Beschreibung:
Dieses Dokument beschreibt, wie per LANCOM Smart Certificate erstellte Zertifikate für eine zertifikatsbasierte IKEv1 VPN Client-Verbindung zu einem Android-Endgerät verwenden können.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.


Voraussetzungen:
  • LCOS ab Version 9.10 (download)
  • LANtools ab Version 9.10 (download)
  • Mobiles Endgerät (Smartphone, Tablet-PC, etc.) mit Android Betriebssystem ab Version 4.x
  • LANCOM Central Site Gateway, WLAN Controller oder LANCOM Router mit aktivierter VPN 25-Option
  • Zertifikate für LANCOM Router und Android-Endgerät. Die Erstellung von Zertifikaten mit LANCOM Smart Certificate ist in diesem KnowledgeBase Artikel beschrieben.


Vorgehensweise:
1. Aktivieren der Zertifizierungsstellen-Funktion im LANCOM Router
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA).
1.2 Haken Sie die Option Zertifizierungsstelle (CA) aktiviert an. Der LANCOM Router soll als Haupt-Zertifizierungsstelle (Root-CA) arbeiten.

Alle anderen Parameter belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Werten.




2. Hochladen des Router-Zertifikats in den LANCOM Router
2.1 Führen Sie einen rechten Mausklick auf den LANCOM Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen.
2.2 Wählen Sie im folgenden Dialog die Zertifikatsdatei für den LANCOM Router aus.
2.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen.
2.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen. Klicken Sie dann auf Öffnen, um den Hochladevorgang zu starten.


3. Konfigurieren der zertifikatsbasierten VPN Client-Verbindung im LANCOM Router
3.1 Starten Sie den Setup-Asistenten in LANconfig und wählen Sie die Option Einwahl-Zugang bereitstellen (RAS, VPN).
3.2 Wählen Sie die Option VPN-Verbindung über das Internet.
Ab der LCOS-Version 9.20 müssen Sie explizit auswählen, das Sie eine IKEv1-Verbindung erstellen wollen! Mit dem IKEv2-Assistent kann keine zertifikatsbasierte Verbindung eingerichtet werden.
3.3 Deaktivieren Sie die Option ...1-Click-VPN.
3.4 IPSec-over-HTTPS wird in diesen Konfigurationsbeispiel nicht verwendet.
3.5 Vergeben Sie einen Namen für die neue VPN-Verbindung.
3.6 Im nächsten Dialog müssen Sie die öffentliche Adresse (IP- oder FQDN) des LANCOM Routers angeben.
3.7 Wählen Sie für diese Verbindung die Option Zertifikate (RSA Signature) und Main Mode für die VPN-Verbindungs-Authentifizierung aus.
3.8 Im nächsten Dialog müssen Sie die Identitäten der Zertifikate eintragen.
  • Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router ein.
  • Tragen Sie als entfernte Identität den Namen des Zertifikats vom VPN Client ein.
3.9 Geben Sie eine lokale IP-Adresse für das Andoid Gerät ein.
3.10 In diesem Beispiel sollen alle lokalen IP-Adressen vom VPN Client erreicht werden können.
3.11 NetBIOS wird in diesem Beispiel nicht verwendet.
3.12 Wählen Sie im nächsten Dialog keine der Optionen aus, da wir die Konfiguration der VPN-Verbindung auf dem Android-Endgerät manuell vornehmen müssen
(siehe Schritt 6).
3.13 Klicken Sie auf Fertig stellen, um den Setup Assistenten zu beenden. Die Konfiguration wird in den LANCOM Router zurück geschrieben.
3.14. Öffnen Sie die Konfiguration des LANCOM Routers und wechseln Sie in das Menü VPN → Allgemein → Verbindungs-Liste.
3.15 Öffnen Sie den Eintrag für die eingerichtete VPN Client-Verbindung.
3.16 Wählen Sie bei der Option XAUTH die Einstellung Server aus. Speichern Sie die Änderung dann mit der Schaltfläche OK.
3.17 Wechseln Sie in das Menü VPN → Allgemein → Verbindungs-Parameter.
3.18 Öffnen Sie den Eintrag für die eingerichtete VPN Client-Verbindung.
3.19 Stellen Sie den Parameter PFS-Gruppe auf den Wert Kein PFS ein.
3.20 Wechseln Sie in das Menü Konfiguration → Kommunikation → Protokolle → PPP-Liste.
3.21 Erstellen Sie einen neuen Eintrag.
  • Als Gegenstelle müssen Sie die eingerichtete VPN Client-Verbindung auswählen.
  • Im Feld Passwort müssen Sie ein Passwort vergeben.
  • Aktivieren Sie die Option IP-Routing aktivieren.

