Die Anleitung beschreibt die Einrichtung einer VPN-Verbindung mit dem integrierten Android VPN Client zu einem Lancom Router mit dem Protokoll IPsec IKEv2, welches gegenüber dem Vorgänger IKEv1 diverse Vorteile in Punkto Sicherheit und Geschwindigkeit bietet. Android Geräte ab der Version 12 unterstützen von Hause aus kein IKEv1 mehr. Bei älteren Geräten kann es aber ebenfalls vorkommen, das IKEv2 noch nicht implementiert ist. Die Fritz!Box unterstützt z.B. erst ab der Version FRITZ!OS 7.39 das Protokoll IKEv2. Alle Fritz!Boxen mit einer älteren Firmware sind somit noch auf IKEv1 angewiesen.
Voraussetzungen
- installierte LANconfig Software (10.70.0006)
- Android mit Unterstützung für IKEv2 PSK
- Samsung S21 FE (für dieses Beispiel verwendet)
Konfiguration des LANCOM Routers
Zunächst wird der Setup-Assistent von LANconfig gestartet. (Gerät -> Setup-Assistent) Danach wird die Option Einwahl-Zugang bereitstellen (1) gewählt und mit weiter (2) bestätigt.
(3) Für den Verbindungsaufbau wird IKEv2 gewählt und
(4) bestätigt.
Hinweis zur Auswirkung der Option 1-Click-VPN. Dies Auswirkungen sind gut beschrieben und sind abhängig vom jeweiligen Anwendungsfall. Die Option kann im nächsten Fenster ausgewählt werden.
(5) Weiter
(6) In meinem Fall deaktiviere ich die Option 1-Click-VPN, um auf dem Android Gerät bei bestehender VPN Verbindung trotzdem einen schnellen Seitenanruf von Webseiten zu garantieren.
(7) Weiter
(8) Im Falle von VPN-Verbindungen die über mobile Provider Zustandekommen sollen (Mobilfunknetz), kann es sein das VPN-Verbindungen nicht weitergeleitet werden. In diesem Fall sollte man IPSec-over-HTTPS aktivieren, da die IPSec-Datenpakete dann über HTTPS weitergeleitet werden. Ansonsten kann die Option auch deaktiviert werden.
(9) Weiter
(10) Name für die VPN-Verbindung vergeben
(11) Weiter
(12) Adresse des eigenen VPN-Server (Lancom-Router) vergeben, über den dieser von außen über das Internet erreichbar ist. Entweder hat man eine feste IPv4 Adresse vom Provider oder löst es über DynDNS.
(13) Weiter
(14) Benutzername und
(15) Kennwort für den Aufbau der VPN Verbindung vergeben.
Hier ist es wichtig das der Benutzername in Form einer E-Mail-Adresse angegeben wird. Es ist nicht wichtig ob diese Adresse wirklich existiert, man kann sich also ruhig eine eigene Adresse ausdenken.
(17) Hier kann die lokale IP-Adresse aus dem Netz des LANCOM Router vergeben werden, die dem Android-Client beim Verbindungsaufbau zugewiesen werden soll. In der Konfiguration des LANCOM Router wird dann unter IP-Router -> Routing -> IPv4-Routing-Tabelle ein entsprechender Eintrag für den Client angelegt. Ansonsten kann man den Eintrag auch auf 0.0.0.0 belassen. Der Router wird dann eine freie IP-Adresse aus dem DHCP Poll vergeben.
Eine weitere Möglichkeit ist die Zuweisung eines eigenen IP-Adresspool unter VPN -> IKEv2/IPSec -> Verbindungsliste. Hier kann unter der betreffenden Verbindung im Abschnitt IKE Config-Mode ein IPv4-Adress-Pool angelegt bzw. zugewiesen werden.
(18) Weiter
(19) Hier ist zu entscheiden ob der VPN-Client auf alle IP-Adressen des lokalen Netzwerkes zugreifen darf, oder vielleicht nur eine kleine Auswahl. Hier kommt es auf den eigen Verwendungszweck bzw. das eigene Sicherheitsbedürfnis an. Soll ein VPN-User z.B. nur drucken dürfen ohne auf den Datenserver zuzugreifen, gibt man halt nur die Adresse des Druckers frei.
(20) Die Einstellungen können in einer .ini Datei gesichert werden, um z.B. die Anmeldedaten auch für spätere Einrichtungen gesichert zu haben.
(21) Fertigstellen der Einrichtung
Einrichtung der Android-VPN-Verbindung
Dazu wechseln wir in die VPN Einstellungen des Smartphone und fügen eine VPN Verbindung hinzu.
- (22) im Feld Name vergeben wir eine Bezeichnung für das neue VPN-Profil
- (23) im Auswählfeld Typ muss IKEv2/IPSec PSK eingestellt werden
- (24) in das Feld Server-Adresse tragen wir die öffentliche IP-Adresse oder die öffentliche DNS-Adresse des LANCOM-Routers ein
- (25) im Feld IPSec Identifier wird der Fully Qualified Username (ausgedachte E-Mail-Adresse) eingetragen, welche wir bei der Konfiguration unter Punkt (14) des LANCOM-Routers vergeben haben (android@intern.de)
- (26) im Feld IPSec Pre-shared Key muss der Preshared Key eingetragen werden, welchen wir bei der Konfiguration des LANCOM-Routers unter Punkt (15) vergeben haben
- (27) anschließend wird die Verbindung gespeichert
Zum starten der VPN-Verbindung tippen wir auf die erstellte Verbindung. Nach dem tippen auf Verbinden wird dann die Verbindung aufgebaut.
Die genauen Bezeichnungen bzw. Menüs können sich natürlich von Android zu Android Version bzw. des Herstellers des Smartphone etwas unterscheiden. Aber das Prinzip sollte klar sein.