Windows Phone 10 per VPN verbinden?

[Liebl98]

Hallo an Alle.

Frage, Gibt es eine Möglichkeit, ein Windows Phone 10 per VPN an einen Lancom Router anzubinden?
Es darf auch eine kostenpflichtige Lösung sein, gibt es hier irgendwelche Erfahrungen?

Vielen Dank,

Gruss,

ML

[GrandDixence]

Mein Versuch von einem Nokia Lumia 830 unter Windows 10 Mobile mit dem nativen VPN-Client einen IKEv2/IPSec-VPN-Tunnel zu einem LANCOM-Router herzustellen, ist kläglich gescheitert. Wahrscheinlich liegt es an der hier beschriebenen Problematik:

http://www.lancom-forum.de/fragen-zum-t ... 15228.html

Aktuell gibt es einen LANCOM Support Knowledgebase-Eintrag für Android-Mobiltelefone und IPhones:

https://www2.lancom.de/kb.nsf/1275/5B38 ... enDocument

https://www2.lancom.de/kb.nsf/1275/FB30 ... enDocument

Aber kein LANCOM Support Knowledgebase-Eintrag für Mobiltelefone mit einem Windows-Betriebssystem (Windows Phone 8 oder Windows 10 Mobile). Offenbar kann der native VPN-Client von Windows-Betriebssystemen (noch) nicht für VPN-Tunneln zu LANCOM-Geräte eingesetzt werden.

[Liebl98]

Vielen Dank für die ausführliche Antwort. Gibt es wenigstens die Möglichkeit einer PPTP Verbindung. Mir ist klar, dass diese Verbindung aktuell nur unverschlüsselt Daten übertragen kann. Für meine Einsatzzwecke wäre dies aber vollkommen ausreichend. Gibt es diesbezüglich irgendwelche Erfahrungen?

Vielen Dank,

Gruse, ML

[GrandDixence]

Ich habe einige Stunden Zeit in meine "Forschungsarbeiten" zum Thema "Sicherer VPN-Tunnel für Windows Phone investiert und möchte mein Vorgehen hier präsentieren. Ich möchte auf einige Stolpersteine bei der Installation und Konfiguration des VPN-Tunnels zwischen Windows 10 Mobile und dem LANCOM-Router hinweisen. Insbesondere hoffe ich aber auch, dass jemand eine Lösung für die von mir nicht überwindbaren Hürden aufzeigen könnte. Zu Versuchzwecken wurde der VPN-Tunnel auf einem Windows 10-Rechner realisiert.

Mein Ziel ist die Realisierung eines kostenlosen, sicheren VPN-Tunnels zwischen meinem Windows Phone und meinem LANCOM-Router. Der VPN-Tunnel soll mit IKEv2/IPSec und mit Maschinen-Zertifikate realisiert werden und den Sicherheitsanforderungen von BSI TR-02102-3 und BSI TR-03116 genügen:

https://www.bsi.bund.de/DE/Publikatione ... _node.html

Zertifikate erstellen
==================
Es werden drei Zertifikate benötigt:

- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel).
- 1 Maschinenzertifikat für den LANCOM-Router (öffentlicher und privater Schlüssel)
- 1 Maschinenzertifikat für das Windows Phone (öffentlicher und privater Schlüssel)

Das Maschinenzertifikat ermöglicht es dem anderen VPN-Endpunkt zu kontrollieren, ob am anderen Ende des VPN-Tunnels der korrekte Gesprächsparter horcht. Das Maschinenzertifikat wurde mit dem privaten Schlüssel des Stammzertifikats mit einem digitalen Siegel versehen. Mit Hilfe des öffentlichen Schlüssels des Stammzertifikats und diesem Siegel kann der VPN-Endpunkt die Echtheit des Maschinenzertifikats überprüfen.

