Beschreibung:
Dieses Dokument beschreibt die nötigen Konfigurationsschritte zur Einrichtung einer IKEv1 VPN-Verbindung zwischen einem LANCOM Router und dem Apple VPN Client im MacOS X ab Version 10.11 El Capitan.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.

Die Konfiguration einer IKEv2-Verbindung zwischen dem in macOS integrierten VPN Client und einem LANCOM Router ist in diesem Knowledge Base Artikel beschrieben.



Voraussetzungen:
  • VPN Client im MacOS X ab Version 10.11 El Capitan
  • LCOS ab Version 9 (download aktuelle Version)
  • LANtools ab Version 9 (download aktuelle Version)



Vorgehensweise:
1. Konfigurationsschritte auf dem Router
1.1 Wählen Sie im Setup-Assistenten die Option Einwahl-Zugang bereitstellen (RAS, auch VPN) und klicken Sie auf Weiter.
1.2 Wählen Sie im nächsten Dialog für die Einwahl auf den Router die Option VPN-Client mit benutzerdefinierten Parametern aus. Setzen Sie die Konfiguration mit einem Klick auf Weiter fort.
1.3 Geben Sie im folgenden Dialog einen Namen für die VPN-Verbindung ein (z.B. APPLE_VPN).

Den hier eingetragenen Namen benötigen Sie später bei der Einrichtung der VPN-Verbindung im VPN Client (wird als Account-Name verwendet). Schreiben Sie sich den Namen der VPN-Verbindung daher auf.

1.4 Im nächsten Dialog müssen Sie zunächst die Option Gemeinsames Passwort (Preshared Key) und Aggressiv e Mode auswählen.
1.5 Geben Sie dann im Feld Preshared Key eine beliebige Zeichenkombination ein. Nach Eingabe der Zeichenkombination müssen Sie diese zur Kontrolle in einem weiteren Fenster noch einmal eingeben.

Die hier eingetragene Zeichenkombination für den Preshared Key benötigen Sie später bei der Einrichtung der VPN-Verbindung im VPN Client (wird als Shared Secret verwendet). Schreiben Sie sich die Zeichenkombination des Preshared Keys daher auf.

1.6 Im folgenden Dialog muss sichergestellt sein, dass die IKE-Gruppe 2 verwendet wird. Sollte dies nicht der Fall sein, aktivieren Sie die Option Standard-IKE-Parameter verändern und stellen Sie im nächsten Dialog die IKE-Gruppe 2 ein.
1.7 Wählen Sie im nächsten Dialog aus den Auswahllisten der Optionen Lokaler Identität-Typ und Entfernter Identität-Typ jeweils den Eintrag Key-ID (Gruppenname) aus.
1.8 Geben Sie in den Feldern lokale Identität und entfernte Identität jeweils eine Bezeichnung ein (hier: apple_vpn).

Die hier eingetragenen Bezeichnungen für lokale Identität und entfernte Identität benötigen Sie später bei der Einrichtung der VPN-Verbindung im VPN Client (wird als Gruppenname verwendet). Schreiben Sie sich die Bezeichnungen für lokale Identität und entfernte Identität daher auf.

1.9 Im folgenden Dialog müssen Sie die Option "Das PFS-Verfahren für die aktuelle Verbindung einsetzen " deaktivieren, da dieses vom VPN Client nicht unterstützt wird. Klicken Sie dann auf Weiter um fortzufahren.
1.10 In diesem Dialog müssen alle Verschlüsselungs-Verfahren ausgewählt werden.
1.11 In diesem Dialog bleiben die Standardparameter erhalten.
1.12 Geben Sie im folgenden Dialog im Feld IP-Adresse die lokale IP-Adresse ein, die dem VPN-Client bei der VPN-Verbindung zugewiesen werden soll. Klicken Sie dann auf Weiter.
1.13 Im nächsten Dialog können Sie optional den Zugriff für den VPN-Client auf bestimmte Netze einschränken. In unserem Beispiel erlauben wir dem VPN Client den Zugriff auf alle IP-Adressen.
1.14 Klicken Sie auf Weiter und bestätigen Sie im letzten Dialog das Ende des Setup-Assistenten mit der Schaltfläche Fertig stellen.
1.15 Die von Ihnen vorgenommenen Einstellungen werden nun in die Konfiguration des Routers übertragen.
18. Nachdem die Einstellungen erfolgreich in den Router übertragen wurden, müssen Sie einen rechten Mausklick auf dem Router ausführen und aus dem Kontextmenü die Option Konfigurieren auswählen.
1.16 Wählen Sie VPN → IKE/IPSec → Allgemein → Verbindungs-Liste.
1.17 Markieren Sie in der Verbindungs-Liste die VPN-Verbindung mit dem Namen APPLE_VPN und klicken Sie auf die Schaltfläche Bearbeiten....
1.18 Ändern Sie im Fenster Eintrag bearbeiten den Wert des Feldes XAUTH auf die Option Server.
1.19 Klicken Sie auf die Schaltfläche OK, um die geänderte Einstellung zu übernehmen und das Dialogfenster zu schließen.
1.20 Wählen Sie K ommunikation → Protokolle → PPP-Liste.
1.21 Klicken Sie auf die Schaltfläche Hinzufügen und wählen Sie im folgenden Dialog bei der Option Gegenstelle Ihre im Konfigurationsschritt 1.3 erstellte Gegenstelle aus (hier: APPLE_VPN).
1.22 Im Feld Benutzername muss nichts eingetragen werden.
1.23 Vergeben Sie im Feld Passwort ein Passwort Ihrer Wahl.

Das hier vergebene Passwort benötigen Sie später bei der Einrichtung der VPN-Verbindung im VPN-Client (wird als Kennwort verwendet). Schreiben Sie sich dieses Passwort daher auf. 

1.24 Klicken Sie auf die Schaltfläche OK , um die geänderte Einstellung zu übernehmen und das Dialogfenster zu schließen.

1.25 Klicken Sie im Konfigurationsdialog auf die Schaltfläche OK, um die manuelle Konfiguration zu beenden und die geänderten Einstellungen in den Router zu übertragen. Die Konfiguration des LANCOM VPN-Gateways ist damit abgeschlossen.



2. Konfiguration des VPN Client in MacOS X ab Version 10.11 El Capitan:

2.1 Klicken Sie im Konfigurationsdialog Netzwerk auf die Schaltfläche + (im folgenden Bild rot markiert) und wählen Sie die Option VPN (Cisco IPSec).

2.2 Tragen Sie folgendes in die Felder Serveradresse, Accountname und Kennwort ein:

  • Serveradresse: Geben Sie hier die öffentliche IP-Adresse oder DynDNS-Adresse ein, unter welcher der LANCOM Router erreichbar ist.
  • Accountname: Geben Sie hier den Namen der VPN-Verbindung ein, die Sie im Schritt 1.3 der LANCOM Konfiguration für die VPN-Verbindung vergeben haben (in diesem Beispiel ist das: apple_vpn).
  • Kennwort: Geben Sie hier das Kennwort ein, welches Sie in Schritt 1.24 der LANCOM Konfiguration vergeben haben.
2.3 Klicken Sie auf die Schaltfläche Authentifizierungseinstellungen ....
2.4 Wählen Sie im Dialog Rechner-Identifizierung die Option Schlüssel ("Shared Secret") und geben Sie im dahinter stehenden Eingabefeld die Zeichenkombination ein, welche Sie im Schritt 1.5 der LANCOM Konfiguration vergeben haben.
2.5 Geben Sie im Feld Gruppenname den Namen an, den Sie im Schritt 1.8 der LANCOM-Konfiguration als Name für die Lokale Identität und Entfernte Identität vergeben haben (in diesem Beispiel ist das: apple_vpn).
2.6 Klicken Sie auf die Schaltfläche OK, um die Einstellungen zu übernehmen.
2.7 Optional können Sie im Konfigurationsdialog Netzwerk auf die Schaltfläche Weitere Optionen... klicken und im folgenden Dialog weitere DNS-Server für den VPN-Tunnel vergeben.
2.8 Klicken Sie auf die Schaltfläche OK, um die Daten zu übernehmen und zum Konfigurationsdialog Netzwerk zurückzukehren.
2.9 Um einen besseren visuellen Überblick über den Status der VPN-Verbindung zu bekommen, sollten Sie die Option VPN-Status in der/n Menüleiste anzeigen aktivieren.
2.10 Klicken Sie auf die Schaltfläche Verbinden, um die VPN-Verbindung herzustellen.
2.11 Die Konfiguration des VPN Client ist damit erfolgreich abgeschlossen.