Beschreibung:
Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen zwei LANCOM Routern mit Zertifikaten.

Weitere Information zu Zertifikaten und eine entsprechende Anleitung finden Sie auch im LCOS-Referenzhandbuch.

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.


Voraussetzungen:


Vorgehensweise:
Laden Sie zuerst die Zertifikate PKCS#12 Format per WEBconfig in die beiden Router. Melden Sie sich hierzu mit Administratorrechten an dem gewünschten Gerät an. 
Wählen Sie als Datei Typ z.B."VPN-Container als PKCS#12-Datei" aus.
Als Dateiname tragen Sie den entsprechenden Pfad+Dateiname ein, wo das Zertifikat auf Ihrem PC abgelegt wurde.
Je nach Typ der hochgeladenen Datei muss gegebenenfalls das entsprechende Kennwort eingegeben werden.
Die hochgeladenen Dateien können anschließend in WEBconfig unter LCOS-Menübaum → Status → Dateisystem → Inhalt eingesehen werden.
Sie können das Zertifikat auch mit Hilfe von LANconfig hochladen.
Klicken Sie mit der rechten Maustaste auf das entsprechende Gerät und wählen unter Konfigurations-Verwaltung den Untermenüpunkt Zertifkat oder Datei hochladen... aus.
Browsen Sie zu der entsprechenden PKCS#12 Datei und wählen folgende Optionen aus:

Konfiguration der Zentrale:
Starten Sie den Setup-Assistent, indem Sie mit der rechten Maustaste auf das zu konfigurierende Gerät klicken und im Kontext-Menü Setup Assistent auswählen.
Wählen Sie VPN über eine Internet-Verbindung aus.
Wählen Sie hier Zertifikate (RSA Signature) aus.
Geben Sie hier die lokale und entfernte Identität in Form eines ASN.1-Distinguished Names an.
Diese Angaben entnehmen Sie aus dem subject der jeweiligen Geräte-Zertifkate.
Das Geräte Zertifikat können Sie per Telnet oder SSH mit dem Befehl show vpn cert auslesen.

In diesem Beispiel lauten die Identitäten wie folgt:
Lokale Identität: CN=Thomas Mustermann/OU=Zentrale/O=LANCOM/C=DE
Entfernte Identität: CN=Thomas Mustermann/OU=Filiale/O=LANCOM/C=DE


Konfiguration der Filiale:
Laden Sie die entsprechenden Zertifikate über WEBconfig in das Gerät (s.o.). Starten Sie hier ebenfalls den Setup-Assistent und wählen Sie Zwei lokale Netze verbinden (VPN) aus.
Wählen Sie VPN über eine Internet-Verbindung aus.
Wählen Sie hier Zertifikate (RSA Signature) aus.
Geben Sie hier die lokale und entfernte Identität in Form eines ASN.1-Distinguished Names an.
Diese Angaben entnehmen Sie aus dem subject der jeweiligen Geräte-Zertifkate.
Das Geräte Zertifikat können Sie per Telnet oder SSH mit dem Befehl show vpn cert auslesen.

In diesem Beispiel lauten die Identitäten wie folgt:
Lokale Identität: CN=Thomas Mustermann/OU=Zentrale/O=LANCOM/C=DE
Entfernte Identität: CN=Thomas Mustermann/OU=Filiale/O=LANCOM/C=DE
Konfigurieren Sie anschließend einen Polling- Eintrag auf die Intranet IP Adresse des entfernten VPN-Gateways.