Beschreibung:
In der Regel muss für jeden VPN-Einwahl-Zugang ein eigener Benutzer angelegt werden. In größeren Szenarien ist es daher sinnvoll eine IKEv2-Verbindung mit RADIUS-Weiterleitung einzurichten. Es muss dann lediglich ein VPN-Einwahl-Zugang im Router angelegt werden.
In diesem Artikel wird beschrieben wie eine IKEv2 Client-To-Site VPN-Verbindung zwischen einem Endgerät mit dem Advanced VPN Client und einem LANCOM Router eingerichtet werden kann. Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server.



Voraussetzungen:



Szenario:
  • Es soll eine VPN-Client-Einwahl in der Zentrale eingerichtet werden mit dem sich alle mobilen Mitarbeiter verbinden.
  • Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server.
  • Die Zentrale hat den IP-Adressbereich 192.168.0.0/24.



Vorgehensweise:
1. Konfigurationsschritte auf dem Router in der Zentrale:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN → Allgemein.
1.2 Passen Sie folgende Parameter an:
  • Wählen Sie bei Virtual Private Network im Dropdownmenü Aktiviert aus.
  • Setzen Sie den Haken bei NAT-Traversal aktiviert.
  • Setzen Sie den Haken bei IPSec-over-HTTPS annehmen.
1.3 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.
1.4 Tragen Sie in dem Feld Passwort ein Challenge-Passwort ein. Dieses erhält der RADIUS-Server im Access-Request-Attribut als Benutzer-Passwort.

Der RADIUS-Server ordnet das Challenge-Passwort im Normalfall direkt einer VPN-Gegenstelle zu. Bei IKEv2 autorisiert aber nicht der RADIUS-Server die anfragende VPN-Gegenstelle, sondern das VPN-Modul. Nachdem das VPN-Modul die Access-Accept Nachricht vom RADIUS-Server erhalten hat, authentifiziert das VPN-Modul die VPN-Gegenstelle.

1.5 Wechseln Sie bei RADIUS-Authentifizierung in das Menü RADIUS-Server.
1.6 Hinterlegen Sie folgende Parameter:
  • Name: Geben Sie einen aussagekräftigen Namen an.
  • Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
  • Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
1.7 Tragen Sie bei Update-Zyklus den Wert 60 ein, damit alle 60 Sekunden ein Update des Accounting erfolgt.

Der Update-Zyklus muss auf einen Wert ungleich 0 gesetzt werden, da bei hinterlegtem Wert 0 das Update deaktiviert ist!

  • Name: Geben Sie einen aussagekräftigen Namen an.
  • Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
  • Port: Stellen Sie sicher, dass der Port 1813 hinterlegt ist.
1.10 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
1.11 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Lokaler Identitätstyp: Wählen Sie aus dem Dropdown-Menü einen Identitätstyp, etwa Fully Qualied Domain Name (FQDN).
  • Lokale Identität: Vergeben Sie eine zu dem gewählten Identitätstyp passende Lokale Identität.
1.12 Wechseln Sie in das Menü VPN → IKEv2/IPSec → IPv4-Adressen.
1.13 Erstellen Sie sofern noch nicht vorhanden einen neuen Eintrag für den Einwahl-Adressbereich und hinterlegen folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Erste Adresse: Hinterlegen Sie die erste IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
  • Letzte Adresse: Hinterlegen Sie die letzte IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
  • Erster DNS: Hinterlegen Sie die IP-Adresse eines DNS-Servers. Dieser wird den VPN-Clients als erster DNS-Server zugewiesen. Im Regelfall wird die IP-Adresse des Routers verwendet.
1.14 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungsliste.
1.15 Bearbeiten Sie den Eintrag DEFAULT und ändern folgende Parameter:
  • Authentifizierung: Wählen Sie im Dropdown-Menü das in Schritt 1.11 erstellte Authentifizierungs-Objekt aus.
  • IPv4-Regeln: Wählen Sie im Dropdown-Menü das Objekt RAS-WITH-NETWORK-SELECTION aus.
  • IKE-CFG: Wählen Sie im Dropdown-Menü Server aus.
  • IPv4-Adress-Pool: Wählen Sie im Dropdown-Menü das in Schritt 1.13 erstellte Einwahl-Adress-Objekt aus.
  • RADIUS-Auth.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.6 erstellte RADIUS-Objekt aus.
  • RADIUS-Acc.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.9 erstellte Accounting-Objekt aus.

Die Anpassung des Profils DEFAULT hat keine Auswirkungen auf bereits bestehende Einwahl-VPN-Verbindungen.

1.17 Wechseln Sie in das Menü RADIUS-Dienste Ports.
1.18 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.
1.19 Wechseln Sie in das Menü Benutzerkonten.
1.20 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • Name / MAC-Adresse: Vergeben Sie einen aussagekräftigen Namen.
  • Passwort: Hinterlegen Sie das in Schritt 1.4 vergebene Challenge-Passwort.
  • Tunnel-Passwort: Vergeben Sie ein Passwort, mit dem der Einwahl-Benutzer sich am VPN-Modul authentifiziert.
  • Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus.
  • Deaktivieren Sie die Mehrfache Anmeldung.

Optional können Sie in dem Feld Attributwerte dem VPN-Client mit dem Parameter Framed-IP-Address eine feste IP-Adresse zuweisen. Diese muss in der Syntax Framed-IP-Address=<IP-Adresse> angegeben werden (z.B. Framed-IP-Address=192.168.0.33). Die IP-Adresse muss sich innerhalb des in Schritt 1.13 gewählten IPv4-Adress-Pools befinden. Durch die Zuweisung einer festen IP-Adresse ist es möglich, einzelnen Benutzern individuelle Berechtigungen über die Firewall zu erteilen.

1.20 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration des Routers ist damit abgeschlossen.


2. Konfigurationsschritte im Advanced VPN Client:
2.1 Öffnen Sie den Advanced VPN Client und wechseln in das Menü Konfiguration → Profile.
2.2 Klicken Sie auf Hinzufügen/Import, um einen neuen VPN-Zugang zu erstellen.
2.3 Wählen Sie Verbindung zum Firmennetz über IPSec.
2.4 Vergeben Sie einen aussagekräftigen Namen.
2.5 Wählen Sie das Verbindungsmedium aus.

Werden wechselnde Verbindungsmedien verwendet (z.B. LAN und WLAN), verwenden Sie das Verbindungsmedium automatisch.

  • Typ: Wählen Sie im Dropdown-Menü den Identitätstyp Fully Qualified Username (FQUN) aus.
  • ID: Hinterlegen Sie den in Schritt 1.20 vergebenen Namen / MAC-Adresse.
  • Shared Secret: Hinterlegen Sie das in Schritt 1.20 vergebene Tunnel-Passwort.
2.9 Wählen Sie im Dropdown-Menü IKE Config Mode verwenden aus, damit dem VPN-Client die IP-Adresse automatisch durch den Router zugewiesen wird.
2.10 Hinterlegen Sie zwecks Verwendung der Funktion Split-Tunneling das Zielnetz, welches über den VPN-Tunnel erreicht werden soll.

Ohne konfiguriertes Split-Tunneling wird bei aufgebautem VPN-Tunnel aller Datenverkehr über den VPN-Tunnel übertragen, also auch der für das lokale Netzwerk oder das Internet bestimmte Datenverkehr. Dies kann zu Kommunikations-Problemen führen!

2.11 Die Konfigurationsschritte im Advanced VPN Client sind damit abgeschlossen.


3. Informationen zu den verbundenen Clients im Router einsehen (optional):
Zusätzliche Informationen (u.A. zugewiesene IP-Adresse und Verbindungszeit) zu den verbundenen VPN-Clients können Sie über den folgenden Konsolen-Befehl einsehen:
ls Status/TCP-IP/RADIUS-Server/Accounting/Completed-Accounting-Sessions/

Folgende Parameter sind zur weiteren Analyse interessant:

  • User-Name: Benutzername
  • Start-Time: Login-Zeit
  • Stop-Time: Logout-Zeit
  • Session-Time: Verbindungszeit in Sekunden
  • IP-Address: Zugewiesene IP-Adresse

Die Tabelle kann maximal 128 Einträge fassen. Nach Erreichen des Limits wird jeweils der älteste Eintrag überschrieben. Die Tabelle ist nicht bootpersistent und wird durch einen Kaltstart gelöscht.

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH