Dieses Dokument beschreibt, wie per LANCOM Smart Certificate erstellte Zertifikate für eine zertifikatsbasierte IKEv2-VPN-Verbindung zwischen zwei LANCOM Routern verwendet werden können.
LANCOM Central Site Gateway, WLAN Controller oder LANCOM-Router mit aktivierter VPN 25-Option (bei Verwendung der Smart Certificate Funktion)
Zertifikate für die beteiligten LANCOM Router. Die Erstellung von Zertifikaten mit LANCOM Smart Certificate ist in diesem Knowledge Base-Artikel beschrieben.
Vorgehensweise:
1. Aktivieren der Zertifizierungsstellen-Funktion im LANCOM-Router der Zentrale:
In diesem Konfigurationsbeispiel soll der LANCOM Router in der Zentrale als CA für die Erstellung der Zertifikate verwendet werden (Smart Certificate Funktion). Wenn Sie Zertifikate einer anderen CA verwenden möchten, müssen Sie die CA des LANCOM Routers nicht verwenden und können diesen Konfigurationsschritt überspringen.
1.1 Öffnen Sie die Konfiguration des LANCOM Routers der Zentrale in LANconfig und wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA).
1.2 Haken Sie die Option Zertifizierungsstelle (CA) aktiviert an. Der LANCOM-Router soll als Haupt-Zertifizierungsstelle(Root-CA) arbeiten.
Info: Alle anderen Parameter belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Werten.
Image Removed
Image Added
2. Hochladen der Zertifikate in die LANCOM Router:
2.1 Führen Sie jeweils einen rechten Mausklick auf den LANCOM Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen.
Image Removed
Image Added
2.2 Wählen Sie im folgenden Dialog die jeweilige Zertifikatsdatei für den LANCOM Router aus.
2.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen.
2.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen. Klicken Sie dann auf Öffnen,um den Hochladevorgang zu starten.
Image Removed
Image Added
3. Konfigurieren der zertifikatsbasierten VPN-Verbindung im LANCOM Router der Zentrale:
3.1 Starten Sie den Setup-Assistent in LANconfig und wählen Sie die Option Zwei lokale Netze verbinden (VPN).
Image Removed
Image Added
3.2 Es soll eine IKEv2-VPN-Verbindung erstellt werden.
Image Removed
Image Added
3.3 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet.
Image Removed
Image Added
3.4 Geben Sie eine Namensbezeichnung für den LANCOM Router auf der Gegenseite an.
Image Removed
Image Added
3.5 In den folgenden zwei Dialogen können Sie beliebige Werte eintragen, da diese später in der Konfiguration des LANCOM Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden (siehe Schritt 3.9ff).
Image Removed
Image Added
Image Removed
Image Added
3.6 Der LANCOM Router in der Zentrale soll die VPN-Verbindung annehmen.
Image Removed
Image Added
3.7 Da der LANCOM Router in der Zentrale die VPN-Verbindung annimmt, muss keine Gateway-Adresse eingetragen werden.
Geben Sie das lokale Netzwerk an, welches auf der Gegenseite erreicht werden soll.
Image Removed
Image Added
3.8 Klicken Sie auf Fertig stellen, um den Setup-Assistent zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben.
Image Removed
Image Added
3.9 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
3.10 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Client-Verbindung aus (hier: FILIALE).
Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte RSA-Signature und ASN.1 Distinguished Name an.
Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router der Zentrale ein.
Tragen Sie als entfernte Identität den Namen des Zertifikats vom LANCOM Router der Filiale ein.
Info
Wenn Sie im ASN.1 Distinguished Name den Parameter-Typ /E (für E-Mail-Adresse) verwenden, müssen Sie das "E" gegen "emailAddress" tauschen, damit die spätere Authentifizierung funktioniert.
Wählen Sie im Dropdownmenü bei Lokales Zertifikat den verwendeten Zertifikats-Container aus.
Image Removed
Image Added
3.15 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.
4. Konfigurieren der zertifikatsbasierten VPN-Verbindung im LANCOM Router der Filiale:
4.1 Starten Sie den Setup-Assistent in LANconfig und wählen Sie die Option Zwei lokale Netze verbinden (VPN).
Image Removed
Image Added
4.2 Es soll eine IKEv2-VPN-Verbindung erstellt werden.
Image Removed
Image Added
4.3 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet.
Image Removed
Image Added
4.4 Geben Sie eine Namensbezeichnung für den LANCOM Router auf der Gegenseite an.
Image Removed
Image Added
4.5 In den folgenden zwei Dialogen können Sie beliebige Werte eintragen, da diese später in der Konfiguration des LANCOM Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden (siehe Schritt 4.9ff).
Image Removed
Image Added
Image Removed
Image Added
4.6 Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Zentrale aufbauen.
Image Removed
Image Added
4.7 Da der LANCOM Router in der Filiale die VPN-Verbindung zur Zentrale aufbaut, muss die Gateway-Adresse der Zentrale eingetragen werden.
Geben Sie das lokale Netzwerk an, welches auf der Gegenseite erreicht werden soll.
Image Removed
Image Added
4.8 Klicken Sie auf Fertig stellen, um den Setup-Assistent zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben.
Image Removed
Image Added
4.9 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
4.10 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Verbindung aus (hier: ZENTRALE).
Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte RSA-Signature und ASN.1 Distinguished Name an.
Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router der Filiale ein.
Tragen Sie als entfernte Identität den Namen des Zertifikats vom LANCOM Router der Zentrale ein.
Info
Wenn Sie im ASN.1 Distinguished Name den Parameter-Typ /E (für E-Mail-Adresse) verwenden, müssen Sie das "E" gegen "emailAddress" tauschen, damit die spätere Authentifizierung funktioniert.
Wählen Sie im Dropdownmenü bei Lokales Zertifikat den verwendeten Zertifikats-Container aus.
Image Removed
Image Added
4.11 Schreiben Sie die Konfiguration in den LANCOM Router der Filiale zurück.
Die zertifikatsbasierte IKEv2-VPN-Verbindung zur Zentrale wird nach kurzer Zeit aufgebaut.
