Beschreibung:
In diesem Artikel wird beschrieben, wie eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls eingerichtet werden kann.
Voraussetzungen:
- Zwei LANCOM R&S® Unified Firewalls mit LCOS FX ab Version 10.3
- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den beiden Unified Firewalls
- Web-Browser zur Konfiguration der Unified Firewalls.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Szenario:
Vorgehensweise:
1. Konfigurations-Schritte auf der Unified Firewall in der Zentrale:
1.1 Erstellen und Export der Zertifikate:
1.1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Symbol", um ein neues Zertifikat zu erstellen.
1.1.2 Erstellen Sie zuerst eine CA (Certificate Authority). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:
- Zertifikatstyp: Wählen Sie im Dropdownmenü die Option CA für VPN-/Webserver-Zertifikat aus.
- Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
- Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für die CA (in diesem Beispiel IKEv2_CA).
- Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine CA soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
- Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.
1.1.3 Erstellen Sie nun ein VPN-Zertifikat für die Zentrale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:
- Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
- Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
- Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Zentrale (in diesem Beispiel IKEv2_Zentrale).
- Gültigkeit: Wählen Sie eine Laufzeit für das Zertifikat aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
- CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
- Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.
1.1.4 Erstellen Sie ein VPN-Zertifikat für die Filiale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:
- Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
- Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
- Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Filiale (in diesem Beispiel IKEv2_Filiale).
- Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
- CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
- Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.
1.1.5
1.1.6
1.1.7
1.1.8
1.2 Einrichtung der VPN-Verbindung:
1.2.1
1.2.2
1.2.3
1.2.4
1.2.5
1.2.6
1.2.7
1.2.8
1.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:
1.3.1
1.3.2
1.3.3
1.3.4
2. Konfigurations-Schritte auf der Unified Firewall in der Filiale:
2.1 Import der Zertifikate:
2.2 Einrichtung der VPN-Verbindung:
2.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:
