LANCOM als VPN-Client - IKEv2/IPSec mit Zertifikaten

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
CaH
Beiträge: 1
Registriert: 30 Mai 2011, 12:30

LANCOM als VPN-Client - IKEv2/IPSec mit Zertifikaten

Beitrag von CaH »

Hallo zusammen,

bin hier schon länger Mitleser (und konnte bisher dadurch auch das eine oder andere Problem beheben) aber diesmal finde ich einfach nichts, was mir weiter hilft.

Was ich tun möchte:

Ich habe eine feste öffentlich IP erworben, um diese zu benutzen muss ich einen VPN-Tunnel zum Anbieter aufbauen, anschließend kommt der gesamte Traffic an diese IP bei mir an. Bisher (hatte das jetzt schon ein paar Jahre) funktionierte das problemlos (unverschlüsselt) über PPP, dort hatte ich den mir zugeteilten Zugang als Gegenstelle eingetragen, Benutzer+PW hinterlegt und es funktionierte, der LANCOM wählte sich ein und der Rest war NAT und Firewall Regeln. Da das eine unverschlüsselte Verbindung war hat der Provider dies zu Recht jetzt eingestellt und mir stattdessen einen IPSec-VPN Zugang bereitgestellt.

Ich habe also wieder Zugangsdaten bekommen (Gatewayserver-Adresse, Zugangsdaten) und diesmal zusätzlich 4 Zertifikatsdateien:
- mein Benutzerzertifikat als *cert.p12 und *cert.pem
- das Gatewayzertifikat als *cert.pem
- die CA des Providers als *cert.pem

Nach meinem Verständnis muss ich die Zertifikate auf den LANCOM hochladen (und dem LANCOM bekannt machen?) und anschließend eine VPN-Einrichtung (über den Assistenten) vornehmen. Sobald der Tunnel dann steht ist der Rest wieder NAT und Firewall.

Das Benutzerzertifikat konnte ich erfolgreich über LANconfig als Typ "VPN - Container (VPN1) als PKCS#12-Datei (*.pfx, *.p12 [Passphrase erforderlich])" hochladen, alle anderen liefern "FAILURE" wenn ich sie als "VPN - Zusätzliche CA-Zertifikate" versuche hochzuladen, was letztendlich aber funktioniert hat war sie als Typ "EAP/TLS - Gerätezertifikat" und "EAP/TLS - Root-CA-Zertifikat" hochzuladen.

Hier komme ich jetzt nicht mehr weiter, wenn ich jetzt versuche über den VPN-Assistenten eine Verbindung einzurichten wird mir keine Auswahl angeboten, die zertifikatsbasiert abläuft.

Auch die Zertifikatsverwaltung im LANcom bringt mich nicht weiter - ich möchte ja keine Zertifikate ausstellen, lediglich benutzen.
Ich habe unter Zertifikate > SCEP-Client die SCEP-Client-Funktionalität aktiviert, weil diese wohl (nach meinem Verständnis) für den Schlüsselabruf/Vergleich benötigt wird. Das Aktivieren der Zertifizierungsstelle (CA) war vermutlich unnötig, da ich ja keine weiteren selbst ausstellen möchte.

Was ich im Forum schon gefunden habe ist ein unbeantworteter Thread der wohl (etwas anders formuliert) aufs gleiche hinaus läuft: http://www.lancom-forum.de/fragen-zum-t ... 16017.html

Ansonsten sind alle Fundsachen bisher eher umgekehrt - wenn also die Einwahl zum LANCOM abläuft, was ich ja nicht brauche.

Die FAQ beim Provider bringen nur Standardbeispiele, wie man unter Windows einen VPN-Client einrichtet - das lässt sich nur nicht 1:1 auf den LANCOM abbilden.

Kann mir hier jemand auf die Sprünge helfen, wo ich ansetzen kann oder in der Knowledgebase fündig werde?

Der Vollständigkeit halber: der LANCOM ist ein 1781EF+ mit aktueller FW 10.12.0082, LANconfig ebenfalls aktuellste Version 10.12.x

Danke schon mal vorab,
Carsten
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: LANCOM als VPN-Client - IKEv2/IPSec mit Zertifikaten

Beitrag von GrandDixence »

Siehe bitte:

http://www.lancom-forum.de/fragen-zum-t ... 16213.html

und

http://www.lancom-forum.de/fragen-zum-t ... 15356.html

Insbesondere im zweiten Artikel ist die Zertifikatsinstallation auf dem LANCOM-Gerät im Detail beschrieben. Auszug:
Für die Installation eines Maschinenzertifikats auf dem LANCOM-Router muss ein Zertifikatspaket (*.p12-Datei) erstellt werden mit folgenden Inhalt:

- 1 Maschinenzertifikat für den LANCOM-Router (öffentlicher und privater Schlüssel)
- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel).

Die Installation eines Maschinenzertifikats auf dem LANCOM-Router erfolgt wie folgt:

Im Webinterface der Firewall unter Dateimanagement -> Zertifikat oder Datei hochladen

Das Zertifikatspaket *.p12 hochladen. Die Option
"Vorhandene CA Zertifikate ersetzen" aktivieren und den Dateityp:

VPN - Container (VPN1) als PKCS#12-Datei (*.pfx, *.p12) wählen.

Das neue Zertifikat wird erst nach einem Neustart der Firewall aktiviert.
Die genannten Zertifikate haben wahrscheinlich folgender Inhalt:

- mein Benutzerzertifikat als *cert.p12 und *cert.pem => 1 Maschinenzertifikat für den LANCOM-Router (öffentlicher und privater Schlüssel)
- das Gatewayzertifikat als *cert.pem => Muss nicht auf dem LANCOM-Router installiert werden => Jedoch ist dieses Zertifikat für die Konfiguration des VPN-Tunnels auf dem LANCOM-Gerät erforderlich (/Setup/VPN/IKEv2/Auth/Parameter/Remote-ID)!
- die CA des Providers als *cert.pem => 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel).
Antworten