RADIUS-Unterstützung für IKEv2

LCOS ermöglicht es, die IKEv2-Konfiguration für Autorisierung und Accounting von VPN-Peers durch einen externen RADIUS-Server durchführen zu lassen. Außerdem ist die Verwaltung der VPN-Clients für das dynamische IKEv2-Load-Balancing über RADIUS realisiert.

In mittleren bis großen VPN-Szenarien sind die Tabellen für VPN-Konfigurationen in der Regel sehr umfangreich und komplex. Wenn mehrere VPN-Gateways aus Redundanzgründen zum Einsatz kommen, muss sichergestellt werden, dass die Konfiguration auf allen VPN-Gateways identisch ist.

Der Einsatz eines zentralen RADIUS-Servers ermöglicht die fast vollständige Auslagerung der Konfiguration der VPN-Parameter vom VPN-Gateway auf einen oder mehrere RADIUS-Server. Sobald eine VPN-Gegenstelle eine VPN-Verbindung zum Gerät aufbauen will, versucht das Gerät, die ankommende Verbindung per RADIUS zu authentifizieren und weitere notwendige Verbindungsparameter wie z. B. VPN-Netzbeziehungen, CFG-Mode-Adresse oder DNS-Server vom RADIUS-Server abzurufen. Dabei wird der Benutzer nicht vom RADIUS-Server anhand des Benutzernamens/Passworts freigeschaltet, sondern dieser liefert dem VPN-Gateway das richtige Passwort für den angefragten Benutzer und dieser wird dann durch den VPN-Gateway selbst freigeschaltet. Der VPN-Gateway baut dann den Tunnel komplett auf, wobei der RADIUS-Server hier dem VPN-Tunnel weitere Attribute übergeben kann.

Dabei kann die VPN-Konfiguration entweder vollständig oder nur teilweise vom RADIUS-Server abgerufen mit lokal vorhandenen Parametern kombiniert werden. Dieser Mechanismus funktioniert nur für ankommende Verbindungen.

Durch das optionale RADIUS-Accounting können Informationen über VPN-Verbindungen zentral auf einem RADIUS-Server gesammelt werden. Diese Informationen können z. B. aus Verbindungsdauer des Clients, Aufbauzeitpunkt oder das übertragene Datenvolumen bestehen.

Die Konfiguration der RADIUS-Server erfolgt in LANconfig unter VPN > IKEv2/IPSec > Erweiterte Einstellungen.

RADIUS-Autorisierung

Das LANCOM-Gateway überträgt bei der Anmeldung eines VPN-Peers die folgenden RADIUS-Attribute im Access-Request an den RADIUS-Server:

ID	Bezeichnung	Bedeutung
1	User-Name	Die Remote-ID des VPN-Peers, wie er sie in der `AUTH`-Verhandlung mit dem LANCOM-Gateway überträgt.
2	User-Passwort	Das Dummy-Passwort, wie es in LANconfig unter VPN > IKEv2/IPSec > Erweiterte Einstellungen > Passwort konfiguriert ist.
4	NAS-IP-Address	Gibt die IPv4-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "95" (siehe unten).
6	Servcie-Type	Der Service-Type ist immer "Outbound (5)" bzw. "Dialout-Framed-User".
31	Calling-Station-Id	Gibt die ID (als IPv4- oder IPv6-Adresse) der rufenden Station an (z. B. des VPN-Clients).
95	NAS-IPv6-Address	Gibt die IPv6-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv4-Verbindung, überträgt das Gateway stattdessen das Attribut "4" (siehe oben).

Von den in der Access-Accept-Antwort des RADIUS-Servers enthaltenen Attributen wertet das LANCOM-Gateway daraufhin die folgenden, teils vendor-spezifischen Attribute aus:

ID	Bezeichnung	Bedeutung
8	Framed-IP-Address	IPv4-Adresse für den Client (im IKE-CFG-Mode "Server").
22	Framed-Route	IPv4-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in der Routing-Tabelle eingetragen werden sollen. Format (String): <Präfix> [ifc=<Zielinterface>] [rtg_tag=<Routing-Tag>] [admin_distance=<Distanz>] <Präfix> IPv4-Adresse + '/' + Präfixlänge oder Netzmaske ifc=<Zielinterface> Name des IP-Interfaces oder eines Load-Balancers, auf den die Route zeigen soll, oder "#Ifc". Wenn kein Zielinterface angegeben ist oder es "#Ifc" lautet, dann zeigt die Route auf das VPN-Interface für den betreffenden Einwahlclient. Der Interfacename kann bis zu 16 Zeichen enthalten. rtg_tag=<Routing-Tag> Routing-Tag für die Route. Wenn es nicht angegeben wird, bekommt die Route das Tag des Einwahlinterfaces. admin_distance=<Distanz> Administrative Distanz der Route als Zahl von 0 bis 255. Wenn sie nicht angegeben wird, bekommt die Route die standardmäßige Distanz für VPN-Routen.
69	Tunnel-Password	Setzt bei Verwendung von synchronen PSKs die Passwörter der lokalen und der entfernten Identität auf den selben Wert.
88	Framed-Pool	Name des IPv4-Adressen-Pools, aus dem der Client die IP-Adresse und den DNS-Server bezieht. Anmerkung: Die Werte in "Framed-IP-Address" und "LCS-DNS-Server-IPv4-Address" haben gegenüber diesem Attribut Vorrang.
99	Framed-IPv6-Route	IPv6-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in der Routing-Tabelle eingetragen werden sollen. Format (String): <Präfix> [ifc=<Zielinterface>] [rtg_tag=<Routing-Tag>] [admin_distance=<Distanz>] <Präfix> IPv6-Adresse + '/' + Präfixlänge ifc=<Zielinterface> Name des IP-Interfaces oder eines Load-Balancers, auf den die Route zeigen soll, oder "#Ifc". Wenn kein Zielinterface angegeben ist oder es "#Ifc" lautet, dann zeigt die Route auf das VPN-Interface für den betreffenden Einwahlclient. Der Interfacename kann bis zu 16 Zeichen enthalten. rtg_tag=<Routing-Tag> Routing-Tag für die Route. Wenn es nicht angegeben wird, bekommt die Route das Tag des Einwahlinterfaces. admin_distance=<Distanz> Administrative Distanz der Route als Zahl von 0 bis 255. Wenn sie nicht angegeben wird, bekommt die Route die standardmäßige Distanz für VPN-Routen.
168	Framed-IPv6-Address	IPv6-Adresse für den Client (im IKE-CFG-Mode "Server").
169	DNS-Server-IPv6-Address	IPv6-DNS-Server für den Client (im IKE-CFG-Mode "Server").
172	Stateful-IPv6-Address-Pool	Name des IPv6-Adressen-Pools (im IKE-CFG-Mode "Server").
LANCOM 19	LCS-IKEv2-Local-Password	Lokaler IKEv2-PSK
LANCOM 20	LCS-IKEv2-Remote-Password	Entfernter IKEv2-PSK
LANCOM 21	LCS-DNS-Server-IPv4-Address	IPv4-DNS-Server für den Client (im IKE-CFG-Mode "Server")
LANCOM 22	LCS-VPN-IPv4-Rule	Beinhaltet die IPv4-Netzwerkregeln (Beispiele: siehe unten)
LANCOM 23	LCS-VPN-IPv6-Rule	Beinhaltet die IPv6-Netzwerkregeln (Beispiele: siehe unten)
LANCOM 24	LCS-Routing-Tag	Routing-Tag, das für den Client konfiguriert werden soll (IPv4/IPv6).
LANCOM 25	LCS-IKEv2-IPv4-Route	Routen in Präfix-Schreibweise (z. B. "192.168.1.0/24"), die das LANCOM-Gateway per `INTERNAL_IP4_SUBNET` an den Client übertragen soll. Die Auswertung von mehreren Attributen ist möglich.
LANCOM 26	LCS-IKEv2-IPv6-Route	Routen in Präfix-Schreibweise (z. B. "2001:db8::/64"), die das LANCOM-Gateway per `INTERNAL_IP6_SUBNET` an den Client übertragen soll. Die Auswertung von mehreren Attributen ist möglich.
LANCOM 27	LCS-IKEv2-DNS-Domain	Split-DNS-Domains (Liste), die das Gateway per Attribut `INTERNAL_DNS_DOMAIN` im IKE-CFG-Mode "Server" an den Client übertragen soll, z. B. `mydomain.intern, example.com`.
LANCOM 28	LCS-Load-Balancer	Format (String): <Load-Balancer-Name> [client_binding={no\|yes}] Der <Load-Balancer-Name> kann bis zu 16 Zeichen lang sein und gibt eine entsprechende Load-Balancing-Gegenstelle auf den LANCOM Routern an. Wichtig: Diese Gegenstelle wird für das dynamische IKEv2-VPN-Load-Balancing verwendet und darf daher nicht unter IP-Router > Load Balancing bereits für statisches Load-Balancing verwendet werden. Die Option "client_binding" schaltet das Client Binding (siehe Client-Binding) ein oder aus. Ohne diese Angabe ist Client Binding aus. Wichtig: Der erste sich verbindende IKEv2-VPN-Client gibt diese Einstellung vor. Danach erfolgende andere Einstellungen für das Client Binding in Verbindung mit dieser Load-Balancing-Gegenstelle werden ignoriert.
LANCOM 29	LCS-IKEv2-Routing-Tag-List	Format (String): #, z. B. `0,3,7` Beinhaltet die Routing-Tags, die über HSVPN übertragen werden sollen.
LANCOM 30	LCS-IKEv2-IPv4-Tagged-Route	Format (String): <Präfix> rtg_tag=<Routing-Tag> <Präfix> HSVPN IPv4-Route die der CFG-Mode-Server im Rahmen des IKEv2-Routings an den Client übermittelt. rtg_tag=<Routing-Tag> Das hierbei verwendete Routing-Tag. Z. B. `192.168.1.0/24 rtg_tag=1` Anmerkung: Ein Präfix mit Routing-Tag kann mehrfach im Attribut vorkommen und wird durch ein Komma getrennt.
LANCOM 31	LCS-IKEv2-IPv6-Tagged-Route	Format (String), <Präfix> rtg_tag=<Routing-Tag> <Präfix> HSVPN IPv6-Route die der CFG-Mode-Server im Rahmen des IKEv2-Routings an den Client übermittelt. rtg_tag=<Routing-Tag> Das hierbei verwendete Routing-Tag. Z. B. `2001:db8::/64 rtg_tag=1` Anmerkung: Ein Präfix mit Routing-Tag kann mehrfach im Attribut vorkommen und wird durch ein Komma getrennt.

Beispiel: RADIUS-Attribute für einen einfachen Loadbalancer aus IKEv2-VPN-Tunneln auf der Zentrale

LCS-Load-Balancer=LB1
Framed-Route=192.168.45.0/24 ifc=LB1;

Beipiele für Netzwerkregeln

Das Format für eine Netzwerkregel im Radius-Server gestaltet sich in der Form <lokale Netze> * <entfernte Netze>.

Die Einträge für <Lokale Netze> und <entfernte Netze> setzen sich dabei aus komma-separierten Listen zusammen.

Beispiel 1: 10.1.1.0/24,10.2.0.0/16 * 172.32.0.0/12

Daraus ergeben sich die folgenden Netzwerkregeln:

10.2.0.0/255.255.0.0 <-> 172.16.200.0/255.255.255.255
10.1.1.0/255.255.255.0 <-> 172.16.200.0/255.255.255.255

Beispiel 2: 10.1.1.0/24 * 0.0.0.0/0

Daraus ergibt sich die folgende Netzwerkregel:

10.1.1.0/255.255.255.0 <-> 0.0.0.0/0.0.0.0

Dabei bedeutet 0.0.0.0/0 "ANY", d. h. ein beliebiges Netz. 0.0.0.0/32 kann dazu verwendet werden, einen CFG-Mode-Client genau auf seine (noch unbekannte) Config-Mode-Adresse einzuschränken. Diese Adresse kommt z. B. aus einem Adress-Pool auf dem Gerät oder ebenfalls aus dem RADIUS-Server.

Beispiel 3: 2001:db8:1::/48 * 2001:db8:6::/48

RADIUS-Accounting

Das LANCOM-Gateway zählt die übertragenen Datenpakete und -Oktette und sendet diese Daten regelmäßig als Accounting-Request-Nachrichtenan an den Accounting-RADIUS-Server. Der RADIUS-Server beantwortet diese Meldung daraufhin jeweils mit einer Accounting-Response-Nachricht.

Die Accounting-Request-Nachrichten besitzen die folgenden Status-Typen:

Start: Sobald sich ein VPN-Peer am LANCOM-Gateway anmeldet, startet das Gateway über IKEv2 eine Accounting-Session und sendet eine Start-Statusmeldung mit entsprechenden RADIUS-Attributen an den Accounting-RADIUS-Server.
Interim-Update: Während einer laufenden Accounting-Session sendet das Gateway in definierten Zeitabständen Interim-Update-Statusmeldungen an den Accounting-RADIUS-Server, der auch die Start-Statusmeldung als gültig beantwortet hat. Eventuell konfigurierte Backup-Server ignoriert das Gateway.
Stop: Nach dem Ende einer Sitzung sendet das LANCOM-Gateway eine Stop-Statusmeldung an den Accounting-RADIUS-Server. Auch diese Meldung sendet es nur an den Accounting-RADIUS-Server, der auch die Start-Statusmeldung als gültig beantwortet hat. Eventuell konfigurierte Backup-Server ignoriert das Gateway.

In der Access-Request-Meldung überträgt das Gateway die folgenden RADIUS-Attribute an den RADIUS-Server:

ID	Bezeichnung	Bedeutung	Status-Typ
1	User-Name	Die Remote-ID des VPN-Peers, wie er sie in der `AUTH`-Verhandlung mit dem LANCOM-Gateway überträgt.	Start Interim-Update Stop
4	NAS-IP-Address	Gibt die IPv4-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "95" (siehe unten).	Start Interim-Update Stop
8	Framed-IP-Address	IPv4-Adresse des VPN-Clients.	Start Interim-Update Stop
31	Calling-Station-Id	Gibt die ID (als IPv4- oder IPv6-Adresse) der rufenden Station an (z. B. des VPN-Clients).	Start Interim-Update Stop
32	NAS-Identiﬁer	Der Gerätename des Gateways.	Start Interim-Update Stop
40	Acct-Status-Type	Beinhaltet den Status-Typ "Start" (1).	Start
40	Acct-Status-Type	Beinhaltet den Status-Typ "Interim-Update" (3).	Interim-Update
40	Acct-Status-Type	Beinhaltet den Status-Typ "Stop" (2).	Stop
42	Acct-Input-Octets	Enthält die Anzahl der aus Richtung VPN-Peer empfangenen Oktette. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header.	Interim-Update Stop
43	Acct-Output-Octets	Enthält die Anzahl der zum VPN-Peer gesendeten Oktette. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header.	Interim-Update Stop
44	Acct-Session-Id	Der Name des VPN-Peers und der Zeitstempel zum Session-Start bilden die eindeutige Session-ID.	Start Interim-Update Stop
46	Acct-Session-Time	Enthält die verstrichene Zeit in Sekunden seit Beginn der Session.	Interim-Update Stop
47	Acct-Input-Packets	Enthält die Anzahl der aktuell aus Richtung VPN-Peer empfangenen Datenpakete.	Interim-Update Stop
48	Acct-Output-Packets	Enthält die Anzahl der aktuell zum VPN-Peer gesendeten Datenpakete.	Interim-Update Stop
49	Acct-Terminate-Cause	Enthält die Ursache für die Beendigung der Session.	Stop
52	Acct-Input-Gigawords	Enthält die Anzahl der aus Richtung VPN-Peer empfangenen Gigawords. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header.	Interim-Update Stop
53	Acct-Input-Gigawords	Enthält die Anzahl der zum VPN-Peer gesendeten Gigawords. Der Wert bezieht sich auf die entschlüsselten Daten, beginnend mit dem IP-Header.	Interim-Update Stop
95	NAS-IPv6-Address	Gibt die IPv6-Adresse des Gateways an, das den Zugang für einen Anwender anfragt. Erfolgt die Verbindung über eine IPv6-Verbindung, überträgt das Gateway stattdessen das Attribut "4" (siehe oben).	Start Interim-Update Stop
168	Framed-IPv6-Address	IPv6-Adresse des VPN-Clients.	Start Interim-Update Stop