Beschreibung:
Dieses Dokument erläutert, wie Sie eine VPN-Verbindung zwischen einem LANCOM Router und einer Digitalisierungsbox der Deutschen Telekom konfigurieren können.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.



Voraussetzungen:


1. Konfiguration des LANCOM Routers
1.1 Sarten Sie den Setup-Assistenten und wählen Sie die Option Zwei lokale Netze verbinden (VPN).
1.2 Im nächsten Dialog müssen Sie VPN über eine Internet-Verbindung auswählen.
1.3 IPSec-over-HTTPS wird nicht verwendet.
1.4 Ein ISDN-Anschluss wird in diesem Konfigurationsbeispiel nicht verwendet.
1.5 Beide Seiten haben in diesem Beispiel eine feste öffentliche IP-Adresse oder einen DNS-auflösbaren Namen.
1.6 Tragen Sie eine aussagekräftige Namensbezeichnung ein.
1.7 Der Name der Gegenstelle soll DIGIBOX sein.
1.8 Als Authentifizierungs-Art muss Gemeinsames Passwort (Preshared Key) eingestellt werden.
1.9 Vergeben Sie jeweils ein sicheres Passwort sowie einen sicheren Preshared Key. Aus Sicherheitsgründen sollten unterschiedliche Werte verwendet werden.
1.10 Wählen Sie den optimierten Verbindungsaufbau mit der IKE- und PFS-Gruppe 2 aus.
Info:
Ab der LCOS Version 9.20 können Sie hier nur die IKE- und PFS-Gruppe 14 oder 5 auswählen . Da die Digitalisierungsbox nur die IKE- und PFS-Verfahren 1, 2 und 5 unterstützt , empfehlen wir, an dieser Stelle zunächst die IKE- und PFS-Gruppe 14 auszuwählen und diese dann später in den Verbindungseinstellungen des LANCOM Routers im Menü VPN → IKE/IPSec → Verbindungs-Parameter auf die Gruppe 2 zu ändern.
1.11 Der LANCOM Router soll die Verbindung nicht aktiv aufbauen, daher wird die Option Die Verbindung wird nur aufgebaut, wenn Daten übertragen müssen, sowie eine Haltezeit mit dem Wert 0 eingestellt.
1.12 Geben Sie die Adress-Daten zur Digitalisierungsbox ein.
  • Der öffentliche DNS-Name der Digitalisierungsbox ist in diesem Beispiel digibox.ddns.net.
  • Das lokale Netzwerk der Digitalisierungsbox hat in diesem Beispiel den IP-Adresbereich 192.168.2.0/24, daher muss eine Netzmaske 255.255.255.0 eingetragen werden.
1.13 Die Option Extranet-VPN wird nicht verwendet.
1.14 In diesem Beispiel soll auf das entfernte NetBIOS-Netzwerk zugegriffen werden können.
1.15 Aktivieren Sie im nächsten Dialog das NetBIOS-Modul.
1.16 Tragen Sie den Namen der Arbeitsgruppe ein.
1.17 Klicken Sie auf Fertig stellen, um den Assistenten zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben.



2. Manuelle Konfigurations-Anpassungen im LANCOM Router
2.1 Öffnen Sie die Konfiguration in LANconfig und wechseln Sie in das Menü VPN → IKE/IPSec → Verbindungs-Liste.
2.2 Öffnen Sie den Listeneintrag für die VPN-Verbindung zur Digitalisierungsbox und verändern Sie den Parameter für den IKE-Exchange Modus auf Aggressive Mode.
2.3 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Schlüssel und Identitäten.
2.4 Öffnen Sie den Listeneintrag für die VPN-Verbindung zur Digitalisierungsbox und stellen Sie die Optionen Lokaler Identität-Typ und Entfernter Identität-Typ jeweils auf dem Wert Domänen-Name (FQDN) ein.
In den Feldern für die Lokale- und Entferte-Identität müssen Sie jeweils einen beliebigen Domänen-Namen eingeben. In diesem Beispiel wird der Domänen-Name lancom.test als lokale Identität des LANCOM Routers und digibox.test als entfernte Identität der Digitalisierungsbox verwendet.
2.5 Wechseln Sie in das Menü Kommunikation → Protokolle → PPP-Liste.
2.6 Öffnen Sie den Listeneintrag für die PPP-Verbindung zur Digitalisierungsbox und vergeben Sie in den Feldern Zeit und Wiederholungen jeweils den Wert 0.
2.7 Schließen Sie die Dialoge mit der Schaltfläche OK und schreiben Sie die Konfiguration in den LANCOM Router zurück.
Die Konfiguration des LANCOM Routers ist damit abgeschlossen.


3. Konfiguration der VPN-Verbindung auf der Digitalisierungsbox
3.1 Öffnen Sie die Konfiguration der Digitalisierungsbox und stellen Sie den Ansichtsmodus auf Vollzugriff.
3.2. Wählen Sie im Bereich Assistenten die Option VPN aus und stellen Sie das VPN-Szenario IPSec - LAN-zu-LAN-Verbindung ein. Klicken Sie dann auf Weiter.
3.3 Geben Sie im nächsten Dialog die Verbindungs-Details entsprechend der Konfiguration auf dem LANCOM Router ein:
  • Die lokale Identität der Digitalisierungsbox muss in diesem Beispiel der Domänen Name digibox.test sein (siehe auch Schritt 2.4).
  • Die entfernte Identität de s LANCOM Routers muss in diesem Beispiel der Domänen Name lancom.test sein (siehe auch Schritt 2.4).
  • Vergeben Sie den gleichen Preshared Key, den Sie bei der Konfiguration des LANCOM Routers vergeben haben (siehe Schritt 1.9).
  • Wählen Sie als IP-Version des Tunnelnetzwerks IPv4 aus.
  • Wählen Sie die lokale IP-Adresse der Digitalisierungsbox aus.
  • Die IPsec Peer IPv4-Adresse des LANCOM Routers muss eingetragen werden. In diesem Beispiel ist das der öffentliche DNS-Name lancom.dyn-dns.de.
  • In diesem Beispiel hat das lokale Netzwerk des LANCOM Routers den IP-Adressbereich 10.144.233.0/24.
3.3 Wechseln Sie dann in das Menü VPN → IPSec.
3.4 Wählen Sie die neu erstellte VPN-Verbindung unter IPSec-Peers aus. Diese sollte dann folgendermaßen konfiguriert sein (siehe folgende Abbildung).
3.5 Klicken Sie auf das Bearbeiten-Symbol, um einige Anpassungen vorzunehmen. Wechseln Sie dann in die Ansicht Erweiterte Einstellungen.
3.6 In den nächsten Schritten, müssen die Parameter im Phase 1- und Phase 2-Profil angepasst werden.
3.7 Öffnen Sie zunächst die Einstellungen für das Phase 1 Profil, indem Sie auf das Bearbeiten Symbol klicken.
3.8 Stellen Sie die Proposals so ein, wie es in der folgenden Abbidung dargestellt ist. Als DH-Gruppe muss die Gruppe 2 ausgewählt werden. Der IKE-Exchange Modus muss auf Aggressiv eingestellt werden.
Stellen Sie sicher, dass bei der lokalen ID der Typ FQDN sowie der richtige ID-Wert (in diesem Beispiel digibox.test) eingestellt ist.
3.9 Öffnen Sie die Einstellungen für das Phase 2 Profil indem Sie auf das Bearbeiten Symbol klicken.
3.10 Stellen Sie die Proposals so ein, wie es in der folgenden Abbildung dargestellt ist. Als DH-Gruppe muss die Gruppe 2 ausgewählt werden.

3.11 Speichern Sie die Einstellungen und schreiben Sie die Konfiguration in die Digitalisierungsbox zurück.
Die VPN-Verbindung zum LANCOM Router wird anschließend aufgebaut.
Info:
Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein VPN-Status Trace bei der Diagnose helfen. Informationen erhalten Sie in diesem Knowledge Base-Artikel.
Bei Fragen zur Konfiguration der Digitalisierungsbox wenden Sie sich bitte an den Kundendienst der Deutschen Telekom.