Beschreibung:
Dieses Dokument beschreibt, wie Sie eine VPN Site-to-Site Verbindung zwischen zwei LANCOM Routern manuell, also ohne Verwendung des Setup-Assistenten, einrichten können. Die VPN-Verbindung soll im Main Mode aufgebaut werden.
Bei Main Mode-Verbindungen wird auf jeder Seite jeweils eine öffentliche IP-Adresse zur Authentifizierung benötigt. Ein DynDNS-Eintrag kann statt einer festen öffentliche IP-Adresse verwendet werden.

IKEv1  wird seit 2019 durch die  IETF  (Internet  Engineering  Task  Force) als  veraltet  (deprecated) und  unsicher  bezeichnet und sollte daher  nicht mehr verwendet  werden.  LANCOM Systems empfiehlt  stattdessen den aktuellen Standard  IKEv2 zu verwenden.  

Die  IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten  und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden.  LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die  Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.

Die manuelle Konfiguration einer IKEv2-Verbindung zwischen zwei LANCOM Routern ist in diesem Knowledge Base Artikel beschrieben.


Voraussetzungen:


Szenario:
  • Ein Unternehmen möchte die lokalen Netzwerke in der Zentrale und einer Filiale über eine Site-to-Site VPN-Verbindung miteinander koppeln.
  • Beide Standorte verfügen über einen LANCOM Router als Gateway und eine Internetverbindung mit einer festen öffentlichen IP-Adresse. Die öffentliche IP-Adresse der Zentrale lautet 80.80.80.80, die der Filiale 81.81.81.81.
  • Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24, in der Filiale wid der lokale IP-Adressbereich 192.168.2.0/24 verwendet.

Vorgehensweise:
1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN → IKE/IPSec.
1.2 Klicken Sie auf die Schaltfläche IKE-Proposal-Listen.
1.3 Legen Sie eine neue IKE-Proposal-Liste an. Tragen Sie als Bezeichnung FILIALE ein und füllen Sie die Proposal-Liste mit den IKE-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IKE-Proposals eintragen.

Aus der Liste der hier eingetragenen Proposals wird das erste IKE-Proposal, welches auf beiden Seiten der VPN-Verbindung übereinstimmt, zum Aufbau der IKE-Phase 1 verwendet.

1.4 Klicken Sie auf die Schaltfläche IPSec-Proposal-Listen.
1.5 Legen Sie eine neue IPSec-Proposal-Liste an. Tragen Sie als Bezeichnung FILIALE ein und füllen Sie die Proposal-Liste mit den IPSec-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IPSec-Proposals eintragen.

Aus der Liste der hier eingetragenen Proposals wird das erste IPSec-Proposal, welches auf beiden Seiten der VPN-Verbindung übereinstimmt, zum Aufbau der IPSec-Phase 2 verwendet.

1.6 Klicken Sie auf die Schaltfläche IKE Schlüssel & Identitäten.
1.7 Legen Sie einen neuen Eintrag an. Tragen Sie als Bezeichnung FILIALE ein und vergeben Sie im Feld Preshared Key ein ausreichend sicheres Passwort. Bei den Optionen Lokaler & Entfernter Identität-Typ muss jeweils der Wert Keine Identität eingestellt werden.
Mit der Schaltfläche Passwort erzeugen können Sie eine Passwortstärke auswählen und dann ein der Stärke entsprechendes Passwort automatisch erzeugen lassen. Wir empfehlen, hier die Einstellung Maximal zu wählen.
Bei der Auswahl Benutzerdefiniert können Sie im Bereich Einstellungen das automatisch erzeugte Passwort beeinflussen, aus Sicherheitsgründen sollten Sie jedoch die Standardeinstellungen nicht verändern .

1.8 Wechseln Sie in das Menü VPN → Allgemein.
  • Aktivieren Sie die VPN-Funktion des LANCOM Routers.
  • Stellen Sie die Option Aufbau Netzbeziehungen (SAs) auf den Wert Gemeinsam für KeepAlive.
1.9 Klicken Sie dann auf die Schaltfläche Verbindungs-Parameter.
1.10 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung FILIALE ein und wählen Sie in den Feldern IKE-Proposals, IKE-Schlüssel und IPSec-Proposals jeweils den Eintrag FILIALE aus.
Als PFS- und IKE-Gruppe wird in diesem Beispiel jeweils die Standard-Gruppe 2 (MODP-1024) übernommen. Sie können diese aber auch Ihren Wünschen entsprechend ändern. Achten Sie jedoch darauf, dass auf beiden Seiten der VPN-Verbindung die gleichen PFS- und IKE-Gruppen verwendet werden.
1.11 Klicken Sie auf die Schaltfläche Verbindungs-Liste.
1.12 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung FILIALE ein und vergeben Sie in folgenden Feldern die folgenden Werte:
  • Der LANCOM Router in der Zentrale soll die VPN-Verbindung annehmen, daher muss hier der Wert für die Haltezeit auf 0 Sekunden eingestellt werden.
  • Die Dead Peer Detection dient der VPN-Verbindungsüberwachung. Tragen Sie hier z.B. den Wert 60 Sekunden ein. Weitere Informationen zur Dead Peer Detection erhalten Sie in diesem folgendem Knowledgebase Artikel.
  • Im Feld Entferntes Gateway müssen Sie die öffentliche IP-Adresse oder den DynDNS-Namen des LANCOM Routers in der Filiale eintragen. In diesem Beispiel ist das die 81.81.81.81.
  • Als Verbindungs-Parameter muss der Eintrag FILIALE ausgewählt werden.
  • Die Regelerzeugung wird in diesem Beispiel Automatisch durchgeführt.
    • Der LANCOM Router erstellt bei dieser Methode die Netzbeziehungen zwischen den unter IPv4 → Allgemein → IP-Netzwerke als Netzwerktyp INTRANET definierten IP-Netzen und den IP-Netzen welche laut IP-Router → Routing → IPv4-Routing-Tabelle hinter der zugehörigen VPN Gegenstelle zu finden sind.
  • Als IKE-Exchange Mode muss die Option Main Mode aktiviert sein.

1.13 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle .

1.14 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie als IP-Adresse die Adresse des lokalen Netzwerkes in der Filiale ein. In diesem Beispiel ist dies die 192.168.2.0.
  • Als Netzmaske muss der Wert 255.255.255.0 eingetragen werden, da das lokale Netzwerk der Filiale ein Class C Netzwerk ist.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: FILIALE) eingestellt werden.
1.15 Schreiben Sie die Konfiguration in den LANCOM Router zurück.


2. Manuelle Konfigurationsschritte auf dem LANCOM Router der Filiale:
2.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Filiale und wechseln Sie in das Menü VPN → IKE/IPSec.
2.2 Klicken Sie auf die Schaltfläche IKE-Proposal-Listen.
2.3 Legen Sie eine neue IKE-Proposal-Liste an. Tragen Sie als Bezeichnung ZENTRALE ein und füllen Sie die Proposal-Liste mit den IKE-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IKE-Proposals eintragen.

Stellen Sie sicher, dass in dieser Liste die gleichen IKE-Proposals eingetragen sind, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.3).

2.4 Klicken Sie auf die Schaltfläche IPSec-Proposal-Listen.
2.5 Legen Sie eine neue IPSec-Proposal-Liste an. Tragen Sie als Bezeichnung ZENTRALE ein und füllen Sie die Proposal-Liste mit den IPSec-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IPSec-Proposals eintragen.

Stellen Sie sicher, dass in dieser Liste die gleichen IPSec-Proposals eingetragen sind, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.5).

2.6 Klicken Sie auf die Schaltfläche IKE Schlüssel & Identitäten.
2.7 Legen Sie einen neuen Eintrag an. Tragen Sie als Bezeichnung ZENTRALE ein tragen Sie im Feld Preshared Key das gleiche Passwort ein, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.7).
Bei den Optionen Lokaler & Entfernter Identität-Typ muss jeweils der Wert Keine Identität eingestellt werden.
2.8 Wechseln Sie in das Menü VPN → Allgemein.
  • Aktivieren Sie die VPN-Funktion des LANCOM Routers.
  • Stellen Sie die Option Aufbau Netzbeziehungen (SAs) auf den Wert Gemeinsam für KeepAlive.
2.9 Klicken Sie dann auf die Schaltfläche Verbindungs-Parameter.
2.10 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung ZENTRALE ein und wählen Sie in den Feldern IKE-Proposals, IKE-Schlüssel und IPSec-Proposals jeweils den Eintrag ZENTRALE aus.
Als PFS- und IKE-Gruppe wird in diesem Beispiel jeweils die Standard-Gruppe 2 (MODP-1024) übernommen. Sie können diese aber auch Ihren Wünschen entsprechend ändern. Achten Sie jedoch darauf, dass auf beiden Seiten der VPN-Verbindung die gleichen PFS- und IKE-Gruppen verwendet werden.
2.11 Klicken Sie auf die Schaltfläche Verbindungs-Liste.
2.12 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung ZENTRALE ein und vergeben Sie in folgenden Feldern die folgenden Werte:
  • Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Zentrale aktiv aufbauen, daher muss hier der Wert für die Haltezeit auf 9.999 Sekunden eingestellt werden.
  • Die Dead Peer Detection dient der VPN-Verbindungsüberwachung. Tragen Sie hier z.B. den Wert 60 Sekunden ein.
  • Im Feld Entferntes Gateway müssen Sie die öffentliche IP-Adresse oder den DNS-Namen des LANCOM Routers in der ZENTRALE eintragen. In diesem Beispiel ist das die 80.80.80.80.
  • Als Verbindungs-Parameter muss der Eintrag ZENTRALE ausgewählt werden.
  • Die Regelerzeugung wird in diesem Beispiel Automatisch durchgeführt.
    • Der LANCOM Router erstellt bei dieser Methode die Netzbeziehungen zwischen den unter IPv4 → Allgemein → IP-Netzwerke als Netzwerktyp INTRANET definierten IP-Netzen und den IP-Netzen welche laut IP-Router → Routing → IPv4-Routing-Tabelle hinter der zugehörigen VPN Gegenstelle zu finden sind.
  • Als IKE-Exchange Mode muss die Option Main Mode aktiviert sein.
2.13 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
2.14 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie als IP-Adresse die Adresse des lokalen Netzwerkes in der Zentrale ein. In diesem Beispiel ist dies die 192.168.1.0.
  • Als Netzmaske muss der Wert 255.255.255.0 eingetragen werden, da das lokale Netzwerk der Zentrale ein Class C Netzwerk ist.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: ZENTRALE) eingestellt werden.
2.15 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
Nachdem die Konfiguration in den LANCOM Router der Filiale zurückgeschrieben wurde, wird die VPN-Verbindung zwischen beiden LANCOM Routern aufgebaut. Überprüfen können Sie dies, indem Sie z.B. beide LANCOM Router in den LANmonitor laden.

Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein VPN-Status Trace bei der Diagnose helfen. Informationen erhalten Sie in diesem Knowledge Base Artikel.



Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH