Beschreibung:
Dieses Dokument erläutert die Einrichtung einer IKEv1 VPN-Verbindung zwischen einem LANCOM-Router und dem Apple iPhone- bzw. iPad-Client.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.

Die Konfiguration einer IKEv2-Verbindung zwischen LANCOM Router und iPhone / iPad ist in diesem Knowledge Base Artikel beschrieben.



Voraussetzungen:


Vorgehensweise:
Die VPN-Konfiguration Routerseitig kann initial mit dem LANconfig Setup-Assistenten durchgeführt werden, zusätzlich werden zum Abschluss noch zwei Parameter manuell angepasst, bzw. hinzugefügt.
1. Konfiguration des LANCOM Routers:
1.1. Starten Sie den Setup-Assistenten in LANconfig.
1.2. Wählen Sie den Punkt Einwahl-Zugang bereitstellen (RAS, VPN).
1.3. Im nächsten Dialog müssen Sie die Option IKEv1 auswählen.
1.4. Wählen Sie hier für die Einwahl auf den Router den VPN-Client mit benutzerdefinierten Parametern aus.
1.5. Hier geben Sie den Namen der VPN Verbindung ein (z.B. VPN_IPHONE).
1.6. Geben Sie einen Preshared Key für die Verbindung ein. Dieser Punkt ist in der iPhone-Konfiguration mit Shared Secret bezeichnet.
1.7. Die Einstellungen des folgenden Dialoges können übernommen werden.
1.8. Hier wählen Sie als Identität-Typ für lokal und entfernt Key-ID (Gruppenname) und geben als lokale und entfernte Identität eine Bezeichnung ein. In diesem Beispiel verwenden wir iphonetest.
1.9. Da der VPN-Client des iPhone kein PFS unterstützt, müssen Sie den Haken bei Das PFS-Verfahren für … entfernen.
1.10. Die folgenden Optionen können ohne Änderungen übernommen werden.


1.11. Hier geben Sie die lokale IP-Adresse vor, die dem iPhone bei der VPN Verbindung zugewiesen werden soll.
1.12. Im folgenden Punkt können Sie, falls gewünscht, den Zugriff für den iPhone VPN Client auf bestimmte Netze einschränken.
1.13. Damit ist die Konfiguration über den Assistenten abgeschlossen und das letzte Fenster kann mit Fertig stellen bestätigt werden.
In den nächsten Schritten müssen für die Einwahl des iPhone noch folgende Punkte in der Konfiguration des LANCOM Routers manuell angepasst werden:
1.14 Öffnen Sie in LANconfig das Menü VPN → IKE/IPSec → Verbindungs-Liste.
1.15. Wählen Sie dort die erstellte Verbindung VPN_IPHONE aus. Konfigurieren Sie den Parameter XAUTH auf den Wert Server und klicken auf OK.
1.16. Nun öffnen Sie Kommunikation → Protokolle → PPP-Liste und klicken auf Hinzufügen.
1.17. Wählen Sie als Gegenstelle die erstellte VPN-Verbindung VPN_IPHONE aus und geben Sie ein Passwort ein.
1.18. Das Feld Benutzername bleibt leer.
1.19. Überprüfen Sie abschließend, ob in der Firewall des LANCOM Routers eine VPN-Regel zur Erzeugung der Netzbeziehungen angelegt ist.
Der von Apple verwendete IPSec-VPN Client stellt für den erfolgreichen Verbindungsaufbau eine Besonderheit dar. Er erwartet für den Aufbau der Netzbeziehungen (SA) genau eine Regel (siehe Abbildung).
Damit ist die Konfiguration des LANCOM Routers abgeschlossen.


2. Konfiguration des Apple iPhone:

2.1 Unter der Einstellung VPN wählen Sie den Punkt IPSec aus und klicken auf VPN-Konfiguration hinzufügen.

      • Vergeben Sie nun eine eindeutige Beschreibung, hier im Beispiel LANCOM.
      • Als Server geben Sie bitte die WAN IP-Adresse oder Domäne an, hier vpn.lancom.de. Unter dieser Adresse muss der LANCOM Router im WAN erreichbar sein.
      • Bei den Punkten Account und Kennwort tragen Sie bitte den im LANCOM definierten VPN Verbindungsnamen und das Passwort ein. Diese beiden haben Sie zuvor in der PPP-Liste eingetragen. In unserem Beispiel ist dies der Account VPN_IPHONE. Das Passwort wird verdeckt dargestellt.
2.2 Als nächsten Schritt tragen Sie bitte den Gruppennamen ein, welchen Sie im LANCOM Router als lokale und entfernte Identität eingetragen haben, hier iphonetest.
2.3 Als letzten Punkt der Konfiguration tragen Sie nun noch das Shared Secret ein, welches Sie im LANCOM als Preshared Key vorgegeben haben.
2.4 Speichern Sie die Konfiguration mit Sichern ab.