Beschreibung: Dieses Dokument bescheibt, wie Sie eine Netzkopplung per IKEv2 Client-To-Site VPN-Verbindung zwischen einem Smartphone oder Tablet-PC mit iOS Betriebssystem und einem LANCOM Router einrichten können. Voraussetzungen:Szenario:- Ein Unternehmen möchte seinen Aussendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
- Die Mitarbeiter sollen die VPN-Verbindung mit mobilen Endgeräten (Smartphone, Tablet-PC, etc.) herstellen können, auf welchen ein iOS Betriebssystem installiert ist.
- Die Firmenzentrale verfügt über einen LANCOM Router als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24.
 Vorgehensweise:1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN → Allgemein. 1.2 Aktivieren Sie die Funktion Virtual Private Network. 1.3 Wechseln Sie in das Menü VPN → IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung. 1.4 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen. 1.5 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein. - Name:
Geben Sie den Namen für die Authentifizierung ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 1.8). - Lokale Authentifizierung:
Wählen Sie den Typ der Authentifizierung im Router der Zentrale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen. - Lokaler Identitätstyp:
Wählen Sie als Typ der Identität des Routers in der Zentrale den Parameter E-Mail-Adresse (FQUN) aus. Je nach verwendeter iOS-Version kann es sein, dass stattdessen die Option Domänen-Name (FQDN) ausgewählt werden muss. - Lokale Identität:
Bestimmen Sie die lokale Identität. - Lokales Passwort:
Vergeben Sie den Pre-shared Key , welcher verwendet werden soll um sich beim iOS-Endgerät erfolgreich zu authentifizieren. - Entfernte Authentifizierung:
Wählen Sie den Authentifizierungstypen des iOS-Endgerätes aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen. - Entfernter Identitätstyp:
Wählen Sie als Typ der Identität des iOS-Endgeräts den Parameter E-Mail-Adresse (FQUN) aus. Je nach verwendeter iOS-Version kann es sein, dass stattdessen die Option Domänen-Name (FQDN) ausgewählt werden muss. - Entfernte Identität:
Bestimmen Sie die entfernte Identität. - Entferntes Passwort:
Vergeben Sie den Pre-shared Key, welcher verwendet werden soll, um sich gegenüber dem LANCOM Router in der Zentrale erfolgreich zu authentifizieren. Geben Sie hier das Passwort ein, welches Sie als lokales Passwort verwendet haben.
1.6 Wechseln Sie in das Menü VPN → IKEv2/IPSec und klicken Sie auf die Schaltfläche Verschlüsselung. 1.7 Markieren Sie das DEFAULT-Profil und klicken Sie auf die Schaltfläche Kopieren, um einen neuen Eintrag zu erzeugen. - Deaktivieren Sie den Parameter PFS und speichern Sie das Profil unter einem neuen Namen ab.
1.8 Wechseln Sie in das Menü VPN → IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste. 1.9 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen. 1.10 Geben Sie im Konfigurationsdialog die folgenden Parameter ein: - Name der Verbindung:
Geben Sie die Bezeichnung für die VPN-Verbindung an. - Haltezeit:
Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Zentrale eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut. - Verschlüsselung:
Hier müssen Sie das in Schritt 1.7 erstellte Verschlüsselungsprofil auswählen. - Authentifizierung:
Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 1.5 festgelegt haben. - IKE-CFG:
Hier muss der Parameter Server eingestellt werden. - IPv4-Adress-Pool:
Hier müssen Sie einen Bereich lokaler IP-Adressen definieren, aus welchem eingewählten VPN-Clients eine IP-Adresse zugewiesen wird. Wenn Sie noch keinen Adress-Pool eingerichtet haben, klicken Sie auf die Schaltfläche Wählen und im nächsten Dialog auf den Link Quelle verwalten. - Regelerzeugung:
Die Regelerzeugung muss manuell durchgeführt werden. - IPv4-Regeln:
Hier müssen Sie den Parameter RAS-WITH-CONFIG-PAYLOAD einstellen.
Bei IKEv2-Verbindungen muss der IPv4-Adress-Pool zwingend in dem Menü IPv4-Adressen eingerichtet werden. Die Nutzung der Adress-Pools in den Dialogen Kommunikation → Gegenstellen → WAN-Tag-Tabelle bzw. IPv4 → Adressen hat bei IKEv2-Verbindungen keine Wirkung. Diese werden nur für IKEv1-Verbindungen verwendet. Legen Sie im folgenden Dialog einen IPv4-Adress Pool an. |
1.11 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.
2. Konfiguration des Apple iPhone oder iPad: 2.1 Unter der Einstellung VPN wählen Sie den Punkt VPN aus und klicken auf VPN-Konfiguration. - Vergeben Sie nun eine eindeutige Beschreibung, hier im Beispiel LANCOM.
- Als Server geben Sie bitte die WAN IP-Adresse oder Domäne des LANCOM Routers an. Unter dieser Adresse muss der LANCOM Router im WAN erreichbar sein.
2.2 Als nächsten Schritt tragen Sie bitte den Fully Qualified Username ein, welchen Sie im LANCOM Router als lokale und entfernte Identität eingetragen haben, hier vpn@lancom.de. Je nach verwendeter iOS-Version muss statt eines Fully Qualified Username (FQUN) die Option Fully Qualified Domain Name (FQDN) verwendet werden (siehe Schritt 1.5). |
2.3 Als letzten Punkt der Konfiguration tragen Sie nun noch das Shared Secret ein, welches Sie im LANCOM Router als Preshared Key vorgegeben haben. 2.4 Speichern Sie die Konfiguration mit Fertig ab. | 
