Skip to end of metadata
Go to start of metadata


Beschreibung:

Zur weiteren Absicherung von VPN-Verbindungen ist es sinnvoll Zertifikate zu verwenden. Damit dieses nicht manuell in einen Router hochgeladen werden muss, kann das Zertifikat automatisch per SCEP-Client bezogen werden (Simple Certificate Enrollment Protocol).

Soll eine Außenstelle keine VPN-Verbindung mehr zur Zentrale aufbauen dürfen (etwa, weil die Außenstelle aufgelöst wird) kann das Zertifikat der Außenstelle in der Zentrale per OCSP (Online Certificate Status Protocol) widerrufen werden. Ein erneuter Aufbau der VPN-Verbindung ist nach Trennung der VPN-Verbindung oder nach einer erneuten Authentifizierung (Re-Authenticate)  nicht mehr möglich.

Damit nicht für jede Außenstelle eine eigene VPN-Gegenstelle in der Zentrale hinterlegt werden muss, kann eine Einwahl-Verbindung über den IKE-Config-Mode verwendet werden.

In diesem Artikel ist die manuelle Einrichtung einer IKEv2 VPN-Verbindung zwischen zwei LANCOM Routern mittels OCSP und IKE-Config Mode beschrieben.


Voraussetzungen:
  • Router mit freigeschalteter Zertifizierungsstelle (CA). Diese ist auf folgenden Geräten verfügbar:
    • Central Site Gateways
    • WLAN-Controller
  • Router mit VPN-25 Option
  • Bereits konfigurierter und funktionsfähiger Internet-Zugang in der Zentrale und der Außenstelle



Szenario:
  • Es soll eine VPN-Verbindung zwischen einer Außenstelle und der Zentrale aufgebaut werden.
  • Die Zentrale verfügt über einen Internet-Anschluss mit fester öffentlicher IPv4-Adresse.
  • Die Außenstelle wählt sich per IKE-Config-Mode in der Zentrale ein.





Vorgehensweise:

1. Konfiguration der Zentrale:


1.1 Aktivierung der CA und des SCEP-Clients:

1.1.1 Öffnen Sie die Konfiguration der Zentrale in LANconfig, wechseln in das Menü Zertifikate -> Zertifizierungsstelle (CA) und setzen den Haken bei Zertifizierungsstelle (CA) aktiviert, damit der Router über seine eigene CA Zertifikate erstellen kann.



1.1.2 Speichern Sie sich den CA-Distinguished-Name in eine Text-Datei und halten Sie diese bereit. Dieser wird noch in einigen weiteren Menüs benötigt.



1.1.3 Wechseln Sie in das Menü Zertifikate -> Zertifikatsbehandlung und speichern sich das Basis-Challenge-Passwort in eine Textdatei zur weiteren Verwendung.

Das Basis-Challenge-Passwort wird nach Aktivierung der CA (siehe Schritt 1.1.1) automatisch gesetzt. Dazu muss die Konfiguration nach Aktivierung der CA einmal in das Gerät zurückgeschrieben werden.



1.1.4 Wechseln Sie nun in das Menü Zertifikate -> SCEP-Client und setzen den Haken bei SCEP-Client-Funktionalität aktiviert.



1.1.5 Wechseln Sie in das Menü Zertifikate -> SCEP-Client -> CA-Tabelle.



1.1.6 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Informationen:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • URL: Geben Sie die URL im Format https://<IP-Adresse der CA>/cgi-bin/pkiclient.exe an.

    Da in diesem Fall der Router selber auch die CA darstellt, muss die Loopback-Adresse 127.0.0.1 verwendet werden.

    https://127.0.0.1/cgi-bin/pkiclient.exe
  • Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 1.1.2).
  • Aktivieren Sie die Registration Authority: Automatische Authentifizierung einschalten (RA-Auto-Approve).



1.1.7 Wechseln Sie in das Menü Zertifikate -> SCEP-Client -> Zertifikat-Tabelle.



1.1.8 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Informationen:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • CA-Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 1.1.2).
  • Subject: Geben Sie das Subject des Zertifikats an (etwa /CN=Zentrale).
  • Challenge-Passwort: Hinterlegen Sie das Basis-Challenge-Passwort (siehe Schritt 1.1.3).
  • Schlüssellänge: Wählen Sie im Dropdown-Menü den Wert 2048 aus.
  • Verwendungs-Typ: Wählen Sie im Dropdown-Menü den Container VPN 1 aus.




1.2 Konfiguration von OCSP:

1.2.1 Wechseln Sie in das Menü Zertifikate -> OCSP und aktivieren folgende Funktionen:
  • OCSP-Client für VPN aktiviert
  • OCSP-Server aktiviert

Info:
Ist ein Zugriff auf den OCSP-Server aus dem WAN erforderlich (z.B. zwecks Prüfung des Zertifikates der Gegenseite oder Realisierung einer Geo-Redundanz) muss im Dropdown-Menü bei Zugriff vom WAN der Wert erlaubt ausgewählt werden.

Wird der OCSP-Server mittels FQDN (Fully Qualified Domain Name) angesprochen (siehe Schritt 1.2.3), muss als Zertifikat-Subjekt der FQDN hinterlegt werden (z.B. /CN=ocsp-server.lancom.de)



1.2.2 Wechseln Sie in das Menü Zertifikate -> OCSP -> Responder-Profil-Tabelle.



1.2.3 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • Responder-Profil-Name: Vergeben Sie einen aussagekräftigen Namen.



1.2.4 Wechseln Sie in das Menü Zertifikate -> OCSP -> CA-Profil-Tabelle.



1.2.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • CA-Profil-Name: Vergeben Sie einen aussagekräftigen Namen.
  • CA-Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 1.1.2)
  • Responder-Profil-Name: Wählen Sie im Dropdown-Menü den in Schritt 1.2.3 erstellten Eintrag aus.




1.3 Konfiguration der VPN-Verbindung:

1.3.1 Wechseln Sie in das Menü VPN -> Allgemein und setzen folgende Parameter:
  • Virtual Private Network: Wählen Sie im Dropdown-Menü Aktiviert aus.
  • Setzen Sie den Haken bei Vereinfachte Einwahl mit Zertifikaten aktiviert.
  • Setzen Sie den Haken bei Gegenstelle die Auswahl des entfernten Netzwerks erlauben.
  • Setzen Sie den Haken bei NAT-Traversal aktiviert.
  • Setzen Sie den Haken bei Flexibler Identitätsvergleich aktiviert.



1.3.2 Wechseln Sie nun in das Menü VPN -> IKEv2/IPSec -> Authentifizierung.



1.3.3 Bearbeiten Sie den bereits vorhandenen Eintrag DEFAULT und passen folgende Parameter an:
  • Lokale Authentifizierung: Wählen Sie im Dropdown-Menü Digital-Signature aus.
  • Lokaler Identitätstyp: Wählen Sie im Dropdown-Menü ASN.1-Distinguished-Name aus.
  • Lokale Identität: Vergeben Sie eine Bezeichnung für die Lokale Identität.
  • Entfernte Authentifizierung: Wählen Sie im Dropdown-Menü Digital-Signature aus.
  • Entfernter Identitätstyp: Wählen Sie im Dropdown-Menü ASN.1-Distinguished-Name aus.
  • Entfernte Identität: Vergeben Sie eine Bezeichnung für die Entfernte Identität.

    Es können die Wildcards * und ? verwendet werden. Das * steht für beliebig viele Zeichen und das ? für genau ein Zeichen.

    Bei Verwendung mehrerer Außenstellen ist es sinnvoll ein einheitliches Namens-Schema für die Identitäten zu verwenden, damit nur ein Eintrag in der Tabelle Authentifizierung erforderlich ist. Die Außenstelle hat in diesem Szenario das Subject CN=AS02.
  • Lokales Zertifikat: Wählen Sie im Dropdown-Menü den Container VPN1 aus.
  • OCSP-Überprüfung: Wählen Sie im Dropdown-Menü Ja aus, damit OCSP verwendet wird.



1.3.4 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Erweiterte Einstellungen -> IPv4-Routing.


1.3.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Netzwerk: Wählen Sie aus dem Menü die lokalen Netzwerke aus, mit der die Gegenseite(n) kommunizieren sollen.

    Info:
    Statt der Auswahl der Netzwerke aus der Liste können diese auch in CIDR-Schreibweise hinterlegt werden (z.B. 192.168.1.0/24).
  • Setzen Sie den Haken bei IKE-CFG-Adresse senden.



1.3.6 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Verbindungs-Liste.



1.3.7 Bearbeiten Sie den Eintrag DEFAULT und ändern folgende Parameter ab:
  • IPv4-Regeln: Wählen Sie im Dropdown-Menü das Regel-Objekt RAS-WITH-NETWORK-SELECTION aus.

    Info:
    Das Objekt RAS-WITH-NETWORK-SELECTION entspricht einer ANY-ANY SA.
  • IKE-CFG: Wählen Sie im Dropdown-Menü Server aus.
  • Routing: Wählen Sie im Dropdown-Menü den in Schritt 1.3.5 erstellten Routing-Eintrag aus.



1.3.8 Die Einrichtung der Zentrale ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



2. Konfiguration der Außenstelle:


2.1 Aktivierung des SCEP-Clients:

2.1.1 Öffnen Sie die Konfiguration der Außenstelle in LANconfig, wechseln in das Menü Zertifikate -> SCEP-Client und setzen den Haken bei SCEP-Client-Funktionalität aktiviert.



2.1.2 Wechseln Sie in das Menü Zertifikate -> SCEP-Client -> CA-Tabelle.



2.1.3 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Informationen:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • URL: Geben Sie die URL im Format https://<IP-Adresse der CA>/cgi-bin/pkiclient.exe an.

    Da in diesem Fall die Zentrale die CA darstellt, muss die WAN-Adresse der Zentrale eingetragen werden. Der Zugriff auf das Protokoll HTTPS muss in der Zentrale erlaubt sein.

    https://82.82.82.1/cgi-bin/pkiclient.exe
  • Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 1.1.2).
  • Aktivieren Sie die Registration Authority: Automatische Authentifizierung einschalten (RA-Auto-Approve).



2.1.4 Wechseln Sie in das Menü Zertifikate -> SCEP-Client -> Zertifikat-Tabelle.



2.1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • CA-Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name (siehe Schritt 1.1.2).
  • Subject: Geben Sie das Subject des Zertifikats an (etwa /CN=AS02).

    Das Subject muss dabei mit der Entfernten Identität der Zentrale übereinstimmen (siehe Schritt 1.3.3).
  • Challenge-Passwort: Hinterlegen Sie das Basis-Challenge-Passwort der Zentrale (siehe Schritt 1.1.3).




2.2 Einrichtung der VPN-Verbindung:

2.2.1 Wechseln Sie in das Menü VPN -> Allgemein und setzen folgende Parameter:
  • Virtual Private Network: Wählen Sie im Dropdown-Menü Aktiviert aus.
  • Setzen Sie den Haken bei NAT-Traversal aktiviert.



2.2.2 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Authentifizierung.



2.2.3 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Lokale Authentifizierung: Wählen Sie im Dropdown-Menü Digital-Signature aus.
  • Lokaler Identitätstyp: Wählen Sie im Dropdown-Menü ASN.1-Distinguished-Name aus.
  • Lokale Identität: Vergeben Sie eine Bezeichnung für die Lokale Identität.
  • Entfernte Authentifizierung: Wählen Sie im Dropdown-Menü Digital-Signature aus.
  • Entfernter Identitätstyp: Wählen Sie im Dropdown-Menü ASN.1-Distinguished-Name aus.
  • Entfernte Identität: Hinterlegen Sie das Subject der Zentrale (siehe Schritt 1.1.8)
  • Lokales Zertifikat: Wählen Sie im Dropdown-Menü den Container VPN1 aus.



2.2.4 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Verbindungs-Liste.



2.2.5 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
  • Name der Verbindung: Vergeben Sie einen aussagekräftigen Namen.
  • Haltezeit: Hinterlegen Sie den Wert 9999, damit die VPN-Verbindung dauerhaft aufgebaut bleibt.
  • Entferntes Gateway: Hinterlegen Sie die IP-Adresse oder den DNS-Namen der Zentrale.
  • Authentifizierung: Wählen Sie im Dropdown-Menü den in Schritt 2.2.3 erstellten Eintrag aus.



2.2.6 Wechseln Sie nun in das Menü IP-Router -> Routing -> IPv4-Routing-Tabelle.



2.2.7 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • IP-Adresse: Geben Sie die Netz-Adresse des Netzwerkes in der Zentrale an.
  • Netzmaske: Hinterlegen Sie die zugehörige Subnetzmaske.
  • Router: Wählen Sie im Dropdown-Menü die in Schritt 2.2.5 erstellte VPN-Gegenstelle aus.
  • IP-Maskierung: Setzen Sie den Radio-Button bei IP-Maskierung abgeschaltet.



2.2.8 Die Konfiguration der Außenstelle ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.