LCOS ermöglicht es, die IKEv2-Konfiguration für Autorisierung und Accounting von VPN-Peers durch einen externen RADIUS-Server durchführen zu lassen.
In mittleren bis großen VPN-Szenarien sind die Tabellen für VPN-Konfigurationen in der Regel sehr umfangreich und komplex. Wenn mehrere VPN-Gateways aus Redundanzgründen zum Einsatz kommen, muss sichergestellt werden, dass die Konfiguration auf allen VPN-Gateways identisch ist.
Der Einsatz eines zentralen RADIUS-Servers ermöglicht die fast vollständige Auslagerung der Konfiguration der VPN-Parameter vom VPN-Gateway auf einen oder mehrere RADIUS-Server. Sobald eine VPN-Gegenstelle eine VPN-Verbindung zum Gerät aufbauen will, versucht das Gerät, die ankommende Verbindung per RADIUS zu authentifizieren und weitere notwendige Verbindungsparameter wie z. B. VPN-Netzbeziehungen, CFG-Mode-Adresse oder DNS-Server vom RADIUS-Server abzurufen.
Dabei kann die VPN-Konfiguration entweder vollständig oder nur teilweise vom RADIUS-Server abgerufen mit lokal vorhandenen Parametern kombiniert werden. Dieser Mechanismus funktioniert nur für ankommende Verbindungen.
Durch das optionale RADIUS-Accounting können Informationen über VPN-Verbindungen zentral auf einem RADIUS-Server gesammelt werden. Diese Informationen können z. B. aus Verbindungsdauer des Clients, Aufbauzeitpunkt oder das übertragene Datenvolumen bestehen.
Die Konfiguration der RADIUS-Server erfolgt in LANconfig unter .
RADIUS-Autorisierung
Das LANCOM-Gateway überträgt bei der Anmeldung eines VPN-Peers die folgenden RADIUS-Attribute im Access-Request an den RADIUS-Server:
| ID | Bezeichnung | Bedeutung |
|---|---|---|
| 1 | User-Name | Die Remote-ID des VPN-Peers, wie er sie in der AUTH-Verhandlung mit dem LANCOM-Gateway überträgt. |
| 2 | User-Passwort | Das Dummy-Passwort, wie es in LANconfig unter konfiguriert ist. |
| 4 | NAS-IP-Address | Gibt die IPv4-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "95" (siehe unten). |
| 6 | Servcie-Type | Der Service-Type ist immer "Outbound (5)" bzw. "Dialout-Framed-User". |
| 31 | Calling-Station-Id | Gibt die ID (als IPv4- oder IPv6-Adresse) der rufenden Station an (z. B. des VPN-Clients). |
| 95 | NAS-IPv6-Address | Gibt die IPv6-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv4-Verbindung, überträgt das Gateway stattdessen das Attribut "4" (siehe oben). |
Von den in der Access-Accept-Antwort des RADIUS-Servers enthaltenen Attributen wertet das LANCOM-Gateway daraufhin die folgenden, teils vendor-spezifischen Attribute aus:
| ID | Bezeichnung | Bedeutung |
|---|---|---|
| 8 | Framed-IP-Address | IPv4-Adresse für den Client (im IKE-CFG-Mode "Server"). |
| 22 | Framed-Route | IPv4-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in der Routing-Tabelle eingetragen werden sollen. |
| 39 | Tunnel-Password | Setzt bei Verwendung von synchronen PSKs die Passwörter der lokalen und der entfernten Identität auf den selben Wert. |
| 88 | Framed-Pool | Name des IPv4-Adressen-Pools, aus dem der Client die IP-Adresse und den DNS-Server bezieht. Anmerkung: Die Werte in "Framed-IP-Address" und "LCS-DNS-Server-IPv4-Address" haben gegenüber diesem Attribut Vorrang.
|
| 99 | Framed-IPv6-Route | IPv6-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in der Routing-Tabelle eingetragen werden sollen. |
| 168 | Framed-IPv6-Address | IPv6-Adresse für den Client (im IKE-CFG-Mode "Server"). |
| 169 | DNS-Server-IPv6-Address | IPv6-DNS-Server für den Client (im IKE-CFG-Mode "Server"). |
| 172 | Stateful-IPv6-Address-Pool | Name des IPv6-Adressen-Pools (im IKE-CFG-Mode "Server"). |
| Lancom 19 | LCS-IKEv2-Local-Password | Lokaler IKEv2-PSK |
| Lancom 20 | LCS-IKEv2-Remote-Password | Entfernter IKEv2-PSK |
| Lancom 21 | LCS-DNS-Server-IPv4-Address | IPv4-DNS-Server für den Client (im IKE-CFG-Mode "Server") |
| Lancom 22 | LCS-VPN-IPv4-Rule | Beinhaltet die IPv4-Netzwerkregeln (Beispiele: siehe unten) |
| Lancom 23 | LCS-VPN-IPv6-Rule | Beinhaltet die IPv6-Netzwerkregeln (Beispiele: siehe unten) |
| Lancom 24 | LCS-Routing-Tag | Routing-Tag, das für den Client konfiguriert werden soll (IPv4/IPv6). |
| Lancom 25 | LCS-IKEv2-IPv4-Route | Routen in Präfix-Schreibweise (z. B. "192.168.1.0/24"), die das LANCOM-Gateway per INTERNAL_IP4_SUBNET an den Client übertragen soll. Die Auswertung von mehreren Attributen ist möglich. |
| Lancom 26 | LCS-IKEv2-IPv6-Route | Routen in Präfix-Schreibweise (z. B. "2001:db8::/64"), die das LANCOM-Gateway per INTERNAL_IP6_SUBNET an den Client übertragen soll. Die Auswertung von mehreren Attributen ist möglich. |
Beipiele für Netzwerkregeln
Das Format für eine Netzwerkregel im Radius-Server gestaltet sich in der Form <lokale Netze> * <entfernte Netze>.
Die Einträge für <Lokale Netze> und <entfernte Netze> setzen sich dabei aus komma-separierten Listen zusammen.
- Beispiel 1: 10.1.1.0/24,10.2.0.0/16 * 172.32.0.0/12
- Daraus ergeben sich die folgenden Netzwerkregeln:
- 10.2.0.0/255.255.0.0 <-> 172.16.200.0/255.255.255.255
- 10.1.1.0/255.255.255.0 <-> 172.16.200.0/255.255.255.255
- Beispiel 2: 10.1.1.0/24 * 0.0.0.0/0
- Daraus ergibt sich die folgende Netzwerkregel:
- 10.1.1.0/255.255.255.0 <-> 0.0.0.0/0.0.0.0
- Beispiel 3: 2001:db8:1::/48 * 2001:db8:6::/48
RADIUS-Accounting
Das LANCOM-Gateway zählt die übertragenen Datenpakete und -Oktette und sendet diese Daten regelmäßig als Accounting-Request-Nachrichtenan an den Accounting-RADIUS-Server. Der RADIUS-Server beantwortet diese Meldung daraufhin jeweils mit einer Accounting-Response-Nachricht.
Die Accounting-Request-Nachrichten besitzen die folgenden Status-Typen:
- Start
- Sobald sich ein VPN-Peer am LANCOM-Gateway anmeldet, startet das Gateway über IKEv2 eine Accounting-Session und sendet eine Start-Statusmeldung mit entsprechenden RADIUS-Attributen an den Accounting-RADIUS-Server.
- Interim-Update
- Während einer laufenden Accounting-Session sendet das Gateway in definierten Zeitabständen Interim-Update-Statusmeldungen an den Accounting-RADIUS-Server, der auch die Start-Statusmeldung als gültig beantwortet hat. Eventuell konfigurierte Backup-Server ignoriert das Gateway.
- Stop
- Nach dem Ende einer Sitzung sendet das LANCOM-Gateway eine Stop-Statusmeldung an den Accounting-RADIUS-Server. Auch diese Meldung sendet es nur an den Accounting-RADIUS-Server, der auch die Start-Statusmeldung als gültig beantwortet hat. Eventuell konfigurierte Backup-Server ignoriert das Gateway.
In der Access-Request-Meldung überträgt das Gateway die folgenden RADIUS-Attribute an den RADIUS-Server:
| ID | Bezeichnung | Bedeutung | Status-Typ |
|---|---|---|---|
| 1 | User-Name | Die Remote-ID des VPN-Peers, wie er sie in der AUTH-Verhandlung mit dem LANCOM-Gateway überträgt. |
|
| 4 | NAS-IP-Address | Gibt die IPv4-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "95" (siehe unten). |
|
| 8 | Framed-IP-Address | IPv4-Adresse des VPN-Clients. |
|
| 31 | Calling-Station-Id | Gibt die ID (als IPv4- oder IPv6-Adresse) der rufenden Station an (z. B. des VPN-Clients). |
|
| 32 | NAS-Identifier | Der Gerätename des Gateways. |
|
| 40 | Acct-Status-Type | Beinhaltet den Status-Typ "Start" (1). |
|
| 40 | Acct-Status-Type | Beinhaltet den Status-Typ "Interim-Update" (3). |
|
| 40 | Acct-Status-Type | Beinhaltet den Status-Typ "Stop" (2). |
|
| 42 | Acct-Input-Octets | Enthält die Anzahl der aus Richtung VPN-Peer empfangenen Oktette. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header. |
|
| 43 | Acct-Output-Octets | Enthält die Anzahl der zum VPN-Peer gesendeten Oktette. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header. |
|
| 44 | Acct-Session-Id | Der Name des VPN-Peers und der Zeitstempel zum Session-Start bilden die eindeutige Session-ID. |
|
| 46 | Acct-Session-Time | Enthält die verstrichene Zeit in Sekunden seit Beginn der Session. |
|
| 47 | Acct-Input-Packets | Enthält die Anzahl der aktuell aus Richtung VPN-Peer empfangenen Datenpakete. |
|
| 48 | Acct-Output-Packets | Enthält die Anzahl der aktuell zum VPN-Peer gesendeten Datenpakete. |
|
| 49 | Acct-Terminate-Cause | Enthält die Ursache für die Beendigung der Session. |
|
| 52 | Acct-Input-Gigawords | Enthält die Anzahl der aus Richtung VPN-Peer empfangenen Gigawords. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header. |
|
| 53 | Acct-Input-Gigawords | Enthält die Anzahl der zum VPN-Peer gesendeten Gigawords. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header. |
|
| 95 | NAS-IPv6-Address | Gibt die IPv6-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "4" (siehe oben). |
|
| 168 | Framed-IPv6-Address | IPv6-Adresse des VPN-Clients. |
|