LCOS ermöglicht es, die IKEv2-Konfiguration für Autorisierung und Accounting von VPN-Peers durch einen externen RADIUS-Server durchführen zu lassen. Außerdem ist die Verwaltung der VPN-Clients für das dynamische IKEv2-Load-Balancing über RADIUS realisiert.
In mittleren bis großen VPN-Szenarien sind die Tabellen für VPN-Konfigurationen in der Regel sehr umfangreich und komplex. Wenn mehrere VPN-Gateways aus Redundanzgründen zum Einsatz kommen, muss sichergestellt werden, dass die Konfiguration auf allen VPN-Gateways identisch ist.
Der Einsatz eines zentralen RADIUS-Servers ermöglicht die fast vollständige Auslagerung der Konfiguration der VPN-Parameter vom VPN-Gateway auf einen oder mehrere RADIUS-Server. Sobald eine VPN-Gegenstelle eine VPN-Verbindung zum Gerät aufbauen will, versucht das Gerät, die ankommende Verbindung per RADIUS zu authentifizieren und weitere notwendige Verbindungsparameter wie z. B. VPN-Netzbeziehungen, CFG-Mode-Adresse oder DNS-Server vom RADIUS-Server abzurufen. Dabei wird der Benutzer nicht vom RADIUS-Server anhand des Benutzernamens/Passworts freigeschaltet, sondern dieser liefert dem VPN-Gateway das richtige Passwort für den angefragten Benutzer und dieser wird dann durch den VPN-Gateway selbst freigeschaltet. Der VPN-Gateway baut dann den Tunnel komplett auf, wobei der RADIUS-Server hier dem VPN-Tunnel weitere Attribute übergeben kann.
Dabei kann die VPN-Konfiguration entweder vollständig oder nur teilweise vom RADIUS-Server abgerufen mit lokal vorhandenen Parametern kombiniert werden. Dieser Mechanismus funktioniert nur für ankommende Verbindungen.
Durch das optionale RADIUS-Accounting können Informationen über VPN-Verbindungen zentral auf einem RADIUS-Server gesammelt werden. Diese Informationen können z. B. aus Verbindungsdauer des Clients, Aufbauzeitpunkt oder das übertragene Datenvolumen bestehen.
Die Konfiguration der RADIUS-Server erfolgt in LANconfig unter .
RADIUS-Autorisierung
Das LANCOM-Gateway überträgt bei der Anmeldung eines VPN-Peers die folgenden RADIUS-Attribute im Access-Request an den RADIUS-Server:
| ID | Bezeichnung | Bedeutung |
|---|---|---|
| 1 | User-Name | Die Remote-ID des VPN-Peers, wie er sie in der AUTH-Verhandlung mit dem LANCOM-Gateway überträgt. |
| 2 | User-Passwort | Das Dummy-Passwort, wie es in LANconfig unter konfiguriert ist. |
| 4 | NAS-IP-Address | Gibt die IPv4-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "95" (siehe unten). |
| 6 | Servcie-Type | Der Service-Type ist immer "Outbound (5)" bzw. "Dialout-Framed-User". |
| 31 | Calling-Station-Id | Gibt die ID (als IPv4- oder IPv6-Adresse) der rufenden Station an (z. B. des VPN-Clients). |
| 95 | NAS-IPv6-Address | Gibt die IPv6-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv4-Verbindung, überträgt das Gateway stattdessen das Attribut "4" (siehe oben). |
Von den in der Access-Accept-Antwort des RADIUS-Servers enthaltenen Attributen wertet das LANCOM-Gateway daraufhin die folgenden, teils vendor-spezifischen Attribute aus:
| ID | Bezeichnung | Bedeutung |
|---|---|---|
| 8 | Framed-IP-Address | IPv4-Adresse für den Client (im IKE-CFG-Mode "Server"). |
| 9 | Framed-IP-Netmask | Gibt die IP-Netzmaske an, die für den Client zu konfigurieren ist (im IKE-CFG-Mode "Server"). Dieser Attributwert führt dazu, dass eine statische Route für die Framed-IP-Adresse mit der angegebenen Maske hinzugefügt wird. |
| 22 | Framed-Route | IPv4-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in
der Routing-Tabelle eingetragen werden sollen.
Format (String): <Präfix> [ifc=<Zielinterface>] [rtg_tag=<Routing-Tag>] [admin_distance=<Distanz>]
|
| 69 | Tunnel-Password | Setzt bei Verwendung von synchronen PSKs die Passwörter der lokalen und der entfernten Identität auf den selben Wert. |
| 88 | Framed-Pool | Name des IPv4-Adressen-Pools, aus dem der Client die IP-Adresse und den DNS-Server bezieht. Anmerkung: Die Werte in "Framed-IP-Address" und "LCS-DNS-Server-IPv4-Address" haben gegenüber diesem Attribut
Vorrang.
|
| 99 | Framed-IPv6-Route | IPv6-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in
der Routing-Tabelle eingetragen werden sollen.
