Beschreibung:
Um eine Advanced VPN Client Verbindung gegen den Zugriff Unbefugter abzusichern (etwa bei Diebstahl des Endgerätes), ist es sinnvoll diese mit einem Passwort zu versehen, welches beim Aufbau der VPN-Verbindung eingegeben werden muss. Bisher konnte dazu aber nur ein statisches Passwort verwendet werden. Geriet dieses in die Hände der Angreifer, war der Zugriff per Advanced VPN Client wieder möglich.
Daher ist es sinnvoll wechselnde Passwörter als zusätzlichen Faktor zu verwenden. Dies lässt sich auf einem LANCOM Router und dem Advanced VPN Client über EAP-OTP (Extensible Authentication Protocol - One Time Password) realisieren. Dazu wird auf dem Router ein OTP-Benutzer erstellt und dieser mit einer Authenticator-App verbunden. Der Router und die Authenticator-App generieren periodisch anhand des Passworts und der aktuellen Uhrzeit ein Einmal-Passwort (OTP). Der Router gleicht das von der Authenticator-App eingegebene Passwort dann mit dem generierten Passwort ab. Stimmen diese überein, wird die VPN-Verbindung aufgebaut.
In diesem Artikel wird beschrieben, wie eine VPN-Verbindung für den Advanced VPN Client zu einem LANCOM Router mit Zwei-Faktor-Authentifizierung eingerichtet werden kann (IKEv2-EAP-OTP).
Die folgenden Authenticator-Apps wurden im Rahmen dieses Artikels auf Interoperabilität getestet (Stand Oktober 2023). Apple iOS 16/17:
Android 13:
|
Voraussetzungen:
Alle involvierten Geräte (LANCOM Router, PC mit dem Advanced VPN Client und Smartphone mit der Authenticator-App) müssen über aktuelle Zeit-Einstellungen verfügen. Informationen zur Konfiguration der Zeit-Synchronisation auf einem LANCOM Router erhalten Sie in diesem Artikel. |
Szenario:
Für den Aufbau einer Advanced VPN Client Verbindung zu einem Router soll ein Einmal-Passwort (OTP) generiert werden, welches in einer Authenticator-App angezeigt wird und beim Start der VPN-Verbindung eingegeben werden muss.
Vorgehensweise:
1. Aktivieren der CA und Erstellen der Zertifikate auf dem Router per Smart Certificate:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Zertifikate → Zertifizierungsstelle (CA) und setzen den Haken bei Zertifizierungsstelle (CA) aktiviert.
Schreiben Sie die Konfiguration anschließend in den Router zurück.
1.2 Öffnen Sie das Webinterface des Routers und wechseln in das Menü Setup-Wizards → Zertifikate verwalten.
1.3 Klicken Sie auf Neues Zertifikat erstellen.
1.4 Passen Sie folgende Parameter an, klicken auf Erstellen (PKCS#12) und speichern das Zertifikat ab:
1.5 Wechseln Sie im Webinterface in das Menü Extras → Zertifikat oder Datei hochladen.
1.6 Passen Sie folgende Parameter an und klicken auf Upload starten:
2. Einrichtung der IKEv2-EAP Verbindung auf dem Router:
2.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü VPN → Allgemein und wählen bei Virtual Private Network im Dropdownmenü Aktiviert aus.
2.2 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.
2.3 Erstellen Sie ein neues Authentifizierungs-Profil.
2.4 Passen Sie folgende Parameter an:
2.5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → IPv4-Adressen.
2.6 Passen Sie folgende Parameter an, um einen neuen IPv4-Adress-Pool zu erstellen:
2.7 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.
2.8 Wechseln Sie in das Menü RADIUS-Server.
2.9 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
2.10 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.
2.11 Bearbeiten Sie den vorhandenen DEFAULT-Eintrag.
2.12 Passen Sie folgende Parameter an:
Vorhandene VPN-Verbindungen mit Preshared-Key funktionieren nach der Anpassung weiterhin wie gewohnt. |
2.13 Die Konfiguration der VPN-Verbindung ist damit abgeschlossen.
3. Konfiguration der RADIUS- und OTP-Einstellungen auf dem Router:
3.1 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Option RADIUS-Authentisierung aktiv, um den RADIUS-Server zu aktivieren. Stellen Sie sicher, das im Menü RADIUS-Dienste-Ports die RADIUS Ports 1.812 und 1.813 eingetragen sind (Standardeinstellung).
3.2 Wechseln Sie in das Menü RADIUS → Server → EAP.
3.3 Wählen Sie im Dropdownmenü bei Default-Methode die Option OTP aus.
3.4 Wechseln Sie in das Menü RADIUS → Server → Benutzerkonten.
3.5 Erstellen Sie einen neuen Benutzer und passen die folgenden Parameter an:
Wiederholen Sie diesen Schritt für jeden weiteren VPN-Benutzer. |
3.6 Wechseln Sie in das Menü RADIUS → Server → OTP-Benutzerkonten.
3.7 Erstellen Sie ein neues OTP-Benutzerkonto und passen die folgenden Parameter an:
Hash-Algorithmus: Wählen Sie im Dropdownmenü die Option SHA256 aus. Wenn die verwendete Authenticator App den Hash-Algorithmus SHA256 nicht unterstützt, können Sie stattdessen auch SHA1 verwenden.
Wiederholen Sie diesen Schritt für jeden weiteren VPN-Benutzer. |
Bei einigen älteren Android Geräten und dem Microsoft Authenticator wird der Hash-Algorithmus SHA256 nicht unterstützt. Verwenden Sie in diesem Fall bitte SHA1. Bei Verwendung des Google Authenticators muss mindestens ein 16-stelliges Secret vergeben werden, da ansonsten der Scan des QR-Codes fehlschlägt. |
4. Export des CA-Zertifikats vom LANCOM Router und Import im Advanced VPN Client:
4.1 Verbinden Sie sich mit dem Webinterface des LANCOM Routers, wechseln in das Menü Extras → Aktuelles CA Zertifikat herunterladen und speichern das Zertifikat ab.
4.2 Kopieren Sie das Zertifikat auf dem Computer, der die VPN-Verbindung aufbauen soll, in den Ordner C:\ProgramData\LANCOM\Advanced VPN Client\cacerts.
Bei Verwendung der Client-Version 6.21 kann das Verzeichnis auch C:\ProgramData\LANCOM\Trusted Access Client\cacerts lauten. Dies ist abhängig davon, ob Sie die Version 6.21 initial neu installiert haben, oder von einer älteren Version aktualisiert haben. |
4.3 Starten Sie den Advanced VPN Client und wechseln in das Menü Verbindung → Zertifikate → CA-Zertifikate anzeigen.
4.4 Prüfen Sie, ob das Zertifikat vom Advanced VPN Client erkannt wird.
5. Einrichtung einer IKEv2-EAP-OTP Verbindung mit dem Advanced VPN Client:
5.1 Wechseln Sie im Advanced VPN Client in das Menü Konfiguration → Profile.
5.2 Klicken Sie auf Hinzufügen / Import, um eine neue VPN-Verbindung zu erstellen.
5.3 Wählen Sie Verbindung zum Firmennetz über IPSec aus und klicken auf Weiter.
5.4 Vergeben Sie einen aussagekräftigen Profil-Namen.
5.5 Wählen Sie im Dropdownmenü das verwendete Verbindungsmedium aus, mit dem die VPN-Verbindung aufgebaut werden soll.
Soll die VPN-Verbindung mit unterschiedlichen Verbindungsmedien aufgebaut werden können (etwa LAN und WLAN), wählen Sie automatische Medienerkennung aus. |
5.6 Tragen Sie bei Gateway (Tunnel-Endpunkt) die öffentliche IP-Adresse oder den DNS-Namen des Routers ein.
5.7 Passen sie folgende Parameter an:
5.8 Da die Authentifizierung per EAP-OTP nicht im Assistenten konfiguriert werden kann, muss dies im Nachgang manuell vorgenommen werden (siehe Schritte 5.12 - 5.13). Klicken Sie daher auf Weiter ohne Änderungen vorzunehmen.
5.9 Wählen Sie bei IP-Adressen-Zuweisung im Dropdownmenü IKE Config Mode verwenden aus, damit der Advanced VPN Client bei der VPN-Einwahl eine IP-Adresse vom Router bezieht.
5.10 Tragen Sie das Zielnetzwerk ein, zu dem die VPN-Verbindung aufgebaut werden soll. Dadurch wird nur der für das Zielnetzwerk bestimmte Datenverkehr über den VPN-Tunnel geroutet.
Klicken Sie anschließend auf Fertigstellen.
Weitere Informationen zum Split Tunneling finden Sie in diesem Knowledge Base Artikel. |
5.11 Markieren Sie das in Schritt 5.1 - 5.10 erstellte VPN-Profil und klicken auf Bearbeiten.
5.12 Wechseln Sie in den Reiter IPSec-Einstellungen und setzen die IKEv2-Authentisierung auf EAP.
5.13 Wechseln Sie in den Reiter Identität und tragen den Benutzer-Namen des RADIUS-Benutzers als Lokale Identität sowie den Namen des OTP-Benutzers als Benutzername für die EAP-Authentisierung ein. Zusätzlich muss für die EAP-Authentisierung ein beliebiges Passwort hinterlegt werden, da das Feld nicht leer bleiben darf.
5.14 Wechseln Sie in den Expertenmodus, klicken auf Verbindungssteuerung und wählen bei OTP-Token die Option VPN-Einwahl aus.
5.15 Die Einrichtung der VPN-Verbindung im Advanced VPN Client ist damit abgeschlossen. Bestätigen Sie die manuell vorgenommenen Änderungen mit einem Klick auf OK.
6. Hinzufügen des VPN-OTP-Benutzers in der Authenticator-App:
6.1 Verbinden Sie sich per WEBconfig mit dem Router und wechseln in das Menü Extras → EAP-OTP-Benutzer.
6.2 Klicken Sie bei dem Benutzer auf das "Augen-Symbol", um den QR-Code anzuzeigen.
6.3 Scannen Sie den QR-Code mit einer Authenticator-App ein. Es werden nun OTP-Codes generiert und in der App angezeigt.
6.4 Beim Aufbau der VPN-Verbindung wird nun das in Schritt 3.5 vergebene Passwort des RADIUS-Benutzers als auch das von der Authenticator-App angezeigte Einmalpasswort (OTP) abgefragt.
