Beschreibung:
In diesem Dokument ist beschrieben, wie eine zertifikatsbasierte IKEv2-Verbindung (Site-to-Site) zwischen einem LANCOM Router und einer LANCOM R&S®Unified Firewall eingerichtet werden kann.
In LCOS FX 10.7 wurde das Zertifikatsmodul erneuert, sodass die entsprechenden Menüs von älteren LCOS FX Versionen abweichen. Die Konfiguration einer zertifikatsbasierten IKEv2-Verbindung zwischen einem LANCOM Router und einer Unified Firewall ab LCOS FX 10.7 ist in dem folgenden Artikel beschrieben:
Voraussetzungen:
- LANCOM R&S®Unified Firewall ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6
- LANCOM VPN-Router
- LCOS ab Version 10.20 (download aktuelle Version)
- LANtools ab Version 10.20 (download aktuelle Version)
- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
- Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Szenario:
1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:
- Ein Unternehmen möchte seine Filiale, in welcher ein LANCOM Router als Internet-Gateway verwendet wird, per IKEv2 Site-To-Site Verbindung mit der Firmenzentrale verbinden.
- Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
- Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Firmenzentrale aufbauen.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.66.0/24.
- Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.50.0/23.
- Die VPN-Verbindung soll über Zertifikate authentifiziert werden. Es wird die CA der Unified Firewall verwendet.
2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:
- Ein Unternehmen möchte seine Filiale, in welcher ein LANCOM Router als Internet-Gateway verwendet wird, per IKEv2 Site-To-Site Verbindung mit der Firmenzentrale verbinden.
- Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router die feste öffentliche IP-Adresse 81.81.81.81.
- Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Firmenzentrale aufbauen.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.66.0/24.
- Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.50.0/23.
- Die VPN-Verbindung soll über Zertifikate authentifiziert werden. Es wird die CA der Unified Firewall verwendet.
Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Port- und Protokollforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 5).
1. Erstellen der CA und der VPN-Zertifikate auf der Unified Firewall:
1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall, wechseln Sie in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Symbol", um einen neuen Eintrag zu erstellen.
1.2 Zunächst muss eine Zertifizierungsstelle (CA) für VPN-Verbindungen erstellt werden.
- Wählen Sie im Drop-Down Menü "Zertifikatstyp" des oben links eingeblendeten Fensters die Option „CA für VPN/Webserver-Zertifikate“ aus.
- Wählen Sie im Feld "Private-Key-Größe" den Wert 4096 Bi t aus.
- Tragen Sie einen beliebigen Common Name ein.
- Stellen Sie einen Gültigkeitszeitraum ein.
- Vergeben Sie ein beliebiges Private-Key-Passwort.
1.3 Klicken Sie dann auf die Schaltfläche Erstellen.
1.4 Klicken auf das "Plus-Symbol", um ein Zertifikat für den LANCOM Router in der Filiale zu erstellen:
- Wählen Sie im Drop-Down Menü "Zertifikatstyp" des oben links eingeblendeten Fensters die Option „VPN-Zertifikat“ aus.
- Wählen Sie als "Signierende CA" die VPN-CA aus Schritt 1.2 aus.
- Wählen Sie im Feld "Private-Key-Größe" den Wert 4096 Bi t aus.
- Tragen Sie einen beliebigen Common Name ein.
- Stellen Sie einen Gültigkeitszeitraum ein.
- Tragen Sie in den Feldern CA-Passwort das Passwort ein, welches Sie im Schritt 1.2 vergeben haben.
- Vergeben Sie ein beliebiges Private-Key-Passwort.
1.5 Klicken Die dann auf die Schaltfläche Erstellen.
1.6 Klicken auf das "Plus-Symbol", um ein VPN-Zertifikat für die Unified Firewall in der Zentrale zu erstellen:
- Wählen Sie im Drop-Down Menü "Zertifikatstyp" des oben links eingeblendeten Fensters die Option „VPN-Zertifikat“ aus.
- Wählen Sie als "Signierende CA" die VPN-CA aus Schritt 1.2 aus.
- Wählen Sie im Feld "Private-Key-Größe" den Wert 4096 Bi t aus.
- Tragen Sie einen beliebigen Common Name aus.
- Stellen Sie einen Gültigkeitszeitraum ein.
- Tragen Sie in den Feldern CA-Passwort das Passwort ein, welches Sie im Schritt 1.2 vergeben haben.
- Vergeben Sie ein beliebiges Private-Key-Passwort.
1.7 Klicken Die dann auf die Schaltfläche Erstellen.
2. Erstellen der VPN-Verbindung auf der Unified Firewall:
2.1 Wechseln Sie in das Menü VPN → IPSec → IPSec-Einstellungen.
2.2 Aktivieren Sie IPSec.
2.3 Wechseln Sie auf VPN → IPSec → IPSec-Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.
2.4 Hinterlegen Sie folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Name n.
- Sicherheits-Profil: Wählen Sie das Profil LANCOM LCOS Default IKEv2 aus.
- Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welches für die Internet-Verbindung verwendet wird.
- Remote Gateway: Tragen Sie die öffentliche IP- oder DNS-Adresse des LANCOM Routers in der Filiale ein.
Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese hier ebenfalls verwenden.
2.5 Wechseln Sie in den Reiter Tunnel und hinterlegen folgende Parameter:
- Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Gegenstelle erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich 192.168.66.0/24.
- Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Firewall erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich 192.168.50.0/23.
