Anleitung zur Einrichtung einer IPSec IKEv2-Verbindung mit LANCOM-Routern
Neuer Artikel: 06.2024
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
- Vorbemerkung
Im folgenden wird gezeigt wie eine Konfiguration einer IPSec IKEv2-Verbindung mit LANCOM-Routern erfolgen kann, sowie wo die relevanten Einstellungen im Webinterface des Routers zu finden sind.
Folgende lokale Beispiel Netze sollen über die S2S Verbindung erreichbar sein:
lokales Router Netz | 172.30.0.0/24 |
geteilte UTM Netze | 172.31.2.0/24 & 192.168.250.0/24 |
Konfiguration der UTM
notempty
Die Einrichtung der Verbindung auf der UTM erfolgt, wie im Wiki Artikel IPSec Site-to-Site beschrieben.
Anschließend werden folgende Konfigurationen angepasst:
Anschließend werden folgende Konfigurationen angepasst:
UTMbenutzer@firewall.name.fqdnVPNIPSec ![UTM v12.6.2 Lancom IPSec Phase 1.png](/images/8/8f/UTM_v12.6.2_Lancom_IPSec_Phase_1.png)
![UTM v12.6.2 Lancom IPSec Phase 1.png](/images/8/8f/UTM_v12.6.2_Lancom_IPSec_Phase_1.png)
Abb.1
Unter Verbindungen Schaltfläche müssen folgende Konfigurationen angepasst werden:
Bei Verwendung einer E-Mail-Adresse als ID muss dringend auf das Doppel-@ vor der E-Mail-Adresse geachtet werden! (Beispiel: @@mail@anyideas.de)
Bereich - MOBIKE muss deaktiviert werden
- Außerdem wird bezüglich der Gateway-IDs empfohlen:
- bei festen, öffentlichen IPs auf beiden Seiten: IP-Adressen
- in allen anderen Fällen: E-Mail-Adressen
UTMbenutzer@firewall.name.fqdnVPNIPSec ![UTM v12.6.2 Lancom IPSec Phase 2.png](/images/d/de/UTM_v12.6.2_Lancom_IPSec_Phase_2.png)
![UTM v12.6.2 Lancom IPSec Phase 2.png](/images/d/de/UTM_v12.6.2_Lancom_IPSec_Phase_2.png)
Abb.2
Unter Verbindungen Schaltfläche muss die Gruppierung der Subnetzkombinationen ausgeschaltet werden.
Bereich
Konfiguration des LANCOM-Routers
Anschließend werden die Verbindungsparameter auf dem LANCOM-Router konfiguriert.
Hierzu müssen zunächst die verschiedenen Datensätze erstellt werden. Dies erfolgt im Webinterface des Routers, hauptsächlich unter Konfiguration → VPN → IKEv2/IPSec, Ausnahmen sind die IPv4-Regeln, sowie das Routing.
Die Datensätze können immer durch klicken auf den blau hinterlegten Namen bearbeitet werden und es können mithilfe der Schaltfläche
, die unten in der Mitte zu finden ist, neue Datensätze angelegt werden.![Lancom Verschlüsselung.png](/images/9/94/Lancom_Verschl%C3%BCsselung.png)
Abb.3
Verschlüsselung
Verschlüsselung Konfiguration → VPN → IKEv2/IPSec → VerschlüsselungHier findet sich eine Liste von Datensätzen, die Cipher-Suites enthalten. Es ist nicht zwingend notwendig, hier einen eigenen Datensatz anzulegen. Der Default-Datensatz enthält die gängigsten Cipher, die auch von der UTM unterstützt werden. Sollte aber die Proposal-Aushandlung fehlschlagen, wäre das die erste Stelle zur Fehlersuche.
![Lancom Authentifizierung.png](/images/d/d0/Lancom_Authentifizierung.png)
Abb.4
Authentifizierung
Authentifizierung Konfiguration → VPN → IKEv2/IPSec → Authentifizierung →Hier werden die für die Authentifizierung in der Phase 1 benötigten Parameter, in die für die entsprechende Gegenstelle eindeutigen Datensätzen konfiguriert.
![Lancom Verbindungs-Parameter.png](/images/1/14/Lancom_Verbindungs-Parameter.png)
Abb.5
Verbindungs-Parameter
Verbindungs-Parameter Konfiguration → VPN → IKEv2/IPSec → Verbindungs-ParameterHier kann das DPD-Intervall und der Zielport für UDP-Encapsulation geändert werden. Die Default Werte müssen in der Regel nicht verändert werden.
![Lancom Gültigkeitsdauer.png](/images/6/6f/Lancom_G%C3%BCltigkeitsdauer.png)
Abb.6
Gültigkeitsdauer
Gültigkeitsdauer Konfiguration → VPN → IKEv2/IPSec → GültigkeitsdauerHier werden die Lebensdauer der IKE-SA und der Child-SA(s) konfiguriert. Es ist auch möglich den DEFAULT-Datensatz zu verwenden, in diesem Fall müssen die Werte (24h Phase1, 4h Phase 2) in die UTM übernommen werden.
![Lancom VPN-Regeln.png](/images/a/ad/Lancom_VPN-Regeln.png)
Abb.7
IPv4-Regeln
IPv4-Regeln Konfiguration → VPN → Allgemein → IPv4-RegelnDieser Punkt entspricht der Subnetz-Konfiguration in der Phase 2 auf der UTM, das heißt, hier werden die lokalen und entfernten Subnetze konfiguriert.
![Lancom VPN-Regeln bearbeiten.png](/images/1/19/Lancom_VPN-Regeln_bearbeiten.png)
Abb.8
Hier muss ein Datensatz passend zu den Werten auf der UTM erstellt werden. Die entsprechenden lokalen bzw. entfernten Netzwerke werden mit Leerzeichen getrennt in die entsprechend beschrifteten Felder eingetragen.
![Lancom Verbindungs-Liste.png](/images/2/2c/Lancom_Verbindungs-Liste.png)
Abb.9
Verbindungs-Liste
Verbindungs-Liste Konfiguration → VPN → IKEv2/IPSec → Verbindungs-ListeDa nun alle Datensätze erstellt wurden, die für die Konfiguration der Verbindung notwendig sind, kann mit der Schaltfläche eine neue Verbindung erstellt und konfiguriert werden.
![Lancom Verbindungs-Liste bearbeiten.png](/images/b/be/Lancom_Verbindungs-Liste_bearbeiten.png)
Abb.10
Bei dieser Verbindung müssen nun die passenden Datensätze für folgende Punkte ausgewählt werden:
Außerdem muss die VPN-Registrierung manuell ➎ mit dem zuvor erstellten Datensatz ➏ konfiguriert werden.
![Lancom Routing bearbeiten.png](/images/5/57/Lancom_Routing_bearbeiten.png)
Abb.11
Routing
Routing Konfiguration → IP-Router → Routing → IPv4-Routing-TabelleZuletzt müssen hier noch Routing-Einträge für die entfernten Subnetze ➊ mit der entsprechenden IPSec-Verbindung als Router ➋ erstellt werden, da das entsprechende Policy Based Routing im Gegensatz zur UTM nicht automatisch erfolgt.
Überprüfung/Troubleshooting
Verortung der relevanten Einstellungen im Router Webinterface
In der folgenden Tabelle wird gezeigt wo sich die Einstellungen, die von der UTM bekannt sind, in dem Webinterface des Lancom Routers konfigurieren lassen. notempty $NAME ist ein Platzhalter für den Namen eines Datensatzes, der durch Klicken geöffnet werden muss.
| |
Phase 1AllgemeinAllgemein
| |
Bezeichnung Securepoint UTM | Bezeichung Lancom |
---|---|
Local Gateway | kein passendes Gegenstück vorhanden |
Local Gateway ID | Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → Lokale Identität Wenn dieser gesetzt wird, muss in jedem Fall auch der entfernte Identitätstyp gesetzt werden! |
Remote Host / Gateway | Konfiguration → VPN → IKEv2/IPSec → Verbindungs-Liste → $NAME → Entferntes Gateway |
Remote Host / Gateway ID | Konfiguration → VPN → IKEv2/IPSec → |
Authentifizierungsmethode | Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → Lokale Authentifzierung Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → entfernte Authentifizierung |
Pre-Shared Key | Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → Lokales Passwort Konfiguration → VPN → IKEv2/IPSec → Authentifizierung → $NAME → Entferntes Passwort |
Startverhalten: Incoming | Konfiguration → VPN → IKEv2/IPSec → Verbindungs-Liste → $NAME → Haltezeit: 0 |
Startverhalten: Outgoing | Konfiguration → VPN → IKEv2/IPSec → Verbindungs-Liste → $NAME → Haltezeit: 9999 |
Dead Peer Detection / DPD Intervall | Konfiguration → VPN → IKEv2/IPSec → Verbindungs-Parameter → $NAME → Dead Peer Detection |
IKEIKE
| |
Verschlüsselung | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → IKE-SA Verschlüsselungsliste |
Authentifizierung | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → IKE-SA Hash-Liste |
Diffie-Hellman Group | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → Erlaubte DH-Gruppen |
IKE Lifetime | Konfiguration → VPN → IKEv2/IPSec → Gültigkeitsdauer → $NAME → IKE SA |
Phase 2AllgemeinAllgemein
| |
Verschlüsselung | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → Child-SA Verschlüsselungsliste |
Authentifizierung | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → Child-SA Hash-Liste |
DH-Gruppe (PFS) | Konfiguration → VPN → IKEv2/IPSec → Verschlüsselung → $NAME → Erlaubte DH-Gruppen → PFS: Ja |
Schlüssel-Lebensdauer | Konfiguration → VPN → IKEv2/IPSec → Gültigkeitsdauer → $NAME → Child SA |
SubnetzeSubnetze
| |
Lokales Netzwerk | Konfiguration → VPN → Allgemein → IPv4-Regeln → $NAME → Entfernte Netzwerke |
Remote-Netzwerk | Konfiguration → VPN → Allgemein → IPv4-Regeln → $NAME → Lokale Netzwerke |
notempty Lokal auf einer Seite ist immer Remote/Entfernt auf der anderen Seite!
|