Skip to end of metadata
Go to start of metadata


Beschreibung:

Wird ein Alcatel OXO Connect (Premium) Deskphone in einem Außenstandort betrieben (etwa im Home Office), kann keine direkte Verbindung zu der Alcatel OXO Connect TK-Anlage aufgebaut werden.

Da die Deskphones VPN-Verbindungen unterstützen, ist es möglich ohne Einsatz eines VPN-Routers in der Außenstelle eine VPN-Verbindung in die Zentrale aufzubauen.

In diesem Artikel wird beschrieben wie zwischen einem Alcatel Deskphone und einem LANCOM Router eine VPN-Verbindung über IKEv1 eingerichtet werden kann.

Die Anbindung einer Alcatel OXO Connect TK-Anlage an einen LANCOM VoIP-Router ist in diesem Knowledge Base Artikel beschrieben.

Wichtig:
Bei Verwendung einer IKEv1 Verbindung im Main-Mode kann nur ein Deskphone je Außenstelle per VPN mit der Zentrale verbunden werden, da zur Authentifizierung die WAN-IP-Adresse des Internet-Anschlusses verwendet wird.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.

Die Einrichtung einer IKEv2-Verbindung zwischen einem Alcatel OXO Connect Deskphone und einem LANCOM Router ist in diesem Knowledge Base Artikel beschrieben.



Voraussetzungen:

  • LANCOM Router mit Voice Call Manager und VPN-Unterstützung in der Zentrale:
    • LANCOM 883 VoIP
    • LANCOM 884 VoIP
    • LANCOM 178x (teils nur mit zusätzlicher All-IP Option)
    • LANCOM 179x (teils nur mit zusätzlicher All-IP Option)
    • LANCOM ISG 1000
    • LANCOM ISG 4000
  • LCOS ab Version 9.24 (download aktuelle Version)
  • LANtools ab Version 9.24 (download aktuelle Version)
  • Eines der folgenden Alcatel OXO Connect (Premium) Deskphones:
    • 8008
    • 8008G
    • 8018
    • 8028
    • 8028s
    • 8038
    • 8058s
    • 8068
    • 8068s
    • 8078s
  • Bereits vorhandene Netzwerk-Verbindung auf dem Deskphone (statisch oder dynamisch)



Szenario:

Das Szenario gestaltet sich wie folgt:

  • Der LANCOM Router steht in der Zentrale und die Alcatel OXO Connect TK-Anlage registriert sich am LANCOM Router.
  • Ein Alcatel Deskphone Premium (Remote Worker) in einer Außenstelle verbindet sich per VPN zum LANCOM Router in der Zentrale und kann sich somit mit der OXO Connect TK-Anlage verbinden.



Vorgehensweise:

1. Konfiguration des LANCOM Routers:

1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig, wechseln in das Menü VPN → Allgemein und aktivieren die VPN-Funktionalität, indem Sie Virtual Private Network auf Aktiviert setzen.

1.2 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Proposals.

1.3 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen.
  • Verschlüsselung: Wählen Sie im Dropdownmenü AES-CBC aus.
  • Schlüssel-Länge: Tragen Sie den Wert 256 ein.
  • Hash: Wählen Sie im Dropdownmenü SHA-256 aus.
  • Authentifizierung: Stellen Sie sicher, dass Preshared-Key hinterlegt ist.
  • Gültigkeitsdauer: Tragen Sie 5400 Sekunden und 0 kBytes ein.

1.4 Wechseln Sie in das Menü IKE-Proposal-Listen.

1.5 Erstellen Sie eine neue IKE-Proposal-Liste und passen folgende Parameter an:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen.
  • Proposal: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte IKE-Proposal aus.

1.6 Wechseln Sie in das Menü IKE-Schlüssel & Identitäten.

1.7 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen.
  • Preshared-Key: Vergeben Sie einen möglichst komplexen Preshared-Key.
  • Lokaler-Identität-Typ: Belassen Sie den Eintrag auf Keine Identität.
  • Entfernter Identität-Typ: Belassen Sie den Eintrag auf Keine Identität.

1.8 Wechseln Sie in das Menü IPSec-Proposals.

1.9 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen.
  • Modus: Belassen Sie diese Einstellung auf Tunnel.
  • Verschlüsselung: Wählen Sie im Dropdownmenü AES-CBC aus.
  • Schlüssel-Länge: Tragen Sie den Wert 256 ein.
  • Authentifizierung: Wählen Sie im Dropdownmenü HMAC-SHA-256 aus.
  • Gültigkeitsdauer: Tragen Sie 43200 Sekunden und 0 kBytes ein.

