Beschreibung: Dieses Dokument beschreibt, wie per LANCOM Smart Certificate erstellte Zertifikate für eine zertifikatsbasierte IKEv2-VPN-Verbindung zwischen zwei LANCOM Routern verwenden können. Die Authentifizierung erfolgt hierbei über das Digital-Signature Verfahren. Voraussetzungen:Vorgehensweise:1. Aktivieren der Zertifizierungsstellen-Funktion im LANCOM Router der Zentrale: In diesem Konfigurationsbeispiel soll der LANCOM Router in der Zentrale als CA für die Erstellung der Zertifikate verwendet werden (Smart Certificate Funktion). Wenn Sie Zertifikate einer anderen CA verwenden möchten, müssen Sie die CA des LANCOM Routers nicht verwenden und können diesen Konfigurationsschritt überspringen. 1.1 Öffnen Sie die Konfiguration des LANCOM Routers der Zentrale in LANconfig und wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA). 1.2 Haken Sie die Option Zertifizierungsstelle (CA) aktiviert an. Der LANCOM Router soll als Haupt-Zertifizierungsstelle(Root-CA) arbeiten. Info:
Alle anderen Parameter belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Werten.  Image Added Image Removed2. Hochladen der Zertifikate in die LANCOM Router:2.1 Führen Sie jeweils einen rechten Mausklick auf den LANCOM Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen.  Image Removed Image Added22.2 Wählen Sie im folgenden Dialog die jeweilige Zertifikatsdatei für den LANCOM Router aus. 2.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen. 2.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen. Klicken Sie dann auf Öffnen um den Hochladevorgang zu starten.  Image Added Image Removed3. Konfigurieren der zertifikatsbasierten VPN-Verbindung im LANCOM Router der Zentrale:3.1 Starten Sie den Setup-Assistent in LANconfig und wählen Sie die Option Zwei lokale Netze verbinden (VPN).  Image Removed Image Added3.2 Es soll eine IKEv2-VPN-Verbindung erstellt werden.  Image Removed Image Added3.3 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet.  Image Removed Image Added3.4 Geben Sie eine Namensbezeichnung für den LANCOM Router auf der Gegenseite an.  Image Removed Image Added3.5 In den folgenden zwei Dialogen können Sie beliebige Werte eintragen, da diese später in der Konfiguration des LANCOM Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden (siehe Schritt 3.9ff).  Image Added Image Removed Image Removed Image Added3.6 Der LANCOM Router in der Zentrale soll die VPN-Verbindung annehmen.  Image Removed Image Added3.7 Da der LANCOM Router in der Zentrale die VPN-Verbindung annimmt, muss keine Gateway-Adresse eingetragen werden. Geben Sie das lokale Netzwerk an, welches auf der Gegenseite erreicht werden soll.  Image Removed Image Added3.8 Klicken Sie auf Fertig stellen um den Setup-Assistent zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben.  Image Removed Image Added3.9 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung. 3.10 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Client-Verbindung aus (hier: FILIALE). - Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte Digital-Signature und ASN.1 Distinguished Name an.
- Als Digital-Signature Profil müssen Sie auf beiden Seiten jeweils DEFAULT-RSA-PKCS einstellen.
- Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router der Zentrale ein.
- Tragen Sie als entfernte Identität den Namen des Zertifikats vom LANCOM Router der Filiale ein.
- Wählen Sie bei Lokales Zertifikat den VPN-Container, den Sie in Schritt 2.3 verwendet haben.
 Image Removed Image Added3.11 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.
4. Konfigurieren der zertifikatsbasierten VPN-Verbindung im LANCOM Router der Filiale: 4.1 Starten Sie den Setup-Assistent in LANconfig und wählen Sie die Option Zwei lokale Netze verbinden (VPN).  Image Removed Image Added4.2 Es soll eine IKEv2-VPN-Verbindung erstellt werden.  Image Removed Image Added4.3 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet.  Image Removed Image Added4.4 Geben Sie eine Namensbezeichnung für den LANCOM Router auf der Gegenseite an.  Image Removed Image Added4.5 In den folgenden zwei Dialogen können Sie beliebige Werte eintragen, da diese später in der Konfiguration des LANCOM Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden (siehe Schritt 4.9ff).  Image Added Image Removed Image Removed Image Added4.6 Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Zentrale aufbauen.  Image Removed Image Added4.7 Da der LANCOM Router in der Filiale die VPN-Verbindung zur Zentrale aufbaut, muss die Gateway-Adresse der Zentrale eingetragen werden. Geben Sie das lokale Netzwerk an, welches auf der Gegenseite erreicht werden soll.  Image Removed Image Added4.8 Klicken Sie auf Fertig stellen, um den Setup-Assistent zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben.  Image Removed Image Added4.9 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung. 4.10 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Verbindung aus (hier: ZENTRALE). - Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte Digital-Signature und ASN.1 Distinguished Name an.
- Als Digital-Signature Profil müssen Sie auf beiden Seiten jeweils DEFAULT-RSA-PKCS einstellen.
- Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router der Filiale ein.
- Tragen Sie als entfernte Identität den Namen des Zertifikats vom LANCOM Router der Zentrale ein.
- Wählen Sie bei Lokales Zertifikat den VPN-Container, den Sie in Schritt 2.3 verwendet haben.
 Image Removed Image Added4.15 Schreiben Sie die Konfiguration in den LANCOM Router der Filiale zurück. Die zertifikatsbasierte IKEv2-VPN-Verbindung zur Zentrale wird nach kurzer Zeit aufgebaut. | 
