Beschreibung:
Dieses Dokument beschreibt, wie Sie eine VPN Site-to-Site Verbindung zwischen zwei LANCOM Routern manuell, also ohne Verwendung des Setup-Assistenten, einrichten können. Die VPN-Verbindung soll im Main Mode aufgebaut werden.
Bei Main Mode-Verbindungen wird auf jeder Seite jeweils eine öffentliche IPv4-Adresse zur Authentifizierung benötigt. Ein DynDNS-Eintrag kann anstelle einer festen öffentlichen IP-Adresse verwendet werden.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.

Die Einrichtung einer IPv6-basierten IKEv2-Verbindung zwischen zwei LANCOM Routern mit IPv4-Internet-Verbindungen ist in diesem Knowledge Base Artikel beschrieben.



Voraussetzungen:


Szenario:
  • Ein Unternehmen möchte die lokalen IPv6-Netzwerke in der Zentrale und einer Filiale über eine IKEv1 Site-To-Site VPN-Verbindung miteinander koppeln.
  • Beide Standorte verfügen über einen LANCOM Router als Gateway und eine IPv4-Internetverbindung mit einer öffentlichen IPv6-Adresse. Die öffentliche IPv6-Adresse der Zentrale lautet 80.80.80.80, die der Filiale 81.81.81.81.
  • Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
  • Das lokale IPv6-Netzwerk der Zentrale hat den IP-Adressbereich 2001:db8:a::/64, in der Filiale wid der lokale IPv6-Adressbereich 2001:db8:b::/64 verwendet.



Vorgehensweise:
1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN → IKE/IPSec.
1.2 Klicken Sie auf die Schaltfläche IKE-Proposal-Listen.
1.3 Legen Sie eine neue IKE-Proposal-Liste an. Tragen Sie als Bezeichnung FILIALE ein und füllen Sie die Proposal-Liste mit den IKE-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IKE-Proposals eintragen.

Aus der Liste der hier eingetragenen Proposals wird das erste IKE-Proposal, welches auf beiden Seiten der VPN-Verbindung übereinstimmt, zum Aufbau der IKE-Phase 1 verwendet.

1.4 Klicken Sie auf die Schaltfläche IPSec-Proposal-Listen.
1.5 Legen Sie eine neue IPSec-Proposal-Liste an. Tragen Sie als Bezeichnung FILIALE ein und füllen Sie die Proposal-Liste mit den IPSec-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IPSec-Proposals eintragen.

Aus der Liste der hier eingetragenen Proposals wird das erste IPSec-Proposal, welches auf beiden Seiten der VPN-Verbindung übereinstimmt, zum Aufbau der IPSec-Phase 2 verwendet.

1.6 Klicken Sie auf die Schaltfläche IKE Schlüssel & Identitäten.
1.7 Legen Sie einen neuen Eintrag an. Tragen Sie als Bezeichnung FILIALE ein und vergeben Sie im Feld Preshared Key ein ausreichend sicheres Passwort.
Mit der Schaltfläche Passwort erzeugen können Sie eine Passwortstärke auswählen und dann ein der Stärke entsprechendes Passwort automatisch erzeugen lassen. Wir empfehlen, hier die Einstellung Maximal zu wählen.
Bei der Auswahl Benutzerdefiniert können Sie im Bereich Einstellungen das automatisch erzeugte Passwort beeinflussen, aus Sicherheitsgründen sollten Sie jedoch die Standardeinstellungen nicht verändern .
  • Name: Geben Sie einen beliebigen Namen ein.
  • Lokaler Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Lokale Identität: Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die lokale Identität zentrale@test.de verwendet.
  • Entfernter Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Entfernte Identität: Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den LANCOM Router in der Filiale die entfernte Identität filiale@test.de verwendet.
1.8 Wechseln Sie in das Menü VPN → Allgemein.
  • Aktivieren Sie die VPN-Funktion des LANCOM Routers.
  • Stellen Sie die Option Aufbau Netzbeziehungen (SAs) auf den Wert Gemeinsam für KeepAlive.
1.9 Klicken Sie dann im Menü IKE/IPSec auf die Schaltfläche Verbindungs-Parameter.
1.10 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung FILIALE ein und wählen Sie in den Feldern IKE-Proposals, IKE-Schlüssel und IPSec-Proposals jeweils den Eintrag FILIALE aus.
Als PFS- und IKE-Gruppe wird in diesem Beispiel jeweils die Standard-Gruppe 2 (MODP-1024) übernommen. Sie können diese aber auch Ihren Wünschen entsprechend ändern. Achten Sie jedoch darauf, dass auf beiden Seiten der VPN-Verbindung die gleichen PFS- und IKE-Gruppen verwendet werden.
1.11 Klicken Sie auf die Schaltfläche Verbindungs-Liste.
1.12 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung FILIALE ein und vergeben Sie in folgenden Feldern die folgenden Werte:
  • Der LANCOM Router in der Zentrale soll die VPN-Verbindung annehmen, daher muss hier der Wert für die Haltezeit auf 0 Sekunden eingestellt werden.
  • Die Dead Peer Detection dient der VPN-Verbindungsüberwachung. Tragen Sie hier z.B. den Wert 60 Sekunden ein. Weitere Informationen zur Dead Peer Detection erhalten Sie in diesem Knowledge Base Artikel.
  • Im Feld Entferntes Gateway müssen Sie die öffentliche IPv4-Adresse des LANCOM Routers in der Filiale eintragen. In diesem Beispiel ist das die 81.81.81.81.
  • Als Verbindungs-Parameter muss der Eintrag FILIALE ausgewählt werden.
  • Die Regelerzeugung wird in diesem Beispiel Automatisch durchgeführt.
  • Als IKE-Exchange Mode muss die Option Main Mode aktiviert sein.
1.13 Wechseln Sie in das Menü IP-Router → Routing → IPv6-Routing-Tabelle.
1.14 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie als IP-Adresse die Adresse des lokalen IPv6-Netzwerkes in der Filiale ein. In diesem Beispiel ist dies die 2001:db8:b::/64.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: FILIALE) eingestellt werden.
1.15 Wechseln Sie in das Menü IPv6 → Allgemein → WAN-Schnittstellen.
1.16 Erstellen Sie einen neuen Eintrag. Wählen Sie dabei als Interface die VPN-Verbindung zur Filiale aus. Die Option Firewall für dieses Interface aktiv muss ausgeschaltet werden.
1.17 Öffnen Sie das Menü Firewall/QoS → IPv6-Regeln → IPv6-Inbound-Regeln und erstellen Sie eine neue Firewall-Regel.

Diese Firewall-Regel wird benötigt, damit nach dem Aufbau der VPN-Verbindung die Datenübertragung von der Gegenseite (hier die FILIALE) erlaubt ist.

1.18 Geben Sie im Feld Name eine Namensbezeichnung ein.
  • Die Priorität müssen Sie auf den Wert 1 setzen.
  • Als Aktion muss ACCEPT eingestellt werden.
  • Im Feld Server-Dienste müssen Sie das Objekt ANY einstellen.
  • Im Feld Quell-Stationen müssen Sie den Namen der VPN-Verbindung zur Filiale eintragen.
1.19 Schreiben Sie die Konfiguration in den LANCOM Router zurück.


2. Manuelle Konfigurationsschritte auf dem LANCOM Router der Filiale:
2.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Filiale und wechseln Sie in das Menü VPN → IKE/IPSec.
2.2 Klicken Sie auf die Schaltfläche IKE-Proposal-Listen.
2.3 Legen Sie eine neue IKE-Proposal-Liste an. Tragen Sie als Bezeichnung ZENTRALE ein und füllen Sie die Proposal-Liste mit den IKE-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IKE-Proposals eintragen.

Stellen Sie sicher, dass in dieser Liste die gleichen IKE-Proposals eingetragen sind, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.3).

2.4 Klicken Sie auf die Schaltfläche IPSec-Proposal-Listen.
2.5 Legen Sie eine neue IPSec-Proposal-Liste an. Tragen Sie als Bezeichnung ZENTRALE ein und füllen Sie die Proposal-Liste mit den IPSec-Proposals aus, die verwendet werden sollen. Sie können nur ein einziges oder auch mehrere IPSec-Proposals eintragen.

Stellen Sie sicher, dass in dieser Liste die gleichen IPSec-Proposals eingetragen sind, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.5).

2.6 Klicken Sie auf die Schaltfläche IKE Schlüssel & Identitäten.
2.7 Legen Sie einen neuen Eintrag an. Tragen Sie als Bezeichnung ZENTRALE ein tragen Sie im Feld Preshared Key das gleiche Passwort ein, wie beim LANCOM Router in der Zentrale (siehe Schritt 1.7).
  • Name: Geben Sie einen beliebigen Namen ein.
  • Lokaler Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Lokale Identität: Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Filiale die lokale Identität filiale@test.de verwendet.
  • Entfernter Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Entfernte Identität: Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die entfernte Identität zentrale@test.de verwendet.
2.8 Wechseln Sie in das Menü VPN → Allgemein.
  • Aktivieren Sie die VPN-Funktion des LANCOM Routers.
  • Stellen Sie die Option Aufbau Netzbeziehungen (SAs) auf den Wert Gemeinsam für KeepAlive.
2.9 Klicken Sie dann im Menü VPN → IKE/IPSec auf die Schaltfläche Verbindungs-Parameter.
2.10 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung ZENTRALE ein und wählen Sie in den Feldern IKE-Proposals, IKE-Schlüssel und IPSec-Proposals jeweils den Eintrag ZENTRALE aus.
Als PFS- und IKE-Gruppe wird in diesem Beispiel jeweils die Standard-Gruppe 2 (MODP-1024) übernommen. Sie können diese aber auch Ihren Wünschen entsprechend ändern. Achten Sie jedoch darauf, dass auf beiden Seiten der VPN-Verbindung die gleichen PFS- und IKE-Gruppen verwendet werden.
2.11 Klicken Sie auf die Schaltfläche Verbindungs-Liste.
2.12 Erstellen Sie einen neuen Eintrag. Tragen Sie als Bezeichnung ZENTRALE ein und vergeben Sie in folgenden Feldern die folgenden Werte:
  • Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Zentrale aktiv aufbauen, daher muss hier der Wert für die Haltezeit auf 9.999 Sekunden eingestellt werden.
  • Die Dead Peer Detection dient der VPN-Verbindungsüberwachung. Tragen Sie hier z.B. den Wert 60 Sekunden ein.
  • Im Feld Entferntes Gateway müssen Sie die öffentliche IPv4-Adresse des LANCOM Routers in der ZENTRALE eintragen. In diesem Beispiel ist das die 80.80.80.80.
  • Als Verbindungs-Parameter muss der Eintrag ZENTRALE ausgewählt werden.
  • Die Regelerzeugung wird in diesem Beispiel Automatisch durchgeführt.
  • Als IKE-Exchange Mode muss die Option Main Mode aktiviert sein.
2.13 Wechseln Sie in das Menü IP-Router → Routing → IPv6-Routing-Tabelle.
2.14 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie als IP-Adresse die Adresse des lokalen IPv6-Netzwerkes in der Zentrale ein. In diesem Beispiel ist dies die 2001:db8:a::/64.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: ZENTRALE) eingestellt werden.
2.15 Wechseln Sie in das Menü IPv6 → Allgemein → WAN-Schnittstellen.
2.16 Erstellen Sie einen neuen Eintrag. Wählen Sie dabei als Interface die VPN-Verbindung zur Zentrale aus. Die Option Firewall für dieses Interface aktiv muss ausgeschaltet werden.
2.17 Öffnen Sie das Menü Firewall/QoS → IPv6-Regeln → IPv6-Inbound-Regeln und erstellen Sie eine neue Firewall-Regel.

Diese Firewall-Regel wird benötigt, damit nach dem Aufbau der VPN-Verbindung die Datenübertragung von der Gegenseite (hier die ZENTRALE) erlaubt ist.

2.18 Geben Sie im Feld Name eine Namensbezeichnung ein.
  • Die Priorität müssen Sie auf den Wert 1 setzen.
  • Als Aktion muss ACCEPT eingestellt werden.
  • Im Feld Server-Dienste müssen Sie das Objekt ANY einstellen.
  • Im Feld Quell-Stationen müssen Sie den Namen der VPN-Verbindung zur Zentrale eintragen.
2.19 Schreiben Sie die Konfiguration in den LANCOM Router zurück.
Nachdem die Konfiguration in den LANCOM Router der Filiale zurückgeschrieben wurde, wird die VPN-Verbindung zwischen beiden LANCOM Routern aufgebaut. Überprüfen können Sie dies, indem Sie z.B. beide LANCOM Router in den LANmonitor laden.

Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein VPN-Status Trace bei der Diagnose helfen. Informationen erhalten Sie in diesem Knowledge Base Artikel .