Dieses Dokument beschreibt anhand eines Konfigurationsbeispiels, wie Sie eine CA (Certification Authority) auf einem LANCOM Router aktivieren und wie die CA Sie dabei unterstützt, neue Zertifikate für eine VPN-Verbindung zwischen zwei LANCOM Routern zu erstellen und zu nutzen.
Die Zertifikatsverteilung wird dabei
über
über SCEP (Simple Certificate Enrollment Protocol) durchgeführt.
LANCOM Central Site Gateway, WLAN Controller oder LANCOM Router mit aktivierter VPN 25-Option
Szenario:
Ein Unternehmen möchte die lokalen Netzwerke in der Zentrale und einer Filiale über eine Site-to-Site VPN-Verbindung miteinander koppeln.
Beide Standorte verfügen über einen LANCOM Router als Gateway und eine Internetverbindung. Die öffentliche IP-Adresseder Zentrale lautet 80.80.80.80, die der Filiale 81.81.81.81.
Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
Das lokale Netzwerk der Zentralehat den IP-Adressbereich 192.168.1.0/24, in der Filiale wird der lokale IP-Adressbereich 192.168.2.0/24verwendet.
Die Authentifzierung soll über Zertifikate realisiert werden, welche vom LANCOM Router in der Zentrale per SCEP verteilt werden.
Image Removed
Image Added
Vorgehensweise:
1. Einrichten der Zertifizierungsstelle und der SCEP Client-Funktionalität auf dem LANCOM Router in der Zentrale:
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das
Menü
Menü Zertifikate
->
→ Zertifizierungsstelle (CA).
1.2 Wählen Sie die
Option
Option Zertifizierungsstelle (CA)aktiviert und legen Sie fest, dass der LANCOM Router die Haupt-Zertifizierungsstelle (Root CA)ist.
Image Removed
Image Added
1.3 Wechseln Sie in das
Menü
Menü Zertifikatsbehandlung und vergeben Sie ein Basis-Challenge-Passwort. Dieses wird verwendet, wenn kein eigenes Passwort für den SCEP-Client konfiguriert ist.
Info:
Info
Wenn das Feld leer bleibt, generiert die CA ein Zufalls-Passwort.
Image Removed
Image Added
1.4 Wechseln Sie in das
Menü
Menü SCEP-Client und aktivieren Sie zunächst die SCEP-Client-Funktionalität.
1.5 Klicken Sie dann auf die
Schaltfläche
Schaltfläche CA-Tabelle.
Image Removed
Image Added
1.5 Fügen Sie
einen
einen neuen Eintragmit folgenden Parametern hinzu:
Info:
Info
Wenn dieses Gerät
ein
ein LANCOM WLAN-
Controller
Controller ist, befindet sich in der Liste bereits ein Eintrag mit
der
der Standardbezeichnung CONTROLLER_CA. In diesem Fall müssen Sie keinen neuen Eintrag in der Tabelle erzeugen.
Name:Der Name kann frei gewählt werden und dient zur Identifizierung auf diesem Gerät.
URL:Die URL ist nach folgendem Schema aufgebaut: https://<IP-Adresse>/cgi-bin/pkiclient.exe.
Ersetzen Sie
die
die <IP-Adresse> mit der IPv4-Adresse unter der die CA aus dem WAN erreichbar ist.
Da
Da sich die CA in diesem Beispiel auf dem LANCOM Router befindet, der zugleich Endpunkt für die VPN-Verbindung ist, wird als URLhttps://127.0.0.1/cgi-bin/pkiclient.exeeingtragen.
Als Distinguished Namemüssen Sie den Namen der CA eintragen. In diesem Beispiel ist das der Standard-Name /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE
Image Removed
Image Added
1.6 Klicken Sie dann auf die
Schaltfläche
Schaltfläche Zertifikat-Tabelle.
Image Removed
Image Added
1.5 Fügen Sie
einen
einen neuen Eintragmit folgenden Parametern hinzu:
Name:Der Name kann frei gewählt werden und dient zur Identifizierung auf diesem Gerät.
CA-Distinguished Name:Als Distinguished Namemüssen Sie den Namen der CA eintragen. In diesem Beispiel ist das der Standard-
Name
Name /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE.
Subject:Hier muss der Zertifikatsname eingetragen werden, den die Zentrale verwenden soll. In diesem Beispiel wird nur der Common Name (CN)verwendet (/CN=ZENTRALE).
Diesen
Diesen Zertifikatsnamen benötigen Sie bei der Konfiguration der VPN-Verbindung auf dem Router der Zentrale (als lokale Identität)und auf dem Router der Filiale (als entfernte Identität).
Challenge Passwort:In diesem Beispiel verwenden wir das Basis-Challenge-Passwort. Tragen Sie also das Passwort ein, welches im Schritt 1.3vergeben wurde.
Schlüssellänge: Wählen Sie eine Schlüssellänge aus. In diesem Beispiel verwenden wir eine Schlüssellänge von 2048 bit.
Verwendungs-Typ:Bei zertifikatsbasierten VPN-Verbindungen müssen Sie angeben, in welchen VPN Zertifikats-Container im Gerät das Zertifikat der Zentrale geladen werden soll. In diesem Beispiel verwenden wir den Container VPN1.
Image Removed
Image Added
2. Einrichten der SCEP-Client-Funktionalität auf dem LANCOM Router in der Filiale:
2.1 Wechseln Sie in das
Menü
Menü SCEP-Client und aktivieren Sie zunächst die SCEP-Client-Funktionalität.
2.2 Klicken Sie dann auf die
Schaltfläche
Schaltfläche CA-Tabelle.
Image Removed
Image Added
2.3 Fügen Sie
einen
einen neuen Eintragmit folgenden Parametern hinzu:
Name:Der Name kann frei gewählt werden und dient zur Identifizierung auf diesem Gerät.
URL:Die URL ist nach folgendem Schema aufgebaut: https://<IP-Adresse>/cgi-bin/pkiclient.exe. Ersetzen Sie die <IP-Adresse> mit der IPv4-Adresse unter der die CA aus dem WAN erreichbar ist.
Als Distinguished Namemüssen Sie den Namen der CA eintragen. In diesem Beispiel ist das der Standard-
Name
Name /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE.
Image Removed
Image Added
2.4 Klicken Sie auf die
Schaltfläche
Schaltfläche Zertifikat-Tabelle.
2.5 Fügen Sie
einen
einen neuen Eintragmit folgenden Parametern hinzu:
Name:Der Name kann frei gewählt werden und dient zur Identifizierung auf diesem Gerät.
CA-Distinguished Name:Als Distinguished Namemüssen Sie den Namen der CA eintragen. In diesem Beispiel ist das der Standard-Name /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE
Subject:Hier muss der Zertifikatsname eingetragen werden, den die Filiale verwenden soll. In diesem Beispiel wird nur der Common Name (CN) verwendet (/CN=FILIALE).
Diesen
Diesen Zertifikatsnamen benötigen Sie bei der Konfiguration der VPN-Verbindung auf dem Router der Filiale (als lokale Identität)und auf dem Router der Zentrale (als entfernte Identität).
Challenge Passwort: In diesem Beispiel verwenden wir das Basis-Challenge-Passwort. Tragen Sie also das Passwort ein, welches im Schritt 2.1vergeben wurde.
Schlüssellänge: Wählen Sie eine Schlüssellänge aus. In diesem Beispiel verwenden wir eine Schlüssellänge von 2048 bit.
Verwendungs-Typ:Bei zertifikatsbasierten VPN-Verbindungen müssen Sie angeben, in welchen VPN Zertifikats-Container im Gerät das Zertifikat der Zentrale geladen werden soll. In diesem Beispiel verwenden wir den Container VPN1.
Image Removed
Image Added
3. Konfiguration der VPN-Verbindung auf dem LANCOM Router in der Zentrale:
3.1 Starten Sie
den
den Setup-Assistenten auf dem Router in der Zentraleund wählen Sie die Option Zwei lokale Netze verbinden (VPN).
Image Removed
Image Added
3.2 Die VPN-Verbindung soll über eine Internet-Verbindung hergestellt werden.
Image Removed
Image Added
3.
3
3 IPSec-over-HTTPSwird in diesem Konfigurationsbeispiel nicht verwendet.
Image Removed
Image Added
3.4 Es
soll
soll keine dynamische VPN-Verbindungkonfiguriert werden.
Image Removed
Image Added
3.5 Da beide Seiten über
eine
eine feste öffentliche IP-Adresseverfügen, können Sie die erste Option auswählen.
Image Removed
Image Added
3.6
Als
Als Eigener Bezeichnermuss ZENTRALE eingetragen werden.
Image Removed
Image Added
3.7
Der
Der Name der Gegenstelleist FILIALE.
Image Removed
Image Added
3.8
Die
Die VPN-Verbindungs-Authentifizierungwird über Zertifikate (RSA Signature)durchgeführt.
Image Removed
Image Added
3.9 Geben Sie
ein
ein Passwort für die Verbindung ein, mit der die IP-Adresse des entfernten Gateways übermittelt wird.
Dieses Passwort benötigen Sie im Schritt 4.9 erneut, daher sollten Sie sich dieses notieren.
Image Removed
Image Added
3.10 In diesem Beispiel ist dieLokale Identität /CN=ZENTRALE, als Entfernte Identität müssen Sie /CN=FILIALE eintragen.
Image Removed
Image Added
3.11 Wählen Sie die
Option
Option Optimierter Verbindungsaufbau.
Image Removed
Image Added
3.12 Da
der
der LANCOM Router in der Zentrale die VPN-Verbindung annehmensoll, müssen Sie die untere Option wählen und als VPN Haltezeit den Wert 0eintragen.
Image Removed
Image Added
3.13 Im nächsten Dialog müssen Sie
die
die öffentliche IP-Adresse oder FQDN des Routers in der Filialeeingeben. In diesem Beispiel ist das die 81.81.81.81.
Das
Das lokale Netzwerk, welches in der Filiale erreicht werden soll hat die IP-Adresse 192.168.2.0/24.
Image Removed
Image Added
3.
14
14 Extranet VPNwird in diesem Beispiel nicht verwendet.
Image Removed
Image Added
3.
15
15 NetBIOSwird in diesem Beispiel nicht verwendet.
Image Removed
Image Added
3.16 Klicken Sie
auf
auf Fertig stellen, um die Konfiguration in den LANCOM Router zurück zu schreiben.
Image Removed
Image Added
4. Konfiguration der VPN-Verbindung auf dem LANCOM Router in der Filiale:
4.1 Starten Sie
den
den Setup-Assistenten auf dem Router in der Filialeund wählen Sie die Option Zwei lokale Netze verbinden (VPN).
Image Removed
Image Added
4.2 Die VPN-Verbindung soll über eine Internet-Verbindung hergestellt werden.
Image Removed
Image Added
4.
3
3 IPSec-over-HTTPSwird in diesem Konfigurationsbeispiel nicht verwendet.
Image Removed
Image Added
4.4 Es
soll
soll keine dynamische VPN-Verbindungkonfiguriert werden.
Image Removed
Image Added
4.5 Da beide Seiten über
eine
eine feste öffentliche IP-Adresseverfügen, können Sie die erste Option auswählen.
Image Removed
Image Added
4.6
Als
Als Eigener Bezeichnermuss FILIALE eingetragen werden.
Image Removed
Image Added
4.7
Der
Der Name der Gegenstelleist ZENTRALE.
Image Removed
Image Added
4.8
Die
Die VPN-Verbindungs-Authentifizierungwird über Zertifikate (RSA Signature)durchgeführt.
Image Removed
Image Added
4.9 Geben Sie im
Feld
Feld Passwort das gleiche Passwort ein, welches Sieim Schritt 3.9 vergeben haben.
Image Removed
Image Added
4.10 In diesem Beispiel ist dieLokale Identität /CN=FILIALE, als Entfernte Identität müssen Sie /CN=ZENTRALE eintragen.
Image Removed
Image Added
4.11 Wählen Sie die
Option
Option Optimierter Verbindungsaufbau.
Image Removed
Image Added
4.12 Da
der
der LANCOM Router in der Filiale die VPN-Verbindung zur Zentrale aufbauensoll, müssen Sie die oberste Option wählen.
Image Removed
Image Added
4.13 Im nächsten Dialog müssen Sie
die
die öffentliche IP-Adresse oder FQDN des Routers in der Zentraleeingeben. In diesem Beispiel ist das die 80.80.80.80.
Das
Das lokale Netzwerk, welches in der Zentrale erreicht werden soll hat die IP-Adresse 192.168.1.0/24.
Image Removed
Image Added
4.
14
14 Extranet VPNwird in diesem Beispiel nicht verwendet.
Image Removed
Image Added
4.
15
15 NetBIOSwird in diesem Beispiel nicht verwendet.
Image Removed
Image Added
4.16 Klicken Sie
auf
auf Fertig stellen, um die Konfiguration in den LANCOM Router zurück zu schreiben.
Image Removed
Image Added
Die Konfigurationsschritte sind damit beendet.Nachdem die Konfiguration in den LANCOM Router der Filiale zurück geschrieben wurde, baut dieser die VPN-Verbindung zum Router in der Zentrale auf.