Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png









Anleitung zur Einrichtung einer IPSec IKEv2-Verbindung mit LANCOM-Routern

Neuer Artikel: 06.2024

notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
VPN IPSec

Vorbemerkung

Im folgenden wird gezeigt wie eine Konfiguration einer IPSec IKEv2-Verbindung mit LANCOM-Routern erfolgen kann, sowie wo die relevanten Einstellungen im Webinterface des Routers zu finden sind.


Folgende lokale Beispiel Netze sollen über die S2S Verbindung erreichbar sein:

lokales Router Netz 172.30.0.0/24
geteilte UTM Netze 172.31.2.0/24 & 192.168.250.0/24



Konfiguration der UTM

notempty
Die Einrichtung der Verbindung auf der UTM erfolgt, wie im Wiki Artikel IPSec Site-to-Site beschrieben.
Anschließend werden folgende Konfigurationen angepasst:
Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 Lancom IPSec Phase 1.png
Abb.1
Unter VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1 müssen folgende Konfigurationen angepasst werden:
  • MOBIKE muss deaktiviert werden
  • Außerdem wird bezüglich der Gateway-IDs empfohlen:
    • bei festen, öffentlichen IPs auf beiden Seiten: IP-Adressen
    • in allen anderen Fällen: E-Mail-Adressen
  • Bei Verwendung einer E-Mail-Adresse als ID muss dringend auf das Doppel-@ vor der E-Mail-Adresse geachtet werden! (Beispiel: @@mail@anyideas.de)
  • Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 Lancom IPSec Phase 2.png
    Abb.2
    Unter VPN IPSec  Bereich Verbindungen Schaltfläche Phase 2 muss die Gruppierung der Subnetzkombinationen ausgeschaltet werden.














    Konfiguration des LANCOM-Routers

    Anschließend werden die Verbindungsparameter auf dem LANCOM-Router konfiguriert.

    Hierzu müssen zunächst die verschiedenen Datensätze erstellt werden. Dies erfolgt im Webinterface des Routers, hauptsächlich unter KonfigurationVPNIKEv2/IPSec, Ausnahmen sind die IPv4-Regeln, sowie das Routing.

    Die Datensätze können immer durch klicken auf den blau hinterlegten Namen bearbeitet werden und es können mithilfe der Schaltfläche Hinzufügen, die unten in der Mitte zu finden ist, neue Datensätze angelegt werden.

  • Es sollten in keinem Fall DEFAULT-Datensätze gelöscht werden!
  • Lancom Verschlüsselung.png
    Abb.3

    Verschlüsselung

    Verschlüsselung KonfigurationVPNIKEv2/IPSecVerschlüsselung
    Hier findet sich eine Liste von Datensätzen, die Cipher-Suites enthalten. Es ist nicht zwingend notwendig, hier einen eigenen Datensatz anzulegen. Der Default-Datensatz enthält die gängigsten Cipher, die auch von der UTM unterstützt werden. Sollte aber die Proposal-Aushandlung fehlschlagen, wäre das die erste Stelle zur Fehlersuche.
    Lancom Authentifizierung.png
    Abb.4

    Authentifizierung

    Authentifizierung KonfigurationVPNIKEv2/IPSecAuthentifizierungHinzufügen
    Hier werden die für die Authentifizierung in der Phase 1 benötigten Parameter, in die für die entsprechende Gegenstelle eindeutigen Datensätzen konfiguriert.
    Lancom Verbindungs-Parameter.png
    Abb.5

    Verbindungs-Parameter

    Verbindungs-Parameter KonfigurationVPNIKEv2/IPSecVerbindungs-Parameter
    Hier kann das DPD-Intervall und der Zielport für UDP-Encapsulation geändert werden. Die Default Werte müssen in der Regel nicht verändert werden.
    Lancom Gültigkeitsdauer.png
    Abb.6

    Gültigkeitsdauer

    Gültigkeitsdauer KonfigurationVPNIKEv2/IPSecGültigkeitsdauer
    Hier werden die Lebensdauer der IKE-SA und der Child-SA(s) konfiguriert. Es ist auch möglich den DEFAULT-Datensatz zu verwenden, in diesem Fall müssen die Werte (24h Phase1, 4h Phase 2) in die UTM übernommen werden.
    Lancom VPN-Regeln.png
    Abb.7

    IPv4-Regeln

    IPv4-Regeln KonfigurationVPNAllgemeinIPv4-Regeln
    Dieser Punkt entspricht der Subnetz-Konfiguration in der Phase 2 auf der UTM, das heißt, hier werden die lokalen und entfernten Subnetze konfiguriert.
    Lancom VPN-Regeln bearbeiten.png
    Abb.8
    Hier muss ein Datensatz passend zu den Werten auf der UTM erstellt werden. Die entsprechenden lokalen bzw. entfernten Netzwerke werden mit Leerzeichen getrennt in die entsprechend beschrifteten Felder eingetragen.
    Lancom Verbindungs-Liste.png
    Abb.9

    Verbindungs-Liste

    Verbindungs-Liste KonfigurationVPNIKEv2/IPSecVerbindungs-Liste
    Da nun alle Datensätze erstellt wurden, die für die Konfiguration der Verbindung notwendig sind, kann mit der Schaltfläche Hinzufügen eine neue Verbindung erstellt und konfiguriert werden.
    Lancom Verbindungs-Liste bearbeiten.png
    Abb.10
    Bei dieser Verbindung müssen nun die passenden Datensätze für folgende Punkte ausgewählt werden: Außerdem muss die VPN-Registrierung manuell mit dem zuvor erstellten Datensatz konfiguriert werden.
    Lancom Routing bearbeiten.png
    Abb.11

    Routing

    Routing KonfigurationIP-RouterRoutingIPv4-Routing-Tabelle
    Zuletzt müssen hier noch Routing-Einträge für die entfernten Subnetze mit der entsprechenden IPSec-Verbindung als Router erstellt werden, da das entsprechende Policy Based Routing im Gegensatz zur UTM nicht automatisch erfolgt.










    Überprüfung/Troubleshooting

    Ob eine konfigurierte Verbindung zustande gekommen ist, sieht man im Dashboard in der Zeile "VPN" (ggf. etwas runterscrollen). Lancom Dashboard VPN.png
    Dashboard
    Außerdem können unter SysteminformationSyslog die Aktionen des Routers nachvollzogen werden, um mögliche Probleme zu erkennen. Lancom Syslog.png
    Syslog

    Verortung der relevanten Einstellungen im Router Webinterface

    In der folgenden Tabelle wird gezeigt wo sich die Einstellungen, die von der UTM bekannt sind, in dem Webinterface des Lancom Routers konfigurieren lassen.
    notempty
    $NAME ist ein Platzhalter für den Namen eines Datensatzes, der durch Klicken geöffnet werden muss.

    Phase 1

    Allgemein
    Allgemein
    Bezeichnung Securepoint UTM Bezeichung Lancom
    Local Gateway kein passendes Gegenstück vorhanden
    Local Gateway ID KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMELokale Identität
    Wenn dieser gesetzt wird, muss in jedem Fall auch der entfernte Identitätstyp gesetzt werden!
    Remote Host / Gateway KonfigurationVPNIKEv2/IPSecVerbindungs-Liste$NAMEEntferntes Gateway
    Remote Host / Gateway ID KonfigurationVPNIKEv2/IPSec
    Authentifizierungsmethode KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMELokale Authentifzierung
    KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMEentfernte Authentifizierung
    Pre-Shared Key KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMELokales Passwort
    KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMEEntferntes Passwort
    Startverhalten: Incoming KonfigurationVPNIKEv2/IPSecVerbindungs-Liste$NAMEHaltezeit: 0
    Startverhalten: Outgoing KonfigurationVPNIKEv2/IPSecVerbindungs-Liste$NAMEHaltezeit: 9999
    Dead Peer Detection / DPD Intervall KonfigurationVPNIKEv2/IPSecVerbindungs-Parameter$NAMEDead Peer Detection
    IKE
    IKE
    Verschlüsselung KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEIKE-SA Verschlüsselungsliste
    Authentifizierung KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEIKE-SA Hash-Liste
    Diffie-Hellman Group KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEErlaubte DH-Gruppen
    IKE Lifetime KonfigurationVPNIKEv2/IPSecGültigkeitsdauer$NAMEIKE SA

    Phase 2

    Allgemein
    Allgemein
    Verschlüsselung KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEChild-SA Verschlüsselungsliste
    Authentifizierung KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEChild-SA Hash-Liste
    DH-Gruppe (PFS) KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEErlaubte DH-GruppenPFS: Ja
    Schlüssel-Lebensdauer KonfigurationVPNIKEv2/IPSecGültigkeitsdauer$NAMEChild SA
    Subnetze
    Subnetze
    Lokales Netzwerk KonfigurationVPNAllgemeinIPv4-Regeln$NAMEEntfernte Netzwerke
    Remote-Netzwerk KonfigurationVPNAllgemeinIPv4-Regeln$NAMELokale Netzwerke
    notempty
    Lokal auf einer Seite ist immer Remote/Entfernt auf der anderen Seite!