OTP mit Lancom VPN Client
Moderator: Lancom-Systems Moderatoren
OTP mit Lancom VPN Client
Moin Moin
Seit der 10.70 (soweit ich das in Erinnerung habe) kann ich ja mit dem LC Advanced VPN Client 2FA mit einem OTP (zb Google Auth) nutzen.
Hat das schon mal jemand eingerichtet? .. Ich hatte mal danach gesucht, aber eine gescheite Anleitung, was da wo einzurichten ist, gibt es irgendwie nirgends.
Soweit ich mir das zusammensuchen konnte läuft ja dann die Authentifizierung über den Radius Server, den der LC mitbringt. Der muss dann mindestens die Lizenz für 25 Clients haben. Dort kann ich dann den Benutzer eintragen und einen OTP Benutzer der gleich sein muss. Den QR Code bekomme ich dann über die Weboberflöche.
Nur gibt es das drölfzigtrillionen Einstellungen, deswegen wäre eine Doku was man für diesen Zweck alles braucht und einstellen muss mal nicht schlecht .. Kennt da jemand was oder hat das sogar schon mal funktionierend eingerichtet ...
Seit der 10.70 (soweit ich das in Erinnerung habe) kann ich ja mit dem LC Advanced VPN Client 2FA mit einem OTP (zb Google Auth) nutzen.
Hat das schon mal jemand eingerichtet? .. Ich hatte mal danach gesucht, aber eine gescheite Anleitung, was da wo einzurichten ist, gibt es irgendwie nirgends.
Soweit ich mir das zusammensuchen konnte läuft ja dann die Authentifizierung über den Radius Server, den der LC mitbringt. Der muss dann mindestens die Lizenz für 25 Clients haben. Dort kann ich dann den Benutzer eintragen und einen OTP Benutzer der gleich sein muss. Den QR Code bekomme ich dann über die Weboberflöche.
Nur gibt es das drölfzigtrillionen Einstellungen, deswegen wäre eine Doku was man für diesen Zweck alles braucht und einstellen muss mal nicht schlecht .. Kennt da jemand was oder hat das sogar schon mal funktionierend eingerichtet ...
-
- Beiträge: 76
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: OTP mit Lancom VPN Client
Hallo,
ja, das habe ich schon mal gemacht
Geht nur mit dem LANCOM Windows VPN-Client.
Findet man neben vielen anderen Dingen in der Knowledge-Base:
https://support.lancom-systems.com/know ... =110788669
Viele Grüße.
ja, das habe ich schon mal gemacht
Geht nur mit dem LANCOM Windows VPN-Client.
Findet man neben vielen anderen Dingen in der Knowledge-Base:
https://support.lancom-systems.com/know ... =110788669
Viele Grüße.
Re: OTP mit Lancom VPN Client
Ah Perfekt, genau das habe ich gesucht. Ich werde berichten ob es geklappt hat
Re: OTP mit Lancom VPN Client
Das geht nur mit Zertifikaten?
Re: OTP mit Lancom VPN Client
Moin zusammen,Frühstücksdirektor hat geschrieben: ↑20 Dez 2023, 10:04 Hallo,
ja, das habe ich schon mal gemacht
Geht nur mit dem LANCOM Windows VPN-Client.
Findet man neben vielen anderen Dingen in der Knowledge-Base:
https://support.lancom-systems.com/know ... =110788669
Viele Grüße.
Wenn ich den Link aufrufe bekommt man jetzt die Login Seite von Lancom's Tenant bei Atlassian. Ist das so gewollt? Wie kommen ich an die Anleitung?
Ich bin mir aber sicher, dass die Seite vor einigen Wochen noch abrufbar war.
Re: OTP mit Lancom VPN Client
Habs gefunden über die Suche in der Knowledge Base.
Für alle, die hier im Thread auf das Thema stoßen, hier der direkte Link:
https://knowledgebase.lancom-systems.de ... =110788669
Für alle, die hier im Thread auf das Thema stoßen, hier der direkte Link:
https://knowledgebase.lancom-systems.de ... =110788669
-
- Beiträge: 64
- Registriert: 08 Okt 2013, 15:25
Re: OTP mit Lancom VPN Client
servus zusammen,
wir haben das ganze bei uns nun auch umgesetzt und alle VPN Einwahlzugänge auf MFA umgestellt.
Hat soweit auch gut funktioniert.
Nun ist es aber so, dass wir eine handvoll Zugänge haben, die sich in ein anderes Netzsegment einwählen sollen, sprich bei der Einwahl eine IP aus einem anderen Pool bekommen sollen, als der der jetzt in Punkt 2.12 der Anleitung ausgewählt wurde.
Bisher war das kein Problem, da man dies ja in jedem einzelnen VPN Profil auswählen konnte, nun teilen sich ja quasi alle das default Profil.
Habe mir überlegt, lege einfach ein 2. default Profil mit eigenem Zertifikat an dem ich dann den anderen Pool zuweise.
Also neues Zertifikat mit eigenem CN erstellt, in VPN3 Container importiert (die anderen MFA nutzen VPN2) und eine neue Authentifizierung angelegt analog zu VPN2 nur eben mit dem dem neuen CN und lokales Zertifikat VPN3.
Soweit so gut.
Jetzt müsste ich ja in der Verbindungsliste ein 2. default Objekt anlegen welches als Authentifizierung das neue Auth Objekt hat und als Pool den IP Pool in den sich die Zugänge verbinden sollen.
Hab ich erstmal noch nicht gemacht da ich noch nicht weiß, wie ich die Steuerung hinbekommen soll, welcher Client jetzt welches default Objekt aus der Verbindungsliste triggern soll.
Nicht das auf einmal gar keine Einwahl mehr funzt weil es 2 default Objekte gibt.
Im Client ist ja nur das CA Zertifikat hinterlegt sowie die Infos zum RADIUS Konto. Wie aber kann ich steuern, welches default Objekt aus der Verbindungsliste getriggert werden soll?
Irgendwer ne Idee wie ich nun weiter komme?
Alternative wie man das umsetzen könnte?
Danke schon mal!
wir haben das ganze bei uns nun auch umgesetzt und alle VPN Einwahlzugänge auf MFA umgestellt.
Hat soweit auch gut funktioniert.
Nun ist es aber so, dass wir eine handvoll Zugänge haben, die sich in ein anderes Netzsegment einwählen sollen, sprich bei der Einwahl eine IP aus einem anderen Pool bekommen sollen, als der der jetzt in Punkt 2.12 der Anleitung ausgewählt wurde.
Bisher war das kein Problem, da man dies ja in jedem einzelnen VPN Profil auswählen konnte, nun teilen sich ja quasi alle das default Profil.
Habe mir überlegt, lege einfach ein 2. default Profil mit eigenem Zertifikat an dem ich dann den anderen Pool zuweise.
Also neues Zertifikat mit eigenem CN erstellt, in VPN3 Container importiert (die anderen MFA nutzen VPN2) und eine neue Authentifizierung angelegt analog zu VPN2 nur eben mit dem dem neuen CN und lokales Zertifikat VPN3.
Soweit so gut.
Jetzt müsste ich ja in der Verbindungsliste ein 2. default Objekt anlegen welches als Authentifizierung das neue Auth Objekt hat und als Pool den IP Pool in den sich die Zugänge verbinden sollen.
Hab ich erstmal noch nicht gemacht da ich noch nicht weiß, wie ich die Steuerung hinbekommen soll, welcher Client jetzt welches default Objekt aus der Verbindungsliste triggern soll.
Nicht das auf einmal gar keine Einwahl mehr funzt weil es 2 default Objekte gibt.
Im Client ist ja nur das CA Zertifikat hinterlegt sowie die Infos zum RADIUS Konto. Wie aber kann ich steuern, welches default Objekt aus der Verbindungsliste getriggert werden soll?
Irgendwer ne Idee wie ich nun weiter komme?
Alternative wie man das umsetzen könnte?
Danke schon mal!
-
- Beiträge: 76
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: OTP mit Lancom VPN Client
Du kannst pro Client eine statische IP-Adresse zuweisen. Das geht über die IPv4-Routing-Tabelle.
Man legt einen Eintrag an mit der zugeteilten IPv4-Adresse und 255.255.255.255 Maske an, Router bzw. Gegenstelle ist der Name der VPN-Verbindung. Maskierung machts du aus. Außerdem kann man den Client noch in einen Routing-Kontext stecken mit dem Rtg-Tag.
So man schön pro Client die Adressen zuweisen.
Dann kannst du dir das mit den Profilen sparen.
Man legt einen Eintrag an mit der zugeteilten IPv4-Adresse und 255.255.255.255 Maske an, Router bzw. Gegenstelle ist der Name der VPN-Verbindung. Maskierung machts du aus. Außerdem kann man den Client noch in einen Routing-Kontext stecken mit dem Rtg-Tag.
So man schön pro Client die Adressen zuweisen.
Dann kannst du dir das mit den Profilen sparen.
-
- Beiträge: 64
- Registriert: 08 Okt 2013, 15:25
Re: OTP mit Lancom VPN Client
ähm aber es gibt bei der MFA/OTP Lösung ja keine "VPN-Verbindung pro User" die ich in der Routingtabelle als Gegenstelle bzw. Router auswählen könnte.
Das ist ja genau das Problem, die teilen sich alle den "default" Verbindungseintrag.
Sonst könnte ich ja direkt in dem Eintrag pro User den anderen Pool zuweisen.
Das ist ja genau das Problem, die teilen sich alle den "default" Verbindungseintrag.
Sonst könnte ich ja direkt in dem Eintrag pro User den anderen Pool zuweisen.
-
- Beiträge: 76
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: OTP mit Lancom VPN Client
Kommt drauf an, teste mal ob der VPN-Client immer den gleichen Gegenstellenname erzeugt. Wenn der bei jeder Einwahl anders ist, dann geht das natürlich nicht. Der Gegenstellenname sollte doch aus der IKE-Identität gebildet werden...
-
- Beiträge: 64
- Registriert: 08 Okt 2013, 15:25
Re: OTP mit Lancom VPN Client
ah ok und den quasi als "Freitext" eingeben?
Wusste nicht das das geht, dachte geht nur aus der Auswahl an hinterlegten/bekannten Zugängen.
Werde ich mal probieren. Danke
Wusste nicht das das geht, dachte geht nur aus der Auswahl an hinterlegten/bekannten Zugängen.
Werde ich mal probieren. Danke
-
- Beiträge: 76
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: OTP mit Lancom VPN Client
Ja, genau. LANconfig kennt die Gegenstelle ja nicht, da die dynamisch ist. Die muss halt über die Zeit stabil bleiben auch nach Reconnect.
-
- Beiträge: 64
- Registriert: 08 Okt 2013, 15:25
Re: OTP mit Lancom VPN Client
Und "überschreibt"/"über rouled" dass dann die Zuweisung einer IP aus dem Pool der im Default Eintrag hinterlegt ist?
Weil würde das jetzt erstmal mit einem Benutzer testen aber will nicht, dass die anderen dann keine IP mehr zugewiesen bekommen
Oder nutzt ein Zugang der explizit dort angelegt ist dann den default Eintrag nicht mehr? Kann ich kaum glauben da darin ja auch andere Parameter definiert werden.
Weil würde das jetzt erstmal mit einem Benutzer testen aber will nicht, dass die anderen dann keine IP mehr zugewiesen bekommen
Oder nutzt ein Zugang der explizit dort angelegt ist dann den default Eintrag nicht mehr? Kann ich kaum glauben da darin ja auch andere Parameter definiert werden.
-
- Beiträge: 64
- Registriert: 08 Okt 2013, 15:25
Re: OTP mit Lancom VPN Client
funktioniert, tausend Dank!!!