Skip to end of metadata
Go to start of metadata


Beschreibung:
In diesem Dokument ist beschrieben, wie eine IKEv1-Verbindung mit dem LANCOM Advanced VPN Client zu einer LANCOM R&S®Unified Firewall (im Folgenden als "Unified Firewall" bezeichnet) eingerichtet werden kann.


Voraussetzungen:
  • LANCOM R&S®Unified Firewall mit LCOS FX Version 10.2 und bis LCOS FX 10.3
  • LANCOM Advanced VPN Client ab Version 3.00
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:
1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:
  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv1 Client-To-Site Verbindung ermöglichen.
  • Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der LANCOM Advanced VPN Client installiert.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.66.0/24.

2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:
  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv1 Client-To-Site Verbindung ermöglichen.
  • Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der LANCOM Advanced VPN Client installiert.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router die feste öffentliche IP-Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.66.0/24.
Info:
Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben.



Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Port- und Protokollforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).
1. Konfigurationsschritte auf der Unified Firewall:
1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln auf VPN -> IPSec-Einstellungen.
1.2 Aktivieren Sie IPSec.
1.3 Wechseln Sie auf VPN -> IPSec-Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.
1.4 Hinterlegen Sie folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Verbindungstyp: Wählen Sie Client-to-Site aus.
  • Netzwerk-Verbindung: Wählen Sie im Dropdown-Menü das WAN-Objekt aus, welches für die Internet-Verbindung verwendet wird.
  • Lokales Netzwerk: Hinterlegen Sie das lokale Netzwerk in CIDR-Schreibweise (Classless Inter-Domain Routing), mit dem der VPN-Client kommunizieren soll.
  • Client IP: Weisen Sie dem VPN-Client eine IP-Adresse aus dem lokalen Netzwerk zu, die diesem bei jeder Einwahl über den IKE-Config-Mode zugeteilt wird.

    Wichtig:
    Der Name darf nur Buchstaben, Zahlen und Unterstriche enthalten!
1.5 Wechseln Sie in den Reiter Authentifizierung und hinterlegen folgende Parameter:
  • Authentifizierungstyp: Wählen Sie PSK only (Preshared Key) aus.
  • Preshared Key: Vergeben Sie einen Preshared Key.
  • Local Identifier: Vergeben Sie die Lokale Identität.
  • Remote Identifier: Vergeben Sie die Entfernte Identität.
Wichtig:
Der Local und Remote Identifier dürfen nicht übereinstimmen!
1.6 Wechseln Sie in den Reiter ISAKMP (IKE) und wählen bei IKE Version den Typ IKEv1 aus.
Die restlichen Parameter verbleiben auf den Standard-Werten.
1.7 Klicken Sie auf das Symbol zum Erstellen eines neuen VPN-Hosts.
1.8 Hinterlegen Sie folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • VPN-Verbindungstyp: Wählen Sie den Typ IPSec.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPSec die in Schritt 1.4 -1.6 erstellte VPN-Verbindung aus.
1.9 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches der Advanced VPN Client zugreifen können soll, damit die Firewall-Objekte geöffnet werden.
Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches der Advanced VPN Client Zugriff haben soll.
1.10 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.
Info:
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Info:
Die Firewall-Objekte können Sie auch über Desktop -> Desktop-Verbindungen aufrufen, indem Sie auf das "Bearbeiten-Symbol" klicken.

1.11 Klicken Sie nun in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
1.12 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.


2. Konfigurationsschritte im Advanced VPN Client:
2.1 Öffnen Sie den Advanced VPN Client und wechseln in das Menü Konfiguration -> Profile.
2.2 Klicken Sie auf Hinzufügen/Import, um einen neuen VPN-Zugang zu erstellen.
2.3 Wählen Sie Verbindung zum Firmennetz über IPSec.
2.4 Vergeben Sie einen aussagekräftigen Namen.
2.5 Wählen Sie das Verbindungsmedium aus.
Info:
Werden wechselnde Verbindungsmedien verwendet (z.B. LAN und WLAN), verwenden Sie das Verbindungsmedium automatisch.
2.6 Geben Sie die öffentliche IP-Adresse oder den DynDNS-Namen der Unified Firewall an.
2.7 Setzen Sie den Austausch-Modus auf IKEv1 und die PFS-Gruppe auf DH16 (modp4096). Deaktivieren Sie die Funktion IPSec-over-HTTPS.
2.8 Hinterlegen Sie folgende Parameter:
  • Typ: Wählen Sie im Dropdown-Menü den Identitätstyp Fully Qualified Username (FQUN) aus.
  • ID: Hinterlegen Sie den in Schritt 1.5 vergebenen Remote Identifier.
  • Shared Secret: Hinterlegen Sie das in Schritt 1.5 vergebene Preshared Key.
2.9 Wählen Sie im Dropdown-Menü IKE Config Mode verwenden aus, damit dem VPN-Client die IP-Adresse automatisch durch die Unified Firewall zugewiesen wird.
2.10 Hinterlegen Sie zwecks Verwendung der Funktion Split-Tunneling das Zielnetz, welches über den VPN-Tunnel erreicht werden soll.
Wichtig:
Ohne konfiguriertes Split-Tunneling wird bei aufgebautem VPN-Tunnel aller Datenverkehr über den VPN-Tunnel übertragen, also auch der für das lokale Netzwerk oder das Internet bestimmte Datenverkehr. Dies kann zu Kommunikations-Problemen führen!
2.11 Die Konfigurationsschritte im Advanced VPN Client sind damit abgeschlossen.


3. Einrichtung eines Port- und Protokoll-Forwarding auf einem LANCOM Router (nur Szenario 2):
Für IPSec werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP benötigt. Diese müssen auf die Unified Firewall weitergeleitet werden.
Werden die UDP-Ports 500 und 4500 weitergeleitet, wird das Protokoll ESP automatisch mit weitergeleitet.
Info:
Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller

Wichtig:
Werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP auf die Unified Firewall weitergeleitet, kann eine IPSec-Verbindung auf dem LANCOM Router nur noch verwendet werden, wenn diese in HTTPS gekapselt wird (IPSec-over-HTTPS). Ansonsten kann keine IPSec-Verbindung mehr aufgebaut werden!

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router -> Maskierung -> Port-Forwarding-Tabelle.
3.2 Hinterlegen Sie folgende Parameter:
  • Anfangs-Port: Hinterlegen Sie den Port 500.
  • End-Port: Hinterlegen Sie den Port 500.
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
  • Protokoll: Wählen Sie im Dropdown-Menü UDP aus.
3.3 Erstellen Sie einen weiteren Eintrag und hinterlegen den UDP-Port 4500.
3.4 Schreiben Sie die Konfiguration in den Router zurück.