Deutsch English (GB)
Print Friendly and PDF

Beiträge in diesem Abschnitt

Wie verbinde ich ein LANCOM Gateway mit einem UC Tenant (VPN Informationen)

Avatar
Boldt, Stephan
  • Aktualisiert
Folgen

Dieser Artikel beschreibt, wie Sie ein LANCOM Gateway mit einem SwyxON UC Tenant verbinden, an Hand des eines Lancom 1783 VA.

 

Voraussetzungen:

  • Es muss ein UC-Tenant installiert sein
  • Es muss ein Office für diesen UC-Tenant konfiguriert sein
  • Es muss eine öffentliche feste IPv4-Adresse für das LANCOM Gateway existieren
  • Ein LANCOM 1783 VA Gateway mit internem Zugriff und konfigurierter interner/externer IP-Adresse muss vorhanden sein
  • Es muss eine Regel in der Firmen-Firewall existieren, die eine Kommunikation zu den UDP Ports 500 und 4500 sowie das Protokoll ESP (IPSec) erlaubt
  • Es muss eine firmenweite Route zum UC-Tenant mit der Gateway IP-Adresse des LANCOM Endgeräts geben

Tools:

LANCOM bietet einige Tools bezüglich Monitoring, Debugging und komfortabler Konfiguration:
https://www.lancom-systems.de/downloads/lancom-management-system/

Wir empfehlen die Verwendung des Lanconfig Tools zur Konfiguration Ihres Endgerätes. Alternativ können Sie auch das Webfrontend nutzen.
Außerdem empfehlen wir die Verwendung des Tools LanMonitor, um die VPN-Verbindung zu kontrollieren.

Setup:

1. Öffnen Sie das Lanconfig Tool, wählen Sie "VPN | General" und legen Sie folgende Einstellungen fest:

  

Bild1.jpg

 

 

2. Wählen Sie "VPN | General | IPv4 rules" und fügen Sie das Kundennetzwerk sowie das komplette Remote-Netzwerk hinzu, welches im SwyxON Portal als Objekt angezeigt wird (z. B. SWYXNET_KOMPLETT).

 

Bild2.jpg

 

 

3. Wählen Sie "VPN | IKE/IPSec | IKE proposal lists", fügen Sie ein neues Objekt hinzu (hier: CISCO) und wählen Sie "PSK-AES-256-SHA".

 

Bild3.jpg

 

 

4. Fahren Sie mit "VPN | IKE/IPSec | IKE proposals" fort und bearbeiten Sie den Eintrag "PSKA-AES256-SHA", um das Proposal auf Cisco Seite im Datenzentrum anzupassen.

  

Bild4.jpg

 

 

Bild4_2.jpg

 

 

5. Wählen Sie "VPN | IKE/IPSec | IKE keys and identities" und fügen Sie das Identity Object (hier: SwyxON), welches aus dem PreSharedKey, welcher im SwyxON Portal generiert wurde, besteht.

  

Bild5.jpg

 

 

6. Wählen Sie "VPN | IKE/IPSec | IPSec proposal lists", fügen Sie ein neues Objekt (hier: CISCOP2) hinzu und wählen Sie "TN-AES256-SHA" aus der Liste aus.

  Bild6.jpg

 

 

7. Fahren Sie mit "VPN | IKE/IPSec | IPSec proposals" fort und bearbeiten Sie den Eintrag, den Sie im vorherigen Schritt gewählt haben.

 

Bild7_1.jpg

 

Bild7_2.jpg 

 

8. Wählen Sie "VPN | IKE/IPSec | Connection parameters", legen Sie ein neues Objekt an (hier "SwyxIdentity") und wählen Sie das erstellte Objekt aus den oben getätigten Schritten (Cisco -> Phase 1; CiscoP2 -> Phase 2; IKE key -> SwyxON). Legen Sie die korrekte PFS und IKE Gruppe fest (Group 5 MODP1536).

 

Bild8.jpg 

  

9. Wählen Sie "VPN | IKE/IPSec | Connection list" und fügen Sie eine neue Verbindung zu der "Connection list".

  Bild9.jpg

 

10. Fügen Sie eine neue IPSec Verbindung zu der Liste und geben Sie alle notwendigen Daten ein. Wählen Sie die Option "Rule Creation: Manual" und wählen Sie die unter Schritt 3 angelegte IPv4 Rolle für das interne Netzwerk innerhalb der Drop-Downliste (SWYXNET_KOMPLETT). Wählen Sie außerdem den Verbindungsparameter, den Sie in Schritt 7 angelegt haben. 

 

 

 

  

 

11. Am Ende sollten Sie ein Verbindungsobjekt haben, für welches alle Parameter konfiguriert sind.

 

Bild11.jpg

 

 

12. Navigieren Sie zu "IP router" und vergewissern Sie sich, dass das Routing aktiviert ist.

 

Bild12.jpg

 

13. Fügen Sie alle zusätzlichen und/oder erforderlichen Subnetze als eine Route zum Endgerät hinzu. Eine Route zum UC-Tenant-Netzwerk wird in jedem Fall benötigt. Wenn Sie die oben genannten Schritte getätigt haben, sollten Sie ein Objekt für die VPN-Verbindung (hier: SWYXON) als Router vorliegen haben.

 

Bild13.jpg

  

Die Installation ist abgeschlossen. Sie können sich den Verbindungsstatus anschließend über das Tool LanMonitor anzeigen lassen:

 

Bild13_2.jpg

 

14. Tätigen Sie einen Rechtsklick auf "VPN: 1 connected" und wählen Sie "View VPN connection", um den aktuellen Status anzuzeigen.

 

Bild14.jpg

 

Tracing:

Das Tracing kann ebenfalls mit Hilfe des Tools LanMonitor erfolgen:

  1. Klicken Sie auf "View" und wählen Sie "Create trace output", um das Tracing-Tool zu starten.
  2. Wählen Sie links innerhalb der Auswahlstruktur die entsprechenden Einträge (IP Router, Firewall, VPN-Debug, VPN-IKE, VPN-Packet, VPN-Status) und klicken Sie auf den grünen Pfeil, um das Tracing zu starten.
  3. Klicken Sie auf das Stopp-Symbol, um das Tracing zu beenden.

 

Bild15.jpg

 

Zusammenfassung:

Erforderliche Objekte, welche am Ende dieses Artikels erzeugt sein müssen:

  • IKE Proposal Objekt mit Proposals für IPSec Phase 1 (Cisco)
  • IPSec Proposal Objekt mit dem Proposal für IPSec Phase 2 (CISCOP2)
  • IKE Key und Identity Objekt, erzeugt mit dem kompletten Netzwerk, welches durch den VPN-Tunnel erreichbar sein muss
  • IPv4 Rule Objekt, erzeugt mit dem kompletten Netzwerk, welches durch den VPN-Tunnel erreichbar sein muss
  • Connection Parameter Objekt, welches alle oben genannten Objekte beinhaltet (SWYXIDENTITY)
  • Connection Parameter, welche alle oben genannten zusammenführt, mit genutzem Endpunkt (SWYXON)
  • Erforderliche IPv4 Routes

Test:

  • Kontrolle des VPN-Tunnels mit Hilfe des Tools LanMonitor. Es sollten keine Fehler erscheinen.
  • Der Zugriff zur SwyxWare über die SwyxWare Administration vom internen Netzwerk muss möglich sein.

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.