Beschreibung: In der Regel muss für jeden VPN-Einwahl-Zugang ein eigener Benutzer angelegt werden. In größeren Szenarien ist es daher sinnvoll eine IKEv2-Verbindung mit RADIUS-Weiterleitung einzurichten. Es muss dann lediglich ein VPN-Einwahl-Zugang im Router angelegt werden. In diesem Artikel wird beschrieben wie eine IKEv2 Client-To-Site VPN-Verbindung zwischen einem Endgerät mit dem Advanced VPN Client und einem LANCOM Router eingerichtet werden kann. Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server. Voraussetzungen:Szenario:- Es soll eine VPN-Client-Einwahl in der Zentrale eingerichtet werden mit dem sich alle mobilen Mitarbeiter verbinden.
- Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server.
- Die Zentrale hat den IP-Adressbereich 192.168.0.0/24.
Vorgehensweise: 1. Konfigurationsschritte auf dem Router in der Zentrale: 1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN → Allgemein. 1.2 Passen Sie folgende Parameter an: - Wählen Sie bei Virtual Private Network im Dropdownmenü Aktiviert aus.
- Setzen Sie den Haken bei NAT-Traversal aktiviert.
- Setzen Sie den Haken bei IPSec-over-HTTPS annehmen.
1.3 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen. 1.4 Tragen Sie in dem Feld Passwort ein Challenge-Passwort ein. Dieses erhält der RADIUS-Server im Access-Request-Attribut als Benutzer-Passwort. 1.5 Wechseln Sie bei RADIUS-Authentifizierung in das Menü RADIUS-Server. 1.6 Hinterlegen Sie folgende Parameter: - Name: Geben Sie einen aussagekräftigen Namen an.
- Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
- Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
1.7 Tragen Sie bei Update-Zyklus den Wert 60 ein, damit alle 60 Sekunden ein Update des Accounting erfolgt. - Name: Geben Sie einen aussagekräftigen Namen an.
- Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
- Port: Stellen Sie sicher, dass der Port 1813 hinterlegt ist.
1.10 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung. 1.11 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter: - Name: Vergeben Sie einen aussagekräftigen Namen.
- Lokaler Identitätstyp: Wählen Sie aus dem Dropdown-Menü einen Identitätstyp, etwa Fully Qualied Domain Name (FQDN).
- Lokale Identität: Vergeben Sie eine zu dem gewählten Identitätstyp passende Lokale Identität.
1.12 Wechseln Sie in das Menü VPN → IKEv2/IPSec → IPv4-Adressen. 1.13 Erstellen Sie sofern noch nicht vorhanden einen neuen Eintrag für den Einwahl-Adressbereich und hinterlegen folgende Parameter: - Name: Vergeben Sie einen aussagekräftigen Namen.
- Erste Adresse: Hinterlegen Sie die erste IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
- Letzte Adresse: Hinterlegen Sie die letzte IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
- Erster DNS: Hinterlegen Sie die IP-Adresse eines DNS-Servers. Dieser wird den VPN-Clients als erster DNS-Server zugewiesen. Im Regelfall wird die IP-Adresse des Routers verwendet.
1.14 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungsliste. 1.15 Bearbeiten Sie den Eintrag DEFAULT und ändern folgende Parameter: - Authentifizierung: Wählen Sie im Dropdown-Menü das in Schritt 1.11 erstellte Authentifizierungs-Objekt aus.
- IPv4-Regeln: Wählen Sie im Dropdown-Menü das Objekt RAS-WITH-NETWORK-SELECTION aus.
- IKE-CFG: Wählen Sie im Dropdown-Menü Server aus.
- IPv4-Adress-Pool: Wählen Sie im Dropdown-Menü das in Schritt 1.13 erstellte Einwahl-Adress-Objekt aus.
- RADIUS-Auth.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.6 erstellte RADIUS-Objekt aus.
- RADIUS-Acc.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.9 erstellte Accounting-Objekt aus.
1.17 Wechseln Sie in das Menü RADIUS-Dienste Ports. 1.18 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist. 1.19 Wechseln Sie in das Menü Benutzerkonten. 1.20 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter: - Name / MAC-Adresse: Vergeben Sie einen aussagekräftigen Namen.
- Passwort: Hinterlegen Sie das in Schritt 1.4 vergebene Challenge-Passwort.
- Tunnel-Passwort: Vergeben Sie ein Passwort, mit dem der Einwahl-Benutzer sich am VPN-Modul authentifiziert.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus.
- Deaktivieren Sie die Mehrfache Anmeldung.
1.20 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration des Routers ist damit abgeschlossen.
2. Konfigurationsschritte im Advanced VPN Client: 2.1 Öffnen Sie den Advanced VPN Client und wechseln in das Menü Konfiguration → Profile. 2.2 Klicken Sie auf Hinzufügen/Import, um einen neuen VPN-Zugang zu erstellen. 2.3 Wählen Sie Verbindung zum Firmennetz über IPSec. 2.4 Vergeben Sie einen aussagekräftigen Namen. 2.5 Wählen Sie das Verbindungsmedium aus. - Typ: Wählen Sie im Dropdown-Menü den Identitätstyp Fully Qualified Username (FQUN) aus.
- ID: Hinterlegen Sie den in Schritt 1.20 vergebenen Namen / MAC-Adresse.
- Shared Secret: Hinterlegen Sie das in Schritt 1.20 vergebene Tunnel-Passwort.
2.9 Wählen Sie im Dropdown-Menü IKE Config Mode verwenden aus, damit dem VPN-Client die IP-Adresse automatisch durch den Router zugewiesen wird. 2.10 Hinterlegen Sie zwecks Verwendung der Funktion Split-Tunneling das Zielnetz, welches über den VPN-Tunnel erreicht werden soll. 2.11 Die Konfigurationsschritte im Advanced VPN Client sind damit abgeschlossen.
3. Informationen zu den verbundenen Clients im Router einsehen (optional): Zusätzliche Informationen (u.A. zugewiesene IP-Adresse und Verbindungszeit) zu den verbundenen VPN-Clients können Sie über den folgenden Konsolen-Befehl einsehen: ls Status/TCP-IP/RADIUS-Server/Accounting/Completed-Accounting-Sessions/ |