Hallo Leute,
ich habe zwei LANCOM Router 1721+VPN die mit einer VPN-Verbindung dauerhaft gekoppelt werden sollen.
Um Zwei LANCOM Router 1721+VPN mit einander zu verbinden mit hilfe von Zertifikaten bin ich wie folgt vorgegangen.
Ich erstellte mit hilfe eines Windows 2003 Servers ein Zertifikat
für beide Router. Ich nenne es LANCOM-VPN.
Ich öffne den Webbrowser und gehe auf: https//localhost/certsrv
Dann klicke ich mich wie folgt durch:
1. Ein Zertifikat anfordern auswählen
2. erweiterte Zertifikatanforderung auswählen
5. Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen auswählen
Dort angekommen Fülle ich folgendes aus bzw. ändere die Werte.
1. Zertifikatvorlage: Untergeordnete Zertifizierungsstelle
2. Identifikationsinformationen für Offlinevorlage
(Dort vergebe ich nur einen Namen: VPN-VPN
ACHTUNG: Diesen Namen muss man sich merken, er ist wichtig,
denn mann muss ihn später im LANCOM-Assisten als Identität vergeben.)
Das andere lasse ich leer weil ich gelesen habe das es nicht zwingend notwendig ist.
3. Schlüsselgröße: 1024
ACHTUNG: Wenn die Schlüsselgröße höher ist funktioniert die Verbindungserstellung nicht.
4. Automatischer Schlüsselcontainername & Schlüssel in Datei exportieren
5. Anforderungsfomrat: CMC & Hashalgorithmus: SHA-1
6. Auf Einsenden klicken und Zertifikat installieren
Jetzt exportiere ich mein erstelltes Zertifikat
1. MMC öffnen und das Zertifikat Snap-In für den Eigenen Benutzer hinzufügen
2. Unter Eigene Zertifikate -> Zertifikate finde ich dann mein
erstelltes Zertifikate LANCOM-VPN
3. Diese klicke ich Rechts an -> Aufgaben -> Exportieren
4. Ich Wähle Ja,privaten Schlüssel exportieren
5. Privater Informationsaustausch - PKCS #12 (.PFX)
- Wenn möglich alle Zertifikate im Zertifizierungspfad einbeziehen
- Verstärlte Sicherheit aktivieren
6. Als Kennwort vergebe ich einen 128Bit Schlüssel (Kombination aus Buchstaben und Zahlen)
Als nächstes importiere ich das Zertifikat in die Router
1. Ich importiere das Zertifikat LANCOM-VPN in den Router Standort1 und
Standort2 über das LANconfig-Tool als VPN - Container (VPN1) als PKCS#12-Datei (+.pfx, +.p12)
- bei dem Passwort gebe ich wieder meinen 128Bit Schlüssel ein.
Danach erstelle ich die VPN - VPN mit hilfe des Assistenten bei beiden Routern
1. ich wähle Zertifikate (RSA Signature) aus
2. Ich vergebe ein Passwort mit 16Zeichen
3. Lokale Identität: /CN=VPN-VPN
Enfernte Identität: /CN=VPN-VPN
- Bei dem Router Standort2 gebe ich es umgekehrt ein!
4. Langsamer Verbindungsaufbau & Die Verbindung wir initial sowie bei einer Unterbrechung sofort wieder aufgebaut und unbegrenzt aufrecht erhalten.
5. Dannach vergebe ich die IP-Adressen
6. Aktiviere NetBIOS über IP Routing
7. Starte die 2 Router neu
ACHTUNG: Die Firewall ist bei beiden deaktiviert.
Ich bin nach der Anleitung im LANCOM-Referenzhanbuch auf Seite 277 gegangen.
http://www.lancom-systems.de/Dokumentat ... ml?pid=257
PS.: Habe diesen Thread editiert weil ich erst ein Problem mit dem Verbindungsaufbau hatte, dies lag aber daran weil die Schlüsselgröße bei der erstellung des Zertifikates auf 2048Bit gestellt war.
Bei Fragen,Anregungen oder Fehlern schreibt einfach.
Vielleicht hilft es Anderen bei der Erstellung einer VPN-Verbindung zw. 2 Routern Zeit und Nerven zu sparen.
Da ich die Anleitungen von LANCOM sehr schwammig und ungenau finde, jedenfalss für jemanden der sich erst in so eine Materie reinfitzen muss.
LANCOM 1721+VPN 2 Lokale Netze mit Zertifikaten verbinden
Moderator: Lancom-Systems Moderatoren
Also ich fand die Lancom Anleitung Ok, nur die Zertifikaterstellung hätte ausführlicher geschrieben sein können.
Wäre nie auf die Idee gekommen das gleiche Zertifikat für beide Router zu nehmen aber natürlich einfacher wenn das geht.
Schlüsselgröße bei Erstellung des Zertifikates ist bei mir mit 2048Bit kein Problem.
Warum hast Du nicht den optimierten sondern den langsamen Verbindungsaufbau gewählt?
Wäre nie auf die Idee gekommen das gleiche Zertifikat für beide Router zu nehmen aber natürlich einfacher wenn das geht.
Schlüsselgröße bei Erstellung des Zertifikates ist bei mir mit 2048Bit kein Problem.
Warum hast Du nicht den optimierten sondern den langsamen Verbindungsaufbau gewählt?
Hallo Ganzfix,
Nun ich denke für jeden ein einzelnes Zertifikat zu erstellen ist doppelt gemoppelt. Vielleicht bin ich da auch auf dem Holzweg aber Sicherheitstechnisch habe ich da auch keine bedenken.
Wenn ich die Schlüsselgröße 2048Bit nehme kann er keine Verbindung aufbauen. Da kam immer eine Fehlermeldung,
kann jetzt aber leider nicht mehr sagen welche.
Und den langsamen Verbindungsaufbau hab ich genommen, weil ich in einer Anleitung für LANCOM VPN-VPN gelesen habe das diese Methode besser sei.
Da ich auf diesem Gebiet ein völliger Neuling bin und mir alle Informationen mühsam zusammen tragen musste, dachte ich ich schreibe meine Schritte auf um es anderen zu erleichtern.
Sollten sich natürlich Fehler bzw. Alternativen finden bin ich über jede Kritik dankbar.
Nun ich denke für jeden ein einzelnes Zertifikat zu erstellen ist doppelt gemoppelt. Vielleicht bin ich da auch auf dem Holzweg aber Sicherheitstechnisch habe ich da auch keine bedenken.
Wenn ich die Schlüsselgröße 2048Bit nehme kann er keine Verbindung aufbauen. Da kam immer eine Fehlermeldung,
kann jetzt aber leider nicht mehr sagen welche.
Und den langsamen Verbindungsaufbau hab ich genommen, weil ich in einer Anleitung für LANCOM VPN-VPN gelesen habe das diese Methode besser sei.
Da ich auf diesem Gebiet ein völliger Neuling bin und mir alle Informationen mühsam zusammen tragen musste, dachte ich ich schreibe meine Schritte auf um es anderen zu erleichtern.
Sollten sich natürlich Fehler bzw. Alternativen finden bin ich über jede Kritik dankbar.