VPN Windows -> Lancom ohne Zusatzclient

Forum: LANCOM FAQ-Bereich

Moderator: Lancom-Systems Moderatoren

Antworten
eddia
Beiträge: 1239
Registriert: 15 Nov 2004, 09:30

VPN Windows -> Lancom ohne Zusatzclient

Beitrag von eddia »

Hallo,

hier eine Anleitung, wie man mit den Bordmitteln von Windows (also ohne zusätzlichen VPN-Client) eine VPN-Verbindung über IPSec ohne den PPTP-Unterbau zu einem Lancom herstellt:

Ich hab das jetzt mal mit Windows XP gemacht - darauf bezieht sich auch meine Beschreibung. Prinzipiell sollte es auch mit Windows 2000 funktionieren.

Die VPN-Verbindung lässt sich mit Zertifikaten oder Preshared Keys herstellen. Bei der Verwendung von Zertifikaten gibt es keine Zugangseinschränkungen. Bei der Verwendung von Preshared Keys muss der VPN-Client über eine öffentliche IP verfügen. Diese IP kann eine feste IP oder auch eine durch den Lancom per dynamischen DNS auflösbare IP sein. Somit muss bei Verbindungen aus einem LAN mit privaten IP-Adressen (eigenes LAN oder auch private Netze der Mobilfunkprovider bzw. HotSpots) zwingend die zertifikatsbasierte Variante benutzt werden.

Da die IPSec-Konfiguration unter Windows wohl für einen Normalsterblichen kaum überblickbar ist, sollte man unbedingt das IPSec-Tool von Marcus Müller nutzen.

http://vpn.ebootis.de/package.zip

Das Paket entpackt man am besten in einen eigenen Ordner. Die ipsec.conf ist dann entsprechend den eigenen Verbindungsparameter anzupassen.

Das IPSec-Tool benötigt die ipseccmd von Microsoft. Diese befindet sich in den Support-Tools und können von der XP-CD aus dem Verzeichnis \SUPPORT\TOOLS durch Aufruf der setup.exe installiert werden. Es muss unbedingt die vollständige Installation ausgewählt werden. Falls sich der aktuelle Servicepack-Level der Windows-Installation von der XP-CD unterscheidet, müssen die aktuellen Support-Tools von Microsoft installiert werden:

http://www.microsoft.com/downloads/deta ... 8011fabf38


Clientkonfiguration mit Zertifikaten

Voraussetzung ist mindestens die Firmware 5.0 mit der Konverter-Firmware 1.86 und entsprechend ausgestellten und installierten Zertifikaten. Die Installation der Zertifikate auf dem Lancom ist im Referenzmanual beschrieben.

Zur Installation des Client-Zertifikates sollte die beim IPSec-Tool mitgelieferte IPSec.msc benutzt werden. Dabei ist unbedingt die Option “Zertifikatsspeicher automatisch auswählen” auszuwählen. Auf keinen Fall darf das Zertifikat per Doppelclick installiert werden. Nach dem Import des Zertifikates müssen sich unter Zertifikate (Lokaler Computer) -> Eigene Zertifikate -> Zertifikate das Client-Zertifikat und unter Vertrauenswürdige Stammzertifizierungstellen -> Zertifikate das Zertifikat der Root CA befinden.

Wichtig für die ipsec.conf ist der DN (Distinguished Name) der Root CA. In den Eigenschaften des Zertifikates der Root CA findet man diesen im Feld 'Aussteller'. Dieser DN muss genau umgekehrt in der ipsec.conf angegeben werden. Steht im Ausstellerfeld z.B. "CN=Firma Root CA C=DE E=mail@firma.de, so ist dies wie im unten angeführten Beispiel einzutragen.

Die ipsec.conf sollte so aussehen:

Code: Alles auswählen

conn <Name der Verbindung>
	left=%any
	right=<öffentliche IP oder DNS-Name des VPN-Gateways>
	rightsubnet=<Netz hinter dem VPN-Gateway>
	rightca="<Distinguished Name der Root-CA>"
	network=auto
	auto=start
	pfs=yes
Also z.B.:

Code: Alles auswählen

conn Firma
	left=%any
	right=gateway.firma.com
	rightsubnet=192.168.0.0/24
	rightca="E=mail@firma.de, C=DE, CN=Firma Root CA"
	network=auto
	auto=start
	pfs=yes

Clientkonfiguration mit Preshared Keys

Die ipsec.conf sollte so aussehen:

Code: Alles auswählen

conn <Name der Verbindung>
	left=%any
	right=<öffentliche IP oder DNS-Name des VPN-Gateways>
	rightsubnet=<Netz hinter dem VPN-Gateway>
	presharedkey=<PSK>
	network=ras
	auto=start
	pfs=yes
Also z.B.:

Code: Alles auswählen

conn Firma
	left=%any
	right=gateway.firma.com
	rightsubnet=192.168.0.0/24
	presharedkey=passwort
	network=ras
	auto=start
	pfs=yes

allgemeine Konfiguration am Lancom

Am Lancom richtet man per Assistent eine neue Einwahlverbindung mit benutzerdefinierten Parametern ein. Die meisten Sachen können wie vorgeschlagen belassen werden - wichtig ist nur, dass als Verschlüsselungsverfahren 3DES benutzt wird. Natürlich ist die passende Variante PSK oder Zertifikate auszuwählen.

Bei der PSK-Variante wird man nach der Identität gefragt. Hier müsste man eigentlich für beide Identitäten 'keine' eintragen. Da bei der Remote-Identität diese Auswahl nicht zur Verfügung steht, trägt man erst mal irgendwelche Dummy-Werte ein, welche später wieder gelöscht werden müssen.

Bei der IP-Adresse gibt man jetzt die öffentliche IP des Clients bzw. (falls der Client selbst in einem LAN steht) dessen lokale IP an. Falls man eine dynamische IP hat, muss nach dem Durchlauf des Assistenten noch nachgearbeitet werden. Dazu wird in der Routing Tabelle des Lancom der vom Assistenten erzeugte Eintrag modifiziert. Als IP-Adresse ist 255.255.255.255 mit der Netzmaske 0.0.0.0 anzugeben. Der Routingtag ist abweichend von der vorhandenen Default-Route einzustellen, also z.B. 1. Dieser Routingtag muss auch in der vom Lancom für diese VPN-Verbindung erzeugten VPN-Regel gesetzt werden.

Konfiguration am Lancom für Zertifikate

Die Default IKE-Proposalliste für Main-Mode Verbindungen (standardmäßig IKE_RSA_SIG) muss das Proposal für 3DES enthalten (ist bei neueren Lancoms bereits vorhanden). Falls nicht, ist das Proposal zu erstellen und in die Liste aufzunehmen. Dazu kopiert man sich am besten in den Proposals den Eintrag PSK-3DES-MD5, benennt ihn RSA-3DES-MD5 und schaltet die Authentifizierung auf RSA-Signatur.

Konfiguration am Lancom für Preshared Keys

In der VPN-Verbindungsliste ist unter Gateway die öffentliche IP bzw. der DNS-Name des VPN-Clients einzutragen. Der IKE-Exchange ist auf Main-Mode abzuändern.

Unter IKE-Parameter -> IKE-Schlüssel sind die vorher eingetragenen Dummy-Werte für die Identitäten zu löschen und beide Identitäts-Typen auf 'keine Identität' zu setzen.

Aufbau der Verbindung

Nun kann man durch Aufruf der ipsec.exe die Regeln für die VPN-Verbindung erzeugen lassen. Aufgebaut wird die Verbindung erst bei entsprechendem Datenverkehr. Also am besten per ping auf einen Host hinter dem VPN-Gateway prüfen. Da kommt dann ein- bis zweimal 'IP-Sicherheit wird verhandelt' und eventuell auch eine Zeitüberschreitung, aber dann sollten Antworten auf den ping kommen.

Anmerkungen zur IPSec.conf

Der Parameter 'network' steuert die Bindung der IPSec-Konfiguration an das zu verwendende Interface. Welche Bindung erfolgt, sieht man nach Aufruf der IPSec.exe. Der Wert 'auto' bedeutet, dass automatisch das am höchsten priorisierte aktive Interface (LAN oder RAS) ermittelt wird. Dies kann bei bestimmten Konfigurationen (LAN- und RAS-Verbindung gleichzeitig aktiv) zu falschen Bindungen führen. Dann ist mit den Werten 'LAN' bzw. 'RAS' explizit das zu verwendende Interface zu bestimmen.

Viel Spaß!

Gruß

Mario

Edit 08.12.06: Fehlendes Komma in DN-Angabe ergänzt
Zuletzt geändert von eddia am 08 Dez 2006, 22:13, insgesamt 3-mal geändert.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Beitrag von LoUiS »

Hi Mario,

ich habe diesen Beitrag mal in die FAQ Section verschoben, ich glaube, da ist es besser aufgehoben. ;)


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Antworten