Advanced VPN Client - zertifikatisbasierte Verbindung mehrerer Clients

[firefox_i]

Hallo zusammen,

folgendes Szenario:
- LANCOM 1800EF
- mehrere Laptops mit Advanced VPN Client

Zertifikate:
- Auf dem Router eines
- Je gerät ein individuelles Zertifikat

Was ich erreichen möchte:
Alle Notebooks können sich per VPN verbinden.

Jetzt mal wieder Knoten im Hirn bei folgenden Details:

a) eine VPN Gegenstelle oder mehrere?
Muss ich für jedes externe Gerät eine VPN Gegenstelle einrichten?
Oder kann ich mit dem flexiblen Identitätsvergleich genau das bewirken, dass eine Gegenstelle im Router reicht um mehrere VPN Tunnel aufzubauen?

b) mehrere Geräte mit selber WAN-IP
Manchmal sind die Kollegen mit den Geräten beim selben Kunden, im selben Hotel oder wo auch immer und haben dadurch ggf. dieselbe öffentliche WAN-IP.
Ist das ein Problem?
Wie gesagt: Gerätezertifikate sind individuell.

Danke für jeden Schubs zum Hirnknoten lösen.

S.

[Dr.Einstein]

Jeder Client bekommt ein IKEv2 Peer mit individueller Remote ID. Das DEFAULT Peer muss bleiben. Die Quell IP bleibt 0.0.0.0, d.h. es können dann auch mehrere VPNs von der gleichen Quell IP kommen.

[firefox_i]

Hey Dr.,
Okay. Klingt als ob es geht.

Sprich: jedes Endgerät ein eigenes Zertifikat, im Router eine Gegenstelle mit flexiblem ID- Vergleich Haken rein und gut?
Dann können mehrere Geräte aus einem Netz mit derselben WAN.IP per VPN drauf.

Was meinst Du mit

Das DEFAULT Peer muss bleiben.

Ich bin nicht sicher, ob ich diese Gegenstelle ggf. geändert habe habe.....Was sind denn die Defaultwerte und warum muss die bleiben?
Ich nehme an, über den DEFAULT wird die Verbindung erstmal aufgebaut, richtig?
Auch bei IKEv2?

S.

[Dr.Einstein]

Das DEFAULT Peer brauchst du für ankommende VPN-Verbindungen, wo bei der initialen Aushandlung die Gegenseite noch nicht identifiziert werden kann, sprich z.B. bei Zertifikatsaushandlung, egal ob v1 oder v2.

Der flexible Identitätsabgleich hat meiner Ansicht nichts damit zutun. Der CN selbst muss eindeutig sein und passend als Remote-ID hinterlegt werden. Jeder Client bekommt sein eigenes Peer konfiguriert mit seinem jeweiligen CN. In den Router selbst lädst du nur das Router Zertifikat + CA Zertifikat rein.

Gruß Dr.

[GrandDixence]

Dieser Beitrag sollte weiterhelfen:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101708

VPN-Konfiguration mit der entsprechenden Anleitung abgleichen:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[firefox_i]

Das DEFAULT Peer brauchst du für ankommende VPN-Verbindungen, wo bei der initialen Aushandlung die Gegenseite noch nicht identifiziert werden kann, sprich z.B. bei Zertifikatsaushandlung, egal ob v1 oder v2.

Kann ich den Default Eintrag wieder auf Standardeinstellungen zurücksetzen, falls ich den "verbastelt" haben sollte ?

Der flexible Identitätsabgleich hat meiner Ansicht nichts damit zutun. Der CN selbst muss eindeutig sein und passend als Remote-ID hinterlegt werden. Jeder Client bekommt sein eigenes Peer konfiguriert mit seinem jeweiligen CN. In den Router selbst lädst du nur das Router Zertifikat + CA Zertifikat rein.

Sprich ich muss für jedes Endgerät, das eine VPN Verbindung aufbauen können soll, eine eigene Gegenstelle anlegen?
Hab ich das richtig verstanden?

Anleitungen für VPN-Tunnel mit LANCOM Advanced VPN Client:
viewtopic.php?f=31&t=17804&p=100947#p100947

Hmm irgendwie verweist der Link an ne Stelle, die für mich seltsam erscheint, oder bin ich einfach unfähig? Kann durchaus sein.

S.

[Dr.Einstein]

Kann ich den Default Eintrag wieder auf Standardeinstellungen zurücksetzen, falls ich den "verbastelt" haben sollte ?

Per CLI in den Menübaum gehen und default oder default -r (für Unterverzeichnisse) setzen. Dann löscht er aber auch die hinzugefügten Peers. Könntest es vorher via readscript auslesen. Alternativ öffnest du dir eine Offlinekonfig im LanConfig und kopierst den Eintrag händisch zusammen.

Sprich ich muss für jedes Endgerät, das eine VPN Verbindung aufbauen können soll, eine eigene Gegenstelle anlegen?
Hab ich das richtig verstanden?

Zumindest mache ich das so.

[firefox_i]

Alternativ öffnest du dir eine Offlinekonfig im LanConfig und kopierst den Eintrag händisch zusammen.

Oh man,mal wieder Wlad und Bäume und so...danke

Zumindest mache ich das so.

okay klingt nach bewährtem Vorgehen.
Ich meine bei mir sind es keine 10 Clients...von daher...überschaubar.


Achso:
Dass ich dem Router beibringen, kann, dass er die IP Adressen der VPN Clients über den "offiziellen" DHCP Server der Domäne vergibt ist nicht vorgesehen, richtig?

DNS Registrierung findet dann wohl auch nicht statt?

S.

[backslash]

Hi firefox_i,

dafür ist die vereinfachte Zertifikatseinwahl (VPN -> Allgemein -> vereinfachte Einwahl mit Zertifikaten) gedacht

Zitat LANconfig-Hilfe:

Erlaubt die vereinfachte Einwahl mit Zertifikaten.

Die Vereinfachung besteht darin, dass für ankommende Verbindungen eine gemeinsame Konfiguration vorgenommen werden kann, wenn die Zertifikate der Gegenstellen vom Herausgeber des im Gerät befindlichen Root-Zertifikats signiert sind. In diesem Fall muss keine Konfiguration pro Gegenstelle erfolgen. Die dafür nötige gemeinsame Konfiguration finden Sie bei den Einstellungen der Default-Parameter.

Einzelne Gegenstellen können von dieser Funktionalität nur ausgenommen werden, indem ihre Zertifikate mit Hilfe einer CRL (Certificate Revocation List) zurückgezogen werden.

Gruß
Backslash

[firefox_i]

hi backslash,
Hmm aber das klingt eher nach IKEv1 oder?

S.

[backslash]

Hi firefox_i

wieso klingt das für dich nach IKEv1?

für mich klingt das danach: lade ein CA-Zertifikat in das Gerät, erstelle mit der CA die Client-Zertifikate und schalte die vereinfachte Zertifikatseinwahl ein.
Dann sollten alle Clients, die ein (nicht zurpückgezogenes) Zertifikat dieser CA haben, akzeptiert werden. Ausperren kannst du Clients dann nur noch durch Zurückziehen des jeweiligen Zertifikats über die CRL...

In der Default-Gegsentelle trägst du dann noch ein, daß das LANCOM als Config-Mode.Server arbeiten und welcher Adreßpool verwendet werden soll. Als Regel wählst du noch RAS-WITH-CONFIG-PAYLOAD. Damit sollte es m.E. funktionieren

ich hab's selbst noch nicht aufgebaut, aber es gibt jede Menge Kundenszenarien mit riesigen Netzen - die werden nicht jeden Client einzeln anlegen.
ggf. kanst du ja auch noch irgendwas mit RADIUS machen

Gruß
Backslash

[Frühstücksdirektor]

Hallo,

hier gibt es eine schöne Anleitung dazu, mit IKEv2 natürlich!:

https://knowledgebase.lancom-systems.de ... d=32988309

Das Verteilen der Zertifikate muss man von Hand machen.

TLDR:

Entfernte Identität: Vergeben Sie eine Bezeichnung für die Entfernte Identität.
Es können die Wildcards * und ? verwendet werden. Das * steht für beliebig viele Zeichen und das ? für genau ein Zeichen.
Bei Verwendung mehrerer Außenstellen ist es sinnvoll ein einheitliches Namens-Schema für die Identitäten zu verwenden, damit nur ein Eintrag in der Tabelle Authentifizierung erforderlich ist. Die Außenstelle hat in diesem Szenario das Subject CN=AS02.

Der Trick ist, die IKEv2 DEFAULT-Gegenstellle zu editieren, damit alle Clients darüber behandelt werden und nicht x-verschiedene Einträge angelegt werden müssen.

[firefox_i]

wieso klingt das für dich nach IKEv1?

Ganz einfach:
Wenn ich nach "lancom vpn vereinfachte zertifikatseinwahl" suche und dann den ersten Link ins Refmanual aufmacheche, dann wird dort unter dem Punkt sachlichtweg ein Dialog angezeigt, der im IKEv1 Baum liegt.
Und da es eben keinerlei Hinweise auf IKEv2 gibt, war das dann meine - wohl falsche - Annahme.

hier gibt es eine schöne Anleitung dazu, mit IKEv2 natürlich!:

Dankeschön,
Ich habe die CA im Router leider nicht (ich habe keine VPN25 Option).....

Aber das wäre jetzt nicht das Problem.

Was ich mich frage:
Es scheint ja mit der Kombi aus der vereinfachten Z-Einwahl und dem flexíblen Indentitätsvergleich zu funktionieren, dass eine VPN Gegenstelle konfiguriert wird und diese dann mehrere gleichberechtigte Tunnel gleichzeitig aufbauen kann.

Warum reicht hier nicht der flexible ID-Vergleich?
Vor allem: wenn ich das Ganze jetzt sowohl für die Site2Site VPNs (wie in dem Link beschrieben) als auch für die Einwahlzugänge verwenden möchte hab ich ja wieder das Problem, dass ich nur einen DEFAULT Eintrag habe....

Aber egal...ich werde mich da irgendwie durchwühlen.
Leider ist diese Klickanleitung nur für Site2Site und nicht für den ADV VPN Client.
Aber auch das werde ich irgendwie hinkriegen.

Ist halt immer schade, dass die Doku von LANCOM meist nur genau ein Szenario beschreibt, aber wenn man auch nur minimal was anderes hat ist die Anleitung nicht mehr zu verwenden.

S.