Zur Lancom mit VPN verbinden
Hier erfährst du, wie du eine VPN-Verbindung mit der Lancom erstellst. Einsatzgebiet wird normalerweise Homeoffice und der Zugang der IT-SysAdmins bei nächtlichen Serverproblemen sein - da die Lancom eher höherpreisig ist und ich so mal vom Businesseinsatz ausgehe.
Wir richten Schritt für Schritt die Lancom für den VPN-Zugang ein. Sie ist unser Zielpunkt. Als Startpunkt nutzen wir den Shrew Soft VPN Client. Der ist in der Standardversion frei, auch bei kommerzieller Nutzung, und sowohl für Windows als auch Linux verfügbar.
Lancom - VPN einrichten
Unser erster Schritt ist das Einrichten der Lancom für den VPN-Zugang. Wir nutzen dafür die LANconfig Software von Lancom. Du kannst dich aber genausogut per Browser auf die Lancom aufschalten. Beide haben den VPN-Setup-Assistenten, der in beiden gleich zu durchlaufen sein wird.
Bei der folgenden Anleitung hatte meine Lancom das LCOS 9.x.todo aufgespielt. Auch bei den kommenden Versionen sollte sich erstmal nicht viel ändern. So daß du mit der Anleitung auch einige Jahre über LCOS 9 hinaus noch aktuell sein wirst und selbst danach sehr analog dich zurecht finden wirst.
Starte LANconfig. Die Software sollte direkt dein Netz durchsuchen und deinen Lancom-Router auflisten.
Verbinde dich mit deinem Router. Doppelklicke auf den Router in der Liste, gebe deine Credentials ein und klicke "OK".
Unten im Statusmeldungenbereich siehst du wie er sich verbindet. Am Ende solltest du das grüne Häckchen haben - daß erfolgreich verbunden wurde.
Ohne groß weitere Meldungen und ohne dein zutun startet auch gleich automatisch der Setup-Assistent. Wähle den Eintrag "Einwahl-Zugang bereitstellen (RAS, VPN)".
Du willst eine "VPN-Verbindung über das Internet" erstellen. "Weiter".
Entferne den Haken bei "Beschleunigen Sie das Konfigurieren mit 1-Click-VPN". Wir werden nicht den (kostenpflichtigen) Advanced VPN Client von Lancom nutzen, sondern den (in der Basisversion freien) Shrew Soft VPN Client.
IPSec-over-HTTPS wollen wir nicht aktiviert haben. Das sollte defaultmäßig auch nicht abgehakt sein. Dh. einfach "weiter".
Gib der Verbindung einen Namen. Der Name kann maximal 12 Zeichen lang sein. Innerhalb der anderen Lancom-Einstellungen taucht dieser Name dann immer bei den Punkten auf, die Lancom "Router" nennt.
In aller Regel wirst du mehrere VPN-Zugänge einrichten. Es wird mehrere SysAdmins geben und/oder mehrere Home-Office-Nutzer. Ich habe mir angewöhnt den Namen nach dem Muster "VPN_USERNAME" zu setzen - VPN_MUELLER, VPN_MAIER, usw. Als sinnvoll könnte ich mir auch vorstellen, daß du Namenskürzel verwendest, falls ihr bei euch intern viel mit solchen Kürzeln arbeitet - bspw. VPN_KMA für den Klaus Maier. Nicht empfehlen würde ich Sammelzugänge in der Art VPN_SYSADMINS oder VPN_HOMEOFFICE. Dh. daß ganze Gruppen den selben Zugang nutzen. Soll später der Zugang eines Home-Offices gelöscht werden, geht das nicht so einfach, da die anderen verbliebenen Home-Offices den Zugang weiter nutzen sollen. Du müßtest dann das Passwort ändern, damit der eine zu löschende nicht mehr Zugang findet und bei allen anderen betroffenen Clients die neuen Zugangsdaten eintragen. Du wirst am Ende aber natürlich die für deine Situation am besten passende Art wählen.
Als Adresse des Routers kannst du nicht nur eine konkrete IP, sondern auch eine Domain angeben. Ich empfehle dir, eine eigene Subdomain dafür anzulegen, die du auf die (statische) IP der Firma zeigen läßt. Für die zu Hause Situation könntest du es mit einem DynDNS-Dienst lösen, falls du keine Möglichkeit für eine eigene (Sub-)Domain hast. Zwingend ist es natürlich nicht, aber der Vorteil liegt so klar auf der Hand, daß ichs nicht weiter anpreisen muß.
Jetzt kommen wir zu den Zugangsdaten. Der Preshared Key ist das Passwort. Wähle gut. Wirklich tippen brauchst du es eigentlich nur beim Einrichten des Clients - das heißt: sehr sehr selten. Gebe dir also lieber etwas mehr Sicherheit und wähle hier gute Passwörter. Hackt jemand die Zugangsdaten, kommt er/sie/es in dein Netz. Und das willst du mit Sicherheit nicht. Du hast fürs Passwort max. 64 Zeichen.
Der "Fully Qualified Username" ist nur eine Umschreibung für Benutzername. Analog zum obigen Verbindungsnamen VPN_USERNAME nehme ich hier gerne "VPNUser_VornameNachname". Um analog zu bleiben aber nicht identisch fange ich mit VPNUser_ anstatt VPN_ an und um für die Sicherheit die Länge zu erhöhen nehme ich den Vornamen mit dazu. So wirds schön lang, bleibt aber trotzdem "eintippbar" ohne sich Gehirnwindungen verbiegen zu müssen. Aber auch hier: was tatsächlich sinnvoll ist, entscheidet immer erst die konrete Situation.
Hier trägst du die IP-Adresse ein, die du bei erfolgter Verbindung im Ziel-Netz haben willst. Das ist das Netz, in dem sich die Lancom befindet. Es ist nicht das Quell-Netz gemeint. Also nicht das Netz in dem sich der Client befindet, in dem du dich befindest, wenn du die Verbindung aufbaust.
Nochmal von ein paar anderen Seiten erklärt. Sicher ist sicher :-)
Anwendungsfall: Firma und Home-Office. Zielnetz ist das Netz in dem sich die Lancom befindet. Zielnetz ist demnach das Firmennetz. Dh. du trägst eine IP aus dem Firmennetz ein. Gemeint ist nicht das Home-Office von dem aus du dich einwählen wirst. Also nicht das Netz bei dir zu Hause.
Anwendungsfall: zu Hause. Dh. die Lancom steht bei dir zu Hause und du möchtest dich bspw. mit dem Laptop zu dir nach Hause einwählen, wenn du bspw. in der Stadt im Cafe sitzt oder im Urlaub bist, usw. Zielnetz ist das Netz in dem sich die Lancom befindet. Zielnetz ist demnach das Netz bei dir zu Hause. Du trägst also eine IP aus deinem zu Hause Netzwerk ein.
Ich hoffe es ist deutlich geworden: Und sicherheitshalber sei noch erwähnt: die IP muß natürlich im Zielnetz verfügbar und frei sein. Du wählst also eine IP, die nicht im DHCP-Bereich liegt und die du in deinem "Netzkonzept" als "für VPN reserviert" reserviert hast.
Du kannst für die Verbindung einschränken, daß nicht alles im Ziel-Netz erreichbar und sichtbar ist - wenn du möchtest. Ich möchte an dieser Stelle nicht tiefer einsteigen. Wenn du mit den Eingabemöglichkeiten was anfangen kannst brauchst du keine Erläuterung. Ansonsten erlaubst du alles - und beschaffst dir mehr Infos zur Thematik, falls du einschränken sollst/willst.
Aktiviere das NetBIOS über IP Routing, damit du - mal ganz grob gesagt - von deinem Quell-Netz die Rechner/VMs/Geräte/etc. im Ziel-Netz auch mit Hostnamen ansprechen kannst. Wenn dich das näher interessiert, suchst du im Internet nach Infos dazu mit Stichworten wie: NetBIOS über IP Routing, NetzBIOS über VPN, NetBT, NBT.
Das NetBIOS-Modul aktiviere ich normalerweise nicht. Du würdest es brauchen, wenn in den beteiligten Netzen keine WINS-Server laufen, du aber darauf angewiesen bist. Die Lancom übernimmt dann bestimmte benötigte Aufgaben. Ich habs aber bisher nicht gebraucht. Das Firmennetz, in dem die Lancom steht, also das Zielnetz, ist normalerweise eine Domäne und bringt alles mit, was man so braucht :-)
Mit den Einstellungen bist du fertig. Nun könntest du noch eine Profildatei erstellen lassen, mit dem sich der Lancom Advanced VPN Client mit wenigen Clicks einrichten ließe. Da wird aber den Shrew Soft VPN Client nutzen werden, brauchen wir das nicht. Entferne alle Haken und gehe einfach "weiter".
Klicke "Fertig stellen".
Wir sind fertig. Wir wollen keine weiteren Assistenten starten. Klicke "Nein".
Du kannst LANconfig nun schließen. Mit der Lancom sind wir fertig und richten im nächsten Schritt den Client ein, dh. den Laptop des SysAdmins oder den PC des Mitarbeiters, der aus dem Home-Office aufs Firmennetz zugreifen soll, etc.
Shrew Soft VPN Client einrichten
Das Ziel ist bereit. Laß uns nun den Startpunkt fit für die Verbingung machen. Lade dir den Shrew Soft VPN Client herunter und installiere ihn. Beachte: wir sind jetzt an dem Gerät von dem aus du die Verbindung aufbauen möchtest. Der PC im Home-Office bei dem betreffenden Mitarbeiter zu Hause - bzw. im Büro der IT-Guys die den PC vorbereiten, den der Mitarbeiter dann mitnimmt :-) Oder der Laptop des SysAdmins, den dieser mitnimmt, wenn er das Büro verläßt. Oder dein Laptop von dem aus du dich mit deinem zu Hause Netz verbinden willst, wenn du in der Stadt im Cafe sitzt oder im Urlaub bist. Also: du hast verstanden: eben waren wir noch bei der Lancom, jetzt sind wir an einem anderen Ort. Verwechsle das nicht.
Herunterladen, installieren, starten.
PS.: Anfangs (das ist: Sommer 2018) hatte ich mich auch gewundert, daß alle eine Software empfehlen, der das letzte Mal vor fünf Jahren ein Update zuteil wurde. Es scheint aber immer noch recht alternativlos und OK so zu sein.
Nach dem ersten Start, klicke auf "Add", um ein neues VPN Profil anzulegen.
Es startet die Shrew Soft VPN Site Configuration. Im ersten Register "General" trägst du im Feld "Host Name or IP Adress" den Hostnamen oder die IP-Adresse ein, unter der die Lancom von außen, dh. aus dem öffentlichen Internet heraus, erreichbar ist. Oben haben wir kurz darüber gesprochen, daß die beste Lösung eine eigene Subdomain dafür ist. Wenn du eine IP-Adresse eingibst, nochmal der Hinweis: es ist die fixe IP-Adresse der Firma; nicht die lokale IP der Lancom im lokalen Firmennetz.
Im Register "Client" brauchst du nichts tun, beläßt es bei den default-Werten.
Im Register "Name Resolution" tragen wir den DNS- und den WINS-Server ein. Bei "DNS" kannst du es beim "Obtain Automatically" belassen. Damit konnte ich fehlerferei die VPN Verbindung zur Lancom aufbauen ...
... Aber erst nachdem ich hier die Werte selbst eingetragen hatte, konnte ich mich auf PCs und VMs im Firmennetz mit der Windows Remotedesktopverbindung auch über den Hostnamen verbinden. Bei "obtain automatically" hatte ich erwartet, daß die Werte automatisiert aus der Domäne kommen würden. Nun, ich muß die IPs und den Domänennamen manuell eintragen. Sonst gings nur mit der IP, aber nicht mit dem Hostnamen.
Im Beispiel "Firma" wirst du meist zwei DNS-Server haben. Der erste DNS wird dein "Hauptserver der Domäne" sein - der auch das AD, den DHCP, etc. beherbergt. Der zweite DNS dessen Backup-VM, die einspringen soll, wenn der erste Server mal ausfällt.
Im Beispiel "zu Hause" wird die Lancom deine "Zentrale" sein. Sie übernimmt dann normalerweise DHCP und DNS. Im Gegensatz zu etwas weiter oben, tragen wir als DNS #1 die lokale IP-Adresse der Lancom ein und nicht die von außen aus dem öffentlichen Internet erreichbare. Dh. die lokale IP der Lancom im lokalen Netz bei dir daheim.
Das selbe Spiel mit WINS. Es gibt einen Punkt "Obtain Automatically" ...
... und die Möglichkeit, die IP-Adresse(n) der/des WINS-Servers selbst einzutragen.
Im Register "Authentication" tragen wir die Zugangsdaten ein. Wähle "Mutual PSK" als "Authentification Method".
Als "Local Identity" wählst du "User Fully Qualified Domain Name" und trägst darunter den Benutzernamen ein. Den Benutzernamen hast du oben beim einstellen der Lancom vergeben. Das war das mit dem "Fully Qualified Username" und meinem Vorschlag "VPNUser_VornameNachname".
Das gleiche gilt für die "Remote Identity". Das ist wieder der Benutzername. Wähle auch hier "User Fully Qualified Domain Name" und trage den Benutzernamen ein.
Bei den "Credentials" trägst du den "Pre Shared Key" ein. Der Pre Shared Key ist das Passwort.
Im Register "Phase 1" trägst du die beiden Cipher-Felder und den Hash-Algo ein. Der Rest bleibt bei den defaults.
Cipher Algorithm: aes
Cipher Key Length: 256 bits
Hash Algorithm: sha1
Schau dir auch das Bild an - falls sich durch eine neue Version was an den defaults geändert haben sollte.
Im Register "Phase 2" paßt du die oberen vier Felder an.
Transform Algorithm: esp-aes
Transform Key Length: 256 bits
HMAC Algorithm: sha1
PFS Exchange: group 2
Ansonsten wie oben, siehe auch das Bild zur Kontrolle.
Im Register "Policy" gibts nichts zu tun. Es bleiben die default-Werte.
Die Eingaben sind gemacht. Klicke unten auf "Save".
Nach dem Speichern kannst du gleich einen Namen für das Profil vergeben. Vorbelegt ist der Name mit dem Hostnamen bzw. der IP-Adresse. Trage hier einen kurzen aber aussagekräftigen Namen ein.
Oben im Bild ein Beispiel wie dein Shrew Soft VPN Access Manager aussehen könnte. Wir haben das Profil für die VPN-Verbindung zur Firma, eine weitere zu uns privat nach Hause. Und da SysAdmins in aller Regel die ersten Ansprechpartner bei Comnputerfragen der Familie sind, haben wir auch die VPN-Verbindungen zu den nächsten Anverwandten per Click griffbereit eingerichtet.
Laß uns das Ganze jetzt auch gleich mal testen und uns zur Lancom mit VPN verbinden. Markiere den betreffenden Eintrag im VPN Access Manager - hier im Beispiel: "Firma". Klicke dann auf den Button "Connect" oben rechts.
Es erscheint das VPN Connect Fenster mit der Meldung "config loaded for ...". Klicke auf den Button "Connect".
Im Textfeld siehst du nun, wie dein VPN Client die einzelnen Punkte zum Aufbau der VPN Verbindung abarbeitet. Am Ende sollte ein "tunnel enabled" stehen.
Teste es am besten gleich mal, indem du bspw. in einer cmd einen Ping auf einen PC/VM/what ever absetzt oder dich per RDP auf etwas dorthin verbindest.
Hinweis: Bin mir nicht sicher, obs durch irgendeine "blöde" Einstellung nur bei mir so ist/war, aber ich konnte eine RDP-Verbindung mit Hostnamen erst beim zweiten Versuch aufbauen. Dh. ich sitze in der Stadt im Cafe, starte auf meinem Laptop die Remotedesktopverbindung und gebe "server01" ein. Das sei mal eine VM bei mir zu Hause. Ich bekomme erstmal eine Fehlermeldung. Dann klicke ich einfach nochmal auf "Verbinden" und es funktioniert. Ich habe nichts verändert; nicht das VPN neu aufgebaut, RDP nicht neu gestartet, sonst nichst getan. Der aller erste Zugriff scheitert, aber sofort anschließend gehts - warum auch immer. Heißt: gib dem ganzen immer auch eine zweite Chance :-)
Wenn Fehler auftauchen, suchst du am besten im Netz danach; mit der konkreten Fehlermeldung. Zu viele Möglichkeiten, Ursachen, Kombinationen - würde den Rahmen hier sprengen. Eine Fehlermeldung will ich jedoch ansprechen: gateway authentication error. Das betrifft die Zugangsdaten, oben das Register "Authentication". Hast du dich beim Passwort (Pre Shared Key) vertippt? Wurde es zwischenzeitlich geändert? Hast du versehentlich "Fully Qualified Domain Name" anstatt "User Fully Qualified Domain Name" genommen? Beachte, daß das richtige mit "User" anfängt.
VPN ist aktuell state of the art, wenn es um sichere Remote-Verbindungen geht, bzw. um sich von einem unsicheren Ort zum gewünschten und zu schützenden Ziel zu verbinden. Ich hoffe, es hat alles geklappt und wünsche dir viel Spaß damit.
