Drücken sie Ctrl/Cmd + P zum drucken
oder zum Speichern als PDF.

IPSec VPN Verbindung mit Shrew VPN Client zu Lancom Router

Der sichere Zugriff auf das eigene Netzwerk ist ein wesentlicher Bestandteil einer sicheren IT Umgebung, z.B. für Außendienstmitarbeiter. Die Einwahl in das eigene Netzwerk findet heutzutage über eine gesicherte VPN Verbindung statt. Am Beispiel eines Lancom Routers und des Shrew Soft VPN Clients zeige ich die Einrichtung einer solchen VPN Verbindung.

Voraussetzung:

Erzeugen der Konfiguration mit Lanconfig

LANconfig Setup-Assistenten starten
Bild 1
LANconfig Setup-Assistenten starten
Bild 2
Bild 3
Bild 4
Haken bei „Beschleunigen Sie das Konfigurieren mit 1-Click-VPN“ entfernen!
Bild 5
Haken bei „IP-Sec-over-HTTPS aktiviert“ entfernen, falls VoIP genutzt wird.
Bild 6
Eindeutigen Namen für die Verbindung eingeben.
Bild 7
Den DynDNS Namen oder, falls vorhanden, die feste öffentliche IP des Routers eintragen.
Bild 8
Ein sicheres Kennwort (PSK) für die Authentifizierung der VPN-Verbindung eingeben. Das Kennwort muss später beiden Seiten (Client & Server) bekannt sein.
Bild 9
Hier eine E-Mail-Adresse eingeben, die eindeutig der VPN-Verbindung zugeordnet werden kann. Die Adresse wird später nirgendwo gegengeprüft und dient nur der Authentifizierung zwischen Client und Server.
Bild 10
Die IP Adresse eingeben, die der VPN-Client vom VPN-Server für das lokale Netzwerk zugeteilt bekommen soll.
Bild 11
Hier kann die Entscheidung getroffen werden, inwieweit der VPN-Client Zugriff auf das Netzwerk bekommen soll.
Bsp.: Ist ein reiner Zugriff auf den Fileserver notwendig, reicht die Freigabe für die IP des Fileservers.
Bild 12
Speichern der Profildatei. Wird später zur Einrichtung des Shrew Soft VPN Clients benötigt.
Bild 13
Geschafft!

Einrichtung des Shrew Soft VPN Clients

Bild 14
Über „Add“ eine neue Verbindung hinzufügen.
Bild 15
„Host Name or IP Adress“ = „Gateway“ der VPN-Client1.ini
„Adress“ = für das lokale Netzwerk vergeben IP Adresse (siehe Bild 10)
„Netmask“ = Netzwerkmaske des lokalen Netzwerkes
Die Einträge für „Client“ und „Name Resolution“ bleiben unverändert.
Bild 16
Einstellungen auf dem Registerreiter „Authentification – Local Identity“
„UFQDN String“ = „IkeldStr“ der VPN-Client1.ini
Bild 17
Einstellungen auf dem Registerreiter „Authentification – Remote Identity“
„UFQDN String“ = „IkeldStr“ der VPN-Client1.ini
Bild 18
Einstellungen auf dem Registerreiter „Authentification – Credentials“
„Pre Shared Key“ = „Secret“ der VPN-Client1.ini
Bild 19
Einstellungen auf dem Registerreiter „Phase 1“
Bild 20
Einstellungen auf dem Registerreiter „Phase 2“
(08.08.19 – geändert von group2 auf 14, da diese standardmäßig von im Lancom-Router eingerichtet wird)
Bild 21
Einstellungen auf dem Registerreiter „Policy“
Haken bei „Obtain Topology Automatically or Tunnel All“ entfernen.
Bild 22
Über den Button „Add“ das lokale Netzwerk das erreicht werden soll hinzufügen. (Serverseite)
Bild 22
Bild 23
Nach Abschluss aller Einstellungen erscheint die Verbindung im Shrew Soft VPN Client.

Fehlerquellen

Fehler beim Verbindungsaufbau kann man u.a. mit dem Lancom Lanmonitor prüfen. (Pkt. VPN Verbindungen anzeigen…)

Mögliche Fehler beim Verbindungsaufbau:

  • Authentification-Typ und die Verschlüsselungseinträge (Phase 1 & 2) prüfen
  • Fehler beim kopieren des Kennwortes prüfen (Leerzeichen am Ende, Zeilenumbruch)
  • unterschiedliche PFS Gruppen (VPN Verbindung wird aufgebaut, Netzwerk nicht erreichbar (prüfen über LANconfig – Konfiguration – VPN – IKE/IPSec – Verbindunsparameter)
  • IPSec over HTTPS wird nicht unterstützt

Fehlerbeschreibung

  • nach dem Update der Firmware eines Lancom 1781EW+ Router von 10.32.xx auf 10.50.xx konnten zwar VPN-Verbindungen aufgebaut werden (tunnel-enabled), aber es konnten keine Geräte im entfernten Netzwerk erreicht werden. Im Shrew VPN-Client deutete sich dies durch fehlgeschlagene Security Associations Meldungen an -> Failed (unter Network des Verbindungsfensters)
  • erst eine Anpassung der Einträge in der VPN-Verbindungsliste des Lancom Router brachte Abhilfe
  • der Eintrag IKE-CFG musste von Server auf Aus gestellt werden
LANcofig -> VPN -> IKE/IPSec -> Verbindungs-Liste …