Beschreibung: Dieses Dokument beschreibt anhand eines Beispiels, wie Sie eine VPN-Verbindung zwischem einem LANCOM Router und einer FRITZ!Box erstellen, über welche zwei lokale Netzwerke gekoppelt werden können. Voraussetzungen:Szenario:- Der LANCOM Router besitzt die öffentliche IP-Adresse 82.82.82.82 und das lokale Netzwerk den Adressbereich 192.168.7.0/24.
- Die FRITZ!Box auf der Gegenseite besitzt die öffentliche IP-Adresse 81.81.81.81. Das lokale Netzwerk besitzt den Adressbereich 192.168.192.0/24.
- Beide lokale Netzwerke sollen über eine IKEv1 VPN-Verbindung im Main-Mode gekoppelt werden. Es sollen alle Geräte in den jeweiligen lokalen Netzwerken erreicht werden können.
 Vorgehensweise:1. Konfiguration der VPN-Verbindung auf dem LANCOM Router: 1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → Allgemein. 1.2 Aktivieren Sie die Funktion Virtual Private Network. 1.3 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Proposals. 1.4 Erstellen Sie ein neues IKE-Proposal mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für das neue Proposal.
- Verschlüsselung: Wählen Sie AES-CBC aus.
- Schlüssel-Länge: Hier muss der Wert 256 bit eingetragen sein.
- Hash: Als Hash-Algorythmus wird SHA1 eingestellt.
- Authentifizierung: Hier muss Preshared Key eingestellt werden.
- Gültigkeitsdauer: Vergeben Sie eine Dauer von 3600 Sekunden und 0 kBytes.
1.5 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Proposal-Listen. 1.6 Erstellen Sie eine neue IKE-Proposal-Liste mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für die neue Liste.
- Proposal: Wählen Sie das in Schritt 1.4 erstellte IKE-Proposal aus.
1.7 Wechseln Sie in das Menü VPN → IKE/IPSec → IPSec-Proposals. 1.8 Erstellen Sie ein neues IPSec-Proposal mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für das neue Proposal.
- Modus: Wählen Sie Tunnel aus.
- Verschlüsselung: Wählen Sie AES-CBC aus.
- Schlüssel-Länge: Hier muss der Wert 256 bit eingetragen sein.
- Authentifizierung: Hier muss HMAC-SHA1 eingestellt werden.
- Authentifizierung (AH-Proposal): Hier muss Kein AH eingestellt werden.
- Kompression: Es wird kein IPCOMP verwendet.
- Gültigkeitsdauer: Vergeben Sie eine Dauer von 7.200 Sekunden und 2.000.000 kBytes.
| Info |
|---|
Der Modus "Transport" ist in LCOS 10.40 weggefallen, sodass ab dieser Version immer der Modus "Tunnel" verwendet wird. |
1.9 Wechseln Sie in das Menü VPN → IKE/IPSec → IPSec-Proposal-Listen. 1.10 Erstellen Sie eine neue IPSec-Proposal-Liste mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für die neue Liste.
- Proposal: Wählen Sie das in Schritt 1.8 erstellte IPSec-Proposal aus.
1.11 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Schlüssel & Identitäten. 1.12 Erstellen Sie einen neuen Eintrag mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für den neuen Eintrag.
- Preshared Key: Vergeben Sie ein komplexes Passwort, welches als Preshared Key verwendet werden soll.
- Lokaler Identität-Typ: Hier muss die Option Keine Identität ausgewählt werden.
- Lokale-Identität: Dieses Feld muss leer bleiben.
- Entfernter Identität-Typ: Hier muss die Option Keine Identität ausgewählt werden.
- Entfernte-Identität: Dieses Feld muss leer bleiben.
1.13 Wechseln Sie in das Menü VPN → IKE/IPSec → Verbindungs-Parameter. 1.14 Erstellen Sie einen neuen Eintrag mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für den neuen Eintrag.
- PFS-Gruppe: Hier wird die Gruppe 14 ausgewählt.
- IKE-Gruppe: Hier wird die Gruppe 14 ausgewählt.
- IKE-Proposals: Hier muss die in Schritt 1.6 erstellte IKE-Proposal-Liste ausgewählt werden.
- IKE-Schlüssel: Hier muss der in Schritt 1.12 erstellte Eintrag ausgewählt werden.
- IPSec-Proposals: Hier muss die in Schritt 1.10 erstellte IPSec-Proposal-Liste ausgewählt werden.
1.15 Wechseln Sie in das Menü VPN → IKE/IPSec → Verbindungs-Liste. 1.16 Erstellen Sie einen neuen Eintrag mit folgenden Werten: - Name der Verbindung: Vergeben Sie einen eindeutigen Namen für den neuen Eintrag.
- Haltezeit: Hier wird der Wert 0 eingestellt. Das bedeutet, dass der LANCOM Router die VPN-Verbindung nicht aktiv aufbaut, sondern eine Anfrage zum Verbindungsaufbau von der FRITZ!Box annimmt.
- Dead Peer Detection: Hier muss ein Wert von 60 Sekunden eingetragen sein.
- Entferntes Gateway: Tragen Sie hier die öffentliche IP-Adresse oder die öffentliche DNS-Adresse der FRITZ!Box ein.
- Verbindungs-Parameter: Hier müssen Sie das in Schritt 1.14 erstellte Profil auswählen.
- Es wird kein dynamisches VPN verwendet.
- Als IKE-Exchange Modus muss Main-Mode ausgewählt werden.
- Regelerzeugung: Hier muss die Option Manuell ausgewählt werden.
1.17 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln. 1.18. Erstellen Sie eine neue Firewall-Regel mit folgenden Parametern: - In der Registerkarte Allgemein vergeben Sie einen Namen für die Regel und legen fest, dass diese Regel zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet wird.
- In der Registerkarte Aktionen muss die Aktion ACCEPT eingestellt werden.
- In der Registerkarte Stationen müssen Sie im oberen Feld das Objekt LOCALNET einstellen. Im unteren Feld muss die im Schritt 1.16 erstellte VPN-Gegenstelle ausgewählt werden.
- In der Registerkarte Dienste bleiben die Standard-Einstellungen erhalten.
1.19 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle. 1.20 Erstellen Sie eine Route, welche auf das lokale Netzwerk der Gegenseite verweist. - In diesem Beispiel ist dies das Netzwerk mit dem IP-Adressbereich 192.168.192.0/24.
- Als Router muss die im Schritt 1.16 erstellte VPN-Gegenstelle ausgewählt werden.
1.21 Schließen Sie die Dialoge mit der Schaltfläche OK und schreiben Sie die Konfiguration in den LANCOM Router zurück.
2. Konfiguration der VPN-Verbindung auf der FRITZ!Box: 2.1 Verwenden Sie die folgende Konfigurations-Datei und passen Sie diese in einem Text-Editor in folgenden Punkten individuell an: | View file |
|---|
| name | fritzbox_DH14AES256-20171128.cfg |
|---|
| height | 150 |
|---|
|
- name: Hier müssen Sie einen Namen für die VPN-Verbindung eintragen.
- always_renew: Tragen Sie hier yes ein, damit die FRITZ!Box die VPN-Verbindung nach einem Verbindungsabbruch aktiv aufbauen kann.
- remoteip: Tragen Sie hier die öffentliche IP-Adresse des LANCOM Routers ein. In diesem Beispiel ist das die Adresse 82.82.82.82.
- mode: Da in diesem Beispiel eine Main-Mode Verbindung aufgebaut wird, müssen Sie hier den Wert phase1_mode_idp eintragen.
- phase1ss: Geben Sie hier den Parameter dh14/aes/sha ein.
- keytype: Hier muss der Wert connkeytype_pre_shared. Damit legen Sie fest, dass ein Preshared-Key verwendet wird.
- key: Tragen Sie hier den gleichen Preshared-Key ein, welchen Sie im Schritt 1.12 vergeben haben.
- phase2localid: Tragen Sie hier den Adressbereich des lokalen Netzwerkes der FRITZ!Box sowie die zugehörige Netzmaske ein. In diesem Beispiel ist das der Adressbereich 192.168.192.0 und die Netzmaske 255.255.255.0.
- phase2remoteid: Tragen Sie hier den Adressbereich des lokalen Netzwerkes vom LANCOM Router sowie die zugehörige Netzmaske ein. In diesem Beispiel ist das der Adressbereich 192.168.7.0 und die Netzmaske 255.255.255.0.
- phase2ss: Tragen Sie hier den Parameter esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs ein.
- accesslist: Da alle Geräte des Netzwerkes auf der Gegenseite erreicht werden sollen, muss hier der Parameter permit ip any 192.168.7.0 255.255.255.0 eingetragen werden.
 2.2 Öffnen Sie die Konfigurationsoberfläche der FRITZ!Box und wechseln Sie in das Menü Internet → Freigaben → VPN. 2.3 Fügen Sie eine neue VPN-Verbindung hinzu. 2.4 Wählen Sie die Option Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren. Klicken Sie dann auf Weiter. 2.5 Laden Sie die erstellte Konfigurations-Datei in die FRITZ!Box. 2.6 Nachdem die Konfigurations-Datei in die FRITZ!Box geladen wurde, wird die VPN-Verbindung zum LANCOM Router aufgebaut. | 