Das Erstellen der Zertifikate ist im LCOS-Referenzhandbuch ausführlich beschrieben. Anleitungen für OpenSSL findet man unter:

https://checkmk.de/lw_ca_zertifikat_erstellen.html

https://jamielinux.com/docs/openssl-cer ... index.html

Beim Erstellen der Zertifikate ist darauf zu achten, dass auf den Einsatz von MD5 und SHA-1 aus Sicherheitsgründen gänzlich zu verzichten ist (siehe auch BSI TR-03116). Insbesondere sind beim Erstellen der Zertifikate die Empfehlungen in BSI TR-03116-4 Kapitel 5.1 "PKI-basierte Identifizierung" zu beachten. Die Verwendung von "subjectAltName" ist empfehlenswert. Siehe auch:

https://www.heise.de/security/artikel/C ... 17594.html

Diese Anleitung wurde für RSA-Zertifikate mit einer Schlüssellänge von 4096 Bit geschrieben (und getestet).

Für den Aufbau der PKI (Zertifikatserstellung) sollte ein vertrauenswürdigen Zufallszahlengenerator eingesetzt werden. Siehe auch:
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98470

Für die Fehlersuche bei Zertifikats-Problemen siehe:
viewtopic.php?f=14&t=18184&p=103339

fragen-zum-thema-vpn-f14/lancom1900ef-p ... 18752.html

Maschinenzertifikat LANCOM-Router
----------------------------------------
Für die Installation eines Maschinenzertifikats auf dem LANCOM-Router muss ein Zertifikatspaket (*.p12-Datei) erstellt werden mit folgenden Inhalt:

- 1 Maschinenzertifikat für den LANCOM-Router (öffentlicher und privater Schlüssel)
- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel).

Die Installation eines Maschinenzertifikats auf dem LANCOM-Router erfolgt wie folgt:

Im Webinterface der Firewall unter Dateimanagement -> Zertifikat oder Datei hochladen

Das Zertifikatspaket *.p12 hochladen. Die Option
"Vorhandene CA Zertifikate ersetzen" aktivieren und den Dateityp:

VPN - Container (VPN1) als PKCS#12-Datei (*.pfx, *.p12) wählen.

Das neue Zertifikat wird erst nach einem Neustart der Firewall aktiviert.

Die Zertifikatsinstallation kann mit dem Befehl:

Code: Alles auswählen

show vpn cert
show vpn ca

überprüft werden. Dabei muss das Maschinenzertifikat (show vpn cert) mit den Zeilen:

Code: Alles auswählen

X509v3 extensions:
       X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication

ausgewiesen werden.

Wichtig: Microsoft stellt sehr strenge Anforderungen an die Zertifikate. Werden diese Anforderungen nicht erfüllt, verweigert der auf dem Windows Phone/Windows Desktop-Rechner installierte native VPN Client den Verbindungsaufbau! Siehe auch:

https://wiki.strongswan.org/projects/st ... in7CertReq


Maschinenzertifikat Windows Phone
===============================
Für die Installation eines Maschinenzertifikats auf dem Windows Phone muss ein Zertifikatspaket (*.p12-Datei) erstellt werden mit folgenden Inhalt:

- 1 Maschinenzertifikat für das Windows Phone (öffentlicher und privater Schlüssel)

zusätzlich muss der öffentliche Schlüssel des Stammzertifikats als *.cer-Datei bereitgestellt werden.

Die Installation eines Maschinenzertifikats auf dem Windows Phone erfolgt wie folgt:

Stammzertifikat installieren auf dem Windows Phone
---------------------------------------------------------
ca.cer -> Öffentlicher Schlüssel des Stammzertifikats

Das CA-Zertifikat mit dem USB-Datenkabel auf das Windows Phone kopieren.

Mit dem File Explorer (App "Dateien") das Stammzertifikat installieren.

Maschinenzertifikat Windows Phone installieren
-------------------------------------------------
Das Maschinenzertifikat (*.p12) mit dem USB-Datenkabel auf das Windows Phone kopieren.

Mit dem File Explorer (App "Dateien") das Maschinenzertifikat installieren.

Kontrolle der Zertifikatsinstallation
----------------------------------
App "Zertifikate" vom Hersteller Microsoft aus dem App Store herunterladen und installieren.

