Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 7 Nächste Version anzeigen »


Beschreibung:

In diesem Artikel wird beschrieben, wie eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls eingerichtet werden kann.


Voraussetzungen:

  • Zwei LANCOM R&S® Unified Firewalls mit LCOS FX ab Version 10.3
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den beiden Unified Firewalls
  • Web-Browser zur Konfiguration der Unified Firewalls.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:



Vorgehensweise:

1. Konfigurations-Schritte auf der Unified Firewall in der Zentrale:

1.1 Erstellen und Export der Zertifikate:

1.1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Symbol", um ein neues Zertifikat zu erstellen. 

1.1.2 Erstellen Sie zuerst eine CA (Certificate Authority). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie im Dropdownmenü die Option CA für VPN-/Webserver-Zertifikat aus.
  • Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für die CA (in diesem Beispiel IKEv2_CA).
  • Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine CA soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.

1.1.3 Erstellen Sie nun ein VPN-Zertifikat für die Zentrale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
  • Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Zentrale (in diesem Beispiel IKEv2_Zentrale).
  • Gültigkeit: Wählen Sie eine Laufzeit für das Zertifikat aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
  • Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.

1.1.4 Erstellen Sie ein VPN-Zertifikat für die Filiale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

  • Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
  • Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Filiale (in diesem Beispiel IKEv2_Filiale).
  • Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
  • Private-Key-Passwort: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key zu verschlüsseln.

1.1.5 Klicken Sie in der Zertifikatsverwaltung bei dem Zertifikat der Filiale auf die Schaltfläche zum Export.

1.1.6 Wählen Sie als Format die Option PKCS #12 aus, tragen die Passwörter ein und klicken auf Exportieren:

  • Private-Key-Passwort: Tragen Sie das Private-Key-Passwort ein, welches Sie in Schritt 1.1.4 vergeben haben.
  • Transport-Passwort: Tragen sie ein Passwort ein. Dieses wird beim Import des Zertifikates auf der Unified Firewall in der Filiale benötigt.

1.1.7 Klicken Sie in der Zertifikatsverwaltung bei dem Zertifikat der Zentrale auf die Schaltfläche zum Export.

1.1.8 Wählen Sie als Format die Option PEM aus und klicken auf Exportieren.


1.2 Einrichtung der VPN-Verbindung:

1.2.1

1.2.2

1.2.3

1.2.4

1.2.5

1.2.6

1.2.7

1.2.8


1.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:

1.3.1

1.3.2

 

1.3.3

1.3.4



2. Konfigurations-Schritte auf der Unified Firewall in der Filiale:

2.1 Import der Zertifikate:


2.2 Einrichtung der VPN-Verbindung:



2.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:


  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH