Wie verbinde ich ein LANCOM Gateway mit einem UC Tenant (VPN Informationen)

Voraussetzungen:

• Es muss ein UC-Tenant installiert sein
• Es muss ein Office für diesen UC-Tenant konfiguriert sein
• Es muss eine öffentliche feste IPv4-Adresse für das LANCOM Gateway existieren
• Ein LANCOM 1783 VA Gateway mit internem Zugriff und konfigurierter interner/externer IP-Adresse muss vorhanden sein
• Es muss eine Regel in der Firmen-Firewall existieren, die eine Kommunikation zu den UDP Ports 500 und 4500 sowie das Protokoll ESP (IPSec) erlaubt
• Es muss eine firmenweite Route zum UC-Tenant mit der Gateway IP-Adresse des LANCOM Endgeräts geben

Tools:

LANCOM bietet einige Tools bezüglich Monitoring, Debugging und komfortabler Konfiguration:
https://www.lancom-systems.de/downloads/lancom-management-system/

Wir empfehlen die Verwendung des Lanconfig Tools zur Konfiguration Ihres Endgerätes. Alternativ können Sie auch das Webfrontend nutzen.
Außerdem empfehlen wir die Verwendung des Tools LanMonitor, um die VPN-Verbindung zu kontrollieren.

Setup:

1. Öffnen Sie das Lanconfig Tool, wählen Sie "VPN | General" und legen Sie folgende Einstellungen fest:

  

 

 

2. Wählen Sie "VPN | General | IPv4 rules" und fügen Sie das Kundennetzwerk sowie das komplette Remote-Netzwerk hinzu, welches im SwyxON Portal als Objekt angezeigt wird (z. B. SWYXNET_KOMPLETT).

 

 

 

3. Wählen Sie "VPN | IKE/IPSec | IKE proposals", fügen Sie ein neues Objekt hinzu "PSK-AES-256-SHA256". Bitte verwenden Sie folgende Parameter:

 

 

 

4. Fahren Sie mit "VPN | IKE/IPSec | IKE proposal lists" fort und erstellen Sie das Objekt "CISCO", um das Proposal auf Cisco Seite im Datenzentrum anzupassen. Wählen Sie als Proposal das zuvor erstellte Objekt: "PSK-AES-256-SHA256".

  

 

5. Wählen Sie "VPN | IKE/IPSec | IKE keys and identities" und fügen Sie das Identity Object (hier: SwyxON), welches aus dem PreSharedKey, welcher im SwyxON Portal generiert wurde, besteht.

  

 

 

6. Wählen Sie "VPN | IKE/IPSec | IPSec proposal lists", fügen Sie ein neues Objekt (hier: CISCOP2) hinzu und wählen Sie "TN-AES256-SHA" aus der Liste aus.

  

 

 

7. Fahren Sie mit "VPN | IKE/IPSec | IPSec proposals" fort und bearbeiten Sie den Eintrag, den Sie im vorherigen Schritt gewählt haben.

 

 

 

 

8. Wählen Sie "VPN | IKE/IPSec | Connection parameters", legen Sie ein neues Objekt an (hier "SwyxIdentity") und wählen Sie das erstellte Objekt aus den oben getätigten Schritten (Cisco -> Phase 1; CiscoP2 -> Phase 2; IKE key -> SwyxON). Legen Sie die korrekte PFS und IKE Gruppe fest (Group 5 MODP1536).

 

 

  

9. Wählen Sie "VPN | IKE/IPSec | Connection list" und fügen Sie eine neue Verbindung zu der "Connection list".

  

 

10. Fügen Sie eine neue IPSec Verbindung zu der Liste und geben Sie alle notwendigen Daten ein. Wählen Sie die Option "Rule Creation: Manual" und wählen Sie die unter Schritt 3 angelegte IPv4 Rolle für das interne Netzwerk innerhalb der Drop-Downliste (SWYXNET_KOMPLETT). Wählen Sie außerdem den Verbindungsparameter, den Sie in Schritt 7 angelegt haben. 

 

 

 

  

 

11. Am Ende sollten Sie ein Verbindungsobjekt haben, für welches alle Parameter konfiguriert sind.

 

 

 

12. Navigieren Sie zu "IP router" und vergewissern Sie sich, dass das Routing aktiviert ist.

 

 

13. Fügen Sie alle zusätzlichen und/oder erforderlichen Subnetze als eine Route zum Endgerät hinzu. Eine Route zum UC-Tenant-Netzwerk wird in jedem Fall benötigt. Wenn Sie die oben genannten Schritte getätigt haben, sollten Sie ein Objekt für die VPN-Verbindung (hier: SWYXON) als Router vorliegen haben.

 

  

Die Installation ist abgeschlossen. Sie können sich den Verbindungsstatus anschließend über das Tool LanMonitor anzeigen lassen:

 

 

14. Tätigen Sie einen Rechtsklick auf "VPN: 1 connected" und wählen Sie "View VPN connection", um den aktuellen Status anzuzeigen.

 

 

Tracing:

Das Tracing kann ebenfalls mit Hilfe des Tools LanMonitor erfolgen:

1. Klicken Sie auf "View" und wählen Sie "Create trace output", um das Tracing-Tool zu starten.
2. Wählen Sie links innerhalb der Auswahlstruktur die entsprechenden Einträge (IP Router, Firewall, VPN-Debug, VPN-IKE, VPN-Packet, VPN-Status) und klicken Sie auf den grünen Pfeil, um das Tracing zu starten.
3. Klicken Sie auf das Stopp-Symbol, um das Tracing zu beenden.

 

 

Zusammenfassung:

Erforderliche Objekte, welche am Ende dieses Artikels erzeugt sein müssen:

• IKE Proposal Objekt mit Proposals für IPSec Phase 1 (Cisco)
• IPSec Proposal Objekt mit dem Proposal für IPSec Phase 2 (CISCOP2)
• IKE Key und Identity Objekt, erzeugt mit dem kompletten Netzwerk, welches durch den VPN-Tunnel erreichbar sein muss
• IPv4 Rule Objekt, erzeugt mit dem kompletten Netzwerk, welches durch den VPN-Tunnel erreichbar sein muss
• Connection Parameter Objekt, welches alle oben genannten Objekte beinhaltet (SWYXIDENTITY)
• Connection Parameter, welche alle oben genannten zusammenführt, mit genutzem Endpunkt (SWYXON)
• Erforderliche IPv4 Routes

Test:

• Kontrolle des VPN-Tunnels mit Hilfe des Tools LanMonitor. Es sollten keine Fehler erscheinen.
• Der Zugriff zur SwyxWare über die SwyxWare Administration vom internen Netzwerk muss möglich sein.