Tutorial: Einrichtung von IKEv2 unter LANconfig

Ausgangsszenario: Zwei LANCOM-Router sind über eine WAN-Verbindung miteinander verbunden und sollen mit Hilfe von IKEv2/IPSec-VPN eine sichere VPN-Verbindung untereinander aufbauen. Bei den Routern handelt es sich um einen LANCOM 1781AW in der Zentrale und einen LANCOM 1781VA-4G in der Filiale.

Anmerkung: Eine bestehende WAN-Verbindung zwischen beiden Geräten wird vorausgesetzt.
  1. Aktivieren von VPN: Öffnen Sie den Menüpunkt VPN > Allgemein in der Konfiguration der beiden Router und wählen Sie unter Virtual Private Network die Option Aktiviert. Hiermit haben Sie VPN auf dem jeweiligen Gerät aktiviert.




  2. Konfiguration des Aufbaus der Netzbeziehungen (SAs): Damit die Netzbeziehungen korrekt und nach dem gleichen Schema aufgebaut werden, wählen Sie bei beiden Routern unter Aufbau Netzbeziehungen (SAs) die Option Gemeinsam für KeepAlive.
  3. Konfiguration der Authentifizierung: Definieren Sie für die VPN-Verbindung die Art der Authentifizierung. Öffnen Sie dazu den Menüpunkt VPN > IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung.
  4. Klicken Sie auf die Schaltfläche Hinzufügen, um eine neue Authentifizierung zu konfigurieren. Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein.
    Anmerkung: Im folgenden Screenshot sind die Konfigurationen für beide Geräte zum direkten Vergleich nebeneinander aufgeführt. Hierbei wird nur auf die Konfigurationsparameter eingegangen, die von den Default-Werten abweichen.
    Anmerkung: In der linken Bildhälfte ist der LANCOM 1781AW abgebildet, rechts sehen Sie die Parameter des LANCOM 1781VA-4G.
    Parameter Beschreibung
    Name Geben Sie den Namen für die Authentifizierung ein. In diesem Beispiel wurde ID-IKEV2-DEMO auf beiden Geräten gewählt. Dieser Eintrag wird später in der VPN-Verbindungs-Liste genutzt.
    Lokale Authentifizierung Wählen Sie den Typ der Authentifizierung an diesem Router aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
    Lokaler Identitätstyp Wählen Sie den Typ der Identität bei diesem Router aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
    Lokale Identität Bestimmen Sie die lokale Identität. In diesem Beispiel wurde für den 1781AW die lokale Identität Zentrale und für den 1781VA-4G die lokale Identität Filiale gewählt.
    Lokales Passwort Der Pre-shared Key, der verwendet wird, um sich an diesem Router erfolgreich zu authentifizieren.
    Entfernte Authentifizierung Wählen Sie den Authentifizierungstypen des Routers der Gegenseite aus. Bei dem 1781AW entspricht dieser Eintrag dem Eintrag "Lokale Authentifizierung" am 1781VA-4G.
    Entfernter Identitätstyp Wählen Sie den Typ der entfernten Identität (des Routers der Gegenseite) aus. Bei dem 1781AW entspricht dieser Eintrag dem lokalen Identitätstyp des 1781VA-4G.
    Entfernte Identität Geben Sie die Identität der Gegenseite an. Bei dem 1781AW entspricht dieser Eintrag dem Eintrag "Lokale Identität" am 1781VA-4G.
    Entferntes Passwort Der Pre-shared Key, der verwendet wird, um sich an der Gegenseite zu authentifizieren. Bei dem 1781AW entspricht dieser Eintrag dem lokalen Passwort des 1781VA-4G.
  5. Konfiguration der Verbindungs-Liste: Konfigurieren Sie die Verbindungs-Listen der einzelnen Router. Zur Konfiguration öffnen Sie den Menüpunkt VPN > IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste.
  6. Um eine neue VPN-Verbindung zu erstellen, klicken Sie auf die Schaltfläche Hinzufügen.
    Anmerkung: Im folgenden Screenshot sind die Konfigurationen für beide Geräte zum direkten Vergleich nebeneinander aufgeführt. Hierbei wird nur auf die Konfigurationsparameter eingegangen, die von den Default-Werten abweichen.
    Anmerkung: In der linken Bildhälfte ist der LANCOM 1781AW abgebildet, rechts sehen Sie die Parameter des LANCOM 1781VA-4G.
    Parameter Beschreibung
    Eintrag aktiv Setzen Sie den Haken in der Checkbox, um die Verbindung zu aktivieren.
    Name der Verbindung Geben Sie die Bezeichnung für die VPN-Verbindung an. Dieser Eintrag wird später in der Routing-Tabelle genutzt.
    Haltezeit Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird bei dem 1781AW eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut. Bei dem 1781VA-4G wird der Wert 9999 eingetragen. Dieser Wert besagt, dass der Router die Verbindung nicht aktiv trennt und nach einer Trennung versucht, diese direkt wieder aufzubauen.
    Entferntes Gateway

    Geben Sie die IP-Adresse an, unter der die Gegenseite erreichbar ist. In diesem Beispiel ist die IP-Adresse der WAN-Schnittstelle des 1781AW 1.1.1.1 und die des 1781VA-4G 1.1.1.2.

    Authentifizierung Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, die Sie in Schritt 3 festgelegt haben.
  7. Konfiguration der Routing-Tabelle: Konfigurieren Sie die Routen, damit die Pakete vom Router durch den VPN-Tunnel an die VPN-Gegenstelle geschickt werden können. Hierzu öffnen Sie den Menüpunkt IP-Router > Routing und klicken auf die Schaltfläche IPv4-Routing-Tabelle.
  8. Um eine weitere Route zu erzeugen, klicken Sie auf die Schaltfläche Hinzufügen. In dem Konfigurationsfenster werden die Informationen zu der zu konfigurierenden Route der einzelnen Router eingetragen.
    Anmerkung: Im folgenden Screenshot sind die Konfigurationen für beide Geräte zum direkten Vergleich nebeneinander aufgeführt. Hierbei wird nur auf die Konfigurationsparameter eingegangen, die von den Default-Werten abweichen.
    Anmerkung: In der linken Bildhälfte ist der LANCOM 1781AW abgebildet, rechts sehen Sie die Parameter des LANCOM 1781VA-4G.
    Parameter Beschreibung
    IP-Adresse Tragen Sie das IP-Netzwerk ein, welches durch den VPN-Tunnel erreicht werden soll. In diesem Beispiel soll das IP-Netzwerk 192.168.2.0 vom 1781AW und das IP-Netzwerk 192.168.1.0 vom 1781VA-4G erreicht werden.
    Netzmaske Geben Sie die Netzmaske des oben angegebenen IP-Netzwerkes an.
    Schaltzustand Wählen Sie den Schaltzustand Route ist aktiviert und wird immer per RIP propagiert aus. Dies aktiviert den Eintrag, so dass er benutzt werden kann.
    Router Als Router tragen Sie den Namen der VPN-Verbindung ein, den Sie in Schritt 4 eingetragen haben.
    IP-Maskierung Wählen Sie IP-Maskierung abgeschaltet aus, damit der Router das andere Netzwerk nicht hinter seiner IP-Adresse maskiert.
  9. Schreiben Sie die Konfiguration in beide Geräte zurück.
  10. Überprüfen Sie die VPN-Verbindung einfach über LANmonitor. LANmonitor zeigt Ihnen den Status der VPN-Verbindung an.