Beschreibung:
Dieses Dokument beschreibt, wie Sie eine VPN Site-to-Site Verbindung zwischen zwei LANCOM Routern manuell, also ohne Verwendung des Setup-Assistenten, einrichten können. Die VPN-Verbindung soll im Main Mode unter Verwendung von Dynamic VPN aufgebaut werden.
Bei Main Mode-Verbindungen wird auf jeder Seite jeweils eine öffentliche IP-Adresse zur Authentifizierung benötigt.

Wenn eine öffentliche IP-Adresse nur auf einer Seite zur Verfügung steht, kann die VPN-Verbindung entweder im Aggressive Mode aufgebaut werden oder, wie in diesem Dokument beschrieben, im Main Mode unter Verwendung von Dynamic VPN. Diese Methode sollte dem Verbindungsaufbau per Aggressive Mode vorgezogen werden.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.




Voraussetzungen:


Szenario:
  • Ein Unternehmen möchte die lokalen Netzwerke in der Zentrale und einer Filiale über eine Site-to-Site VPN-Verbindung miteinander koppeln.
  • Beide Standorte verfügen über einen LANCOM Router als Gateway und eine Internetverbindung. Die feste öffentliche IP-Adresse der Zentralelautet 80.80.80.80. Die öffentliche IP-Adresse der Filiale wird dynamisch vergeben und ändert sich täglich nach der Zwangstrennung durch den Provider. Da die Zentrale über eine feste öffentliche IP-Adresse verfügt, wird die VPN-Verbindung von der Filiale zur Zentrale aufgebaut.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24, in der Filiale wid der lokale IP-Adressbereich 192.168.2.0/24 verwendet.



Vorgehensweise:
1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN → IKE/IPSec.
1.2 Klicken Sie auf die Schaltfläche IKE-Proposal-Listen.
1.3 Legen Sie eine neue IKE-Proposal-Liste an. Tragen Sie als Bezeichnung FILIALE ein und füllen Sie die Proposal-Liste mit den IKE-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IKE-Proposals eintragen.
Info:
  • Aus der Liste der hier eingetragenen Proposals wird das erste IKE-Proposal, welches auf beiden Seiten der VPN-Verbindung übereinstimmt, zum Aufbau der IKE-Phase 1 verwendet.
1.4 Klicken Sie auf die Schaltfläche IPSec-Proposal-Listen.
1.5 Legen Sie eine neue IPSec-Proposal-Liste an. Tragen Sie als Bezeichnung FILIALE ein und füllen Sie die Proposal-Liste mit den IPSec-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IPSec-Proposals eintragen.
Info:
  • Aus der Liste der hier eingetragenen Proposals wird das erste IPSec-Proposal, welches auf beiden Seiten der VPN-Verbindung übereinstimmt, zum Aufbau der IPSec-Phase 2 verwendet.
1.6 Klicken Sie auf die Schaltfläche IKE Schlüssel & Identitäten.
1.7 Legen Sie einen neuen Eintrag an. Tragen Sie als Bezeichnung FILIALE ein und vergeben Sie im Feld Preshared Key ein ausreichend sicheres Passwort. Bei den Optionen Lokaler & Entfernter Identität-Typ muss jeweils der Wert Keine Identität eingestellt werden.
Mit der Schaltfläche Passwort erzeugen können Sie eine Passwortstärke auswählen und dann ein der Stärke entsprechendes Passwort automatisch erzeugen lassen. Wir empfehlen, hier die Einstellung Maximal zu wählen.
Bei der Auswahl Benutzerdefiniert können Sie im Bereich Einstellungen das automatisch erzeugte Passwort beeinflussen, aus Sicherheitsgründen sollten Sie jedoch die Standardeinstellungen nicht verändern.
1.8 Wechseln Sie in das Menü VPN → Allgemein.
  • Aktivieren Sie die VPN-Funktion des LANCOM Routers.
  • Stellen Sie die Option Aufbau Netzbeziehungen (SAs) auf den Wert Gemeinsam für KeepAlive.
1.9 Klicken Sie dann auf die Schaltfläche Verbindungs-Parameter.
1.10 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung FILIALE ein und wählen Sie in den Feldern IKE-Proposals, IKE-Schlüssel und IPSec-Proposals jeweils den Eintrag FILIALE aus.
Als PFS- und IKE-Gruppe wird in diesem Beispiel jeweils die Standard-Gruppe 2 (MODP-1024) übernommen. Sie können diese aber auch Ihren Wünschen entsprechend ändern. Achten Sie jedoch darauf, dass auf beiden Seiten der VPN-Verbindung die gleichen PFS- und IKE-Gruppen verwendet werden.
1.11 Klicken Sie auf die Schaltfläche Verbindungs-Liste.
1.12 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung FILIALE ein und vergeben Sie in folgenden Feldern die folgenden Werte:
  • Der LANCOM Router in der Zentrale soll die VPN-Verbindung annehmen, daher muss hier der Wert für die Haltezeit auf 0 Sekunden eingestellt werden.
  • Die Dead Peer Detection dient der VPN-Verbindungsüberwachung. Tragen Sie hier z.B. den Wert 60 Sekunden ein. Weitere Informationen zur Dead Peer Detection erhalten Sie in diesem Knowledge Base-Artikel.
  • Im Feld Entferntes Gateway muss nichts eingetragen werden.
  • Als Verbindungs-Parameter muss der Eintrag FILIALE ausgewählt werden.
  • Die Regelerzeugung wird in diesem Beispiel Automatisch durchgeführt.
    Der LANCOM Router erstellt bei dieser Methode die Netzbeziehungen zwischen den unter IPv4 → Allgemein → IP-Netzwerke als Netzwerktyp INTRANET definierten IP-Netzen und den IP-Netzen welche laut IP-Router → Routing → IPv4-Routing-Tabelle hinter der zugehörigen VPN Gegenstelle zu finden sind.
  • Als IKE-Exchange Mode muss die Option Main Mode aktiviert sein.
1.13 Wechseln Sie in das Menü Kommunikation → Protokolle → PPP-Liste.
Das Übermitteln der IP-Adresse erfolgt im dynamischen VPN über PPP. Daher ist es notwendig, in der PPP-Liste Daten zur Authentifizierung zu hinterlegen.
1.14 Erstellen Sie einen neuen PPP-Eintrag.
  • Wählen Sie als Gegenstelle die VPN-Verbindung FILIALE aus.
  • Als Benutzername müssen Sie den Namen eintragen, welchen Sie auf dem LANCOM Router in der Filiale für die VPN-Verbindung zur Zentrale verwenden (siehe Schritt 2.12). In diesem Beispiel ist das der Name ZENTRALE.
  • Im Feld Passwort müssen Sie ein ausreichend sicheres Passwort eintragen. Dieses Passwort benötigen Sie erneut bei der Erstellung des PPP-Eintrags auf dem LANCOM Router in der Filiale (siehe Schritt 2.14).
1.15 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
1.16 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie als IP-Adresse die Adresse des lokalen Netzwerkes in der Filiale ein. In diesem Beispiel ist dies die 192.168.2.0.
  • Als Netzmaske muss der Wert 255.255.255.0 eingetragen werden, da das lokale Netzwerk der Filiale ein Class C Netzwerk ist.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: FILIALE) eingestellt werden.
1.17 Schreiben Sie die Konfiguration in den LANCOM Router zurück.


2. Manuelle Konfigurationsschritte auf dem LANCOM Router der Filiale:
2.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Filiale und wechseln Sie in das Menü VPN → IKE/IPSec.
2.2 Klicken Sie auf die Schaltfläche IKE-Proposal-Listen.
2.3 Legen Sie eine neue IKE-Proposal-Liste an. Tragen Sie als Bezeichnung ZENTRALE ein und füllen Sie die Proposal-Liste mit den IKE-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IKE-Proposals eintragen.
Info:
  • Stellen Sie sicher, dass in dieser Liste die gleichen IKE-Proposals eingetragen sind, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.3).
2.4 Klicken Sie auf die Schaltfläche IPSec-Proposal-Listen.
2.5 Legen Sie eine neue IPSec-Proposal-Liste an. Tragen Sie als Bezeichnung ZENTRALE ein und füllen Sie die Proposal-Liste mit den IPSec-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IPSec-Proposals eintragen.
Info:
  • Stellen Sie sicher, dass in dieser Liste die gleichen IPSec-Proposals eingetragen sind, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.5).
2.6 Klicken Sie auf die Schaltfläche IKE Schlüssel & Identitäten.
2.7 Legen Sie einen neuen Eintrag an. Tragen Sie als Bezeichnung ZENTRALE ein tragen Sie im Feld Preshared Key das gleiche Passwort ein, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.7).
Bei den Optionen Lokaler & Entfernter Identität-Typ muss jeweils der Wert Keine Identität eingestellt werden.
2.8 Wechseln Sie in das Menü VPN -> Allgemein.
  • Aktivieren Sie die VPN-Funktion des LANCOM Routers.
  • Stellen Sie die Option Aufbau Netzbeziehungen (SAs) auf den Wert Gemeinsam für KeepAlive.
2.9 Klicken Sie dann auf die Schaltfläche Verbindungs-Parameter.
2.10 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung ZENTRALE ein und wählen Sie in den Feldern IKE-Proposals, IKE-Schlüssel und IPSec-Proposals jeweils den Eintrag ZENTRALE aus.
Als PFS- und IKE-Gruppe wird in diesem Beispiel jeweils die Standard-Gruppe 2 (MODP-1024) übernommen. Sie können diese aber auch Ihren Wünschen entsprechend ändern. Achten Sie jedoch darauf, dass auf beiden Seiten der VPN-Verbindung die gleichen PFS- und IKE-Gruppen verwendet werden.
2.11 Klicken Sie auf die Schaltfläche Verbindungs-Liste.
2.12 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung ZENTRALE ein und vergeben Sie in folgenden Feldern die folgenden Werte:
  • Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Zentrale aktiv aufbauen, daher muss hier der Wert für die Haltezeit auf 9.999 Sekunden eingestellt werden.
  • Die Dead Peer Detection dient der VPN-Verbindungsüberwachung. Tragen Sie hier z.B. den Wert 60 Sekunden ein.
  • Im Feld Entferntes Gateway müssen Sie die öffentliche IP-Adresse des LANCOM Routers in der Filiale eintragen. In diesem Beispiel ist das die 80.80.80.80.
  • Als Verbindungs-Parameter muss der Eintrag ZENTRALE ausgewählt werden.
  • Die Regelerzeugung wird in diesem Beispiel Automatisch durchgeführt.
    Der LANCOM Router erstellt bei dieser Methode die Netzbeziehungen zwischen den unter IPv4 → Allgemein → IP-Netzwerke als Netzwerktyp INTRANET definierten IP-Netzen und den IP-Netzen welche laut IP-Router → Routing → IPv4-Routing-Tabelle hinter der zugehörigen VPN Gegenstelle zu finden sind.
  • Im Bereich Dynamische VPN-Verbindung müssen Sie angeben, auf welche Art die aktuelle öffentliche IP-Adresse der Zentrale an den LANCOM Router der Zentrale übermittelt werden soll. In diesem Beispiel soll ein UDP-Paket an die Zentrale gesendet werden, welches die IP-Adresse der Filiale übermittelt.
2.13 Wechseln Sie in das Menü Kommunikation → Protokolle → PPP-Liste.
Das Übermitteln der IP-Adresse erfolgt im dynamischen VPN über PPP. Daher ist es notwendig, in der PPP-Liste Daten zur Authentifizierung zu hinterlegen.
2.14 Erstellen Sie einen neuen PPP-Eintrag.
  • Wählen Sie als Gegenstelle die VPN-Verbindung ZENTRALE aus.
  • Als Benutzername müssen Sie den Namen eintragen, welchen Sie auf dem Router in der Zentrale für die VPN-Verbindung zur Filiale verwenden (siehe Schritt 1.12). In diesem Beispiel ist das der Name FILIALE.

Im Feld Passwort müssen Sie das gleiche Passwort eintragen, welches Sie bei der Erstellung des PPP-Eintrags auf dem LANCOM Router in der Zentrale verwendet haben (siehe Schritt 1.14).

2.15 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
2.16 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie als IP-Adresse die Adresse des lokalen Netzwerkes in der Zentrale ein. In diesem Beispiel ist dies die 192.168.1.0.
  • Als Netzmaske muss der Wert 255.255.255.0 eingetragen werden, da das lokale Netzwerk der Zenrale ein Class C Netzwerk ist.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: ZENTRALE) eingestellt werden.
2.17 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
Nachdem die Konfiguration in den LANCOM Router der Filiale zurückgeschrieben wurde, wird die VPN-Verbindung zwischen beiden LANCOM Routern aufgebaut. Überprüfen können Sie dies, indem Sie z.B. beide LANCOM Router in den LANmonitor laden.

Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein VPN-Status Trace bei der Diagnose helfen. Informationen erhalten Sie in diesem Knowledge Base Artikel.

Eine mögliche Fehlerquelle wäre zudem ein Problem bei der PPP-Authentifizierung. Ein PPP-Trace hilft hier bei der Fehlerdiagnose.