Beschreibung:
In diesem Dokument ist beschrieben, wie eine IKEv2-Verbindung mit einem Android-Endgerät (Smartphone oder Tablet) zu einer LANCOM R&S®Unified Firewall eingerichtet werden kann.

Voraussetzungen:
  • LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.4
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Mobiles Endgerät (Smartphone, Tablet-PC, etc.) mit Android Betriebssystem ab Version 5.x
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox

Die Verfügbarkeit von IKEv2 in Android-Versionen ist abhängig vom Hersteller Ihres mobilen Endgerätes. So bietet z.B. der Hersteller Samsung IKEv2 in vielen Android-Distributionen seiner Endgeräte an, andere Hersteller verzichten darauf. Sollte in Ihrer Android-Distribution IKEv2 nicht verfügbar sein, müssen Sie eine entsprechende App verwenden.




Szenario:
1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:
  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
  • Die Mitarbeiter können dazu ein Android-Endgerät (Smartphone oder Tablet) verwenden.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.66.0/24.


2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:
  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
  • Die Mitarbeiter können dazu ein Android-Endgerät (Smartphone oder Tablet) verwenden.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router die feste öffentliche IP-Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.66.0/24.


Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Port- und Protokollforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).
1. Konfigurationsschritte auf der Unified Firewall:
1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln auf VPN → IPSec-Einstellungen.
1.2 Aktivieren Sie IPSec.
1.3 Wechseln Sie auf VPN → IPSec-Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.
1.4 Hinterlegen Sie folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Name n.
  • Sicherheits-Profil: Wählen Sie hier das vorgefertigte Profil LANCOM Advanced VPN Client IKEv2 aus.
  • Verbindung: Wählen Sie Ihre konfigurierte Internet-Verbindung aus.

Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese hier ebenfalls verwenden.

1.5 Wechseln Sie in den Reiter Tunnel und hinterlegen folgende Parameter:
  • Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von dem VPN-Client erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
    192.168.66.0/24
    .
  • Virtueller IP-Pool: Wählen Sie die Option Default Virtual-IP pool aus. Virtuelle IP-Pools können verwendet werden, um verbundenen VPN-Clients IP-Adressen-Konfigurationen zu senden.


Soll dem VPN-Client eine IP-Adresse aus einem der lokalen Netzwerke statt einer Adresse aus dem Virtuellen IP-Pool zugewiesen werden (über das Feld Virtuelle IP), muss Routen-basiertes IPSec verwendet und in der Routing-Tabelle 254 eine Route für das VPN-Interface erstellt werden, welche auf die virtuelle IP-Adresse im lokalen Netzwerk verweist.


1.6 Wechseln Sie in den Reiter Authentifizierung und hinterlegen folgende Parameter:
  • Authentifizierungstyp: Wählen Sie hier die Option PSK (Preshared Key) aus.
  • PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung.
  • Lokaler Identifier: Vergeben Sie die Lokale Identität.
  • Remote Identifier: Vergeben Sie die Entfernte Identität.


Der Local und Remote Identifier dürfen nicht übereinstimmen!


Je nach verwendetem Smartphone und der verwendeten Android Version kann es sein, dass dieses nur eine lokale Identität unterstützt (Remote Identifier auf der Unified Firewall). Werden beide Identitäten auf der Unified Firewall hinterlegt, kann dies dazu führen, dass die VPN-Verbindung nicht aufgebaut werden kann. In diesem Fall muss der Lokale Identifier auf der Unified Firewall leer gelassen werden.



1.7 Klicken Sie auf das Symbol zum Erstellen eines neuen VPN-Host s.
1.8 Hinterlegen Sie folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • VPN-Verbindungstyp: Wählen Sie den Typ IPSec.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPsec die in Schritt 1.4 -1.6 erstellte VPN-Verbindung aus.
1.9 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches der Advanced VPN Client zugreifen können soll, damit die Firewall-Objekte geöffnet werden.
1.10 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.


Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.


Die Firewall-Objekte können Sie auch über Desktop → Desktop-Verbindungen aufrufen, indem Sie auf das "Bearbeiten-Symbol" klicken. 


1.11 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
1.12 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.


2. Manuelle Einrichtung der VPN-Verbindung auf dem Smartphone oder Tablet-PC:
2.1 Öffnen Sie das Menü Einstellungen und wählen Sie unter Verbindungen den Menüpunkt Weitere Einstellungen.
2.2 Wählen Sie die Option VPN aus.
2.3 Tippen Sie auf das Plus-Zeichen in der rechten oberen Ecke, um einen neuen Eintrag hinzuzufügen.
2.4 Im nächsten Dialog müssen Sie folgende Einstellungen vornehmen:
  • Im Feld Name müssen Sie eine Namensbezeichnung für das neue VPN-Profil eintragen. Es kann ein beliebiger Name verwendet werden.
  • Im Auswählfeld Typ muss IPSec IKEv2 PSK eingestellt werden.
  • Im Feld Server-Adresse müssen Sie die öffentliche IP-Adresse oder die öffentliche DNS-Adresse des LANCOM Routers eintragen.
  • Geben Sie im Feld IPSec Identifier die Bezeichnung der entfernten Identität an, welchen Sie im Schritt 1.6 vergeben haben.
  • Im Feld IPSec Pre-shared Key muss der Pre-shared Key eingetragen werden, welchen Sie im Schritt 1.6 vergeben haben.
2.5 Tippen Sie auf Speichern, um das konfigurierte VPN-Profil zu sichern.
2.6 Zum Starten der VPN-Verbindung müssen Sie auf das soeben erstellte VPN-Profil tippen.


3. Einrichtung eines Port- und Protokoll-Forwarding auf einem LANCOM Router (nur Szenario 2):
Für IPSec werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP benötigt. Diese müssen auf die Unified Firewall weitergeleitet werden.
Werden die UDP-Ports 500 und 4500 weitergeleitet, wird das Protokoll ESP automatisch mit weitergeleitet.


Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.



Werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP auf die Unified Firewall weitergeleitet, kann eine IPSec-Verbindung auf dem LANCOM Router nur noch verwendet werden, wenn diese in HTTPS gekapselt wird (IPSec-over-HTTPS). Ansonsten kann keine IPSec-Verbindung mehr aufgebaut werden!


3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.
3.2 Hinterlegen Sie folgende Parameter:
  • Anfangs-Port: Hinterlegen Sie den Port 500.
  • End-Port: Hinterlegen Sie den Port 500.
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
  • Protokoll: Wählen Sie im Dropdown-Menü UDP aus.
3.3 Erstellen Sie einen weiteren Eintrag und hinterlegen den UDP-Port 4500.
3.4 Schreiben Sie die Konfiguration in den Router zurück.