Beschreibung:
Dieses Dokument beschreibt, wie per LANCOM Smart Certificate erstellte Zertifikate für eine zertifikatsbasierte IKEv2-VPN-Verbindung zwischen zwei LANCOM Routern verwendet werden können.


Voraussetzungen:
  • LANCOM Central Site Gateway, WLAN Controller oder LANCOM-Router mit aktivierter VPN 25-Option (bei Verwendung der Smart Certificate Funktion)
  • Zertifikate für die beteiligten LANCOM Router. Die Erstellung von Zertifikaten mit LANCOM Smart Certificate ist in diesem Knowledge Base-Artikel beschrieben.


Vorgehensweise:
1. Aktivieren der Zertifizierungsstellen-Funktion im LANCOM-Router der Zentrale:
In diesem Konfigurationsbeispiel soll der LANCOM Router in der Zentrale als CA für die Erstellung der Zertifikate verwendet werden (Smart Certificate Funktion). Wenn Sie Zertifikate einer anderen CA verwenden möchten, müssen Sie die CA des LANCOM Routers nicht verwenden und können diesen Konfigurationsschritt überspringen.
1.1 Öffnen Sie die Konfiguration des LANCOM Routers der Zentrale in LANconfig und wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA).
1.2 Haken Sie die Option Zertifizierungsstelle (CA) aktiviert an. Der LANCOM-Router soll als Haupt-Zertifizierungsstelle (Root-CA) arbeiten.
Info:
Alle anderen Parameter belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Werten. 



2. Hochladen der Zertifikate in die LANCOM Router:
2.1 Führen Sie jeweils einen rechten Mausklick auf den LANCOM Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen.
2.2 Wählen Sie im folgenden Dialog die jeweilige Zertifikatsdatei für den LANCOM Router aus.
2.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen.
2.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen. Klicken Sie dann auf Öffnen, um den Hochladevorgang zu starten.



3. Konfigurieren der zertifikatsbasierten VPN-Verbindung im LANCOM Router der Zentrale:
3.1 Starten Sie den Setup-Assistent in LANconfig und wählen Sie die Option Zwei lokale Netze verbinden (VPN).
3.2 Es soll eine IKEv2-VPN-Verbindung erstellt werden.
3.3 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet.
3.4 Geben Sie eine Namensbezeichnung für den LANCOM Router auf der Gegenseite an.
3.5 In den folgenden zwei Dialogen können Sie beliebige Werte eintragen, da diese später in der Konfiguration des LANCOM Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden (siehe Schritt 3.9ff).


3.6 Der LANCOM Router in der Zentrale soll die VPN-Verbindung annehmen.
3.7 Da der LANCOM Router in der Zentrale die VPN-Verbindung annimmt, muss keine Gateway-Adresse eingetragen werden.
Geben Sie das lokale Netzwerk an, welches auf der Gegenseite erreicht werden soll.
3.8 Klicken Sie auf Fertig stellen, um den Setup-Assistent zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben.
3.9 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
3.10 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Client-Verbindung aus (hier: FILIALE).
  • Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte RSA-Signature und ASN.1 Distinguished Name an.
  • Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router der Zentrale ein.
  • Tragen Sie als entfernte Identität den Namen des Zertifikats vom LANCOM Router der Filiale ein.

Wenn Sie im ASN.1 Distinguished Name den Parameter-Typ /E (für E-Mail-Adresse) verwenden, müssen Sie das "E" gegen "emailAddress" tauschen, damit die spätere Authentifizierung funktioniert (Beispiel: /E=test@lancom.de muss in /emailAddress=test@lancom.de geändert werden).

  • Wählen Sie im Dropdownmenü bei Lokales Zertifikat den verwendeten Zertifikats-Container aus.
3.15 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.


4. Konfigurieren der zertifikatsbasierten VPN-Verbindung im LANCOM Router der Filiale:
4.1 Starten Sie den Setup-Assistent in LANconfig und wählen Sie die Option Zwei lokale Netze verbinden (VPN).
4.2 Es soll eine IKEv2-VPN-Verbindung erstellt werden.
4.3 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet.
4.4 Geben Sie eine Namensbezeichnung für den LANCOM Router auf der Gegenseite an.
4.5 In den folgenden zwei Dialogen können Sie beliebige Werte eintragen, da diese später in der Konfiguration des LANCOM Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden (siehe Schritt 4.9ff).


4.6 Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Zentrale aufbauen
4.7 Da der LANCOM Router in der Filiale die VPN-Verbindung zur Zentrale aufbaut, muss die Gateway-Adresse der Zentrale eingetragen werden.
Geben Sie das lokale Netzwerk an, welches auf der Gegenseite erreicht werden soll.
4.8 Klicken Sie auf Fertig stellen, um den Setup-Assistent zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben.
4.9 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
4.10 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Verbindung aus (hier: ZENTRALE).
  • Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte RSA-Signature und ASN.1 Distinguished Name an.
  • Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router der Filiale ein.
  • Tragen Sie als entfernte Identität den Namen des Zertifikats vom LANCOM Router der Zentrale ein.

Wenn Sie im ASN.1 Distinguished Name den Parameter-Typ /E (für E-Mail-Adresse) verwenden, müssen Sie das "E" gegen "emailAddress" tauschen, damit die spätere Authentifizierung funktioniert (Beispiel: /E=test@lancom.de muss in /emailAddress=test@lancom.de geändert werden).

  • Wählen Sie im Dropdownmenü bei Lokales Zertifikat den verwendeten Zertifikats-Container aus.
4.11 Schreiben Sie die Konfiguration in den LANCOM Router der Filiale zurück.
Die zertifikatsbasierte IKEv2-VPN-Verbindung zur Zentrale wird nach kurzer Zeit aufgebaut.