2.6 Wechseln Sie in den Reiter Authentifizierung und hinterlegen folgende Parameter:
- Authentifizierungstyp: Wählen Sie hier die Option Zertifikat aus.
- Lokales Zertifikat: Wählen Sie hier das im Schritt 1.6 erstellte VPN-Zertifikat für die Unified Firewall aus.
- Remote-Zertifikat: Wählen Sie hier das im Schritt 1.4 erstellte VPN-Zertifikat für den LANCOM Router aus.
2.7 Klicken Sie auf Erstellen, um die Konfiguration zu speichern.
2.8 Klicken Sie auf das Symbol zum Erstellen eines neuen VPN-Host s.
2.9 Hinterlegen Sie folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- VPN-Verbindungstyp: Wählen Sie den Typ IPSec.
- IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPSec die in Schritt 2.4 -2.7 erstellte VPN-Verbindung aus.
2.10 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches das Objekt (die eingerichtete Site-to-Site Verbindung) zugreifen können soll, damit die Firewall-Objekte geöffnet werden. Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll.
2.11 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.
2.12 Klicken Sie zuletzt in der Firewall auf Aktivieren , damit die Konfigurations-Änderungen umgesetzt werden.
2.13 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.
3. Export des VPN-Zertifikats für den LANCOM Router in der Filiale:
3.1 Wechseln Sie in das Menü Zertifikatsverwaltung → Zertifikate und expandieren Sie das Menü mit der Schaltfläche >> neben dem Filterfeld.
Wählen Sie beim VPN-Zertifikat für den LANCOM Router die Export-Schaltfläche.
3.2 Wählen Sie das PKCS 12-Format und vergeben Sie ein beliebiges Kennwort sowie ein Transport-Kennwort.
3.3 Klicken Sie auf Exportieren und speichern Sie die Zertifikatsdatei auf Ihrem PC ab.
4. Konfigurationsschritte im LANCOM Router:
4.1 Hochladen des VPN-Zertifikats in den LANCOM Router:
4.1.1 Führen Sie einen rechten Mausklick auf den LANCOM Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen.
4.1.2 Wählen Sie im folgenden Dialog die in Schritt 3.3 exportierte VPN-Zertifikatsdatei für den LANCOM Router aus.
4.1.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen. In diesem Beispiel wird der Container "VPN1" verwendet.
4.1.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen (siehe Schritt 3.2).
4.1.5 Klicken Sie dann auf Öffnen, um den Hochladevorgang zu starten.
4.2 Konfigurieren der zertifikatsbasierten VPN-Verbindung im LANCOM Router:
4.2.1 Starten Sie den Setup-Asistenten in LANconfig und wählen Sie die Option Zwei lokale Netze verbinden (VPN).
4.2.2 Wählen Sie die Option IKEv2.
4.2.3 IPsec-over-HTTPS wird in diesem Beipiel nicht verwendet.
4.2.4 Vergeben Sie einen Namen für die neue VPN-Verbindung.
4.2.5 In diesem Dialog können Sie beliebige Werte eintragen, da diese s päter in der Konfiguration des LANCOM Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden (siehe Schritt 4.2.11).
4.2.6 Aktivieren Sie die Option Diese Angaben auch für die entfernte Identität verwenden.
4.2.7 Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Zentrale aufbauen.
4.2.8 Geben Sie die öffentliche IP-Adresse oder die öffentliche DNS-Adresse des LANCOM Routers in der Zentrale ein und geben Sie an, um welchen lokalen IP-Adressbereich es sich auf der Gegenseite handelt.
4.2.9 Schreiben Sie die Konfiguration mit Fertig stellen in den LANCOM Router zurück.
4.2.10 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
4.2.11 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Verbindung aus (hier: ZENTRALE).
- Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte RSA-Signature und ASN.1 Distinguished Name an.
- Tragen Sie als lokale Identität den Namen (CN, Common Name) des Zertifikats vom LANCOM Router (siehe Schritt 1.4) ein.
- Tragen Sie als entfernte Identität den Namen (CN, Common Name) des Zertifikats der Unified Firewall (siehe Schritt 1.6) ein.
- Wählen Sie als Lokales Zertifikat den VPN-Container aus, den Sie in Schritt 4.1.3 verwendet haben.
4.2.12 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
Die zertifikatsbasierte VPN-Verbindung zur Unified Firewall in der Zentrale wird nach kurzer Zeit aufgebaut.
5. Einrichtung eines Port- und Protokoll-Forwarding auf einem LANCOM Router (nur Szenario 2):
Für IPSec werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP benötigt. Diese müssen auf die Unified Firewall weitergeleitet werden.
Werden die UDP-Ports 500 und 4500 weitergeleitet, wird das Protokoll ESP automatisch mit weitergeleitet.
Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.
Werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP auf die Unified Firewall weitergeleitet, kann eine IPSec-Verbindung auf dem LANCOM Router nur noch verwendet werden, wenn diese in HTTPS gekapselt wird (IPSec-over-HTTPS). Ansonsten kann keine IPSec-Verbindung mehr aufgebaut werden!
5.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle .
5.2 Hinterlegen Sie folgende Parameter:
- Anfangs-Port: Hinterlegen Sie den Port 500.
- End-Port: Hinterlegen Sie den Port 500.
- Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
- Protokoll: Wählen Sie im Dropdown-Menü UDP aus.
5.3 Erstellen Sie einen weiteren Eintrag und hinterlegen den UDP-Port 4500.
5.4 Schreiben Sie die Konfiguration in den Router zurück.
