Seitenhistorie

Seiteneigenschaften

Beschreibung:

Dieses Dokument bescheibt, wie Sie

eine

eine Netzkopplung per IKEv2 Site-To-Site VPN-Verbindung zwischen zwei LANCOM Routern einrichten können. Zur Authentifizierung wird der LANCOM-eigene RADIUS Server verwendet.

Voraussetzungen:

LCOS ab Version 10.20 (download aktuelle Version)
LANtools ab Version 10.20 (download aktuelle Version)
Funktionsfähig

eingerichtete

eingerichtete Internet-Verbindung auf beiden Seiten.

Szenario:

Ein Unternehmen möchte die lokalen Netzwerke in der Zentrale und einer Filiale über eine IKEv2 Site-To-Site VPN-Verbindung miteinander koppeln.
Zur Authentifizierung wird LANCOM-eigene RADIUS-Server verwendet.
Beide Standorte verfügen über einen LANCOM Router als Gateway und eine Internetverbindung mit einer festen öffentlichen IP-Adresse. Die öffentliche IP-Adresse der Zentrale lautet 81.81.81.81, die der Filiale 80.80.80.80.
Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24, in der Filiale wid der lokale IP-Adressbereich 192.168.2.0/24 verwendet.

Image Removed

Image Added

Vorgehensweise:

1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:

1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das

Menü

Menü VPN

->

→ Allgemein.

1.

2

2 Aktivieren Sie die Funktion Virtual Private Network.

Image Removed

Image Added

1.3 Wechseln Sie in das

Menü

Menü VPN

->

→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Erweiterte Einstellungen.

Image Removed

Image Added

1.4 Klicken Sie im Bereich RADIUS-Authentifizierung auf die Schaltfläche RADIUS-Server und fügen Sie einen neuen Eintrag hinzu.

Image Removed

Image Added

1.5 Den Namen des Eintrags können Sie frei vergeben.

Im Feld Server-Adresse müssen Sie die IP-Adrese des internen RADIUS-Servers angeben (127.0.0.1).
Als Port wird der Standard-Port 1.812 verwendet.

Image Removed

Image Added

1.6 Schließen Sie den Dialog

mit

mit OK und bestimmen Sie im Feld Passwort ein Challenge-Passwort, das der RADIUS-Server im Access-Request-Attribut als Benutzer-Passwort erhält.

Der RADIUS-Server ordnet dieses Passwort normalerweise direkt einem VPN-Peer zu, um diesen für den Netzwerkzugang zu autorisieren. Bei IKEv2 autorisiert jedoch nicht der RADIUS-Server den anfragenden VPN-Peer, sondern das LANCOM-Gateway, nachdem es die entsprechende Autorisierung in der Access-Accept-Nachricht des

RADIUS-Servers erhalten hat.

Entsprechend geben Sie an dieser Stelle ein Challenge-Passwort ein. In diesem Beispiel wird als Challenge-

Passwort

Passwort lancom verwendet (siehe auch Schritt 1.12).

Image Removed

Image Added

1.7 Wechseln Sie in das Menü VPN

>

→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung.

Image Removed

Image Added
1.8 Klicken Sie auf die Schaltfläche Hinzufügen um einen neuen Eintrag zu erzeugen.

1.9 Tragen Sie in dem Konfigurationsfenster

die

die Informationen zur Authentifizierung für die VPN-Verbindung ein.

Name:
Geben Sie

den

den Namen für die Authentifizierung ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 2.11).
Lokale Authentifizierung:
Wählen Sie

den

den Typ der Authentifizierung im Router der

Zentrale

Zentrale aus. In diesem Beispiel wird die Authentifizierung über

einen

einen Pre-shared Key (PSK) vorgenommen.
Lokaler Identitätstyp:
Wählen Sie

den

den Typ der

Identität

Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der

Identitätstyp

Identitätstyp Domänen-Name (FQDN) gewählt.
Lokale Identität:
Bestimmen Sie die lokale Identität. In diesem Beispiel wird für

den

den LANCOM Router in der

Zentrale

Zentrale die lokale Identität zentrale.firma.

com

com verwendet.
Entfernte Authentifizierung:
Wählen Sie

den

den Typ der

Identität

Identität des Routers in der Filiale aus. In diesem Beispiel wird die Authentifizierung über

einen

einen Pre-shared Key (PSK) vorgenommen.
Entfernter Identitätstyp:
Als entfernter Identitätstyp muss

hier

hier Keine

Identität

Identität eingestellt werden.
Entfernter Zert.-ID Check:
Diese Funktion wird nicht benötigt, daher müssen

Sie Nein

Sie Nein auswählen.

Image Removed

Image Added

1.10 Wechseln Sie in das Menü VPN

>

→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste.

Image Removed

Image Added

1.11 Öffnen Sie den bereits vorhandenen Standard-Eintrag DEFAULT und modifizieren Sie diesen in folgenden Parametern.

Authentifizierung:
Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welchen Sie in Schritt 1.9 festgelegt haben.
RADIUS-Auth.-Server:
Geben Sie hier den im Schritt 1.4ff erstellten RADIUS-Server Eintrag an.

Image Removed

Image Added
1.12 Wechseln Sie in das Menü RADIUS

->

→ Server

->

→ Benutzerkonten und legen Sie mit der Schaltfläche Hinzufügen einen neuen Benutzereintrag an.

Der vergebene Name wird später als lokale Identität in der VPN-Konfiguration der Filiale verwendet (siehe Schritt 2.5).
Geben Sie im Feld Passwort das Challenge-Passwort ein, welches Sie im Schritt 1.6 verwendet haben.
Der Dienst-Typ muss auf den Wert Beliebig eingestellt werden.
Als zusätzlichen Attributwert müssen Sie die Netzbeziehungen (SA) für diese VPN-Verbindung eingeben:
- LCS-VPN-IPv4-Rule=192.168.1.0/24 * 192.168.2.0/24
Das hier vergebene Tunnel-Passwort wird später als lokales Passwort in der VPN-Konfiguration der Filiale verwendet (siehe Schritt 2.5).
Konfigurieren Sie die Ablaufart des Benutzerkontos auf Niemals.

Image Removed

Image Added

1.13 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.

Info:

Info
Die IP-Route wird beim Verbindungsaufbau automatisch im LANCOM Router der Zentrale angelegt. Ein manueller Routing-Eintrag ist daher nicht notwendig.

2. Manuelle Konfigurationsschritte auf dem LANCOM Router der Filiale:

2.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Filiale und wechseln Sie in das

Menü

Menü VPN

->

→ Allgemein.

2.

2

2 Aktivieren Sie die Funktion Virtual Private Network.

Image Removed

Image Added

2.3 Wechseln Sie in das Menü VPN

>

→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung.

Image Removed

Image Added

2.4 Klicken Sie auf die

Schaltfläche

Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.

2.5 Tragen Sie in dem Konfigurationsfenster

die

die Informationen zur Authentifizierung für die VPN-Verbindung ein.

Name:
Geben Sie den Namen für die Authentifizierung ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 2.8).
Lokale Authentifizierung:
Wählen Sie

den

den Typ der Authentifizierung im Router der

Filiale

Filiale aus. In diesem Beispiel wird die Authentifizierung über

einen

einen Pre-shared Key (PSK) vorgenommen.
Lokaler Identitätstyp:
Wählen Sie

den

den Typ der

Identität

Identität des Routers in der Filiale aus. In diesem Beispiel wurde der

Identitätstyp

Identitätstyp Domänen-Name (FQDN) gewählt.
Lokale Identität:
Bestimmen Sie die lokale Identität. In diesem Beispiel wird für

den

den LANCOM Router in der

Filiale

Filiale die lokale Identität filiale.firma.

com

com verwendet (siehe auch Schritt 1.4).
Lokales Passwort:
Vergeben Sie

den

den Pre-shared Key, welcher verwendet werden soll um sich beim Router in der Filiale erfolgreich zu authentifizieren.
Entfernte Authentifizierung:
Wählen Sie

den

den Authentifizierungstypen des LANCOM Routers in der

Zentrale

Zentrale aus. In diesem Beispiel wird die Authentifizierung über

einen

einen Pre-shared Key (PSK) vorgenommen.
Entfernter Identitätstyp:
Wählen Sie

den

den Typ der

Identität

Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der

Identitätstyp

Identitätstyp Domänen-Name (FQDN) gewählt.
Entfernte Identität:
Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für

den

den LANCOM Router in der

Zentrale

Zentrale die entfernte Identität zentrale.firma.

com

com verwendet.
Entferntes Passwort:
Vergeben Sie

den

den Pre-shared Key, welcher verwendet werden soll um sich beim Router in der Zentrale erfolgreich zu authentifizieren.
Entfernter Zert.-ID Check:
Diese Funktion wird nicht benötigt, daher müssen

Sie Nein

Sie Nein auswählen.

Image Removed

Image Added

2.6 Wechseln Sie in das

Menü

Menü VPN

>

→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste.

2.7 Klicken Sie auf die

Schaltfläche

Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.

Image Removed

Image Added

2.8 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:

Name der Verbindung:
Geben Sie die Bezeichnung für die VPN-Verbindung an. Dieser Eintrag wird später in der Routing-Tabelle genutzt (siehe Schritt 2.10).
Haltezeit:
Geben Sie

die

die Haltezeit in

Sekunden

Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Filiale der

Wert

Wert 9999

Sekunden

Sekunden eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung aktiv aufbaut.
Entferntes Gateway:
Geben Sie

die

die öffentliche IP-

Adresse

Adresse an,

unter

unter der der LANCOM Router in der Zentrale erreichbar ist. In diesem Beispiel ist das

die

die Adresse 81.81.81.81.
Authentifizierung:
Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welchen Sie in Schritt 2.5 festgelegt haben.
IKE-CFG:

Der

Der IKE Config

Mode

Mode wird nicht benötigt, daher muss

er ausgeschaltet

er ausgeschaltet werden.
Regelerzeugung:

Die

Die Regelerzeugung wird automatisch durchgeführt.

Image Removed

Image Added

2.9 Wechseln Sie in das

Menü

Menü IP-Router

->

→ Routing

->

→ IPv4-Routing-Tabelle.

Image Removed

Image Added

2.10 Erstellen Sie

einen

einen neuen Routing-Eintrag.

Tragen Sie als IP-Adresse die Adresse des lokalen Netzwerkes in der Zentrale ein. In diesem Beispiel ist dies die 192.168.1.0.
Als Netzmaske muss der Wert 255.255.255.0 eingetragen werden, da das lokale Netzwerk der Zentrale ein Class C Netzwerk ist.
Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: ZENTRALE) eingestellt werden.
Die IP-Maskierung wird für diese Verbindung abgeschaltet.

Image Removed

Image Added

2.11 Schreiben Sie die Konfiguration in den LANCOM Router der Filiale zurück.

Nachdem die Konfiguration in den LANCOM Router der Filiale zurückgeschrieben wurde, wird die VPN-Verbindung zwischen beiden LANCOM Routern aufgebaut. Überprüfen können Sie dies, indem Sie z.B. beide LANCOM Router in den LANmonitor laden.

Info:

Info
Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein auf der Zentrale

ausgeführter

ausgeführter VPN-Status Trace und ein RADIUS-Server Trace bei der Diagnose helfen.

Versionen im Vergleich

Alte Version 7

Neue Version Aktuell

Schlüssel

Service & Support

Links