App "Zertifikate" starten und prüfen:

1.) Ob das Stammzertifikat im Register "Stammzertifikate" aufgelistet wird.
2.) Das Maschinenzertifikat im Register "Persönliches Zertifikat aufgelistet wird.
3.) Auf das Maschinenzertifikat tippen und folgende Werte überprüfen:

- Erweiterte Verwendung:
Server Authentication (1.3.6.1.5.5.7.3.1)
Client Authentication (1.3.6.1.5.5.7.3.2)

- Privater Schlüssel
Ja

- Zertifizierungsstelle
Überprüft

Wichtig: Microsoft stellt sehr strenge Anforderungen an die Zertifikate. Werden diese Anforderungen nicht erfüllt, verweigert der auf dem Windows Phone installierte native VPN Client den Verbindungsaufbau! Siehe auch:

https://wiki.strongswan.org/projects/st ... in7CertReq


Maschinenzertifikat Windows Desktop-Rechner
========================================
Für die Installation eines Maschinenzertifikats auf dem Windows Desktop-Rechner muss ein Zertifikatspaket (*.p12-Datei) erstellt werden mit folgenden Inhalt:

- 1 Maschinenzertifikat für den Windows-Rechner (öffentlicher und privater Schlüssel)

zusätzlich muss der öffentliche Schlüssel des Stammzertifikats als *.cer-Datei bereitgestellt werden.

Die Installation eines Maschinenzertifikats auf dem Windows Desktop-Rechner erfolgt wie folgt:

Installation des Stammzertifikat
-------------------------------------
Als Administrator anmelden und das Stammzertifikat (*.cer-Datei) an einer sicheren Stelle mit sicheren Zugriffsrechten ablegen.

Den Computer-Zertifikatsspeicher öffnen:

Startmenü -> Ausführen -> "mmc.exe" eingeben und <Enter>-Taste betätigen.

Menü "Datei" -> Snap-In hinzufügen/entfernen

Unter "Verfügbare Snap-Ins" "Zertifikate" auswählen und den "Hinzufügen"-Knopf betätigen. Im Dialogfenster "Computerkonto" auswählen. Im nächsten Dialog "Lokalen Computer" auswählen. Schliesslich noch den OK-Knopf betätigen.

Zu "Vertrauenswürdige Stammzertifizierungsstellen"\Zertifikate wechseln. In der linken Fensterhälfte mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen"\Zertifikate klicken und im Kontextmenü den Menüeintrag "Alle Aufgaben"\Importieren auswählen.

Im Dialogfenster das CA-Zertifikat auswählen (*.cer) und den Zertifikatsspeicher "Vertrauenswürdige Stammzertifizierungsstellen" auswählen.

In der rechten Fensterhälfte das Stammzertifikat mit einem Mausdoppelklick öffnen. Im Register "Details" den Knopf "Eigenschaften bearbeiten..." betätigen.

Das Stammzertifikat nur für folgende Zwecke aktivieren:

Serverauthentifizierung
Clientauthentifizierung

Installation des Maschinenzertifikats
---------------------------------------
Als Administrator anmelden und das Maschinenzertifikat (*.p12-Datei) an einer sicheren Stelle mit sicheren Zugriffsrechten ablegen.

Den Computer-Zertifikatsspeicher öffnen:

Startmenü -> Ausführen -> "mmc.exe" eingeben und <Enter>-Taste betätigen.

Menü "Datei" -> Snap-In hinzufügen/entfernen

Unter "Verfügbare Snap-Ins" "Zertifikate" auswählen und den "Hinzufügen"-Knopf betätigen. Im Dialogfenster "Computerkonto" auswählen. Im nächsten Dialog "Lokalen Computer" auswählen. Schliesslich noch den OK-Knopf betätigen.

Zu "Eigene Zertifikate" wechseln.

In der linken Fensterhälfte mit der rechten Maustaste auf "Eigene Zertifikate" klicken und im Kontextmenü den Menüeintrag "Alle Aufgaben"\Importieren auswählen.

Im Dialogfenster das Maschinenzertifikat auswählen:

*.p12 -> Maschinenzertifikat

Damit das Maschinenzertifikat im Dialogfenster ersichtlich ist, muss der Dateityp:

Private Informationsaustausch (*.pfx, *.p12) gewählt werden!

Das Kennwort für den privaten Schlüssel des Rechnerzertifikats eingeben.

Zertifikatsspeicher "Eigene Zertifikate" auswählen.

