Beschreibung:
Dieses Dokument beschreibt, welche Einstellungen im LANCOM Router vorzunehmen sind, wenn dieser eine IKEv1 VPN-Verbindung zu Windows Azure aufbauen soll.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.


Voraussetzungen:


Vorgehensweise:
1. Konfiguration der IPSec- & IKE-Proposals:
Erstellen Sie in der Konfiguration des LANCOM Routers neue IPSec- & IKE-Proposals und verwenden Sie dabei die Vorgaben von Microsoft.
1.1 Öffnen Sie das Menü VPN → IKE/IPSec → IPSec-Proposals und erstellen Sie ein neues IPSec-Proposal für die VPN-Verbindung zu Windows Azure.
1.2 Wechseln Sie das Menü VPN → IKE/IPSec → IKE-Proposals und erstellen Sie ein neues IKE-Proposal für die VPN-Verbindung zu Windows Azure.
Beim IKE-Proposal muss der gleiche Verschlüsselungsalgorithmus verwendet werden, wie im IPSec-Proposal.


2. Konfiguration der PFS-/IKE-Gruppe:
2.1 Öffnen Sie das Menü VPN → IKE/IPSec → Verbindungs-Parameter und erstellen Sie einen neuen Eintrag für die VPN-Verbindung zu Windows Azure.
  • Bei den Verbindungsparametern muss darauf geachtet werden, dass kein PFS genutzt wird.
  • Die IKE-Gruppe wird auf 2 gestellt.
2.2 Die erstellten Einträge für IKE und IPSec müssen Sie ebenfalls in diesem Dialog auswählen.


3. Erstellen eines Routing-Eintrags:
3.1 Öffnen Sie das Menü IP-Router → Routing → IPv4-Routing-Tabelle und erstellen Sie einen neuen Routing-Eintrag für die VPN-Verbindung zu Windows Azure.
  • Beachten Sie, dass Microsoft seinen Kunden lokale Netze mit einer B-Netzmaske (255.255.0.0) zur Verfügung stellt.
  • Wählen Sie als Router die erstellten VPN-Verbindung aus.
  • Schalten Sie die IP-Maskierung ab.