Beschreibung:

In diesem Dokument ist beschrieben, wie eine IKEv2-Verbindung mit dem LANCOM Advanced VPN Client zu einer LANCOM R&S®Unified Firewall (im Folgenden als Unified Firewall bezeichnet) eingerichtet werden kann.


Voraussetzungen:

  • LANCOM R&S® Unified Firewall mit LCOS FX ab Version 10.4
  • LANCOM Advanced VPN Client ab Version 4.1
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Web-Browser zur Konfiguration der Unified Firewall. 

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
  • Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der LANCOM Advanced VPN Client installiert.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.3.0/24.

Bildschirmaufnahme einer technischen Benutzeroberfläche mit verschiedenen Elementen und Texten, die auf Netzwerkeinstellungen und Internetkonfigurationen hindeuten.

2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:

  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
  • Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der LANCOM Advanced VPN Client installiert.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router die feste öffentliche IP-Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.3.0/24.

Bildschirmansicht einer technischen Benutzeroberfläche mit Konfigurationseinstellungen für eine Unified Firewall, Internet- und LAN-Verbindungen, einschließlich Begriffen wie IKEv, DNS-Bindung und ffentliche Adresse.

Vorgehensweise:

Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Port- und Protokollforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).

1. Konfigurationsschritte auf der Unified Firewall:

1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln auf VPN → IPSec → IPSec-Einstellungen.

Bildschirmansicht einer technischen Benutzeroberfläche mit Menüoptionen für Monitoring-Statistiken, Netzwerkeinstellungen, Sicherheitsprofile, IPsec-Konfigurationen, Verbindungen, virtuelle IP-Pools und Vorlagen.

1.2 Aktivieren Sie IPSec.

Bilddarstellung einer technischen Benutzeroberfläche mit Einstellungsmöglichkeiten für IPsec, einschließlich einer Sektion mit gespeicherter Version und allgemeinen Optionen.

1.3 Wechseln Sie auf VPN → IPSec → IPSec-Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.

Screenshot einer Benutzeroberfläche zur Überwachung von Netzwerkverbindungen mit IPsec-Einstellungen und Sicherheitsprofilen.

1.4 Hinterlegen Sie folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Name n.
  • Sicherheits-Profil: Wählen Sie hier das vorgefertigte Profil LANCOM Advanced VPN Client IKEv2 aus.
  • Verbindung: Wählen Sie Ihre konfigurierte Internet-Verbindung aus.

Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese hier ebenfalls verwenden.

Das Bild zeigt eine technische Benutzeroberfläche mit Optionen zur Einstellung einer IKEv2 AVC-Verbindung, einschließlich Optionen für den Verbindungsaufbau und das Erzwingen von Netzwerkeinstellungen.

1.5 Wechseln Sie in den Reiter Tunnel und hinterlegen folgende Parameter:

  • Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche vom VPN-Client erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
    192.168.3.0/24    .
  • Virtueller IP-Pool: Wählen Sie die Option Default Virtual-IP pool aus. Virtuelle IP-Pools können verwendet werden, um verbundenen VPN-Clients IP-Adress-Konfigurationen zu senden.

Soll dem VPN-Client eine IP-Adresse aus einem der lokalen Netzwerke statt einer Adresse aus dem Virtuellen IP-Pool zugewiesen werden (über das Feld Virtuelle IP), muss Routen-basiertes IPSec verwendet und in der Routing-Tabelle 254 eine Route für das VPN-Interface erstellt werden, welche auf die virtuelle IP-Adresse im lokalen Netzwerk verweist.

Bild zeigt ein technisches Konfigurationsmenü für eine IKEvAVC-Verbindung mit Einstellungen für Tunnelauthentifizierung, lokale und Remote-Netzwerke sowie virtuelle IP-Konfigurationen.

1.6 Wechseln Sie in den Reiter Authentifizierung und hinterlegen folgende Parameter:

  • Authentifizierungstyp: Wählen Sie hier die Option PSK (Preshared Key) aus.
  • PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung.
  • Lokaler Identifier: Vergeben Sie die Lokale Identität.
  • Remote Identifier: Vergeben Sie die Entfernte Identität.

Aus Sicherheitsgründen sollten der Lokale und der Remote Identifier unterschiedlich gewählt werden!

Der Advanced VPN Client übermittelt die Remote-Identität immer als E-Mail-Adresse (ID_RFC822_ADDR). Wird in der Identität kein @ Zeichen verwendet, erkennt die Unified Firewall den Identitäts-Typ nicht und die VPN-Verbindung kommt nicht zustande. Es besteht die Möglichkeit den Identitäts-Typ E-Mail auf der Unified Firewall zu erzwingen, indem vor die Identität der Begriff email: vorangestellt wird (z.B. email:home).

Screenshot eines VPN-Konfigurationsmenüs mit Einstellungen für Authentifizierungstyp, Preserved Key, Lokales Zertifikat und Identifier-Optionen.

1.7 Klicken Sie auf das Symbol zum Erstellen eines neuen VPN-Host s.

Screenshot einer technischen Benutzeroberfläche mit IPsec-Einstellungen und Netzwerk-Monitoringstatistiken.

1.8 Hinterlegen Sie folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • VPN-Verbindungstyp: Wählen Sie den Typ IPSec.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPSec die in Schritt 1.4 -1.6 erstellte VPN-Verbindung aus.

Bildschirmansicht einer technischen Benutzeroberfläche mit unklaren Textfragmenten, Optionen wie Abbrechen und Erstellen sowie möglichen Netzwerk- oder Geräteeinstellungen.

1.9 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches der Advanced VPN Client zugreifen können soll, damit die Firewall-Objekte geöffnet werden.

Bildschirmansicht einer technischen Benutzeroberfläche mit teilweise unvollständigem Text und Abkürzungen.

1.10 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Das Bild zeigt eine technische Benutzeroberfläche mit Optionen für benutzerdefinierte Dienste, darunter Regeln für URL- und Anwendungsfiltersysteme, sowie verschiedenen Konfigurationsmöglichkeiten und Standardprotokollen in einem unklar definierten Netzwerkkontext.

1.11 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

Benutzeroberfläche einer technischen Anlage zur Konfiguration von Sicherheitsmaßnahmen wie Firewalls, IPsec- und VPN-Verbindungen sowie zur Anzeige von Monitoring-Statistiken.

1.12 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken Sie bei der eingerichteten Advanced VPN Client Verbindung auf die Schaltfläche Verbindung exportieren.

Bildschirmansicht eines technischen Konfigurationsmenüs mit IPsec-Einstellungen und Netzwerkverbindungsstatus, einschließlich Monitoring-Statistiken und Benutzernamensfeldern.

Gegebenenfalls ist es erforderlich auf das "Doppelpfeil-Symbol" zu klicken, um die Detail-Ansicht auszuklappen, in der sich die Schaltfläche für den Profil-Export befindet.

Screenshot einer technischen Benutzeroberfläche mit Optionen für die Firewall, IP-Verbindungen, Monitoring-Statistiken und Benutzerauthentifizierung.

1.13 Vergeben Sie ein Passwort, mit welchem das exportierte ZIP-Archiv verschlüsselt werden soll.

1.14 Tragen Sie im Feld Gateway die öffentliche IP- oder DNS-Adresse der Unified Firewall ein (hier 81.81.81.81).

1.15 Klicken Sie auf Exportieren und speichern Sie die ZIP-Datei auf Ihrem Computer ab.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von IKEv2 VPN, einschließlich eines Feldes zur Eingabe eines Archivpassworts mit der Option, dieses Passwort anzuzeigen.

1.16 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.


2. Konfigurationsschritte im Advanced VPN Client:

2.1 Entpacken Sie die im Schritt 1.15 exportierte ZIP-Datei mit einem separaten Pack-Programm. Im Ordner befindet sich eine *.ini-Datei, welche Sie in den LANCOM Advanced VPN Client importieren können.

Das in Windows enthaltene Pack-Programm kann das Achiv-Passwort nicht verarbeiten, weshalb der Entpack-Vorgang mit diesem fehlschlägt.

2.2 Öffnen Sie den Advanced VPN Client und wechseln in das Menü Konfiguration → Profile.

Screenshot einer technischen Benutzeroberfläche mit den Bereichen Companyremzr rWe, Quality of Service, Zertifikate und einem Menü für Statistik und Weitere Optionen.

2.3 Klicken Sie auf die Schaltfläche Hinzufügen/Import.

Screenshot eines Benutzerinterfaces zur Konfiguration eines VPN-Profils mit einer undeutlich lesbaren Firmenbezeichnung.

2.4 Wählen Sie die Option Profile importieren.

Diagramm einer technischen Benutzeroberfläche, die verschiedene Verbindungstypen darstellt, einschließlich einer LANCODM Verbindung und einer gesicherten VPN-Verbindung über IPsec, mit Optionen zum Importieren von Profilen und Herstellen einer Internetverbindung.

2.5 Geben Sie den Pfad zur Importdatei (*.ini) an.

Screenshot einer Benutzeroberfläche zur Auswahl einer Importdatei für neue Profile, mit unscharfem oder unvollständigem Text, der auf eine technische Einstellung hinweist.

2.6 Klicken Sie im folgenden Dialog auf Weiter.

Screenshot einer technischen Benutzeroberfläche oder eines Konfigurationsmenüs der Marke LANCOM mit teilweise unleserlichen oder undeutlichen Textelementen, die Hinweise auf Importeinstellungen und Profiloperationen enthalten.

2.7 Ein erfolgreicher Profilimport wird mit einer Meldung angezeigt. Klicken Sie auf Fertigstellen, um den Importvorgang zu beenden.

Bildschirmansicht einer technischen Benutzeroberfläche mit unlesbaren Textfragmenten und möglicherweise einem Konfigurationsmenü.

2.8 Klicken Sie auf OK um die Einstellungen zu speichern.

2.9 Die VPN-Client Verbindung kann jetzt mit einem Klick auf den Verbinden-Schalter aufgebaut werden.


3. Einrichtung eines Port- und Protokoll-Forwarding auf einem LANCOM Router (nur Szenario 2):

Für IPSec werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP benötigt. Diese müssen auf die Unified Firewall weitergeleitet werden.

Werden die UDP-Ports 500 und 4500 weitergeleitet, wird das Protokoll ESP automatisch mit weitergeleitet.

Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

Werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP auf die Unified Firewall weitergeleitet, kann eine IPSec-Verbindung auf dem LANCOM Router nur noch verwendet werden, wenn diese in HTTPS gekapselt wird (IPSec-over-HTTPS). Ansonsten kann keine IPSec-Verbindung mehr aufgebaut werden!

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.

Das Bild zeigt eine technische Benutzeroberfläche mit verschiedenen Begriffen und Einstellungen für Netzwerkmanagement, darunter Routing-Protokolle, Maskierung, Port Forwarding und Service-Management auf bestimmten Stationen.

3.2 Hinterlegen Sie folgende Parameter:

  • Anfangs-Port: Hinterlegen Sie den Port 500.
  • End-Port: Hinterlegen Sie den Port 500.
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
  • Protokoll: Wählen Sie im Dropdown-Menü UDP aus.

Screenshot eines technischen Benutzermenüs mit teils unleserlichem Text, möglicherweise enthaltend technische Begriffe oder Bestandteile eines Diagramms.

3.3 Erstellen Sie einen weiteren Eintrag und hinterlegen den UDP-Port 4500.

Screenshot einer Port-Forwarding-Tabelle in einer technischen Benutzeroberfläche, wobei der Text teilweise unleserlich ist.

3.4 Schreiben Sie die Konfiguration in den Router zurück.


 
 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH