LANCOM Support Knowledgebase Dokument-Nr. 1803.1310.5042.RHOO - V3.50

Konfiguration einer zertifikatsbasierten VPN Client-Verbindung mit dem LANCOM Advanced VPN Client (IKEv2)



Beschreibung:

Dieses Dokument beschreibt, wie per LANCOM Smart Certificate erstellte Zertifikate für eine zertifikatsbasierte IKEv2-VPN Client-Verbindung verwenden können.



Voraussetzungen:
  • LANCOM Central Site Gateway, WLAN Controller oder LANCOM-Router mit aktivierter VPN 25-Option (bei Verwendung der Smart Certificate Funktion)
  • Zertifikate für LANCOM Router und LANCOM Advanced VPN Client. Die Erstellung von Zertifikaten mit LANCOM Smart Certificate ist in folgendem KnowledgeBase-Artikel beschrieben Database 'SP Knowledgebase', View '03. Edit Documents\by Responsible, Status', Document 'Erstellen von Zertifikaten mit LANCOM Smart Certificate'.


Vorgehensweise:

1. Aktivieren der Zertifizierungsstellen-Funktion im LANCOM-Router:

In diesem Konfigurationsbeispiel soll der LANCOM-Router als CA für die Erstellung der Zertifikate verwendet werden (Smart Certificate Funktion). Wenn Sie Zertifikate einer anderen CA verwenden möchten, müssen Sie die CA des LANCOM Routers nicht verwenden und können diesen Konfigurationsschritt überspringen.

1.1 Öffnen Sie die Konfiguration des LANCOM-Routers in LANconfig und wechseln Sie in das Menü Zertifikate -> Zertifizierungsstelle (CA).

1.2 Haken Sie die Option Zertifizierungsstelle (CA) aktiviert an. Der LANCOM-Router soll als Haupt-Zertifizierungsstelle (Root-CA) arbeiten.
    Info:
    Alle anderen Parameter belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Werten.




2. Hochladen des Router-Zertifikats in den LANCOM-Router:

2.1 Führen Sie einen rechten Mausklick auf den LANCOM-Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung -> Zertifikat oder Datei hochladen.



2.2 Wählen Sie im folgenden Dialog die Zertifikatsdatei für den LANCOM-Router aus.

2.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen.

2.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen. Klicken Sie dann auf Öffnen, um den Hochladevorgang zu starten.





3. Konfigurieren der zertifikatsbasierten VPN Client-Verbindung im LANCOM-Router:

3.1 Starten Sie den Setup-Asistenten in LANconfig und wählen Sie die Option Einwahl-Zugang bereitstellen (RAS, VPN).



3.2 Wählen Sie die Option IKEv2.



3.3 Die Verbindung soll mit dem LANCOM Advanced VPN Client hergestellt werden. Deaktivieren Sie die Option 1-Click-VPN.



3.5 IPsec-over-HTTPS wird in diesem Beipiel nicht verwendet.



3.6 Vergeben Sie einen Namen für die neue VPN-Verbindung.



3.7 Geben Sie die öffentliche IP-Adresse oder die öffentliche DNS-Adresse des LANCOM-Routers ein.



3.8 In diesem Dialog können Sie beliebige Werte eintragen, da diese später in der Konfiguration des LANCOM-Routers manuell gegen Zertifikats-Authentifizierungs-Parameter ersetzt werden (siehe Schritt 3.13ff).



3.9 Da der LANCOM Advanced VPN Client den Config-Mode unterstützt, muss in diesem Dialog keine IP-Adresse eingetragen werden.



3.10 Es soll eine Kommunikation zu allen IP-Adressen im lokalen Netz erlaubt werden.



3.11 Die VPN-Zugangsdaten sollen als Import-Datei für den LANCOM Advanced VPN Client (*.ini-Datei) gespeichert werden.



3.12 Klicken Sie auf Fertig stellen, um die Konfiguration in den LANCOM-Router zurück zu schreiben. Die erzeugte *.ini-Datei wird dabei auf Ihrem PC abgespeichert.



3.13 Öffnen Sie die Konfiguration des LANCOM-Routers in LANconfig und wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Authentifizierung.

3.14 Wählen Sie den bestehenden Eintrag für die zertifikatsbasierte VPN-Client-Verbindung aus (hier: CLIENT_ZERT).
  • Passen Sie die Parameter für die lokale und entfernte Authentifizierung jeweils auf die Werte RSA-Signature und ASN.1 Distinguished Name an.
  • Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router ein.
  • Tragen Sie als entfernte Identität den Namen des Zertifikats vom VPN Client ein.
  • Wählen Sie als Lokales Zertifikat den VPN-Container aus, den Sie in Schritt 2.3 verwendet haben.



3.15 Schreiben Sie die Konfiguration in den LANCOM-Router zurück.




4. Einbinden VPN Client-Zertifikats in den LANCOM Advanced VPN Client:

4.1 Öffnen Sie im LANCOM Advanced VPN Client die Option Konfiguration -> Zertifikate.

4.2 Erzeugen Sie eine neue Zertifikatskonfiguration mit der Schaltfläche Hinzufügen.



4.3 Vergeben Sie einen Namen für die neue Zertifikatskonfiguration.
  • Im Feld Zertifikat muss die Option aus PKCS#12-Datei ausgewählt werden
  • Im Feld PKCS#12-Datei muss der Pfad zur Zertifikatsdatei für den VPN Client eingestellt werden.




5. Importieren der *.ini-Datei und Konfiguration der VPN-Verbindung im LANCOM Advanced VPN Client:

5.1 Öffnen Sie im LANCOM Advanced VPN Client die Option Konfiguration -> Profile und klicken Sie auf Hinzufügen/Import.

5.2 Wählen Sie die Option Profile importieren.

5.3 Stellen Sie den Pfad zur VPN-Profildatei ein, welche im Schritt 3.12 erzeugt wurde.

5.4 Klicken Sie auf Fertigstellen um den Importvorgang abzuschließen.

5.5 Wählen Sie das importierte Profil aus und klicken Sie auf Bearbeiten.

5.6 Wechseln Sie in das Menü IPsec-Einstellungen und wählen Sie als IKEv2-Authentisierung den Wert Zertifikat aus.



5.7 Wechseln Sie in das Menü Identität und wählen Sie als lokalen Identitäts-Typ den Wert ASN1 Distinguished Name aus.

5.8 Als ID wird in diesem Beispiel der Common Name des Zertifikats (/CN=Client) eingetragen.



5.9 Als Zertifikats-Konfiguration müssen Sie die in Schritt 4.3 erstellte Zertifikats-Konfiguration einstellen (hier: VPN_Client).

5.10 Die Konfigurationsschritte sind damit abgeschlossen. Schließen Sie die Dialoge des LANCOM Advanced VPN Client mit OK.




6. Funktionsüberprüfung:

6.1 Klicken Sie im LANCOM Advanced VPN Client auf die Schaltfläche Verbindung.

6.2 Geben Sie das Passwort ein, welches Sie für das Zertifikat des VPN Client vergeben haben.


6.3 Die VPN-Verbindung wird daraufhin aufgebaut und kann genutzt werden.


Catchwords: smart certificate; ca; zertifikat; vpn; client; root; ikev2
Bitte bewerten Sie dieses Dokument! Dieses Dokument hat mir geholfen Dieses Dokument hat mir nicht geholfen