Neuer Artikel: 06.2024
Vorbemerkung
Im folgenden wird gezeigt wie eine Konfiguration einer IPSec IKEv2-Verbindung mit LANCOM-Routern erfolgen kann, sowie wo die relevanten Einstellungen im Webinterface des Routers zu finden sind.
Folgende lokale Beispiel Netze sollen über die S2S Verbindung erreichbar sein:
lokales Router Netz | 172.30.0.0/24 |
geteilte UTM Netze | 172.31.2.0/24 & 192.168.250.0/24 |
Konfiguration der UTM
Anschließend werden folgende Konfigurationen angepasst:
Konfiguration des LANCOM-Routers
Anschließend werden die Verbindungsparameter auf dem LANCOM-Router konfiguriert.
Hierzu müssen zunächst die verschiedenen Datensätze erstellt werden. Dies erfolgt im Webinterface des Routers, hauptsächlich unter Konfiguration → VPN → IKEv2/IPSec, Ausnahmen sind die IPv4-Regeln, sowie das Routing.
Die Datensätze können immer durch klicken auf den blau hinterlegten Namen bearbeitet werden und es können mithilfe der Schaltfläche
, die unten in der Mitte zu finden ist, neue Datensätze angelegt werden.
Überprüfung/Troubleshooting
Verortung der relevanten Einstellungen im Router Webinterface
In der folgenden Tabelle wird gezeigt wo sich die Einstellungen, die von der UTM bekannt sind, in dem Webinterface des Lancom Routers konfigurieren lassen. notempty $NAME ist ein Platzhalter für den Namen eines Datensatzes, der durch Klicken geöffnet werden muss.
| |
Phase 1AllgemeinAllgemein
| |
Bezeichnung Securepoint UTM | Bezeichung Lancom |
---|---|
Local Gateway | kein passendes Gegenstück vorhanden |
Local Gateway ID | Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → Lokale Identität Wenn dieser gesetzt wird, muss in jedem Fall auch der entfernte Identitätstyp gesetzt werden! |
Remote Host / Gateway | Konfiguration → VPN → IKEv2/IPSec → Verbindungs-Liste → $NAME → Entferntes Gateway |
Remote Host / Gateway ID | Konfiguration → VPN → IKEv2/IPSec → |
Authentifizierungsmethode | Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → Lokale Authentifzierung Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → entfernte Authentifizierung |
Pre-Shared Key | Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → Lokales Passwort Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → Entferntes Passwort |
Startverhalten: Incoming | Konfiguration → VPN → IKEv2/IPSec → Verbindungs-Liste → $NAME → Haltezeit: 0 |
Startverhalten: Outgoing | Konfiguration → VPN → IKEv2/IPSec → Verbindungs-Liste → $NAME → Haltezeit: 9999 |
Dead Peer Detection / DPD Intervall | Konfiguration → VPN → IKEv2/IPSec → Verbindungs-Parameter → $NAME → Dead Peer Detection |
IKEIKE
| |
Verschlüsselung | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → IKE-SA Verschlüsselungsliste |
Authentifizierung | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → IKE-SA Hash-Liste |
Diffie-Hellman Group | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → Erlaubte DH-Gruppen |
IKE Lifetime | Konfiguration → VPN → IKEv2/IPSec → Gültigkeitsdauer → $NAME → IKE SA |
Phase 2AllgemeinAllgemein
| |
Verschlüsselung | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → Child-SA Verschlüsselungsliste |
Authentifizierung | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → Child-SA Hash-Liste |
DH-Gruppe (PFS) | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → Erlaubte DH-Gruppen → PFS: Ja |
Schlüssel-Lebensdauer | Konfiguration → VPN → IKEv2/IPSec → Gültigkeitsdauer → $NAME → Child SA |
SubnetzeSubnetze
| |
Lokales Netzwerk | Konfiguration → VPN → Allgemein → IPv4-Regeln → $NAME → Entfernte Netzwerke |
Remote-Netzwerk | Konfiguration → VPN → Allgemein → IPv4-Regeln → $NAME → Lokale Netzwerke |
notempty Lokal auf einer Seite ist immer Remote/Entfernt auf der anderen Seite!
|