LANCOM VPN Client mit IKEv2 und Zertifikat

[MDCYP]

Hi,

würde gern mit dem LANCOM VPN Client IKEv2 nutzen mit Zertifikaten - leider gibts das nur bei IKEv1 beim Assistenten und bei der Hilfe ist meist nur IKEv2 mit PSK verwendet? Gibts da eine gute Anleitung vielleicht

[GrandDixence]

http://www.lancom-forum.de/fragen-zum-t ... 15356.html

[MDCYP]

Danke aber da fehlen mit Schritte... wäre gut wenn es eine explizite Anleitung für den LANCOM VPN Client gäbe

Bleibt bei euch die WEB Gui auch stehen bei beim Einwahl-Zugang bereitstellen (RAS, VPN) Wizard ?


"Schritt 2 von 11

Welcher VPN-Client soll für den Einwahlzugang verwendet werden"

und wenn ihr dort "VPN Client mit benutzer..." auswählt - dann passiert bei mir nichts mehr weiter. Zuvor bei Schritt 1 IKEv2

[MariusP]

https://www2.lancom.de/kb.nsf/1275/FCC0 ... enDocument
Hier findest du unter anderem eine Anleitung zum Hochladen im AVC.

[MDCYP]

Danke, dass stimmt, aber diese Schritte sind inzwischen nicht mehr 1:1 richtig, da im Wizard erst gefragt wird inzwischen ob IKEv1 oder IKEv2 und dann ist es eben nicht auswählbar wenn man IKEv2 nimmt dies mit Zerts zu machen. Der Schritt: "3.7 Wählen Sie für diese Verbindung die Option Zertifikate (RSA Signature) " <- gibt es nicht wenn man IKEv2 auswählt

[MariusP]

Hi,
Bei der Anleitung ging es mir nur um den Aspekt des Hochladens im AVC.
Ich finde Assistenten immer etwas schwierig zu verwenden, da sich der Nutzer doch etwas zu sehr auf die Assistenten verlassen und dann mit dem Konzept dahinter nicht gut vertraut sind.
Gruß

[Jirka]

Ich finde Assistenten immer etwas schwierig zu verwenden, da sich die Nutzer doch etwas zu sehr auf die Assistenten verlassen und dann mit dem Konzept dahinter nicht gut vertraut sind.

Ja, das ist aber der Sinn eines Assistenten, nämlich auch Nutzern, die mit dem Konzept dahinter nicht gut vertraut sind und die auch keine Zeit haben sich damit vertraut zu machen, eine funktionierende Lösung zu präsentieren. Zudem kommt oftmals selbst für Nutzer, die sich in der Materie auskennen, eine Zeitersparnis dazu. Man kann also Assistenten nicht grundsätzlich schlecht reden. Ich benutze sie auch kaum. Aber am Freitag habe ich gedacht, ach dann kannst Du ja mal schnell mit dem Assistenten die IKEv2-Verbindung zusammenklicken (LAN-to-LAN). Und auch ich musste feststellen, dass da wohl Zertifikate vergessen wurden. Aber ehe man sich wieder unbeliebt macht und das als Bug hier meldet, habe ich den Assistenten einfach durchgespielt, danach manuell auf Zertifikate umgestellt und fertig war der Kram. Ich weiß ja noch nicht mal, ob der Assistent überhaupt eine VPN mit Zertifikaten anbieten soll, vielleicht hat es ja dafür nicht mehr gereicht. Wer weiß das schon.

Viele Grüße,
Jirka

[MDCYP]

Ok dann frag ich anders - was muss ich denn anpassen wenn ich den Wizard mit IKEv1 und Certs mache aber dann später IKEv2 nutzen möchte? Dazu ein kurzes HowTo würde mir ja schon reichen

[Jirka]

Das kannst Du vergessen. IKEv1, da sind wir dann wieder an der Stelle "mit dem Konzept dahinter nicht gut vertraut", das sind völlig verschiedene Tabellen. Da führt also kein Weg rein. Da kann man nichts editieren, sondern müsste den kompletten VPN-Teil neu konfigurieren. Du kannst nur IKEv2 machen und dann das Zertifikat einspielen und anschließend in der Authentifizierungs-Tabelle die Authentifizierung auf RSA-Signature umstellen mit dem Typ ASN.1-Dist. und der Angabe des ASN.1-Dist. Fertig.

[MDCYP]

Ah ok das hilft mir schon mal weiter.

Also Lokale und Entfernte Authentifizierung dann RSA Signatur? Password dann natürlich leer oder?
Muss ich für den LANCOM auch ein Cert anlegen lassen selbst ? Oder reicht für den VPN Client User?
Was unten bei "Lokales Zertifikat" einstellen ?

[MDCYP]

Habs jetzt hinbekommen auch ohne den Wizard - aber das ist echt verwirrend, dass man das Cert für den Router, dass man auf der Web GUI mit diesem Manager erstellt, dann nochmal hochladen muss ?! Und als VPN1 und nicht als VPN-Gerätezertifikat ?