Beschreibung:
Dieses Dokument beschreibt, wie per LANCOM Smart Certificate erstellte Zertifikate für eine zertifikatsbasierte VPN Client-Verbindung verwenden können.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.

Die Konfiguration einer zertifikatsbasierten IKEv2-Verbindung zwischen dem Advanced VPN Client und einem LANCOM Router ist in diesem Knowledge Base Artikel beschrieben.


HowTo-Video:
Dieser Knowledgebase-Artikel ist auch als HowTo-Video verfügbar .


Voraussetzungen:


Vorgehensweise:
1. Aktivieren der Zertifizierungsstellen-Funktion im LANCOM Router
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA).
1.2 Haken Sie die Option Zertifizierungsstelle (CA) aktiviert an. Der LANCOM Router soll als Haupt-Zertifizierungsstelle (Root-CA) arbeiten.

Alle anderen Parameter belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Werten.



2. Hochladen des Router-Zertifikats in den LANCOM Router
2.1 Führen Sie einen rechten Mausklick auf den LANCOM Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen.
2.2 Wählen Sie im folgenden Dialog die Zertifikatsdatei für den LANCOM Router aus.
2.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen.
2.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen. Klicken Sie dann auf Öffnen, um den Hochladevorgang zu starten.


3. Konfigurieren der zertifikatsbasierten VPN Client-Verbindung im LANCOM Router
3.1 Starten Sie den Setup-Asistenten in LANconfig und wählen Sie die Option Einwahl-Zugang bereitstellen (RAS, VPN).
3.2 Wählen Sie die Option VPN-Verbindung über das Internet.
3.3 Deaktivieren Sie die Option ...1-Click-VPN.
3.4 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet.
3.5 Vergeben Sie einen Namen für die neue VPN-Verbindung.
3.6 Im nächsten Dialog müssen Sie die öffentliche Adresse (IP-Adresse oder FQDN) des LANCOM Routers angeben.
3.7 Wählen Sie für diese Verbindung die Option Zertifikate (RSA Signature) und Main Mode für die VPN-Verbindungs-Authentifizierung aus.
3.8 Im nächsten Dialog müssen Sie die Identitäten der Zertifikate eintragen.
  • Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router ein.
  • Tragen Sie als entfernte Identität den Namen des Zertifikats vom VPN Client ein.
3.9 Geben Sie eine lokale IP-Adresse für den LANCOM Advanced VPN Client ein.
3.10 In diesem Beispiel sollen alle lokalen IP-Adressen vom VPN Client erreicht werden können.
3.11 NetBIOS wird in diesem Beispiel nicht verwendet.
3.12 Geben Sie im nächsten Dialog den Pfad an, unter welchem die VPN-Profildatei (*.ini) gespeichert werden soll.
3.13 Klicken Sie auf Fertig stellen, um den Setup Assistenten zu beenden. Die Konfiguration wird in den LANCOM Router zurück geschrieben, die VPN-Profildatei wird erzeugt und im angegebenen Verzeichnis gespeichert.


4. Einbinden des VPN Client-Zertifikats in den LANCOM Advanced VPN Client
4.1 Öffnen Sie im LANCOM Advanced VPN Client die Option Konfiguration → Zertifikate.
4.2 Erzeugen Sie eine neue Zertifikatskonfiguration mit der Schaltfläche Hinzufügen.
4.3 Vergeben Sie einen Namen für die neue Zertifikatskonfiguration.
  • im Feld Zertifikat muss die Option aus PKCS#12-Datei ausgewählt werden
  • im Feld PKCS#12-Datei mus der Pfad zur Zertifikatsdatei für den VPN Client eingestellt werden.
  • zur besseren Sicherheit legen wir in diesem Beispiel fest, dass vor jedem VPN-Verbindungsaufbau das Passwort des VPN Client-Zertifikats eingegeben werden muss.


5. Importieren der *.ini-Datei und Konfiguration der VPN-Verbindung im LANCOM Advanced VPN Client
5.1 Öffnen Sie im LANCOM Advanced VPN Client die Option Konfiguration → Profile und klicken Sie auf Hinzufügen/Import.
5.2 Wählen Sie die Option Profile importieren.
5.3 Stellen Sie den Pfad zur VPN-Profildatei ein, welche im Schritt 3.13 erzeugt wurde.
5.4 Klicken Sie auf Fertigstellen, um den Importvorgang abzuschließen.
5.5 Wählen Sie das importierte Profil aus und klicken Sie auf Bearbeiten.
5.6 Wechseln Sie in das Menü I dentität und deaktivieren Sie die Option Pre-shared Key verwenden.
5.7 Als Zertifikats-Konfiguration müssen Sie die in Schritt 5.3 erstellte Zertifikats-Konfiguration einstellen (hier: Zert).
5.8 Die Konfigurationsschritte sind damit abgeschlossen. Schließen Sie die Dialoge des LANCOM Advanced VPN Client mit OK.


6. Funktionsüberprüfung
6.1 Klicken Sie im LANCOM Advanced VPN Client auf die Schaltfläche Verbindung.
6.2 Geben Sie das Passwort ein, welches Sie für das Zertifikat des VPN Client vergeben haben.
6.3 Die VPN-Verbindung wird daraufhin aufgebaut und kann genutzt werden.



Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH