Dieser Anschnitt zeigt die Konfiguration einer LAN-LAN-Kopplung mit zusätzlichen Subnetzen mit Hilfe von LANconfig. In diesem Abschnitt wird das VPN-Gateway 1 konfiguriert, die Einstellung von Gateway 2 wird anschließend mit Hilfe von WEBconfig demonstriert.
- Legen Sie im Konfigurationsbereich VPN auf der Registerkarte „IKE-Auth.“ einen neuen IKE-Schlüssel für die Verbindung an:
- Erstellen Sie auf der Registerkarte „Allgemein“ einen neuen Eintrag in der Liste der Verbindungsparameter. Wählen Sie dabei den zuvor erstellten IKE-Schlüssel aus. PFS- und IKE-Gruppe können Sie ebenso wie IKE- und IPSec-Proposals aus den vorbereiteten Möglichkeiten wählen.
- Erstellen Sie dann einen neuen Eintrag in der Verbindungs-Liste mit dem Namen des entfernten Gateways als „Name der Verbindung“. Für LANCOM Dynamic VPN Verbindungen muss der Eintrag „Entferntes Gateway“ leer bleiben. Andernfalls tragen Sie hier die öffentliche Adresse der Gegenstelle ein: entweder die feste IP-Adresse oder den DNS-auflösbaren Namen.
- Bei Nutzung von LANCOM Dynamic VPN: Wechseln Sie in den Konfigurationsbereich „Kommunikation“. Erstellen Sie auf der Registerkarte „Protokolle“ in der PPP-Liste einen neuen Eintrag. Wählen Sie als Gegenstelle das entfernte VPN-Gateway aus, tragen Sie als Benutzernamen denjenigen VPN-Verbindungsnamen ein, mit dem das entfernte VPN-Gateway das lokale Gerät erreichen soll, und geben Sie ein geeignetes, auf beiden Seiten identisches Passwort ein, welches aus Sicherheitsgründen nicht identisch mit dem verwendeteten Pre-Shared Key sein sollte.
- Wechseln Sie in den Konfigurationsbereich „IP-Router“. Erstellen Sie auf der Registerkarte „Routing“ einen neuen Eintrag in der Routingtabelle für jeden Netzbereich, der im entfernten und im lokalen LAN erreicht werden soll. Verwenden Sie dabei jeweils als Router das entfernte VPN-Gateway und schalten Sie das IP-Masquerading aus. Für die an das eigene LAN angebundenen Teilnetze wird als Router die IP-Adresse des jeweiligen LAN-Routers eingetragen:
IP-Adresse Netzmaske Router IP-Masquerading 10.4.0.0 255.255.0.0 VPN-Gateway-2 Nein 10.5.0.0 255.255.0.0 VPN-Gateway-2 Nein Mit diesen Einträgen ist das VPN-Gateway 1 in der Lage, auch die aus dem entfernten Netz eintreffen Pakete für die angebundenen Netzabschnitte richtig weiterzuleiten.IP-Adresse Netzmaske Router IP-Masquerading 10.2.0.0 255.255.0.0 10.1.0.2 Nein 10.3.0.0 255.255.0.0 10.1.0.3 Nein - Wechseln Sie in den Konfigurationsbereich „Firewall/QoS“. Erstellen Sie auf der Registerkarte „Regeln“ eine neue Firewall-Regel mit dem Namen „VPN-GATEWAY-1-OUT“ und aktivieren Sie für diese Regel die Option „Diese Regel wird für die Erzeugung von VPN-Regeln herangezogen“. Damit legen Sie fest, dass die in dieser Regel beschriebenen IP-Netzwerke für die Bildung von VPN-Netzbeziehungen verwendet werden.
Anmerkung: Die Firewall-Regeln zum Erzeugen von VPN-Netzbeziehungen mit Angabe der Tunnelendpunkte (IP-Quell- und Ziel-Adressen) sollten auf jeden Fall von Firewall-Regeln zum Filtern (z. B. der zu übertragenden bzw. der zu sperrenden Protokolle) getrennt werden. Die Verknüpfung dieser beiden Aspekte kann zu einer hohen Anzahl der intern verwalteten VPN-Beziehungen und damit zu Performanceverlusten in den VPN-Tunneln führen. - Auf der Registerkarte „Aktionen“ dieser Firewall-Regel stellen Sie als Paketaktion „Übertragen“ ein.
- Auf der Registerkarte „Stationen“ dieser Firewall-Regel stellen Sie für die ausgehende Datenübertragung als Quelle die Teilnetze auf der lokalen Seite ein, als Ziel alle Teilnetze auf der entfernten Seite.
- Für die eingehende Datenübertragung erstellen Sie eine Firewall-Regel unter dem Namen „VPN-GATEWAY-1-IN“ mit den gleichen Parametern wie die vorherige Regel. Nur bei den Stationen sind hier die Quell- und Zielnetze vertauscht: