Beschreibung:
Damit bei einem Wechsel von einem LANCOM Router zu einer LANCOM R&S®Unified Firewall die Profile der Advanced VPN Client Verbindungen nicht neu auf die Endgeräte ausgerollt werden müssen, ist es sinnvoll die Konfiguration der Advanced VPN Client Verbindungen vom Router in die LANCOM R&S®Unified Firewall zu übernehmen.
In diesem Artikel wird beschrieben, wie eine IKEv2 Verbindung für den Advanced VPN Client von einem LANCOM Router in eine LANCOM R&S®Unified Firewall übernommen werden kann.
Das Szenario und die generelle Vorgehensweise entsprechen der Vorgehensweise bei der Einrichtung einer neuen IKEv2 Verbindung für den Advanced VPN Client auf einer Unified Firewall.
Voraussetzungen:
- LANCOM R&S® Unified Firewall mit LCOS FX ab Version 10.4
- LANCOM Advanced VPN Client ab Version 4.1
- LCOS ab Version 9.20 (download aktuelle Version)
- LANtools ab Version 9.20 (download aktuelle Version)
- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
- Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Vorgehensweise:
1. Auslesen der Authentifizierungs-Parameter der Advanced VPN Client Verbindung im LANCOM Router:
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln in das Menü VPN → IKEv2/IPSec → Authentifizierung.
1.2 Öffnen Sie den Eintrag der VPN-Verbindung, welche auf die Unified Firewall übernommen werden soll und notieren die folgenden Parameter:
- Name
- Lokale Identität bzw. Entfernte Identität
- Lokales Passwort bzw. Entferntes Passwort
Die Einträge für die Parameter Lokale Identität / Entfernte Identität und Lokales Passwort / Entferntes Passwort werden durch den Setup-Assistenten im Router gleich gesetzt.
2. Konfiguration der Advanced VPN Client Verbindung in der Unified Firewall:
2.1 Verbinden Sie sich mit der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.
2.2 Stellen Sie sicher, dass IPSec aktiv ist.
2.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-Verbindung zu erstellen.
2.4 Passen Sie die folgenden Parameter an:
- Name: Tragen Sie den in Schritt 1.2 notierten Namen der VPN-Verbindung auf dem Router ein (in diesem Beispiel IKEV2C_0001).
- Sicherheits-Profil: Wählen Sie im Dropdownmenü das vorgefertigte Sicherheits-Profil LANCOM Advanced VPN Client IKEv2 aus.
- Verbindung: Wählen Sie im Dropdownmenü die Internet-Verbindung der Unified Firewall aus.
2.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:
- Lokale Netzwerke: Tragen Sie die lokalen Netzwerke in CIDR-Schreibweise (Classless Inter Domain Routing) ein, in welche die Kommunikation über den Advanced VPN Client erlaubt sein (in diesem Beispiel die 192.168.3.0/24).
- Virtueller IP-Pool: Wählen Sie im Dropdownmenü die Option Default Virtual-IP pool aus, damit dem Advanced VPN Client eine IP-Adresse aus diesem Pool zugewiesen wird.
2.6 Wechseln Sie in den Reiter Authentifizierung, passen die folgenden Parameter an und klicken auf Erstellen:
- Authentifizierungstyp: Wählen Sie im Dropdownmenü die Option PSK (Preshared Key) aus.
- PSK (Preshared Key): Tragen Sie das in Schritt 1.2 notierte Lokale Passwort / Entfernte Passwort ein (in diesem Beispiel presharedkey).
- Lokaler Identifier: Tragen Sie die in Schritt 1.2 notierte Lokale Identität / Entfernte Identität ein (in diesem Beispiel IKEV2C_0001@intern).
- Erweiterte Authentifizierung: Belassen Sie die Einstellung auf keine erweiterte Authentifizierung.
- Remote Identifier: Tragen Sie die in Schritt 1.2 notierte Lokale Identität / Entfernte Identität ein (in diesem Beispiel IKEV2C_0001@intern).
Sollen weitere VPN-Verbindungen übernommen werden, für welche die Kommunikation in das gleiche Netzwerk erlaubt sein soll, kann die vorhandene Verbindung kopiert werden. Es müssen dann nur noch der Name sowie die Authentifizierungsparameter angepasst werden.
2.7 Klicken Sie auf das Symbol zum Erstellen eines VPN-Hosts.
2.8 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
- Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel IKEV2C_0001).
- VPN-Verbindungstyp: Wählen sie die Option IPSec aus.
- IPSec-Verbindung: Wählen Sie die in Schritt 2.3 - 2.6 erstellte VPN-Verbindung aus.
9. Klicken Sie auf dem Desktop auf den VPN-Host, wählen das "Verbindungswerkzeug" aus und klicken auf das Netzwerk, mit welchem die Kommunikation über den Advanced VPN Client erlaubt sein soll.
10. Weisen Sie dem VPN-Host die erforderlichen Protokolle über die "Plus-Zeichen" zu.
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.
11. Klicken Sie abschließend auf Aktivieren, damit die Änderungen übernommen werden.
