Beschreibung:
Dieses Dokument beschreibt anhand eines Konfigurationsbeispiels, wie Sie ei=
ne CA (Certification Authority) auf einem LANCOM Router aktivieren und wie =
die CA Sie dabei unterst=C3=BCtzt, neue Zertifikate f=C3=BCr eine VPN-Verbi=
ndung zwischen zwei LANCOM Routern zu erstellen und zu nutzen.
Die Zertifikatsverteilung wird dabei =C3=BCber SCEP (Simple Ce=
rtificate Enrollment Protocol) durchgef=C3=BChrt.
Voraussetzungen:
- LCOS ab Version 9.10 (download)
- LANtools ab Version 9.10 (download)
- LANCOM Central Site Gateway, WLAN Controller oder LANCOM Router mit akt=
ivierter VPN 25-Option
Szenario:
- Ein Unternehmen m=C3=B6chte die lokalen Netzwerke in der Zentrale und e=
iner Filiale =C3=BCber eine Site-to-Site VPN-Verbindung miteinander koppeln=
.
- Beide Standorte verf=C3=BCgen =C3=BCber einen LANCOM Router als Gateway=
und eine Internetverbindung. Die =C3=B6ffentliche=
IP-Adresse der Zentrale lautet 80.80.80.=
80, die der Filiale 81.81.81.81.
- Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbere=
ich 192.168.1.0/24, in der Filiale wird d=
er lokale IP-Adressbereich 192.168.2.0/24 verwendet.
- Die Authentifzierung soll =C3=BCber Zertifikate realisiert werden, welc=
he vom LANCOM Router in der Zentrale per SCEP verteilt werden.
Vorgehensweise:
1. Einrichten der Zertifizierungsste=
lle und der SCEP Client-Funktionalit=C3=A4t auf dem LANCOM Router in der Ze=
ntrale:
1.1 =C3=96ffnen Sie die Konfiguration des LANCOM Routers in der Zentrale un=
d wechseln Sie in das Men=C3=BC Zertifikate =E2=86=92 Ze=
rtifizierungsstelle (CA).
1.2 W=C3=A4hlen Sie die Option Zertifizierungsstelle (CA) aktiviert und legen Sie fest, dass der LANCOM Router =
die Haupt-Zertifizierungsstelle (Root CA) ist.
1.3 Wechseln Sie in das Men=C3=BC Zertifikatsbehandlung und vergeben Sie ein Basis-Challenge-Passwort. Dieses w=
ird verwendet, wenn kein eigenes Passwort f=C3=BCr den SCEP-Client konfigur=
iert ist.
1.4 Wechseln Sie in das Men=C3=BC SCEP-Client und akt=
ivieren Sie zun=C3=A4chst die SCEP-Client-Funktionalit=C3=A4t.
1.5 Klicken Sie dann auf die Schaltfl=C3=A4che CA-Tabelle.
1.5 F=C3=BCgen Sie einen neuen Eintrag mit folgenden =
Parametern hinzu:
- Name: Der Name kann frei gew=C3=A4hlt werden und dient=
zur Identifizierung auf diesem Ger=C3=A4t.
- URL: Die URL ist nach folgendem Schema aufgebaut: https://<IP-Adresse>/cgi-bin/pkiclient.exe.
- Ersetzen Sie die <IP-Adresse> mit der IPv4-=
Adresse unter der die CA aus dem WAN erreichbar ist. Da sich die CA in=
diesem Beispiel auf dem LANCOM Router befindet, der zugleich Endpunkt f=C3=
=BCr die VPN-Verbindung ist, wird als URL https://127.0.0.1/cgi-bin/pkiclient.exe eingtrage=
n.
- Als Distinguished Name m=C3=BCssen Sie den Nam=
en der CA eintragen. In diesem Beispiel ist das der Standard-Name<=
br>/CN=3DLANCOM CA/O=3DLANCOM SYSTEMS/C=3DDE
1.6 Klicken Sie dann au=
f die Schaltfl=C3=A4che Zertifikat-Tabelle.
1.5 F=C3=BCgen Sie einen neuen Eintrag mit folgenden Parametern hinzu:
- Name: Der Name kann frei gew=C3=A4hlt werden und dient=
zur Identifizierung auf diesem Ger=C3=A4t.
- CA-Distinguished Name: Als Distinguished Name<=
/strong> m=C3=BCssen Sie den Namen der CA eintragen. In di=
esem Beispiel ist das der Standard-Name /CN=3DLANCOM CA/O=3DLA=
NCOM SYSTEMS/C=3DDE.
- Subject: Hier muss der Zertifikatsname eingetragen wer=
den, den die Zentrale verwenden soll. In diesem Beispiel wird nur der Common Name (CN) verwendet (/CN=3DZENTRALE).=
=20
- Diesen Zertifikatsnamen ben=C3=B6tigen Sie bei de=
r Konfiguration der VPN-Verbindung auf dem Router der Zentrale (als=
lokale Identit=C3=A4t) und auf dem Router der Filiale (al=
s entfernte Identit=C3=A4t).
- Challenge Passwort: In diesem Beispiel v=
erwenden wir das Basis-Challenge-Passwort. Tragen Sie also das Pas=
swort ein, welches im Schritt 1.3 vergeben wurde.
- Schl=C3=BCssell=C3=A4nge: W=C3=A4hlen Sie eine Schl=C3=
=BCssell=C3=A4nge aus. In diesem Beispiel verwenden wir eine Schl=
=C3=BCssell=C3=A4nge von 2048 bit.
- Verwendungs-Typ: Bei zertifikatsbasierten VPN-Verbindu=
ngen m=C3=BCssen Sie angeben, in welchen VPN Zertifikats-Container im Ger=
=C3=A4t das Zertifikat der Zentrale geladen werden soll. In diesem Beispiel=
verwenden wir den Container VPN1.
<=
strong>2. Einrichten der SCEP-Client-Funktionalit=C3=A4t auf dem LANCOM Rou=
ter in der Filiale: 2.1 Wechseln Sie in das Men=C3=BC <=
strong>SCEP-Client und aktivieren Sie zun=C3=A4chst die SC=
EP-Client-Funktionalit=C3=A4t. 2.2 Klicken Sie dann auf die =
Schaltfl=C3=A4che CA-Tabelle. 2.3 F=C3=BCgen Sie einen neuen Ein=
trag mit folgenden Parametern hinzu:
- Name: Der Name kann frei gew=C3=A4hlt werden und dient=
zur Identifizierung auf diesem Ger=C3=A4t.
- URL: Die URL ist nach folgendem Schema aufgebaut: https://<IP-Adresse>/cgi-bin/pkiclient.exe. Ersetzen Sie=
die <IP-Adresse> mit der IPv4-Adresse unter der die=
CA aus dem WAN erreichbar ist.=20
- Als Distinguished Name m=C3=BCssen Sie den Namen der CA eintragen. In diesem Beispiel ist das der Standard-=
Name /CN=3DLANCOM CA/O=3DLANCOM SYSTEMS/C=3DDE.
2.4 Klicken Sie auf die=
Schaltfl=C3=A4che Zertifikat-Tabelle. 2.5 F=C3=
=BCgen Sie einen neuen Eintrag mit folgenden Paramete=
rn hinzu:
- Name: Der Name kann frei gew=C3=A4hlt werden und dient=
zur Identifizierung auf diesem Ger=C3=A4t.
- CA-Distinguished Name: Als Distinguished Name<=
/strong> m=C3=BCssen Sie den Namen der CA eintragen. In di=
esem Beispiel ist das der Standard-Name
/CN=3DLANCOM CA/O=3DLANC=
OM SYSTEMS/C=3DDE
- Subject: Hier muss der Zertifikatsname eingetragen wer=
den, den die Filiale verwenden soll. In diesem Beispiel wird nur der Common=
Name (CN) verwendet (/CN=3DFILIALE).=20
- Diesen Zertifikatsnamen ben=C3=B6tigen Sie bei de=
r Konfiguration der VPN-Verbindung auf dem Router der Filiale (als =
lokale Identit=C3=A4t) und auf dem Router der Zentrale (al=
s entfernte Identit=C3=A4t).
- Challenge Passwort: In diesem Beispiel verwenden wir das Basis-=
Challenge-Passwort. Tragen Sie also das Passwort ein, welches im <=
strong>Schritt 2.1 vergeben wurde.
- Schl=C3=BCssell=C3=A4nge: W=C3=A4hlen Sie eine Schl=C3=
=BCssell=C3=A4nge aus. In diesem Beispiel verwenden wir eine Schl=
=C3=BCssell=C3=A4nge von 2048 bit.
- Verwendungs-Typ: Bei zertifikatsbasierten VPN-Verbindu=
ngen m=C3=BCssen Sie angeben, in welchen VPN Zertifikats-Container im Ger=
=C3=A4t das Zertifikat der Zentrale geladen werden soll. In diesem Beispiel=
verwenden wir den Container VPN1.
<=
strong>3. Konfiguration der VPN-Verbindung auf dem LANCOM Router in der Zen=
trale: 3.1 Starten Sie den Setup-Assistenten au=
f dem Router in der Zentrale und w=C3=A4hlen Sie die Option Zwei lokale Netze verbinden (VPN). 3.2 Die VPN-Verbindung soll =C3=BCber eine Internet-Ver=
bindung hergestellt werden. <=
p>3.3 IPSec-over-HTTPS wird in diesem Konfigurationsb=
eispiel nicht verwendet.3.4 Es soll keine dynamische VPN-Verbindung konfiguriert werden. <=
p>3.5 Da beide Seiten =C3=BCber eine feste =C3=B6ffentliche IP=
-Adresse verf=C3=BCgen, k=C3=B6nnen Sie die erste Option a=
usw=C3=A4hlen.3.=
6 Als Eigener Bezeichner muss ZENTRALE eingetragen werden. 3.7=
Der Name der Gegenstelle ist FILIALE. 3.8 Die V=
PN-Verbindungs-Authentifizierung wird =C3=BCber Zertifikat=
e (RSA Signature) durchgef=C3=BChrt. 3.9 Geben Sie ein Passwort f=C3=
=BCr die Verbindung ein, mit der die IP-Adresse des entfernten Gateways =C3=
=BCbermittelt wird. Dieses Passwort ben=C3=B6tigen Sie im Sch=
ritt 4.9 erneut, daher sollten Sie sich dieses notieren.
3.10 In diesem Beispiel ist die Lokale Identit=C3=A4t /CN =3D ZENTR=
ALE, als Entfernte Identit=C3=A4t m=C3=BCssen Sie /CN=3DFI=
LIALE eintragen. <=
p>3.11 W=C3=A4hlen Sie die Option Optimierter Verbindungsaufba=
u.3.12 Da der&n=
bsp;LANCOM Router in der Zentrale die VPN-Verbindung annehmen soll, m=C3=BCssen Sie die untere Option w=C3=A4hlen und als VPN Halte zeit den Wert 0 eintrage=
n. 3.13 Im n=C3=A4chsten =
Dialog m=C3=BCssen Sie die =C3=B6ffentliche IP-Adresse oder FQ=
DN des Routers in der Filiale eingeben. In diesem Beispiel ist das=
die 81.81.81.81. Das lokale Netzwerk=
strong>, welches in der Filiale erreicht werden soll hat d=
ie IP-Adresse 192.168.2.0/24. 3.14 Extranet VPN wird in diese=
m Beispiel nicht verwendet. 3.15 NetBIOS wird in diesem Beis=
piel nicht verwendet. 3.16 Klicken Sie auf Fertig stellen, =
um die Konfiguration in den LANCOM Router zur=C3=BCck zu schreiben. <=
img height=3D"386" src=3D"https://knowledgebase.lancom-systems.de/download/=
attachments/32985513/135.3E98.jpg?version=3D6&modificationDate=3D157208=
2132499&api=3Dv2" width=3D"503">
4.=
Konfiguration der VPN-Verbindung auf dem LANCOM Router in der Filiale: 4.1 Starten Sie den Setup-Assistenten auf dem Rout=
er in der Filiale und w=C3=A4hlen Sie die Option Zwei loka=
le Netze verbinden (VPN). 4.2 Die VPN-Verbindung soll =C3=BCber eine Internet-Verbindung he=
rgestellt werden. 4.3&nbs=
p;IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel <=
strong>nicht verwendet. 4.4 Es soll keine dynamische VPN-Verbindung k=
onfiguriert werden. 4.5 D=
a beide Seiten =C3=BCber eine feste =C3=B6ffentliche IP-Adress=
e verf=C3=BCgen, k=C3=B6nnen Sie die erste Option ausw=C3=
=A4hlen. 4.6 Als=
Eigener Bezeichner muss FILIALE ein=
getragen werden. 4.7 Der&=
nbsp;Name der Gegenstelle ist ZENTRALE.=
p> 4.8 Die VPN-V=
erbindungs-Authentifizierung wird =C3=BCber Zertifikate (R=
SA Signature) durchgef=C3=BChrt. 4.9 Geben Sie im Feld Passwort das gleiche Pa=
sswort ein, welches Sie im Schritt 3.9 vergeben haben. 4.10 In diesem Beis=
piel ist die Lokale Identit=C3=A4t /CN=3DFILIALE, als Entfernte Identit=C3=A4t m=C3=BCssen Sie /CN=3DZENTRALE eintragen. 4.11 W=C3=A4hlen Sie=
die Option Optimierter Verbindungsaufbau. 4.12 Da der LANCOM Rou=
ter in der Filiale die VPN-Verbindung zur Zentrale aufbauen soll, =
m=C3=BCssen Sie die oberste Option w=C3=A4hlen. 4.13 Im n=C3=A4chsten Dialog m=C3=BCs=
sen Sie die =C3=B6ffentliche IP-Adresse oder FQDN des Routers =
in der Zentrale eingeben. In diesem Beispiel ist das die 8=
0.80.80.80. Das lokale Netzwerk, welch=
es in der Zentrale erreicht werden soll hat die IP-Adresse=
192.168.1.0/24. 4.14 Extranet VPN wird in diesem Beispiel nicht verwendet. =
4.15 NetBIOS wird in diesem Beispiel n=
icht verwendet. <=
p>4.16 Klicken Sie auf Fertig stellen, um die Konfigu=
ration in den LANCOM Router zur=C3=BCck zu schreiben.Die Konfigurationsschritte sind damit =
beendet. Nachdem die Konfiguration in den LANCOM Router der Filial=
e zur=C3=BCck geschrieben wurde, baut dieser die VPN-Verbindung zum Router =
in der Zentrale auf. |