes Profil verwenden.
  • Verbindung: Wählen Sie im Dropdownmenü die Internet-Verbindung aus (in diesem Beispiel Internet).
  • Remote-Gateway: Geben Sie die IP-Adresse oder den DNS-Namen der Unified Firewall in der Zentrale an (in diesem Beispiel die IP-Adresse 81.81.81.81).
  • Setzen Sie den Haken bei Verbindung aufbauen, damit die Unified Firewall in der Filiale die VPN-Verbindung aufbaut.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von IKEv2 Verbindungen, inklusive Optionen für Authentifizierung, Routing und NAT-Einstellungen.

2.2.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

  • Lokale Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Zentrale in CIDR-Schreibweise (in diesem Beispiel also 192.168.2.0/24). 
  • Remote Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Filiale in CIDR-Schreibweise (in diesem Beispiel also 192.168.1.0/24). 

Screenshot einer technischen Benutzeroberfläche mit Optionen für zentrale Verbindungen, Authentifizierung, Routing, lokale und Remote-Netzwerke sowie Sicherheitseinstellungen.

2.2.6 Wechseln Sie in den Reiter Authentifizierung, passen die folgenden Parameter an und klicken auf Erstellen:

  • Authentifizierungstyp: Stellen Sie sicher, dass im Dropdownmenü die Option Zertifikat ausgewählt ist.
  • Lokales Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 2.1.2 importierte Zertifikat für die Filiale aus.
  • Erweiterte Authentifizierung: Stellen Sie sicher, dass die Option Keine erweiterte Authentifizierung ausgewählt ist.
  • Remote-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 2.1.3 importierte Zertifikat für die Zentrale aus.

Screenshot einer technischen Konfigurationsseite für eine Netzwerkverbindung mit Einstellungen wie Sicherheitsprofil, Authentifizierungstypen und Identifikatoren.

2.2.7 Klicken Sie auf das Symbol zum Erstellen eines VPN-Netzwerks.

Screenshot einer technischen Benutzeroberfläche mit unleserlichem Text und dem Begriff Firewall deutlich erkennbar.

2.2.8 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Zentrale).
  • Verbindungstyp: Wählen Sie die Option IPSec aus.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 2.2.4 - 2.2.6 erstellte VPN-Verbindung aus.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration einer IPsec-Netzwerkverbindung mit Optionen zur Anpassung von Remote-Netzwerken und Tags, wobei Änderungen bis zur Abmeldung oder Abbruch des Dialogs erhalten bleiben.


2.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:

2.3.1 Klicken sie auf dem Desktop auf das in Schritt 2.2.8 erstellte VPN-Netzwerk, wählen das Verbindungswerkzeug aus und klicken auf das Netzwerk-Objekt, für welches die Kommunikation erlaubt werden soll.

Screenshot einer Benutzeroberfläche mit dem unvollständigen oder undeutlich dargestellten Text AS EaN IKEvZZentrale.

2.3.2 Wählen Sie auf der rechten Seite die erforderlichen Protokolle aus und fügen diese über die "Plus-Symbole" hinzu.

Screenshot einer technischen Benutzeroberfläche für eine Internetverbindung, die Einstellungen für IKEvZentraleINTRANET und Filteroptionen wie URLContentFilter, ApplicationFilter und ApplicationBasedRouting zeigt, mit einer Aufforderung zum Hinzufügen von Einträgen durch Klicken auf das Pluszeichen.  Bild einer technischen Benutzeroberfläche mit unklarem, schlecht formatiertem Text, möglicherweise ein Fehler im Anzeigesystem oder ein Konfigurationsmenü.

2.3.3 Klicken Sie auf Erstellen, um die Firewall-Regel anzulegen.

Screenshot einer technischen Benutzeroberfläche für Netzwerkeinstellungen, inklusive Optionen für IKEv2, URL Content Filter, Application Filter und Application Based Routing, mit Hinweisen auf Erhalt von Änderungen bis zum Abmelden oder Schließen des Dialogs.

2.3.4 Die Konfiguration der Unified Firewall in der Zentrale ist damit abgeschlossen. Klicken Sie auf Aktivieren, damit die auf dem Desktop vorgenommenen Änderungen umgesetzt werden.

Bildschirmansicht einer technischen Benutzeroberfläche, die Einstellungen oder Informationen zu einer Firewall anzeigt.



3. Einrichtung eines Port- und Protokoll-Forwarding auf einem LANCOM Router (nur Szenario 2):

Für  IPSec  werden die  UDP-Ports 500  und  4500  sowie das Protokoll  ESP  benötigt. Diese müssen auf die Unified Firewall weitergeleitet werden.

Werden die  UDP-Ports 500  und  4500  weitergeleitet, wird das Protokoll  ESP  automatisch mit weitergeleitet.

Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

Werden die  UDP-Ports 500  und  4500  sowie das Protokoll  ESP auf die Unified Firewall weitergeleitet, kann eine IPSec-Verbindung auf dem LANCOM Router nur noch verwendet werden, wenn diese in HTTPS gekapselt wird (IPSec-over-HTTPS). Ansonsten kann keine IPSec-Verbindung mehr aufgebaut werden!

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle .

Screenshot einer technischen Benutzeroberfläche zur Netzwerkverwaltung mit verschiedenen Konfigurationsoptionen wie Management, IPsec-Monitoring, Kommunikationsfragmentierung und Routing-Tabellen.

3.2 Hinterlegen Sie folgende Parameter:

  • Anfangs-Port : Hinterlegen Sie den   Port 500 .
  • End-Port: Hinterlegen Sie den  Port 500.
  • Intranet-Adresse: Hinterlegen Sie die  IP-Adresse der Unified-Firewall im Transfernetz  zwischen Unified Firewall und LANCOM Router.
  • Protokoll: Wählen Sie im Dropdown-Menü  UDP  aus.

Bildschirmaufnahme einer technischen Benutzeroberfläche mit einer Port-Forwarding-Tabelle und verschiedenen unvollständigen Textfragmenten wie Neuer Eintrag, aktiv, und Rent.

3.3 Erstellen Sie einen weiteren Eintrag und hinterlegen den   UDP-Port 4500 .

Screenshot einer Port-Forwarding-Tabelle auf einer Netzwerkkonfigurationsoberfläche mit Spalten für Aktivstatus, Anfangsport, Endport, Gegenstellenadresse, MapPort, Protokoll und WAN-Adresse.

3.4 Schreiben Sie die Konfiguration in den Router zurück.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH