Skip to end of metadata
Go to start of metadata


Beschreibung:
Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem Watchguard Mobile User VPN Client und einem LANCOM VPN Router.
Zur Authentifizierung wird hier das Preshared Key Verfahren mit Aggressive Mode eingesetzt.


Voraussetzung:
Sie benötigen ein VPN-fähiges LANCOM-Gerät. Eine Übersicht der VPN-fähigen LANCOM-Komponenten erhalten Sie auf unserer Homepage:

Für die Client Seite benötigen Sie die Software Watchguard Mobile User VPN. Bitte beachten Sie, dass dieser kostenpflichtig ist.

Die vorliegende Dokumentation beruht auf dem aktuellen LANCOM LC.OS-Betriebssystem und dem Watchguard Mobile User VPN Client Version 7.3

Vorgehensweise:
Die VPN-Konfiguration Routerseitig sollte grundsätzlich mit dem LANconfig Setup-Assistenten durchgeführt werden.

Starten Sie das Programm LANconfig und doppelklicken Sie auf den Router, auf dem Sie die VPN-Konfiguration vornehmen
möchten:

Wählen Sie den Punkt "Einwahl-Zugang bereitstellen (RAS, auch VPN)"









Hier geben Sie den Namen der VPN Verbindung (z.B. WATCHGUARD)



Wählen Sie die Option "Gemeinsames Kennwort (Preshared Key) und Aggressive Mode"
und geben Sie einen Key ein (Der Watchguard Mobile User VPN Client erfordert hier mindestens 8 Zeichen!)



Behalten Sie die Standard-IKE-Parameter bei:



Der Watchguard Mobile User VPN Client fordert zu dem Shared Secret noch eine Identität. Sie können die Identität
in Form einer IP Adresse oder Domain angeben, als lokale und als entfernte Identität. Es ist zu empfehlen diese identisch anzulegen.
Verwenden Sie zur besseren Usability auf Seiten des Watchguard Mobile User VPN Client
bitte die Option Domain-Name. In diesem Beispiel verwenden wir lancom.defür beide Identitäten:



Bei mehreren VPN Verbindungen sollten Sie verschiedene Identitäten je Verbindung verwenden.

Als zusätzliche Sicherheit sollte das PFS Verfahren eingeschaltet werden. Der Watchguard Mobile User VPN unterstützt hier die PFS-Gruppen 1,2,5 und 14.
Wählen Sie aus Kompatiblitätsgründen die Gruppe 2:



Die Verschlüsselung (Proposals) können hier manuell ausgewählt werden.
Blowfish wird hierbei vom Watchguard Mobile User VPN nicht unterstützt. Stellen Sie sicher das AES(128) und 3DES ausgewählt sind.
Eine Authentifizierung ist über MD5 oder SHA möglich, wählen Sie aus Kompatiblitätsgründen beides aus:



Bei dieser Konfiguration sollten Sie nur das ESP Verschlüsselungs-Verfahren verwenden.
Deshalb wählen Sie kein AH Authentifizierungs-Verfahren aus.
Ebenso sollten Sie keine Verschlüsselung auswählen:



Hier legen Sie die virtuelle IP Adresse des Watchguard Mobile User VPN Clients fest:



Diese ist in unserem Beispiel die 10.1.1.99, welche später auch am Client konfiguriert wird.

Konfigurieren Sie nun, welche Netze erreicht werden sollen.
Wählen Sie aus Kompatiblitätsgründen bitte "Alle IP-Adressen für den VPN-Client erlauben" aus.



Die Option NetBIOS über IP-Routing wird vom Watchguard Mobile User VPN nicht unterstützt:







Konfiguration des Watchguard Mobile User VPN Clients:
Nach der Installation des Watchguard Mobile User VPN Clients gehen Sie wie folgt vor:

Wählen Sie im Windows-Startmenü den Menüpunkt "Mobile User VPN"->"Security Policy Editor" aus.

Legen Sie unter "My Connections" eine neue Verbindung an, und geben Sie dieser einen Namen (hier: LANCOM):



- Setzen Sie diese Connection auf "Secure" im rechten Menü.

- Aktivieren Sie unter "Remote Party Identity and Adressing" die Option "Connect using Secure Gateway Tunnel" im unteren Bereich des Menüs.

- Wählen Sie hier im unteren Bereich als ID-Type "Domain Name" aus und geben Sie den Domain Name an, den Sie auf dem LANCOM als dortige "lokale Identität" konfiguriert haben.
In unserem Beispiel ist dies "lancom.de"

- Geben Sie - ebenfalls im unteren Teil der Seite - ein Gateway ein. Dies kann ein DNS-Name oder eine IP-Adresse sein. Tragen Sie hier ein, wie der LANCOM erreicht werden kann
(die öffentliche IP-Adresse oder ein dynamischer DNS-Name)

- Nun wählen Sie im oberen Bereich bitte den ID-Type "IP-Subnet" aus. Tragen Sie als "Subnet" das Zielnetz der Verbindung ein, mit der zugehörigen Subnetzmaske unter "Mask".

- Der Schalter "Protocol" bleibt auf der Einstellung "All"


Wählen Sie nun den Unterpunkt "My Identity":



Wählen Sie unter "My Identity -> Select Certificate" die Option "None" aus.

Nun können Sie über den Button "Preshared Key" den Preshared Key hinterlegen.

Als ID-Type wählen Sie bitte "Domain Name", und tragen den Domain Name ein, welchen Sie auf dem LANCOM-Router als "entfernte Identität" eingetragen haben.

In unserem Beispiel ist dies "lancom.de"

Setzen Sie die Option "Virtual Adapter" auf "Required"
Geben Sie als "Internal Network Adress" die IP-Adresse an, welche Sie auf dem LANCOM für diesen Client konfiguriert haben.

- Die Einstellung "Internet Interface" kann auf der Voreinstellung "Any" belassen werden.


Wählen Sie nun den Unterpunkt "Security Policy":



Wählen Sie als "Phase 1 Negotiation Mode" die Option "Aggressive Mode" aus.

Aktivieren Sie den Punkt "Enable Perfect Forward Secrecy". Belassen Sie die Voreinstellung "Diffie-Hellman-Group 2"


Wählen Sie nun den Unterpunkt "Authentication (Phase 1)" und den weiteren Unterpunkt "Proposal 1":



Sie können die Default-Einstellungen auf dieser Ebene belassen wie vorgegeben (Encr.: TripleDES, Hash: SHA-1).
Wir empfehlen aus Sicherheitsgründen jedoch die Einstellungen wie oben konfiguriert:
Encrypt Alg.: AES-128
Hash Alg.: MD5

"SA Life" und "Key Group" verbleiben unverändert.
Beide Einstellungen arbeiten mit der Konfiguration des LANCOM zusammen.


Wählen Sie nun den Unterpunkt "Key Exchange (Phase 2) und dort den weiteren Unterpunkt "Proposal 1":



Auch hier können Sie die Default-Einstellungen auf dieser Ebene belassen wie vorgegeben (Encr.: TripleDES, Hash: SHA-1).
Wir empfehlen aus Sicherheitsgründen jedoch die Einstellungen wie oben konfiguriert:
Encrypt Alg.: AES-128
Hash Alg.: MD5

"Encapsulation" bleibt unverändert auf "Tunnel", "AH" bleibt deaktiviert.

Beide Einstellungen arbeiten mit der Konfiguration des LANCOM zusammen.

Nun ist Ihr Watchguard Mobile User VPN Client vollständig konfiguriert.
Die Verbindung wird automatisch initiiert, wenn Datenpakete für das Zielnetz anliegen.