Den Gegenstellennamen und das Passwort benötigen Sie später im Punkt 6.2 zur Herstellung der VPN-Verbindung.

3.22 Speichern Sie die Konfiguration mit der Schaltfläche OK und schreiben Sie dann die Änderungen in den LANCOM-Router zurück.
Die Konfigurationsschritte auf dem LANCOM-Router sind hiermit abgeschlossen.


4. Einbinden Client-Zertifikats in das Android-Endgerät
4.1 Laden Sie das Client-Zertifikat in den Speicher des Android-Endgerätes.
4.2 Wechseln Sie in das Menü Einstellungen → Optionen → Sicherheit und wählen Sie im Bereich Berechtigungsspeicher die Option Von USB-Speicher installieren.
4.3 Wählen Sie die hochgeladene Zertifikatsdatei aus und vergeben Sie im folgende Dialog einen beliebigen Zertifikatsnamen. Als Verwendungstyp wird der Standard (VPN und Apps) eingestellt.
4.4 Tippen Sie auf OK, um den Vorgang abzuschließen.


5. Konfiguration der VPN-Verbindung im Android-Endgerät
5.1 Wechseln Sie in das Menü Einstellungen → Verbindungen → Weitere Einstellungen → VPN
5.2 Tippen Sie auf das Plus-Zeichen in der rechten oberen Ecke um einen neuen Eintrag hinzuzufügen.
5.3 Im nächsten Dialog müssen Sie folgende Einstellungen vornehmen:
  • Im Feld Name müssen Sie eine Namensbezeichnung für das neue VPN-Profil eintragen. Es kann ein beliebiger Name verwendet werden.
  • Im Auswahlfeld Typ muss IPSec Xauth RSA eingestellt werden.
  • Im Feld Serveradresse müssen Sie die öffentliche IP-Adresse oder die öffentliche DNS-Adresse des LANCOM-Routers eintragen.
  • In den Auswahlfeldern IPSec-Benutzerzertifikat und IPSec-CA-Zertifikat muss jeweils das Client-Zertifikat eingestellt werden.
  • Im Auswahlfeld IPSec-Serverzertifikat muss die Option Vom Server empfangen ausgewählt werden.
5.4 Tippen Sie auf Speichern, um das konfigurierte VPN-Profil zu sichern.


6. Funktionsüberprüfung
6.1 Zum Starten der VPN-Verbindung müssen Sie auf das eben erstellte VPN-Profil tippen.
6.2 In den Feldern Benutzername und Passwort müssen Sie jetzt die Werte eintragen, welche Sie bei der Konfiguration des LANCOM-Routers im Schritt 4.21 vergeben haben.
  • Als Benutzername der Name der im LANCOM konfigurierten VPN-Gegenstelle einzutragen (hier: VPN_ZERT).
  • Als Passwort muss das im PPP-Listeneintrag vergeben Passwort eingetragen werden.
6.3 Tippen Sie auf Verbinden, um die VPN-Verbindung zum LANCOM-Router aufzubauen. Die Konfigurationsschritte auf dem Android-Endgerät sind damit abgeschlossen.