Beschreibung:
In diesem Dokument ist beschrieben, wie eine IKEv2-Verbindung mit dem LANCO=
M Advanced VPN Client zu einer LANCOM R&S=C2=AEUnified Firewall (im Fol=
genden als Unified Firewall bezeichnet) eingerichtet werden kann.
Voraussetzungen:
- LANCOM R&S=C2=AE Unifi=
ed Firewall mit LCOS FX ab Version 10.4
- LANCOM Advanc=
ed VPN Client ab Version 4.1
- Bereits eingerichtete und funktionsf=C3=A4hige Internet-Verbindung auf =
der Unified Firewall
- Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterst=C3=BCtzt:=20
- Google Chrome
- Chromium
- Mozilla Firefox
Szenario:
1. Die Unified Firewall ist direkt m=
it dem Internet verbunden und verf=C3=BCgt =C3=BCber eine =C3=B6ffentliche =
IPv4-Adresse:
- Ein Unternehmen m=C3=B6chte seinen Au=C3=9Fendienst-Mitarbeitern den Zu=
griff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung erm=C3=B6glichen.
- Dazu ist auf den Notebooks der Au=C3=9Fendienst-Mitarbeiter der=
LANCOM Advanced VPN Client installiert.
- Die Firmenzentrale verf=C3=BCgt =C3=BCber eine Unified Firewall als Gat=
eway und eine Internetverbindung mit der festen =C3=B6ffentlichen I=
P-Adresse 81.81.81.81.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbere=
ich 192.168.3.0/24.
=
2. Die Unified Firewall geht =C3=BCber einen vorgeschaltete=
n Router ins Internet:
- Ein Unternehmen m=C3=B6chte seinen Au=C3=9Fendienst-Mitarbeitern den Zu=
griff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung erm=C3=B6glichen.
- Dazu ist auf den Notebooks der Au=C3=9Fendienst-Mitarbeiter der=
LANCOM Advanced VPN Client installiert.
- Die Firmenzentrale verf=C3=BCgt =C3=BCber eine Unified Firewall als Gat=
eway und einen vorgeschalteten Router, welcher die Internet-Verbindung hers=
tellt. Der Router die feste =C3=B6ffentliche IP-Adresse 81.81.81.81=
.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbere=
ich 192.168.3.0/24.
=
Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 =
grunds=C3=A4tzlich gleich. Bei Szenario 2 muss zus=C3=A4tz=
lich ein Port- und Protokollforwarding auf dem vorgeschalt=
eten Router eingerichtet werden (siehe Abschnitt 3).
1. Konfigurationsschritte auf der Un=
ified Firewall:
1.1 Verbinden Sie sich mit der Konfigurationsoberfl=C3=A4che der Unified Fi=
rewall und wechseln auf VPN =E2=86=92 IPSec =E2=86=92 IPSec-Einstel=
lungen.
1.2 Aktivieren Sie IPSec.
1.3 Wechseln Sie auf VPN =E2=86=92 IPSec =E2=86=92 IPSec-Verbindung=
en und klicken auf das "Plus-Symbol", um eine neue IPSec-V=
erbindung zu erstellen.
1.4 Hinterlegen Sie folgende Parameter:
- Name: Vergeben Sie einen aussagekr=C3=A4ftigen=
Namen.
- Sicherheits-Profil: W=C3=A4hlen Sie hier das v=
orgefertigte Profil LANCOM Advanced VPN Client IKEv2 aus.
- Verbindung: W=C3=A4hlen Sie Ihre konfigurierte=
Internet-Verbindung aus.
1.5 Wechseln Sie in den Reiter Tunnel und hinterlegen=
folgende Parameter:
- Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche vom VPN-Client erreicht wer=
den sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit=
dem Adressbereich
192.168.3.0/24.
- Virtueller IP-Pool: W=C3=A4hlen Sie die Option=
Default Virtual-IP pool aus. Virtuelle IP-Pools =
k=C3=B6nnen verwendet werden, um verbundenen VPN-Clients IP-Adress-Konfigur=
ationen zu senden.
1.6 Wechseln Sie in den Reiter Authentifizierung und hinte=
rlegen folgende Parameter:
Authentifizierungstyp: W=C3=A4hlen Sie hier die Option =
PSK (Preshared Key) aus.
PSK (Preshared Key): Vergeben Sie einen Preshar=
ed Key f=C3=BCr diese Verbindung.
Lokaler Identifier: Vergeben Sie die Lokale Ide=
ntit=C3=A4t.
Remote Identifier: Vergeben Sie die Entfernte I=
dentit=C3=A4t.
1.7 Klicken Sie auf das Symbol zum Erstellen eines neuen VPN-Host=
strong>s.
1.8 Hinterlegen Sie folgende Parameter:
Name: Vergeben Sie einen aussagekr=C3=A4ftigen =
Namen.
VPN-Verbindungstyp: W=C3=A4hlen Sie den Typ IPS=
ec.
IPSec-Verbindung: W=C3=A4hlen Sie im Dropdownmen=C3=BC =
bei IPSec die in Schritt 1.4 -1.6 erstellte VPN-Verbindung=
aus.
1.9 Klicken Sie in dem VPN-Host auf das "Verbindungswerkze=
ug" und klicken anschlie=C3=9Fend auf das Netzwerk-Objekt, auf welches der =
Advanced VPN Client zugreifen k=C3=B6nnen soll, damit die Firewall-Objekte =
ge=C3=B6ffnet werden.
1.10 Weisen Sie =C3=BCber die "Plus-Zeichen" die erforderlichen Protokolle =
dem VPN-Host zu.
1.11 Klicken Sie zuletzt in der Firewall auf Aktivieren, d=
amit die Konfigurations-=C3=84nderungen umgesetzt werden.
1.12 Wechseln Sie in das Men=C3=BC VPN =E2=86=92 IPSec =E2=86=92 Ve=
rbindungen und klicken Sie bei der eingerichteten Advanced VPN Cli=
ent Verbindung auf die Schaltfl=C3=A4che Verbindung exportieren.
1.13 Vergeben Sie ein Passwort, mit welchem das exportierte ZIP-Archiv verschl=C3=BCsselt werden soll.
1.14 Tragen Sie im Feld Gateway die =C3=B6ffentlic=
he IP- oder DNS-Adresse der Unified Firewall ein (hier 81.81.81.81=
).
1.15 Klicken Sie auf Exportieren und speichern Sie=
die ZIP-Datei auf Ihrem Computer ab.
1.16 Die Konfigurationsschritte auf der Unified Firewall sind damit abgesch=
lossen.
2. Konfigurationsschritte im Advance=
d VPN Client:
2.1 Entpacken Sie die im Schritt 1.15 exportierte ZIP-Datei mit ein=
em separaten Pack-Programm. Im Ordner befindet sich eine *=
.ini-Datei, welche Sie in den LANCOM Advanced VPN Client importieren k=C3=B6nnen.
2.2 =C3=96ffnen Sie den Advanced VPN Client und wechseln in das Men=
=C3=BC Konfiguration =E2=86=92 Profile.
2.3 Klicken Sie auf die Schaltfl=C3=A4che Hinzuf=C3=BCgen/Import.
2.4 W=C3=A4hlen Sie die Option Profile importieren.
2.5 Geben Sie den Pfad zur Importdatei (*.ini) an.
2.6 Klicken Sie im folgenden Dialog auf Weiter.
2.7 Ein erfolgreicher Profilimport wird mit einer Meldung angezeigt. Klicke=
n Sie auf Fertigstellen, um den Importvorgang zu been=
den.
2.8 Klicken Sie auf OK um die Einstellungen zu speichern.
2.9 Die VPN-Client Verbindung kann jetzt mit einem=
Klick auf den Verbinden-Schalter aufgebaut werden.
3. Einrichtung eines Port- und Proto=
koll-Forwarding auf einem LANCOM Router (nur Szenario 2):
F=C3=BCr IPSec werden die UDP-Ports 500 u=
nd 4500 sowie das Protokoll ESP ben=C3=B6=
tigt. Diese m=C3=BCssen auf die Unified Firewall weitergeleitet werden.
Werden die UDP-Ports 500 und 4500 weiterg=
eleitet, wird das Protokoll ESP automatisch mit weitergele=
itet.
3.1 =C3=96ffnen Sie die Konfiguration des Routers in LANconfig und we=
chseln in das Men=C3=BC IP-Router =E2=86=92 Maskierung =E2=86=92 Po=
rt-Forwarding-Tabelle.
3.2 Hinterlegen Sie folgende Parameter:
Anfangs-Port: Hinterlegen Sie den Port 500.
End-Port: Hinterlegen Sie den Port 500=
.
Intranet-Adresse: Hinterlegen Sie die IP-Adress=
e der Unified-Firewall im Transfernetz zwischen Unified Firewall u=
nd LANCOM Router.
Protokoll: W=C3=A4hlen Sie im Dropdown-Men=C3=BC UDP aus.
3.3 Erstellen Sie einen weiteren Eintrag und hinterlegen den UDP-Po=
rt 4500.
3.4 Schreiben Sie die Konfiguration in den Router zur=C3=BCck.
|