Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Page properties


Description:

Bei einer SiteWith a site-to-Site VPN-Verbindung existiert immer eine Seite, welche eine VPN-Verbindung aktiv aufbaut (Initiator) und eine Gegenseite, welche die Verbindung annimmt (Responder).

Zwar ist es auch möglich, dass bei Seiten versuchen, eine VPN-Verbindung aktiv aufzubauen. Dies führt in der Regel jedoch zu Problemen, da eine Verbindungsanfrage an eine Seite, die ebenfalls eine Verbindungsanfrage an die Gegenseite sendet, fehlschlägt.

Dieses Dokument beschreibt, wie Sie verhindern können, dass beide Seiten einer VPN-Verbindung gleichzeitig versuchen, eine Verbindung aktiv aufzubauensite VPN connection, one site actively establishes the VPN connection (initiator) while the opposite site accepts the connection (responder).

It is also possible for both sites to be able to actively establish a VPN connection. However, this generally leads to problems because connection requests at the same time in both directions will fail.

This document describes how you can prevent both sides of a VPN connection from simultaneously trying to actively establish a connection.


Requirements:


Scenario:

Eine SiteIn this example, a site-to-Site VPN-Verbindung soll in diesem Beispiel immer von der Filiale zur Zentrale aufgebaut werdensite VPN connection should always be established from the branch office to the headquarters.

Image Modified


Procedure:

1. Stellen Sie sicher, das in der VPN-Verbindungskonfiguration der Seite, welche die VPN-Verbindung annehmen soll, keine öffentliche IP-Adresse oder DNS-Name der aufbauenden Seite enthalten ist) Make sure that the VPN connection configuration at the responder site page does not include a public IP address or DNS name of the initiator site.

1.1 Öffnen Sie die Konfiguration des LANCOM Routers, welcher die VPN-Verbindung annehmen soll (in diesem Beispiel der Router in der Zentrale) Open the configuration of the LANCOM router that is the VPN responder (in this example the router at the headquarters).

1.2 Wechseln Sie in das Menü) Switch to the menu

  • VPN → IKE/IPSec →  Verbindungs-Liste (bei IKEv1-Verbindungen) oderIPSec → Connection list (with IKEv1 connections) or
  • VPN → IKEv2/IPSec →  Verbindungs-Liste (bei IKEv2-VerbindungenIPsec → Connection list (with IKEv2 connections).

1.3 Öffnen Sie den Eintrag für die VPN-Verbindung in der Liste.

1.4 Stellen Sie sicher, dass eine Haltezeit "0" eingestellt und das Feld "Entferntes Gateway" leer ist.

Image Removed

2. Erstellen Sie auf dem Router, welcher die VPN-Verbindung annehmen soll (in diesem Beispiel der Router in der Zentrale), eine Firewall-Regel, welche verbietet, IP-Pakete zur VPN-Gegenseite zu senden, solange die VPN-Verbindung noch nicht besteht.

2.1 Öffnen Sie die Konfiguration des LANCOM Routers, welcher die VPN-Verbindung annehmen soll.

2.2 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Aktions-Objekte.

2.3 Legen Sie ein neues Aktions-Objekt an.

Image Removed

2.4 Vergeben Sie einen Namen für das neue Objekt und klicken Sie auf der Registerkarte Aktionen auf die Schaltfläche Hinzufügen.

Image Removed

  • Als Bedingung müssen Sie die Optionen Wenn Verbinding nicht besteht und Für VPN-Route auswählen.
  • Die Paket-Aktion muss auf Zurückweisen eingestellt sein.

Image Removed

2.5 Klicken Sie auf OK um das Aktions-Objekt zu speichern und wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.

2.6 Legen Sie eine neue Firewall-Regel an:

  • Vergeben Sie einen Namen für die Regel.
  • Als Priorität müssen Sie den Wert 9999 eingeben. Damit ist sichergestellt, dass diese Regel als Erstes vom LANCOM Router berücksichtigt wird.
  • Wählen Sie in der Registerkarte Aktionen das im Schritt 2.4 erstellte Aktions-Objekt aus.
  • Konfigurieren Sie in der Registerkarte Stationen als Verbindungs-Quelle alle Stationen und als Verbindungs-Ziel die VPN-Verbindung (Gegenstelle) zur Filiale.

Image Removed

2.7 Speichern Sie die Firewall-Regel und stellen Sie sicher, dass diese immer an der ersten Stelle in der Liste steht.

Image Removed

2.8 Schreiben Sie die Konfiguration in den LANCOM Router zurück) Open the entry for the VPN connection in the list.

1.4) Make sure that the short hold time is set to “0” and the remote “Gateway” field is left empty.

Image Added

2) On the router that is the VPN responder (in this example the router at the headquarters), create a firewall rule, which prohibits sending IP packets to the remote VPN site as long as no VPN connection is established.

2.1) Open the configuration of the LANCOM router that responds to the VPN connection.

2.2) Navigate to the menu Firewall/QoS → IPv4 rules → Action objects.

2.3) Add a new action object.

Image Added

2.4) Give the new object a name and, on the Actions tab,  click Add.

Image Added

  • Set the conditions so that action is only taken if not connected and for VPN route.
  • The Packet action must be set to Reject.

Image Added

2.5) Click on OK to save the action object and switch to the menu Firewall/QoS → IPv4 rules → Rules.

2.6) Create a new Firewall rule:

  • Enter a name for the rule.
  • Set the Priority to the value 9999. This ensures that this rule is the first to be processed by the LANCOM router.
  • On the Actions tab, select the action object created in step 2.4.

On the Stations tab, set the Connection source to all stations and the Connection destination as the VPN connection (remote site) to the branch office.

Image Added

2.7) Save the firewall rule and make sure it is always at the top of the list.

Image Added

2.8) Write the configuration back to the LANCOM router.