1.10 Wechseln Sie in das Menü IPSec-Proposal-Listen.

1.11 Erstellen Sie eine neue IPSec-Proposal-Liste und passen folgende Parameter an:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen.
  • Proposal: Wählen Sie im Dropdownmenü das in Schritt 1.9 erstellte IPSec-Proposal aus.

1.12 Wechseln Sie in das Menü Verbindungs-Parameter.

1.13 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen.
  • PFS-Gruppe: Wählen Sie im Dropdownmenü 16 (MODP-4096) aus.
  • IKE-Gruppe: Wählen Sie im Dropdownmenü 16 (MODP-4096) aus.
  • IKE-Proposals: Wählen Sie im Dropdownmenü die in Schritt 1.5 erstellte IKE-Proposal-Liste aus.
  • IKE-Schlüssel: Wählen Sie im Dropdownmenü die in Schritt 1.7 erstellten IKE-Schlüssel & Identitäten aus.
  • IPSec-Proposals: Wählen Sie im Dropdownmenü die in Schritt 1.11 erstellte IPSec-Proposal-Liste aus.

1.14 Wechseln Sie in das Menü Verbindungs-Liste.

1.15 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Name der Verbindung: Vergeben Sie einen aussagekräftigen Namen.
  • Haltezeit: Da das Premium Deskphone die VPN-Verbindung aufbaut, bleibt die Haltezeit auf 0.
  • Dead Peer Detection: Setzen Sie den Wert auf 90 Sekunden.
  • Entferntes Gateway: Hinterlegen Sie die öffentliche IP-Adresse oder den DynDNS-Namen des Außenstandortes, an dem sich das Premium Deskphone befindet.
  • Verbindungs-Parameter: Wählen Sie im Dropdownmenü die in Schritt 1.13 erstellten Verbindungs-Parameter aus.
  • IKE-Exchange: Stellen Sie sicher, dass Main Mode ausgewählt ist.
  • IKE-CFG: Wählen Sie im Dropdownmenü Server aus, damit der LANCOM Router dem Premium Deskphone eine IP-Adresse aus dem lokalen Netzwerk der Zentrale zuweist.
  • Regelerzeugung: Setzen Sie die Regelerzeugung auf Manuell.
  • IPv4-Regeln: Wählen Sie im Dropdownmenü die vorgefertigte VPN-Regel RAS-WITH-CONFIG-PAYLOAD aus.

1.16 Wechseln Sie in das Menü IPv4 → Adressen und hinterlegen den Einwahl-Adressbereich aus einem von dem lokalen Netzwerk abweichenden Adressbereich (Erste und Letzte Adresse).

Wichtig:
Der Einwahladressbereich für die Alcatel Deskphones muss aus einem anderen als dem lokalen Netzwerk gewählt werden.

1.17 Die Konfiguration des Routers ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



2. Konfiguration des Alcatel Deskphones:

2.1 Starten Sie das (Premium) Deskphone und betätigen während der "Boot-Phase 2" die Tasten <*> + <#>, um in das Main Menu zu gelangen.

2.2 Wechseln Sie im Main Menu auf den Menüpunkt VPN.

2.3 Wechseln Sie in das Menü VPN Config.

2.4 Beim erstmaligen Zugriff in das Menü VPN Config muss ein Pincode vergeben werden. Dieser muss bei jedem Zugriff auf dieses Menü eingegeben werden.

2.5 Passen Sie folgende Parameter an, bestätigen die Anpassungen mit einem Klick auf den grünen Haken und verlassen das Menü mit einem Klick auf die Rück-Taste:

  • Enable VPN: Aktivieren Sie die VPN-Funktionalität, indem Sie den Haken setzen.
  • VPN Server: Hinterlegen Sie die öffentliche IP-Adresse oder den DynDNS-Namen des LANCOM Routers in der Zentrale.
  • VPN PSK: Hinterlegen Sie den in Schritt 1.7 vergebenen Preshared-Key.
  • IKE version: Wählen Sie IKEv1 aus.

2.6 Wechseln Sie in das Menü VPN Tftp.

2.7 Passen Sie folgende Parameter an, bestätigen die Anpassungen mit einem Klick auf den grünen Haken und verlassen das Menü mit einem Klick auf die Rück-Taste:

  • Setzen Sie den Haken bei Use TFTP servers.
  • Tftp 1: Tragen Sie die IP-Adresse der Alcatel OXO Connect in der Zentrale ein.

2.8 Klicken Sie auf den roten Pfeil, um das Main Menu zu verlassen. Das Deskphone startet anschließend neu und baut die VPN-Verbindung auf.