OTP mit Lancom VPN Client

[w.blecker]

Moin Moin

Seit der 10.70 (soweit ich das in Erinnerung habe) kann ich ja mit dem LC Advanced VPN Client 2FA mit einem OTP (zb Google Auth) nutzen.
Hat das schon mal jemand eingerichtet? .. Ich hatte mal danach gesucht, aber eine gescheite Anleitung, was da wo einzurichten ist, gibt es irgendwie nirgends.

Soweit ich mir das zusammensuchen konnte läuft ja dann die Authentifizierung über den Radius Server, den der LC mitbringt. Der muss dann mindestens die Lizenz für 25 Clients haben. Dort kann ich dann den Benutzer eintragen und einen OTP Benutzer der gleich sein muss. Den QR Code bekomme ich dann über die Weboberflöche.

Nur gibt es das drölfzigtrillionen Einstellungen, deswegen wäre eine Doku was man für diesen Zweck alles braucht und einstellen muss mal nicht schlecht .. Kennt da jemand was oder hat das sogar schon mal funktionierend eingerichtet ...

[Frühstücksdirektor]

Hallo,

ja, das habe ich schon mal gemacht

Geht nur mit dem LANCOM Windows VPN-Client.

Findet man neben vielen anderen Dingen in der Knowledge-Base:

https://support.lancom-systems.com/know ... =110788669

Viele Grüße.

[w.blecker]

Ah Perfekt, genau das habe ich gesucht. Ich werde berichten ob es geklappt hat

[UKernchen]

Das geht nur mit Zertifikaten?

[twinturbo]

Hallo,

ja, das habe ich schon mal gemacht

Geht nur mit dem LANCOM Windows VPN-Client.

Findet man neben vielen anderen Dingen in der Knowledge-Base:

https://support.lancom-systems.com/know ... =110788669

Viele Grüße.

Moin zusammen,

Wenn ich den Link aufrufe bekommt man jetzt die Login Seite von Lancom's Tenant bei Atlassian. Ist das so gewollt? Wie kommen ich an die Anleitung?
Ich bin mir aber sicher, dass die Seite vor einigen Wochen noch abrufbar war.

[twinturbo]

Habs gefunden über die Suche in der Knowledge Base.

Für alle, die hier im Thread auf das Thema stoßen, hier der direkte Link:

https://knowledgebase.lancom-systems.de ... =110788669

[b.junghans]

servus zusammen,
wir haben das ganze bei uns nun auch umgesetzt und alle VPN Einwahlzugänge auf MFA umgestellt.
Hat soweit auch gut funktioniert.

Nun ist es aber so, dass wir eine handvoll Zugänge haben, die sich in ein anderes Netzsegment einwählen sollen, sprich bei der Einwahl eine IP aus einem anderen Pool bekommen sollen, als der der jetzt in Punkt 2.12 der Anleitung ausgewählt wurde.
Bisher war das kein Problem, da man dies ja in jedem einzelnen VPN Profil auswählen konnte, nun teilen sich ja quasi alle das default Profil.

Habe mir überlegt, lege einfach ein 2. default Profil mit eigenem Zertifikat an dem ich dann den anderen Pool zuweise.
Also neues Zertifikat mit eigenem CN erstellt, in VPN3 Container importiert (die anderen MFA nutzen VPN2) und eine neue Authentifizierung angelegt analog zu VPN2 nur eben mit dem dem neuen CN und lokales Zertifikat VPN3.
Soweit so gut.

Jetzt müsste ich ja in der Verbindungsliste ein 2. default Objekt anlegen welches als Authentifizierung das neue Auth Objekt hat und als Pool den IP Pool in den sich die Zugänge verbinden sollen.
Hab ich erstmal noch nicht gemacht da ich noch nicht weiß, wie ich die Steuerung hinbekommen soll, welcher Client jetzt welches default Objekt aus der Verbindungsliste triggern soll.
Nicht das auf einmal gar keine Einwahl mehr funzt weil es 2 default Objekte gibt.

Im Client ist ja nur das CA Zertifikat hinterlegt sowie die Infos zum RADIUS Konto. Wie aber kann ich steuern, welches default Objekt aus der Verbindungsliste getriggert werden soll?

Irgendwer ne Idee wie ich nun weiter komme?
Alternative wie man das umsetzen könnte?
Danke schon mal!

[Frühstücksdirektor]

Du kannst pro Client eine statische IP-Adresse zuweisen. Das geht über die IPv4-Routing-Tabelle.
Man legt einen Eintrag an mit der zugeteilten IPv4-Adresse und 255.255.255.255 Maske an, Router bzw. Gegenstelle ist der Name der VPN-Verbindung. Maskierung machts du aus. Außerdem kann man den Client noch in einen Routing-Kontext stecken mit dem Rtg-Tag.
So man schön pro Client die Adressen zuweisen.

Dann kannst du dir das mit den Profilen sparen.

[b.junghans]

ähm aber es gibt bei der MFA/OTP Lösung ja keine "VPN-Verbindung pro User" die ich in der Routingtabelle als Gegenstelle bzw. Router auswählen könnte.
Das ist ja genau das Problem, die teilen sich alle den "default" Verbindungseintrag.
Sonst könnte ich ja direkt in dem Eintrag pro User den anderen Pool zuweisen.

[Frühstücksdirektor]

Kommt drauf an, teste mal ob der VPN-Client immer den gleichen Gegenstellenname erzeugt. Wenn der bei jeder Einwahl anders ist, dann geht das natürlich nicht. Der Gegenstellenname sollte doch aus der IKE-Identität gebildet werden...

[b.junghans]

ah ok und den quasi als "Freitext" eingeben?
Wusste nicht das das geht, dachte geht nur aus der Auswahl an hinterlegten/bekannten Zugängen.

Werde ich mal probieren. Danke

[Frühstücksdirektor]

Ja, genau. LANconfig kennt die Gegenstelle ja nicht, da die dynamisch ist. Die muss halt über die Zeit stabil bleiben auch nach Reconnect.

[b.junghans]

Und "überschreibt"/"über rouled" dass dann die Zuweisung einer IP aus dem Pool der im Default Eintrag hinterlegt ist?
Weil würde das jetzt erstmal mit einem Benutzer testen aber will nicht, dass die anderen dann keine IP mehr zugewiesen bekommen
Oder nutzt ein Zugang der explizit dort angelegt ist dann den default Eintrag nicht mehr? Kann ich kaum glauben da darin ja auch andere Parameter definiert werden.

[b.junghans]

funktioniert, tausend Dank!!!

[daveWE]

Hallo,
ich habe versucht das Thema OTP bei mir umzusetzen und mich genau an die Anleitung von Lancom https://knowledgebase.lancom-systems.de ... =110788669 gehalten, leider ohne Erfolg.
Selbst Benutzername und Kennwort habe ich auf Standard gelassen und bei den AuthentifizierungApps habe ich Microsoft und Google ausprobiert.

Bekomme immer beim Verbindungsaufbau die Meldung "Benutzer oder Kennwort falsch" und im Syslog stehen 2 Meldungen:

2024-07-11 08:52:05;0;5;IKE-DISCONNECT-RESPONSE: could not be sent for peer BENUTZER5C13 on p_exchange timeout (handle 0);
2024-07-11 08:52:05;0;5;IKE-DISCONNECT-RESPONSE: could not be sent for peer BENUTZER5C13 on message free (empty handle);

Hat noch jemand eine Idee, was es seien könnte?

Danke und Gruß
David