Ab LCOS 10.70 unterstützt LCOS die VPN-Zwei-Faktor-Authentifizierung (EAP-OTP) mit dem LANCOM Advanced VPN Client. Dazu kann der interne RADIUS-Server OTP-Benutzer verwalten.
Der VPN-Benutzer hat neben seinem normalen VPN-Benutzernamen und Passwort (EAP-MSCHAPv2) eine Authenticator-App z. B. auf seinem Smartphone, auf der ein zweiter Faktor generiert wird und zusätzlich zum Benutzernamen / Passwort verwendet wird. Zwei-Faktor-Authentifizierung ist bei IKEv2 laut RFC nur mit EAP möglich, so dass einfache PSK oder RSA-Signature-Verfahren nicht verwendet werden können. LCOS unterstützt eine herstellerspezifische Implementierung zusammen mit dem LANCOM Advanced VPN Client.
Als Authenticator können beliebige Apps verwendet werden, z. B. von Google, Microsoft oder NCP. Diese Apps finden Sie im Appstore Ihres mobilen Geräts.
Die Vorgehensweise zur Einrichtung ist wie folgt: Zunächst muss EAP-VPN mit IKEv2 im LANCOM Gerät konfiguriert werden. Dazu wird der interne RADIUS-Server mit seinen Benutzerkonten verwendet. Zusätzlich zu einem RADIUS-Benutzerkonto muss ein OTP-Benutzer anlegt werden. Im Anschluss kann in der WEBconfig unter ein QR-Code abgerufen werden, der von der Authenticator-App eingescannt werden muss. Dieser QR-Code gilt pro Benutzer und muss jedes Mal verwendet werden, wenn eine Authenticator-App eingerichtet werden soll. Die WEBconfig generiert aus den Parametern der Tabelle OTP-Benutzerkonten einen QR-Code pro Benutzer der von Authenticator-Apps eingescannt werden kann. Alternativ kann in den meisten Apps der Schlüssel manuell hinzugefügt werden.
Eine Anleitung zur Einrichtung des gesamten Szenarios finden Sie in der LANCOM Support Knowledge Base.
