Wechseln zu:Navigation, Suche
Wiki

IPSec IKEv2-Verbindung mit LANCOM

Aus Securepoint Wiki




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden






































{{var | Remote Host / Gateway ID--pfad

| Authentifizierung$NAMEEntfernte Identität
Wenn dieser gesetzt wird, muss in jedem Fall auch der lokale Identitätstyp gesetzt werden!
| Authentication$NAMERemote identity
If this is set, the local identity type must also be set in any case!}























Anleitung zur Einrichtung einer IPSec IKEv2-Verbindung mit LANCOM-Routern

Neuer Artikel: 06.2024

notempty
Dieser Artikel bezieht sich auf eine Beta-Version
-
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 VPN IPSec

Vorbemerkung

Im folgenden wird gezeigt wie eine Konfiguration einer IPSec IKEv2-Verbindung mit LANCOM-Routern erfolgen kann, sowie wo die relevanten Einstellungen im Webinterface des Routers zu finden sind.


Folgende lokale Beispiel Netze sollen über die S2S Verbindung erreichbar sein:

lokales Router Netz 172.30.0.0/24
geteilte UTM Netze 172.31.2.0/24 & 192.168.250.0/24


Konfiguration der UTM

notempty
Die Einrichtung der Verbindung auf der UTM erfolgt, wie im Wiki Artikel IPSec Site-to-Site beschrieben.
Anschließend werden folgende Konfigurationen angepasst:
Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec
Abb.1
Unter VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1 müssen folgende Konfigurationen angepasst werden:
  • MOBIKE muss deaktiviert werden
  • Außerdem wird bezüglich der Gateway-IDs empfohlen:
    • bei festen, öffentlichen IPs auf beiden Seiten: IP-Adressen
    • in allen anderen Fällen: E-Mail-Adressen
  • Bei Verwendung einer E-Mail-Adresse als ID muss dringend auf das Doppel-@ vor der E-Mail-Adresse geachtet werden! (Beispiel: @@mail@anyideas.de)
    • Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec
    Abb.2
    Unter VPN IPSec  Bereich Verbindungen Schaltfläche Phase 2 muss die Gruppierung der Subnetzkombinationen ausgeschaltet werden.

    Konfiguration des LANCOM-Routers

    Anschließend werden die Verbindungsparameter auf dem LANCOM-Router konfiguriert.

    Hierzu müssen zunächst die verschiedenen Datensätze erstellt werden. Dies erfolgt im Webinterface des Routers, hauptsächlich unter KonfigurationVPNIKEv2/IPSec, Ausnahmen sind die IPv4-Regeln, sowie das Routing.

    Die Datensätze können immer durch klicken auf den blau hinterlegten Namen bearbeitet werden und es können mithilfe der Schaltfläche Hinzufügen, die unten in der Mitte zu finden ist, neue Datensätze angelegt werden.

  • Es sollten in keinem Fall DEFAULT-Datensätze gelöscht werden!
    • Abb.2

    Verschlüsselung

    Verschlüsselung
    KonfigurationVPNIKEv2/IPSecVerschlüsselung
    Hier findet sich eine Liste von Datensätzen, die Cipher-Suites enthalten. Es ist nicht zwingend notwendig, hier einen eigenen Datensatz anzulegen. Der Default-Datensatz enthält die gängigsten Cipher, die auch von der UTM unterstützt werden. Sollte aber die Proposal-Aushandlung fehlschlagen, wäre das die erste Stelle zur Fehlersuche.
    Abb.3

    Authentifizierung

    Authentifizierung
    KonfigurationVPNIKEv2/IPSecAuthentifizierungHinzufügen
    Hier werden die für die Authentifizierung in der Phase 1 benötigten Parameter, in die für die entsprechende Gegenstelle eindeutigen Datensätzen konfiguriert.
    Abb.4

    Verbindungs-Parameter

    Verbindungs-Parameter
    KonfigurationVPNIKEv2/IPSecVerbindungs-Parameter
    Hier kann das DPD-Intervall und der Zielport für UDP-Encapsulation geändert werden. Die Default Werte müssen in der Regel nicht verändert werden.
    Abb.5

    Gültigkeitsdauer

    Gültigkeitsdauer
    KonfigurationVPNIKEv2/IPSecGültigkeitsdauer
    Hier werden die Lebensdauer der IKE-SA und der Child-SA(s) konfiguriert. Es ist auch möglich den DEFAULT-Datensatz zu verwenden, in diesem Fall müssen die Werte (24h Phase1, 4h Phase 2) in die UTM übernommen werden.
    Abb.6

    IPv4-Regeln

    IPv4-Regeln
    KonfigurationVPNAllgemeinIPv4-Regeln
    Dieser Punkt entspricht der Subnetz-Konfiguration in der Phase 2 auf der UTM, das heißt, hier werden die lokalen und entfernten Subnetze konfiguriert.
    Abb.7
    Hier muss ein Datensatz passend zu den Werten auf der UTM erstellt werden. Die entsprechenden lokalen bzw. entfernten Netzwerke werden mit Leerzeichen getrennt in die entsprechend beschrifteten Felder eingetragen.
    Abb.8

    Verbindungs-Liste

    Verbindungs-Liste
    KonfigurationVPNIKEv2/IPSecVerbindungs-Liste
    Da nun alle Datensätze erstellt wurden, die für die Konfiguration der Verbindung notwendig sind, kann mit der Schaltfläche Hinzufügen eine neue Verbindung erstellt und konfiguriert werden.
    Abb.9
    Bei dieser Verbindung müssen nun die passenden Datensätze für folgende Punkte ausgewählt werden: Außerdem muss die VPN-Registrierung manuell mit dem zuvor erstellten Datensatz konfiguriert werden.
    Abb.10

    Routing

    Routing
    KonfigurationIP-RouterRoutingIPv4-Routing-Tabelle
    Zuletzt müssen hier noch Routing-Einträge für die entfernten Subnetze mit der entsprechenden IPSec-Verbindung als Router erstellt werden, da das entsprechende Policy Based Routing im Gegensatz zur UTM nicht automatisch erfolgt.

    Überprüfung/Troubleshooting

    Ob eine konfigurierte Verbindung zustande gekommen ist, sieht man im Dashboard in der Zeile "VPN" (ggf. etwas runterscrollen).
    Dashboard
    Außerdem können unter SysteminformationSyslog die Aktionen des Routers nachvollzogen werden, um mögliche Probleme zu erkennen.
    Syslog

    Verortung der relevanten Einstellungen im Router Webinterface

    In der folgenden Tabelle wird gezeigt wo sich die Einstellungen, die von der UTM bekannt sind, in dem Webinterface des Lancom Routers konfigurieren lassen.
    notempty
    $NAME ist ein Platzhalter für den Namen eines Datensatzes, der durch Klicken geöffnet werden muss.

    Phase 1

    Allgemein
    Allgemein
    Bezeichnung Securepoint UTM Bezeichung Lancom
    Local Gateway kein passendes Gegenstück vorhanden
    Local Gateway ID KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMELokale Identität
    Wenn dieser gesetzt wird, muss in jedem Fall auch der entfernte Identitätstyp gesetzt werden!
    Remote Host / Gateway KonfigurationVPNIKEv2/IPSecVerbindungs-Liste$NAMEEntferntes Gateway
    Remote Host / Gateway ID KonfigurationVPNIKEv2/IPSec
    Authentifizierungsmethode KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMELokale Authentifzierung
    KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMEentfernte Authentifizierung
    Pre-Shared Key KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMELokales Passwort
    KonfigurationVPNIKEv2/IPSecAuthentifizierung$NAMEEntferntes Passwort
    Startverhalten: Incoming KonfigurationVPNIKEv2/IPSecVerbindungs-Liste$NAMEHaltezeit: 0
    Startverhalten: Outgoing KonfigurationVPNIKEv2/IPSecVerbindungs-Liste$NAMEHaltezeit: 9999
    Dead Peer Detection / DPD Intervall KonfigurationVPNIKEv2/IPSecVerbindungs-Parameter$NAMEDead Peer Detection
    IKE
    IKE
    Verschlüsselung KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEIKE-SA Verschlüsselungsliste
    Authentifizierung KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEIKE-SA Hash-Liste
    Diffie-Hellman Group KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEErlaubte DH-Gruppen
    IKE Lifetime KonfigurationVPNIKEv2/IPSecGültigkeitsdauer$NAMEIKE SA

    Phase 2

    Allgemein
    Allgemein
    Verschlüsselung KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEChild-SA Verschlüsselungsliste
    Authentifizierung KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEChild-SA Hash-Liste
    DH-Gruppe (PFS) KonfigurationVPNIKEv2/IPSecVerschlüsselung$NAMEErlaubte DH-GruppenPFS: Ja
    Schlüssel-Lebensdauer KonfigurationVPNIKEv2/IPSecGültigkeitsdauer$NAMEChild SA
    Subnetze
    Subnetze
    Lokales Netzwerk KonfigurationVPNAllgemeinIPv4-Regeln$NAMEEntfernte Netzwerke
    Remote-Netzwerk KonfigurationVPNAllgemeinIPv4-Regeln$NAMELokale Netzwerke
    notempty
    Lokal auf einer Seite ist immer Remote/Entfernt auf der anderen Seite!
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-SP-Lancom&oldid=91817