RADIUS-Unterstützung für IKEv2

LCOS ermöglicht es, die IKEv2-Konfiguration für Autorisierung und Accounting von VPN-Peers durch einen externen RADIUS-Server durchführen zu lassen. Außerdem ist die Verwaltung der VPN-Clients für das dynamische IKEv2-Load-Balancing über RADIUS realisiert.

In mittleren bis großen VPN-Szenarien sind die Tabellen für VPN-Konfigurationen in der Regel sehr umfangreich und komplex. Wenn mehrere VPN-Gateways aus Redundanzgründen zum Einsatz kommen, muss sichergestellt werden, dass die Konfiguration auf allen VPN-Gateways identisch ist.

Der Einsatz eines zentralen RADIUS-Servers ermöglicht die fast vollständige Auslagerung der Konfiguration der VPN-Parameter vom VPN-Gateway auf einen oder mehrere RADIUS-Server. Sobald eine VPN-Gegenstelle eine VPN-Verbindung zum Gerät aufbauen will, versucht das Gerät, die ankommende Verbindung per RADIUS zu authentifizieren und weitere notwendige Verbindungsparameter wie z. B. VPN-Netzbeziehungen, CFG-Mode-Adresse oder DNS-Server vom RADIUS-Server abzurufen. Dabei wird der Benutzer nicht vom RADIUS-Server anhand des Benutzernamens/Passworts freigeschaltet, sondern dieser liefert dem VPN-Gateway das richtige Passwort für den angefragten Benutzer und dieser wird dann durch den VPN-Gateway selbst freigeschaltet. Der VPN-Gateway baut dann den Tunnel komplett auf, wobei der RADIUS-Server hier dem VPN-Tunnel weitere Attribute übergeben kann.

Dabei kann die VPN-Konfiguration entweder vollständig oder nur teilweise vom RADIUS-Server abgerufen mit lokal vorhandenen Parametern kombiniert werden. Dieser Mechanismus funktioniert nur für ankommende Verbindungen.

Durch das optionale RADIUS-Accounting können Informationen über VPN-Verbindungen zentral auf einem RADIUS-Server gesammelt werden. Diese Informationen können z. B. aus Verbindungsdauer des Clients, Aufbauzeitpunkt oder das übertragene Datenvolumen bestehen.

Die Konfiguration der RADIUS-Server erfolgt in LANconfig unter VPN > IKEv2/IPSec > Erweiterte Einstellungen.

RADIUS-Autorisierung

Das LANCOM-Gateway überträgt bei der Anmeldung eines VPN-Peers die folgenden RADIUS-Attribute im Access-Request an den RADIUS-Server:

ID Bezeichnung Bedeutung
1 User-Name Die Remote-ID des VPN-Peers, wie er sie in der AUTH-Verhandlung mit dem LANCOM-Gateway überträgt.
2 User-Passwort Das Dummy-Passwort, wie es in LANconfig unter VPN > IKEv2/IPSec > Erweiterte Einstellungen > Passwort konfiguriert ist.
4 NAS-IP-Address Gibt die IPv4-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "95" (siehe unten).
6 Servcie-Type Der Service-Type ist immer "Outbound (5)" bzw. "Dialout-Framed-User".
31 Calling-Station-Id Gibt die ID (als IPv4- oder IPv6-Adresse) der rufenden Station an (z. B. des VPN-Clients).
95 NAS-IPv6-Address Gibt die IPv6-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv4-Verbindung, überträgt das Gateway stattdessen das Attribut "4" (siehe oben).

Von den in der Access-Accept-Antwort des RADIUS-Servers enthaltenen Attributen wertet das LANCOM-Gateway daraufhin die folgenden, teils vendor-spezifischen Attribute aus:

ID Bezeichnung Bedeutung
8 Framed-IP-Address IPv4-Adresse für den Client (im IKE-CFG-Mode "Server").
9 Framed-IP-Netmask Gibt die IP-Netzmaske an, die für den Client zu konfigurieren ist (im IKE-CFG-Mode "Server"). Dieser Attributwert führt dazu, dass eine statische Route für die Framed-IP-Adresse mit der angegebenen Maske hinzugefügt wird.
22 Framed-Route IPv4-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in der Routing-Tabelle eingetragen werden sollen. Format (String): <Präfix> [ifc=<Zielinterface>] [rtg_tag=<Routing-Tag>] [admin_distance=<Distanz>]
<Präfix>
IPv4-Adresse + '/' + Präfixlänge oder Netzmaske
ifc=<Zielinterface>
Name des IP-Interfaces oder eines Load-Balancers, auf den die Route zeigen soll, oder "#Ifc". Wenn kein Zielinterface angegeben ist oder es "#Ifc" lautet, dann zeigt die Route auf das VPN-Interface für den betreffenden Einwahlclient. Der Interfacename kann bis zu 16 Zeichen enthalten.
rtg_tag=<Routing-Tag>
Routing-Tag für die Route. Wenn es nicht angegeben wird, bekommt die Route das Tag des Einwahlinterfaces.
admin_distance=<Distanz>
Administrative Distanz der Route als Zahl von 0 bis 255. Wenn sie nicht angegeben wird, bekommt die Route die standardmäßige Distanz für VPN-Routen.
69 Tunnel-Password Setzt bei Verwendung von synchronen PSKs die Passwörter der lokalen und der entfernten Identität auf den selben Wert.
88 Framed-Pool Name des IPv4-Adressen-Pools, aus dem der Client die IP-Adresse und den DNS-Server bezieht.
Anmerkung: Die Werte in "Framed-IP-Address" und "LCS-DNS-Server-IPv4-Address" haben gegenüber diesem Attribut Vorrang.
99 Framed-IPv6-Route IPv6-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in der Routing-Tabelle eingetragen werden sollen. Format (String): <Präfix> [ifc=<Zielinterface>] [rtg_tag=<Routing-Tag>] [admin_distance=<Distanz>]
<Präfix>
IPv6-Adresse + '/' + Präfixlänge
ifc=<Zielinterface>
Name des IP-Interfaces oder eines Load-Balancers, auf den die Route zeigen soll, oder "#Ifc". Wenn kein Zielinterface angegeben ist oder es "#Ifc" lautet, dann zeigt die Route auf das VPN-Interface für den betreffenden Einwahlclient. Der Interfacename kann bis zu 16 Zeichen enthalten.
rtg_tag=<Routing-Tag>
Routing-Tag für die Route. Wenn es nicht angegeben wird, bekommt die Route das Tag des Einwahlinterfaces.
admin_distance=<Distanz>
Administrative Distanz der Route als Zahl von 0 bis 255. Wenn sie nicht angegeben wird, bekommt die Route die standardmäßige Distanz für VPN-Routen.
168 Framed-IPv6-Address IPv6-Adresse für den Client (im IKE-CFG-Mode "Server").
169 DNS-Server-IPv6-Address IPv6-DNS-Server für den Client (im IKE-CFG-Mode "Server").
172 Stateful-IPv6-Address-Pool Name des IPv6-Adressen-Pools (im IKE-CFG-Mode "Server").
LANCOM 19 LCS-IKEv2-Local-Password Lokaler IKEv2-PSK
LANCOM 20 LCS-IKEv2-Remote-Password Entfernter IKEv2-PSK
LANCOM 21 LCS-DNS-Server-IPv4-Address IPv4-DNS-Server für den Client (im IKE-CFG-Mode "Server")
LANCOM 22 LCS-VPN-IPv4-Rule Beinhaltet die IPv4-Netzwerkregeln (Beispiele: siehe unten)
LANCOM 23 LCS-VPN-IPv6-Rule Beinhaltet die IPv6-Netzwerkregeln (Beispiele: siehe unten)
LANCOM 24 LCS-Routing-Tag Routing-Tag, das für den Client konfiguriert werden soll (IPv4/IPv6).
LANCOM 25 LCS-IKEv2-IPv4-Route Routen in Präfix-Schreibweise (z. B. "192.168.1.0/24"), die das LANCOM-Gateway per INTERNAL_IP4_SUBNET an den Client übertragen soll. Die Auswertung von mehreren Attributen ist möglich.
LANCOM 26 LCS-IKEv2-IPv6-Route Routen in Präfix-Schreibweise (z. B. "2001:db8::/64"), die das LANCOM-Gateway per INTERNAL_IP6_SUBNET an den Client übertragen soll. Die Auswertung von mehreren Attributen ist möglich.
LANCOM 27 LCS-IKEv2-DNS-Domain Split-DNS-Domains (Liste), die das Gateway per Attribut INTERNAL_DNS_DOMAIN im IKE-CFG-Mode "Server" an den Client übertragen soll, z. B. mydomain.intern, example.com.
LANCOM 28 LCS-Load-Balancer Format (String): <Load-Balancer-Name> [client_binding={no|yes}] Der <Load-Balancer-Name> kann bis zu 16 Zeichen lang sein und gibt eine entsprechende Load-Balancing-Gegenstelle auf den LANCOM Routern an.
Wichtig: Diese Gegenstelle wird für das dynamische IKEv2-VPN-Load-Balancing verwendet und darf daher nicht unter IP-Router > Load Balancing bereits für statisches Load-Balancing verwendet werden.
Die Option "client_binding" schaltet das Client Binding (siehe Client-Binding) ein oder aus. Ohne diese Angabe ist Client Binding aus.
Wichtig: Der erste sich verbindende IKEv2-VPN-Client gibt diese Einstellung vor. Danach erfolgende andere Einstellungen für das Client Binding in Verbindung mit dieser Load-Balancing-Gegenstelle werden ignoriert.
LANCOM 29 LCS-IKEv2-Routing-Tag-List Format (String): #, z. B. 0,3,7 Beinhaltet die Routing-Tags, die über HSVPN übertragen werden sollen.
LANCOM 30 LCS-IKEv2-IPv4-Tagged-Route Format (String): <Präfix> rtg_tag=<Routing-Tag>
<Präfix>
HSVPN IPv4-Route die der CFG-Mode-Server im Rahmen des IKEv2-Routings an den Client übermittelt.
rtg_tag=<Routing-Tag>
Das hierbei verwendete Routing-Tag.
Z. B. 192.168.1.0/24 rtg_tag=1
Anmerkung: Ein Präfix mit Routing-Tag kann mehrfach im Attribut vorkommen und wird durch ein Komma getrennt.
LANCOM 31 LCS-IKEv2-IPv6-Tagged-Route Format (String), <Präfix> rtg_tag=<Routing-Tag>
<Präfix>
HSVPN IPv6-Route die der CFG-Mode-Server im Rahmen des IKEv2-Routings an den Client übermittelt.
rtg_tag=<Routing-Tag>
Das hierbei verwendete Routing-Tag.
Z. B. 2001:db8::/64 rtg_tag=1
Anmerkung: Ein Präfix mit Routing-Tag kann mehrfach im Attribut vorkommen und wird durch ein Komma getrennt.
LANCOM 32 LCS-IPv6-Prefix-Length Gibt die IPv6-Präfix-Länge an, die für den Client zu konfigurieren ist (im IKE-CFG-Mode "Server").
LANCOM 33 LCS-IKEv2-PPK Gibt den Post-quantum Preshared Key als Zeichenkette oder Hexadezimalzahl (identifiziert durch ein führendes 0x) an.
LANCOM 34 LCS-IKEv2-PPK-MANDATORY Gibt an, ob die Verwendung des übergebenen Post-quantum Preshared Key (PPK) gefordert wird. Falls ja, dann wird die entsprechende VPN-Verbindung abgelehnt, falls die Gegenseite kein PPK unterstützt oder konfiguriert hat. Wird die Verwendung von PPKs als optional konfiguriert, so werden sowohl Verbindungen mit PPK als auch ohne PPK akzeptiert.

Beispiel: RADIUS-Attribute für einen einfachen Loadbalancer aus IKEv2-VPN-Tunneln auf der Zentrale

LCS-Load-Balancer=LB1
Framed-Route=192.168.45.0/24 ifc=LB1;

Beipiele für Netzwerkregeln

Das Format für eine Netzwerkregel im Radius-Server gestaltet sich in der Form <lokale Netze> * <entfernte Netze>.

Die Einträge für <Lokale Netze> und <entfernte Netze> setzen sich dabei aus komma-separierten Listen zusammen.

Beispiel 1: 10.1.1.0/24,10.2.0.0/16 * 172.32.0.0/12
Daraus ergeben sich die folgenden Netzwerkregeln:
  • 10.2.0.0/255.255.0.0 <-> 172.16.200.0/255.255.255.255
  • 10.1.1.0/255.255.255.0 <-> 172.16.200.0/255.255.255.255
Beispiel 2: 10.1.1.0/24 * 0.0.0.0/0
Daraus ergibt sich die folgende Netzwerkregel:
  • 10.1.1.0/255.255.255.0 <-> 0.0.0.0/0.0.0.0
Dabei bedeutet 0.0.0.0/0 "ANY", d. h. ein beliebiges Netz. 0.0.0.0/32 kann dazu verwendet werden, einen CFG-Mode-Client genau auf seine (noch unbekannte) Config-Mode-Adresse einzuschränken. Diese Adresse kommt z. B. aus einem Adress-Pool auf dem Gerät oder ebenfalls aus dem RADIUS-Server.
Beispiel 3: 2001:db8:1::/48 * 2001:db8:6::/48

RADIUS-Accounting

Das LANCOM-Gateway zählt die übertragenen Datenpakete und -Oktette und sendet diese Daten regelmäßig als Accounting-Request-Nachrichtenan an den Accounting-RADIUS-Server. Der RADIUS-Server beantwortet diese Meldung daraufhin jeweils mit einer Accounting-Response-Nachricht.

Die Accounting-Request-Nachrichten besitzen die folgenden Status-Typen:

Start
Sobald sich ein VPN-Peer am LANCOM-Gateway anmeldet, startet das Gateway über IKEv2 eine Accounting-Session und sendet eine Start-Statusmeldung mit entsprechenden RADIUS-Attributen an den Accounting-RADIUS-Server.
Interim-Update
Während einer laufenden Accounting-Session sendet das Gateway in definierten Zeitabständen Interim-Update-Statusmeldungen an den Accounting-RADIUS-Server, der auch die Start-Statusmeldung als gültig beantwortet hat. Eventuell konfigurierte Backup-Server ignoriert das Gateway.
Stop
Nach dem Ende einer Sitzung sendet das LANCOM-Gateway eine Stop-Statusmeldung an den Accounting-RADIUS-Server. Auch diese Meldung sendet es nur an den Accounting-RADIUS-Server, der auch die Start-Statusmeldung als gültig beantwortet hat. Eventuell konfigurierte Backup-Server ignoriert das Gateway.

In der Access-Request-Meldung überträgt das Gateway die folgenden RADIUS-Attribute an den RADIUS-Server:

ID Bezeichnung Bedeutung Status-Typ
1 User-Name Die Remote-ID des VPN-Peers, wie er sie in der AUTH-Verhandlung mit dem LANCOM-Gateway überträgt.
  • Start
  • Interim-Update
  • Stop
4 NAS-IP-Address Gibt die IPv4-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "95" (siehe unten).
  • Start
  • Interim-Update
  • Stop
8 Framed-IP-Address IPv4-Adresse des VPN-Clients.
  • Start
  • Interim-Update
  • Stop
31 Calling-Station-Id Gibt die ID (als IPv4- oder IPv6-Adresse) der rufenden Station an (z. B. des VPN-Clients).
  • Start
  • Interim-Update
  • Stop
32 NAS-Identifier Der Gerätename des Gateways.
  • Start
  • Interim-Update
  • Stop
40 Acct-Status-Type Beinhaltet den Status-Typ "Start" (1).
  • Start
40 Acct-Status-Type Beinhaltet den Status-Typ "Interim-Update" (3).
  • Interim-Update
40 Acct-Status-Type Beinhaltet den Status-Typ "Stop" (2).
  • Stop
42 Acct-Input-Octets Enthält die Anzahl der aus Richtung VPN-Peer empfangenen Oktette. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header.
  • Interim-Update
  • Stop
43 Acct-Output-Octets Enthält die Anzahl der zum VPN-Peer gesendeten Oktette. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header.
  • Interim-Update
  • Stop
44 Acct-Session-Id Der Name des VPN-Peers und der Zeitstempel zum Session-Start bilden die eindeutige Session-ID.
  • Start
  • Interim-Update
  • Stop
46 Acct-Session-Time Enthält die verstrichene Zeit in Sekunden seit Beginn der Session.
  • Interim-Update
  • Stop
47 Acct-Input-Packets Enthält die Anzahl der aktuell aus Richtung VPN-Peer empfangenen Datenpakete.
  • Interim-Update
  • Stop
48 Acct-Output-Packets Enthält die Anzahl der aktuell zum VPN-Peer gesendeten Datenpakete.
  • Interim-Update
  • Stop
49 Acct-Terminate-Cause Enthält die Ursache für die Beendigung der Session.
  • Stop
52 Acct-Input-Gigawords Enthält die Anzahl der aus Richtung VPN-Peer empfangenen Gigawords. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header.
  • Interim-Update
  • Stop
53 Acct-Input-Gigawords Enthält die Anzahl der zum VPN-Peer gesendeten Gigawords. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header.
  • Interim-Update
  • Stop
95 NAS-IPv6-Address Gibt die IPv6-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "4" (siehe oben).
  • Start
  • Interim-Update
  • Stop
168 Framed-IPv6-Address IPv6-Adresse des VPN-Clients.
  • Start
  • Interim-Update
  • Stop

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo