Beschreibung:
Dieses Dokument beschreibt die allgemeine Vorgehensweise zur Einrichtung einer VPN-Verbindung zwischen dem "VPN Tracker" von Equinux in der Version 6 und einem LANCOM VPN Router. Als Hardware wurde ein Apple iMac (Intel-basiert) verwendet sowie ein LANCOM VPN Router. Als Betriebssytem diente Mac OS X 10.6 (Snow Leopard). Jedoch ist diese Anleitung auch auf die beiden Vorgänger OS X 10.4 (Tiger) und OS X 10.5 (Leopard) übertragbar.
Voraussetzung:
- Apple Mac OS X 10.4 (oder höher)
- Equinux VPN Tracker Version 6
- beliebiger aktueller Browser (für WEBconfig)
Vorgehensweise:
Die Grundeinstellungen der VPN-Verbindung auf den LANCOM Router können auf unterschiedliche Wege vorgenommen werden. In dieser Anleitung werden zunächst zwei Verfahren beschrieben, mit denen Sie Ihren Router vorbereiten. Im Anschluß daran wird die Einrichtung des VPN Tracker Client beschrieben.
Einrichtung der VPN-Verbindung im LANCOM-Router:
Für das erste Verfahren benötigen Sie eine Windows-Installation. Mit Hilfe des Tools LANconfig können Sie, durch einen Assistenten unterstützt, bequem die Parameter Ihrer Verbindung konfigurieren.
Das zweite Verfahren ist browserbasiert und wird über die Web-Oberfläche des LANCOM Routers (WEBconfig) vorgenommen. Dies geschieht betriebssystemunabhängig und ist mit den gängigen Browsern möglich.
Konfigurationsweg 1 - Assistent (LANconfig)
Rufen Sie LANconfig auf Ihrer Windows-Installation auf und starten Sie den Assistenen (Rechtsklick auf den Router).
Wählen Sie Einwahlzugang bereitstellen (RAS, VPN) und klicken Sie auf Weiter.
Verwenden Sie im nächsten Schritt den Menüpunkt VPN-Verbindung über das Internet.
Der folgende Dialog legt fest, dass es sich um einen VPN-Client mit benutzerdefinierten Parametern handelt.
Geben Sie nun den Namen der Verbindung ein. Dieser kann frei gewählt werden.
Setzen Sie die Art der Authentifizierung auf Gemeinsames Passwort (Preshared-Key) und Agressive Mode. Vergeben Sie nun einen Preshared Key und notieren diesen zur späteren Konfiguration in der Software.
Belassen Sie die Standardeinstellung der IKE-Paramater und klicken ohne Änderungen auf Weiter.
Zur späteren Authentifizierung des Clients wird das Anlegen von Identitäten verlangt. Wählen Sie sowohl bei lokale Identität als auch bei entfernte Identität die Authentifizierung über den Domain-Namen und vergeben Sie einen eindeutigen, frei wählbaren Namen. Notieren Sie sich diesen Namen, er dient zur späteren Identifikation in der Client-Software.
Der Einsatz des PFS-Verfahrens (Perfect-Forward-Secrecy) ist standardmäßig auf Gruppe 2 gesetzt und kann übernommen werden.
Bei der Wahl der Verschlüsselungsverfahren belassen Sie ebenfalls die Standardwerte und wechseln zur nächsten Maske.
Weitere Authentifizierungsprotokolle werden nicht verwendet und können mit Weiter bestätigt werden.
Der nächste Dialog bietet Ihnen die Möglichkeit eine IP-Adresse aus dem Zielnetz fest zu vergeben. Prüfen Sie vorher, ob diese Adresse verfügbar ist, um Verbindungsprobleme zu vermeiden. Es ist jedoch möglich, den Clients eine Adresse aus einem definierten Adresspool zu vergeben. Diese Einstellung nehmen Sie über die manuelle Konfiguration über LANconfig oder WEBconfig vor.
Sie können die Erreichbarkeit von Adressen hinter dem VPN-Tunnel steuern, indem Sie den Zugriff auf das Zielnetz beschränken.
Sofern Sie eine solche Beschränkung nicht wünschen, wählen Sie Alle IP-Adressen für den VPN-Client erlauben.
Die Namensauflösung für einfache Datei- und Druckfreigaben in Windowsnetzwerken erfolgt über das NetBIOS-Protokoll. Für eine Verbindung mit einem Mac OS X - Client wird dies nicht benötigt. Entfernen Sie die Auswahl in der Checkbox NetBIOS über IP Routing aktivieren.
Die Erstellung der Verbindung ist nun abgeschlossen und kann initialisiert werden.
Konfigurationsweg 2 - WEB-Oberfläche des LANCOM Routers (WEBconfig)
Sollte Ihnen bei der Konfiguration keine Windows-Installation zur Verfügung stehen, können Sie alternativ eine Konfiguration über die Web-Oberfläche des LANCOM Routers in einem Browser-Fenster vornehmen. Nachfolgend werden hier die einzelnen Schritte beschrieben. Zur Konfiguration des Clients notieren Sie sich Ihre nachfolgend vergebenen Werte.
Öffnen Sie zunächst ein Browserfenster und geben Sie die IP-Adresse des Routers ein. Nach erfolgter Anmeldung mit Benutzername und Password wählen Sie Konfiguration -> VPN -> IKE-Auth. -> IKE-Schlüssel und Identitäten -> Hinzufügen. Vergeben Sie eine eindeutige Bezeichnung und einen Preshared-Key. Sie werden zur späteren Authentifizierung des Clients benötigt. Als lokaler und entfernter Identität-Typ wählen Sie Domänen-Name (FQDN). Als Name für die lokalen und entfernte Identität setzen Sie bitte eine frei wählbare Bezeichnung. Bestätigen Sie Ihre Eingaben mit Setzen.
Wechseln Sie nun zu VPN -> Allgemein -> Verbindungs-Parameter -> Hinzufügen. Vergeben Sie eine eindeutige Bezeichnung und verändern Sie die Werte von PFS-Gruppe und IKE-Gruppe auf 2 (MODP-1024) sowie die IPSec-Proposals auf ESP_TN. Der Wert für den IKE-Schlüssel ist auf die oben vergebene Bezeichnung der IKE-Schlüssel und Identitäten zu setzen. Sie wird im Drop-Down-Menü angezeigt. Bestätigen Sie auch hier mit Setzen.
Wechseln Sie nun zu VPN -> Allgemein -> Verbindungs-Liste -> Hinzufügen. Vergeben Sie einen eindeutigen Namen der Verbindung und setzen Sie die Dead Peer Detection auf einen Wert von 90 Sekunden. Wählen Sie bei Verbindungs-Parameter den oben vergebenen Namen Ihrer Parameter. Die Regelerzeugung muss auf Automatisch gestellt werden. Als Wert für den IKE-Exchange wählen Sie den Aggressive Mode. Bestätigen Sie mit Setzen.
Im letzten Schritt der Konfiguration legen Sie die Einträge in der Routing-Tabelle fest. Wechseln Sie hierzu in IP-Router -> Allgemein -> Routing -> Routing-Tabelle -> Hinzufügen. Geben Sie als IP-Adresse die Adresse des Clients an, die dem Client zugeordnet wird. Die Netzmaske für diesen einzelnen Host lautet 255.255.255.255 (Klasse D). Legen Sie als Router die VPN-Verbindung fest, die im Drop-Down-Menü erscheint. Zur einfacheren Orientierung innerhalb der Routingtabelle sollten Sie das Kommentarfeld nutzen. Vergeben Sie hierzu einfach eine namentliche Zuordnung des Routingeintrages.
Damit ist der Router konfiguriert und der VPN-Tunnel kann initialisiert werden.
Einrichtung der Verbindung im Equinux VPN Tracker Version 6
Starten Sie den Client auf Ihrem System und legen Sie ein neues Profil an. Dies kann über einen Assistenten geschehen. Der Assistent bietet Ihnen die Möglichkeit, LANCOM Geräte auszuwählen und regelt diverse Grundeinstellungen.
Tragen Sie unter VPN Gateway die öffentliche IP-Adresse oder den DynDNS-Name Ihres LANCOM Router ein. Sofern Sie in der Routerkonfiguration für den VPN-Client keine feste IP-Adresse vorgesehen haben, belassen Sie unter Netzwerkkonfiguration die Einstellung auf Mode Config. Unter Remote Netzwerke geben Sie die Netzadresse des Zielnetzwerkes (lokales Netz des LANCOM Routers) ein. Setzen Sie für beide Identifier die Auswahl auf Fully Qualified Domain Name (FQDN) und tragen Sie die im Router vergebenen Werte für lokale und entfernte Identität ein.
Geben Sie nun unter Authentifizierung den Pre-Shared Key ein. Zudem bietet VPN Tracker die Möglichkeit, diese Zugangsdaten im Schlüsselbund, dem OS X-eigenen Passwort- und Zertifikatmanager, einzutragen.
Im vorliegenden Konfigurationsbeispiel sind alle notwendigen Einstellungen getroffen worden. Ihr Bildschirm sollte nun eine ähnliche Ansicht bieten.
Im Reiter Erweitert haben Sie die Möglichkeit weiterführende und umfangreiche Einstellungen für die beiden Phasen der Authentifizierung vorzunehmen. So ist es Ihnen möglich, bei manueller Konfiguration, die Algorithmen, den Diffie-Hellman-Parameter und das Perfect Forward Secrecy (PFS) einzustellen. Für Ihre LANCOM-Verbindung übernehmen Sie bitte die Einstellungen des nachfolgenden Screenshots.
Unter den Reitern „Aktionen“, „Export“ und „Protokoll“ finden Sie entsprechende weiterführende Programmfunktionen wie z. Bsp. das automatische Abrufen von E-Mails bei Verbindungsaufbau, den Export von Profilen zur Verteilung in einem Unternehmensnetzwerk sowie ein Protokollfunktion für die Tunnel-Verbindung.
Die Einstellungen wurden nun getroffen. Sie können die Verbindung nun initalisieren indem Sie unter meine Verbindungen den Schalter vpn_lancom nach rechts schieben. |
|
