Versionen im Vergleich

Alte Version 6

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 7

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften

Beschreibung:

Dieses Dokument beschreibt, wie per LANCOM Smart Certificate erstellte Zertifikate für eine zertifikatsbasierte IKEv2-VPN Client-Verbindung verwenden können.

Info
Dieses Szenario eignet sich besonders, wenn Sie vor dem Herstellen der VPN-Verbindung mit dem LANCOM Advanced VPN Client eine Passwortabfrage durchführen möchten!

Voraussetzungen:


Description:

This document describes how to use certificates created by LANCOM Smart Certificate for a certificate-based IKEv2-VPN client connection.

Info
This scenario is particularly useful if you require a password to be entered before establishing a VPN connection with the LANCOM Advanced VPN Client.

Requirements:

  • LCOS as of version 9.20 (download latest version)
  • LANtools from version 9.20 (download latest version
  • LCOS ab Version 9.20 (download aktuelle Version)
  • LANtools ab Version 9.20 (download aktuelle Version)
  • LANCOM Advanced VPN Client (download aktuelle Versionlatest version)
  • LANCOM Central Site Gatewaycentral-site gateway, WLAN Controller oder LANCOM-Router mit aktivierter controller, or LANCOM router with an activated VPN 25 - Option (bei Verwendung der when using the Smart Certificate Funktionfeature)
  • Zertifikate für LANCOM Router und Certificates for LANCOM routers and the LANCOM Advanced VPN Client. Die Erstellung von Zertifikaten mit Creating certificates with LANCOM Smart Certificate ist is described in diesem this Knowledge Base -Artikel beschriebenarticle.

...

Procedure:

1.

...

Enable the certificate authority (CA) function in the LANCOM router:

In this example configuration, the LANCOM router acts as the CA for creating the certificates (Smart Certificate feature). If you wish to use certificates from another CA, you do not have to use the CA in the LANCOM router and you can skip this step of the configuration.

1.1) In LANconfig, open the configuration dialog for the LANCOM router and switch to the menu item Certificates → Cert. authority

In diesem Konfigurationsbeispiel soll der LANCOM Router als CA für die Erstellung der Zertifikate verwendet werden (Smart Certificate Funktion). Wenn Sie Zertifikate einer anderen CA verwenden möchten, müssen Sie die CA des LANCOM Routers nicht verwenden und können diesen Konfigurationsschritt überspringen.

1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA).

1.2 Haken Sie die Option Zertifizierungsstelle ) Set a check mark for the option Certificate authority (CA) aktiviert anactive. Der LANCOM Router soll als Haupt-Zertifizierungsstelle (Root-CA) arbeiten.

Info
Alle anderen Parameter belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Werten. 

2. Hochladen des Router-Zertifikats in den LANCOM Router:

The LANCOM router functions as the root certificate authority (root CA).

Info
For this configuration example we leave all the other parameters with their preset values.


2. Upload the router certificate to the LANCOM router:

2.1) Right-click on the LANCOM router in LANconfig and select the option Configuration management → Upload certificate or file2.1 Führen Sie einen rechten Mausklick auf den LANCOM Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen.

2.2 Wählen Sie im folgenden Dialog die Zertifikatsdatei für den LANCOM Router aus) In the following dialog select the certificate file intended for the LANCOM router.

2.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen) In the certificate type field, select a VPN container.

2.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen. Klicken Sie dann auf Öffnen,um den Hochladevorgang zu starten.

...

) In the Cert. password box enter the password for the certificate file. Click on Open to start the upload.


3. Configure the certificate-based VPN client connection on the LANCOM router:

3.1 Starten Sie den Setup-Asistenten in LANconfig und wählen Sie die Option Einwahl-Zugang bereitstellen ) Start the Setup Wizard in LANconfig and select the option Provide remote access (RAS, VPN).

3.2 Wählen Sie die Option ) Select the option IKEv2.

3.3 Die Verbindung soll mit dem ) The connection should be established with the LANCOM Advanced VPN Client hergestellt werden. Deaktivieren Sie die Option . Disable the 1-Click - VPN. option

3.4) In this example, we do not use IPsec-over-HTTPS wird in diesem Beipiel nicht verwendet.

3.5 Vergeben Sie einen Namen für die neue VPN-Verbindung) Enter a name for the new VPN connection.

3.6 Geben Sie die öffentliche IP-Adresse oder die öffentliche DNS-Adresse des LANCOM Routers ein) Enter the public IP address or public DNS address of the LANCOM router.

3.7 In diesem Dialog können Sie beliebige Werte eintragen, da diese später in der Konfiguration des LANCOM Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden) Enter any values into this dialog, as they will later be manually replaced in the configuration of the LANCOM router by the certificate authentication parameters.

3.8 Da der ) As the LANCOM Advanced VPN Client den supports Config - Mode unterstützt, muss in diesem Dialog keine IP-Adresse eingetragen werden, there is no need to enter an IP address into this dialog.

3.9 Es soll eine Kommunikation zu allen IP-Adressen im lokalen Netz erlaubt werden) Communication should be allowed with all IP addresses in the local network.

3.10 Die VPN-Zugangsdaten sollen als Import-Datei für den ) The VPN access credentials should be saved as an import file for the LANCOM Advanced VPN Client (*.ini -Dateifile) gespeichert werden.

3.11 Klicken Sie auf Fertig stellen, um die Konfiguration in den LANCOM Router zurück zu schreiben. Die erzeugte *.ini-Datei wird dabei auf Ihrem PC abgespeichert) Click on Finish to write the configuration back to the LANCOM router. The *.ini file generated is stored on your PC.

3.12 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung) Open the configuration of the LANCOM router in LANconfig and navigate to VPN → IKEv2/IPsec → Authentication.

3.13 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Client-Verbindung aus (hier) Select the available entry for the certificate-based VPN client connection (in this case: CLIENT_ZERTCERT).

  • Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte Digital-Signature und ASN.Set the parameters for local and remote authentication for each entry to the values Digital signature and 1 Distinguished Name an.
  • Als Lokales Dig.-Signature-Profil müssen Sie jeweils Set each Local dig. signature profile to DEFAULT-RSA-PKCS auswählen.
  • Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router ein.
  • Tragen Sie als entfernte Identität den Namen des Zertifikats vom VPN Client ein.
  • .
  • As the local identity, enter the name of the certificate in the LANCOM router.
  • As the remote identity, enter the name of the certificate in the VPN client.
  • As the Local certificate, select the VPN Container you used in step 2.3Wählen Sie als Lokales Zertifikat den VPN-Container aus, den Sie in Schritt 2.3 verwendet haben.

3.14 Schreiben Sie die Konfiguration in den LANCOM Router zurück) Write the configuration back to the LANCOM router.


4.

...

 Installing the client certificate in Windows:

4.1 Öffnen Sie die ) Double-click to open the *.p12 -Datei des Client-Zertifikatsfile of the client certificate.

4.2 Wählen Sie als Speicherort den aktuellen Benutzer aus) Select the storage location used by the current user.

4.3 Klicken Sie auf Weiter.) Click on Next.

4.4 Geben Sie das Kennwort des Client-Zertifikats ein. Die Importoptionen lassen Sie bei den Standard-Einstellungen) Enter the password for the client certificate. Leave the import options in their default settings.

4.5 Der Zertifikatsspeicher muss automatisch von Windows ausgewählt werden) The certificate store must be selected automatically by Windows.

4.6 Klicken Sie auf Weiter und schließen Sie den Zertifikatsimport ab) Click Next and conclude the certificate import.


5.

...

Importing the client certificate into the LANCOM Advanced VPN Client:

5.1 Öffnen Sie im ) In the LANCOM Advanced VPN Client die Option Konfiguration → Zertifikate, open the option Configuration → Certificates.

5.2 Erzeugen Sie eine neue Zertifikatskonfiguration mit der Schaltfläche Hinzufügen) Create a new certificate configuration using the Add button

5.3 Vergeben Sie einen Namen für die neue Zertifikatskonfiguration.

  • Im Feld Zertifikat muss die Option CSP Benutzer Zertifikatsspeicher ausgewählt werden

) Enter a name for the new certificate configuration.

  • In the Certificate field, select the option CSP User Certificate Store
  • The fields Subject CN and Issue CN must be left blankDie Felder Benutzer CN und Aussteller CN müssen leer gelassen werden.

5.4 Wechseln Sie auf die Registerkarte Computer-Zertifikat.) Switch to the tab Computer Certificate.

  • Set the Certificate field to Computer Certificate Store.
  • The field Subject CN must be set to the common name of the client certificate (in this case
  • Als Zertifikat muss Computer-Zertifikatsspeicher ausgewählt werden.
  • Im Feld Benutzer CN muss der Common-Name des Client-Zertifikats eingetragen werden (hier: CN=Client)Das Feld Aussteller CN muss leer gelassen werden
  • Leave the Issue CN field blank.

5.5 Speichern Sie die Konfiguration mit ) Save the configuration with OK.


6.

...

Import the *.ini

...

file and the configuration of the VPN connection into the LANCOM Advanced VPN Client:

6.1 Öffnen Sie im ) In the LANCOM Advanced VPN Client die Option Konfiguration → Profile und klicken Sie auf Hinzufügen/Importopen the option Configuration → Profiles, and click Add/import.

6.2 Wählen Sie die Option Profile importieren) Select the option Profile import.

6.3 Stellen Sie den Pfad zur VPN-Profildatei ein, welche im Schritt ) Set the path to the VPN profile file that was created in step 3.10 erzeugt wurde.

6.4 Klicken Sie auf Fertigstellen, um den Importvorgang abzuschließen) Click on Finish to conclude the import.

6.5 Wählen Sie das importierte Profil aus und klicken Sie auf Bearbeiten) Select the imported profile and then click Next.

6.6 Wechseln Sie in das Menü IPsec-Einstellungen und wählen Sie als IKEv2-Authentisierung den Wert Zertifikat aus) Switch to the menu IPsec General Settings and set IKEv2 Authentication to the value Certificate.

6.7 Wechseln Sie in das Menü Identität und wählen Sie als lokalen Identitäts-Typ den Wert ) Switch to the menu identity and set the local identity type to the value ASN1 Distinguished Name aus.

6.8 Als ID wird die Option aus Zertifikatsfeld (Common Name) ausgewählt) The ID is set to the option from certificate field “cn”.

6.9 Als Zertifikats-Konfiguration müssen Sie die in Schritt ) You need to set the Certificate configuration to the certificate configuration created in step 5.5 erstellte Zertifikats-Konfiguration einstellen (hier (in this case: VPN_Client).

6.10 Die Konfigurationsschritte sind damit abgeschlossen. Schließen Sie die Dialoge des ) This concludes the configuration. Close the dialogs of the LANCOM Advanced VPN Client mit with OK.

Nach einer erfolgreichen Konfiguration werden im Advanced VPN Client die Symbole für Smartcard sowie PIN angezeigtAfter a successful configuration, the  Advanced VPN Client shows the icons for Smartcard and PIN.