Format (String): <Präfix> [ifc=<Zielinterface>] [rtg_tag=<Routing-Tag>] [admin_distance=<Distanz>]
|
| 168 | Framed-IPv6-Address | IPv6-Adresse für den Client (im IKE-CFG-Mode "Server"). |
| 169 | DNS-Server-IPv6-Address | IPv6-DNS-Server für den Client (im IKE-CFG-Mode "Server"). |
| 172 | Stateful-IPv6-Address-Pool | Name des IPv6-Adressen-Pools (im IKE-CFG-Mode "Server"). |
| LANCOM 19 | LCS-IKEv2-Local-Password | Lokaler IKEv2-PSK |
| LANCOM 20 | LCS-IKEv2-Remote-Password | Entfernter IKEv2-PSK |
| LANCOM 21 | LCS-DNS-Server-IPv4-Address | IPv4-DNS-Server für den Client (im IKE-CFG-Mode "Server") |
| LANCOM 22 | LCS-VPN-IPv4-Rule | Beinhaltet die IPv4-Netzwerkregeln (Beispiele: siehe unten) |
| LANCOM 23 | LCS-VPN-IPv6-Rule | Beinhaltet die IPv6-Netzwerkregeln (Beispiele: siehe unten) |
| LANCOM 24 | LCS-Routing-Tag | Routing-Tag, das für den Client konfiguriert werden soll (IPv4/IPv6). |
| LANCOM 25 | LCS-IKEv2-IPv4-Route | Routen in Präfix-Schreibweise (z. B. "192.168.1.0/24"), die das LANCOM-Gateway per INTERNAL_IP4_SUBNET an den Client übertragen soll. Die Auswertung von mehreren Attributen ist möglich. |
| LANCOM 26 | LCS-IKEv2-IPv6-Route | Routen in Präfix-Schreibweise (z. B. "2001:db8::/64"), die das LANCOM-Gateway per INTERNAL_IP6_SUBNET an den Client übertragen soll. Die Auswertung von mehreren Attributen ist möglich. |
| LANCOM 27 | LCS-IKEv2-DNS-Domain | Split-DNS-Domains (Liste), die das Gateway per Attribut INTERNAL_DNS_DOMAIN im IKE-CFG-Mode "Server" an den Client übertragen soll, z. B. mydomain.intern, example.com. |
| LANCOM 28 | LCS-Load-Balancer | Format (String): <Load-Balancer-Name> [client_binding={no|yes}]
Der <Load-Balancer-Name> kann bis zu 16 Zeichen lang sein und gibt eine entsprechende Load-Balancing-Gegenstelle auf
den LANCOM Routern an.
Wichtig: Diese Gegenstelle wird für das dynamische IKEv2-VPN-Load-Balancing verwendet und darf daher nicht
unter bereits für statisches Load-Balancing verwendet werden.
Die Option "client_binding" schaltet das Client Binding (siehe Client-Binding) ein oder aus. Ohne diese Angabe ist Client Binding aus.
Wichtig: Der erste sich verbindende IKEv2-VPN-Client gibt diese Einstellung vor. Danach erfolgende andere
Einstellungen für das Client Binding in Verbindung mit dieser Load-Balancing-Gegenstelle werden ignoriert.
|
| LANCOM 29 | LCS-IKEv2-Routing-Tag-List | Format (String): #, z. B. 0,3,7 Beinhaltet die Routing-Tags, die über HSVPN übertragen werden sollen. |
| LANCOM 30 | LCS-IKEv2-IPv4-Tagged-Route | Format (String): <Präfix> rtg_tag=<Routing-Tag>
Anmerkung: Ein Präfix mit Routing-Tag kann mehrfach im Attribut vorkommen und wird durch ein Komma getrennt.
|
| LANCOM 31 | LCS-IKEv2-IPv6-Tagged-Route | Format (String), <Präfix> rtg_tag=<Routing-Tag>
Anmerkung: Ein Präfix mit Routing-Tag kann mehrfach im Attribut vorkommen und wird durch ein Komma getrennt.
|
| LANCOM 32 | LCS-IPv6-Prefix-Length | Gibt die IPv6-Präfix-Länge an, die für den Client zu konfigurieren ist (im IKE-CFG-Mode "Server"). |
| LANCOM 33 | LCS-IKEv2-PPK | Gibt den Post-quantum Preshared Key als Zeichenkette oder Hexadezimalzahl (identifiziert durch ein führendes 0x) an. |
| LANCOM 34 | LCS-IKEv2-PPK-MANDATORY | Gibt an, ob die Verwendung des übergebenen Post-quantum Preshared Key (PPK) gefordert wird. Falls ja, dann wird die entsprechende VPN-Verbindung abgelehnt, falls die Gegenseite kein PPK unterstützt oder konfiguriert hat. Wird die Verwendung von PPKs als optional konfiguriert, so werden sowohl Verbindungen mit PPK als auch ohne PPK akzeptiert. |
Beispiel: RADIUS-Attribute für einen einfachen Loadbalancer aus IKEv2-VPN-Tunneln auf der Zentrale
LCS-Load-Balancer=LB1 Framed-Route=192.168.45.0/24 ifc=LB1;
Beipiele für Netzwerkregeln
Das Format für eine Netzwerkregel im Radius-Server gestaltet sich in der Form <lokale Netze> * <entfernte Netze>.
Die Einträge für <Lokale Netze> und <entfernte Netze> setzen sich dabei aus komma-separierten Listen zusammen.
- Beispiel 1: 10.1.1.0/24,10.2.0.0/16 * 172.32.0.0/12
- Daraus ergeben sich die folgenden Netzwerkregeln:
- 10.2.0.0/255.255.0.0 <-> 172.16.200.0/255.255.255.255
- 10.1.1.0/255.255.255.0 <-> 172.16.200.0/255.255.255.255
- Beispiel 2: 10.1.1.0/24 * 0.0.0.0/0
- Daraus ergibt sich die folgende Netzwerkregel:
- 10.1.1.0/255.255.255.0 <-> 0.0.0.0/0.0.0.0
- Beispiel 3: 2001:db8:1::/48 * 2001:db8:6::/48
RADIUS-Accounting
Das LANCOM-Gateway zählt die übertragenen Datenpakete und -Oktette und sendet diese Daten regelmäßig als Accounting-Request-Nachrichtenan an den Accounting-RADIUS-Server. Der RADIUS-Server beantwortet diese Meldung daraufhin jeweils mit einer Accounting-Response-Nachricht.
Die Accounting-Request-Nachrichten besitzen die folgenden Status-Typen:
- Start
- Sobald sich ein VPN-Peer am LANCOM-Gateway anmeldet, startet das Gateway über IKEv2 eine Accounting-Session und sendet eine Start-Statusmeldung mit entsprechenden RADIUS-Attributen an den Accounting-RADIUS-Server.
- Interim-Update
- Während einer laufenden Accounting-Session sendet das Gateway in definierten Zeitabständen Interim-Update-Statusmeldungen an den Accounting-RADIUS-Server, der auch die Start-Statusmeldung als gültig beantwortet hat. Eventuell konfigurierte Backup-Server ignoriert das Gateway.
- Stop
- Nach dem Ende einer Sitzung sendet das LANCOM-Gateway eine Stop-Statusmeldung an den Accounting-RADIUS-Server. Auch diese Meldung sendet es nur an den Accounting-RADIUS-Server, der auch die Start-Statusmeldung als gültig beantwortet hat. Eventuell konfigurierte Backup-Server ignoriert das Gateway.
In der Access-Request-Meldung überträgt das Gateway die folgenden RADIUS-Attribute an den RADIUS-Server:
| ID | Bezeichnung | Bedeutung | Status-Typ |
|---|---|---|---|
| 1 | User-Name | Die Remote-ID des VPN-Peers, wie er sie in der AUTH-Verhandlung mit dem LANCOM-Gateway überträgt. |
|
| 4 | NAS-IP-Address | Gibt die IPv4-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "95" (siehe unten). |
|
| 8 | Framed-IP-Address | IPv4-Adresse des VPN-Clients. |
|
| 31 | Calling-Station-Id | Gibt die ID (als IPv4- oder IPv6-Adresse) der rufenden Station an (z. B. des VPN-Clients). |
|
| 32 | NAS-Identifier | Der Gerätename des Gateways. |
|
| 40 | Acct-Status-Type | Beinhaltet den Status-Typ "Start" (1). |
|
| 40 | Acct-Status-Type | Beinhaltet den Status-Typ "Interim-Update" (3). |
|
| 40 | Acct-Status-Type | Beinhaltet den Status-Typ "Stop" (2). |
|
| 42 | Acct-Input-Octets | Enthält die Anzahl der aus Richtung VPN-Peer empfangenen Oktette. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header. |
|
| 43 | Acct-Output-Octets | Enthält die Anzahl der zum VPN-Peer gesendeten Oktette. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header. |
|
| 44 | Acct-Session-Id | Der Name des VPN-Peers und der Zeitstempel zum Session-Start bilden die eindeutige Session-ID. |
|
| 46 | Acct-Session-Time | Enthält die verstrichene Zeit in Sekunden seit Beginn der Session. |
|
| 47 | Acct-Input-Packets | Enthält die Anzahl der aktuell aus Richtung VPN-Peer empfangenen Datenpakete. |
|
| 48 | Acct-Output-Packets | Enthält die Anzahl der aktuell zum VPN-Peer gesendeten Datenpakete. |
|
| 49 | Acct-Terminate-Cause | Enthält die Ursache für die Beendigung der Session. |
|
| 52 | Acct-Input-Gigawords | Enthält die Anzahl der aus Richtung VPN-Peer empfangenen Gigawords. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header. |
|
| 53 | Acct-Input-Gigawords | Enthält die Anzahl der zum VPN-Peer gesendeten Gigawords. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header. |
|
| 95 | NAS-IPv6-Address | Gibt die IPv6-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "4" (siehe oben). |
|
| 168 | Framed-IPv6-Address | IPv6-Adresse des VPN-Clients. |
|