In der rechten Fensterhälfte das Maschinenzertifikat mit einem Mausdoppelklick öffnen. Im Register "Details" den Knopf "Eigenschaften bearbeiten..." betätigen.

Das Maschinenzertifikat sollte nur für folgende Zwecke aktiviert sein:

Serverauthentifizierung
Clientauthentifizierung

Alle anderen Optionen müssen abgegraut sein und können nicht aktiviert werden.

Wichtig: Microsoft stellt sehr strenge Anforderungen an die Zertifikate. Werden diese Anforderungen nicht erfüllt, verweigert der auf dem Windows Desktop-Rechner installierte native VPN Client den Verbindungsaufbau! Siehe auch:

https://wiki.strongswan.org/projects/st ... in7CertReq

[GrandDixence]

Dynamisches DNS (DynDNS)
=======================
Damit das Windows Phone den LANCOM-Router im Internet findet, kann Dynamisches DNS eingesetzt werden:

https://de.wikipedia.org/wiki/Dynamisches_DNS

Gute Erfahrungen habe ich mit dem kostenlosen Angebot von SPDYN.de gemacht:

https://www.spdyn.de/

Aus Sicherheitsgründen sollte der LANCOM-Router ausschliesslich verschlüsselt mit SPDYN.de kommunizieren. Aus Sicherheitsgründen ist der Einsatz des Update-Tokens empfohlen:

http://wiki.securepoint.de/index.php/SP ... ate-Tokens

Für die Installation und Konfiguration des Dynamischen DNS sollte auf den Einsatz der Assistenten im LANCOM-Router/LCOS verzichtet werden. Statt dessen sollten die korrekten Einträge in der Aktionstabelle des LANCOM-Routers von Hand erstellt werden:

Code: Alles auswählen

Aktiv  Hostname               Gegenstelle  Sperrzeit  Bedingung   Aktion                                                                       Pruefen-Auf              Besitzer   Routing-Tag
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ja     GRANDDIXENCE.SPDNS.DE  CABLECOM     0          Aufbau      dnscheck:GRANDDIXENCE.SPDNS.DE                                               isequal=%a?skipiftrue=1     root    0         
ja     GRANDDIXENCE.SPDNS.DE  CABLECOM     0          Aufbau      https://%h:<Update-Token>@update.spdyn.de/nic/update?hostname=%h&myip=%a                                 root    0         
ja     GRANDDIXENCE.SPDNS.DE  CABLECOM     0          Aufbau      repeat:300                                                                                               root    0 

Damit der VPN-Tunnel vom VPN-Client aufgebaut werden kann, muss das LANCOM-Gerät zwingend mit einer öffentlichen IPv4-Adresse an der WAN-Schnittstelle betrieben werden! Dies ist gerade bei "Dual Stack Light" (DS Light) zu beachten (z.B. Internetanschluss über Fernsehkabelnetz per EuroDOCSIS-Kabelmodem). Siehe auch:

https://www.elektronik-kompendium.de/si ... 904041.htm

[GrandDixence]

Nativer VPN Client von Windows konfigurieren
=====================================
Der VPN-Tunnel zum LANCOM-Router wird unter Windows 10 (Mobile) wie folgt eingerichtet:

1.) Einstellungen => Netzwerk und WLAN => VPN
2.) Knopf "VPN-Verbindungen hinzufügen" betätigen
3.) Einstellungen vornehmen:

VPN-Anbieter: Windows (integriert)
Verbindungsname: granddixence.spdns.de
Servername oder IP-Adresse: granddixence.spdns.de
VPN-Typ: IKEv2
Anmeldeinformationstyp: Zertifikat
Benutzername (optional): <leer lassen>
Kennwort (optional): <leer lassen>
Option "Anmeldeinformationen speichern":=deaktiviert

4.) Knopf "Speichern" betätigen

Für eine Konfigurationsanleitung für ältere Windows-Betriebssysteme (z.B. Windows 7), siehe bitte:

https://wiki.strongswan.org/projects/st ... Win7Config

Die nachfolgenden Einstellungen sind zwingend notwendig und können nur unter Windows 10 erfolgen.

Windows 10 Mobile unterstützt die folgenden, zwingend erforderlichen Konfigurationsschritte nicht!

1.) Systemsteuerung -> Netzwerk- und Freigabecenter
2.) Adaptereinstellungen ändern
3.) Mit rechter Maustaste "granddixence.spdns.de" anwählen und im Kontextmenü "Eigenschaften" auswählen.
4.) Register "Optionen" -> Leerlaufzeit, nach der aufgelegt wird:=Niemals
5.) Register "Sicherheit" -> Datenverschlüsselung:=Erforderlich
6.) Register "Sicherheit" -> Option "Computerzertifikate verwenden":=aktiv
7.) Register "Sicherheit" -> Knopf "Erweiterte Einstellungen betätigen"
8.) Option "Mobilität:=aktiv und die Netzwerkausfall-Zeit:="5 Minuten" einstellen. Fenster über den OK-Knopf schliessen.
9.) Register "Netzwerk" -> Option "Internetprotokoll, Version 4 (TCP/IPv4)" wählen und den Knopf "Eigenschaften" betätigen.
10.) Knopf "Erweitert" betätigen
11.) Register "IP-Einstellungen" -> Option Standardgateway für das Remotenetzwerk verwenden:=aktiv
12.) Alle Fenster über den OK-Knopf schliessen.

13.) Alle bestehenden VPN-Tunnels trennen und den VPN-Tunnel zu "granddixence.spdns.de" aufbauen.
14.) Startmenü -> Ausführen => "cmd"
15.) In der Befehlskonsole den Befehl "route -4 print" eingeben.
16.) In den Befehlsausgaben kontrollieren, ob die Defaultroute (Netzwerkziel: "0.0.0.0" UND Netzwerkmaske: "0.0.0.0") zum LANCOM-Router die Metrik mit der tiefsten Zahl (am nächsten zu 0) aufweist.

Siehe auch:
https://wiki.strongswan.org/projects/st ... Win7Config
https://wiki.strongswan.org/projects/st ... i/Windows7

Achtung: Standardmässig unterstützt der native VPN-Client von Windows keine starke Verschlüsselung! Als nächster Schritt sollte die Unterstützung von besseren VPN-Verschlüsselung aktiviert werden:

1.) In der Powershell den Befehl:

Code: Alles auswählen

Set-VpnConnectionIPSecConfiguration -ConnectionName "granddixence.spdns.de" -AuthenticationTransformConstants GCMAES128 -CipherTransformConstants GCMAES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup ECP256 -Force -PassThru

eingeben. Siehe auch:
https://www.administrator.de/wissen/ips ... 37198.html

https://docs.microsoft.com/en-us/powers ... w=win10-ps

=> Zu den Verschlüsselungsverfahren bitte die Hinweise unter:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101705
beachten!


Nativer VPN Client von Windows starten
=====================================
Der VPN-Tunnel zum LANCOM-Router wird unter Windows 10 (Mobile) wie folgt aufgebaut:

1.) Einstellungen => Netzwerk und WLAN => VPN
2.) VPN-Tunnel starten mit Tipp oder Mausklick auf "granddixence.spdns.de".
3.) Knopf "Verbinden" betätigen.

Für eine Start-Anleitung für ältere Windows-Betriebssysteme (z.B. Windows 7), siehe bitte:

https://wiki.strongswan.org/projects/st ... in7Connect


MobIKE
=========
MobIKE ist eine Erweiterung von IKEv2/IPSec für den mobilen Einsatz. Wenn maximal ein VPN-Endpunkt hinter einem NAT-Router/Firewall betrieben wird, ermöglicht MobIKE den dynamischen Wechsel der IP-Adresse und auf dem VPN-Client sogar den Wechsel der Netzwerkschnittstelle. Für mehr Details siehe bitte:

https://www.heise.de/security/artikel/M ... 70948.html

Leider wird MobIKE von LANCOM-Geräten gar nicht oder nur mangelhaft unterstützt. Bei einem bestehenden VPN-Tunnel zwischen Windows-Gerät und LANCOM-Router wird auf dem Windows-Gerät unter:

1.) Systemsteuerung -> Netzwerk- und Freigabecenter -> Adaptereinstellungen ändern
2.) Mit Mausdoppelklick das Status-Dialogfenster des VPN-Tunnel (granddixence.spdns.de) öffnen.
3.) Ins Register "Details" wechseln.

die fehlende MobIKE-Unterstützung ausgewiesen (Mobike Supported:=Nein).


IKEv2-Fragmentierung
=========================
Der native VPN Client von Windows 10 (Mobile) unterstützt keine IKEv2-Fragmentierung gemäss RFC 7383.

Netzwerkkomponenten, die fragmentierte IP-Pakete blockieren, können den Aufbau des VPN-Tunnels verunmöglichen oder stören.


DNS Leak-Problem
================
Windows-Geräte leiden generell unter dem DNS Problem. Ohne spezielle Massnahmen (z.B. in VPN Clients von Drittherstellern)
werden DNS-Anfragen an die DNS-Server aller aktiven Netzwerkschnittstellen des Windows-Gerät gesendet. Dieses Verhalten
ist beim Einsatz von verschlüsselten VPN-Tunnels meistens unerwünscht. Bei aktiven VPN-Tunnel sollten aus Datenschutzgründen
alle DNS-Anfragen durch den VPN-Tunnel gesendet werden.

Das DNS Leak-Problem kann mit einigen Handgriffen gelöst werden:

Vor dem Aufbau des VPN-Tunnel
------------------------------------
1.) Alle nicht benötigten Netzwerkschnittstellen (z.B. Ethernet, WLAN/WiFi, Mobilfunkkarte (GSM/UMTS/LTE/4G)) ausschalten.
2.) Als Administrator anmelden.
3.) Startmenü -> Ausführen => "cmd"
4.) Alle konfigurierten DNS-Server auflisten mit dem Befehl:

Code: Alles auswählen

netsh interface IPv4 show dnsservers

5.) Die Nutzung des lokalen DNS-Server abschalten:

Code: Alles auswählen

netsh interface IPv4 set dnsservers name="Ethernet" source=static address=0.0.0.0 register=none validate=no

6. ) Kontrolle:

Code: Alles auswählen

netsh interface IPv4 show dnsservers

Nach der Trennung des VPN-Tunnels
1.) Als Administrator anmelden.
2.) Startmenü -> Ausführen => "cmd"
3.) Die Nutzung des lokalen DNS-Server einschalten:

Code: Alles auswählen

netsh interface IPv4 set dnsservers name="Ethernet" source=dhcp register=primary

4.) Kontrolle:

Code: Alles auswählen

netsh interface IPv4 show dnsservers

Siehe auch:
https://www.dnsleaktest.com/how-to-fix-a-dns-leak.html


Fehlersuche auf dem LANCOM-Router
==============================
Auf dem LANCOM-Router stehen bei VPN-Tunnelaufbau-Problemen mächtige VPN-Diagnosewerkzeuge zur Verfügung:

VPN-Tunnel Regeln, Verschlüsselung und Einstellungen einsehen:

Code: Alles auswählen

show vpn
show vpn long

VPN-Security-Policies anzeigen:

Code: Alles auswählen

show vpn spd

VPN Ausgehandelte SAs anzeigen:

Code: Alles auswählen

show vpn sadb

VPN tracen:

Code: Alles auswählen

trace + vpn
trace + vpn-debug 

[MariusP]

Hi,
Wenn man nach "vpn" traced werden nicht alle traces angeschaltet.
Der Debug Trace, welcher zusätzliche, in den meisten Fällen unwichtige, Info enthält, wird über nur über manuelles "vpn-d" gestartet.
Gruß

[GrandDixence]

Konfiguration des LANCOM-Router
============================
Diese Anleitung gilt für LCOS 10.12 Rel.
Diese Anleitung gilt für Windows 10.0.14393 Build 1593.

Damit der LANCOM-Router sichere VPN-Tunnels mit IKEv2/IPSec zu Windows-Geräten ermöglicht, sind nach folgende Einstellungen im LANCOM-Gerät erforderlich.

Alle nicht aufgelisteten Werte unter /Setup/VPN sind auf den Default-Einstellungen von LCOS zu belassen! Die Default-Einstellungen sind in der LCOS-Menüreferenz oder in der LCOS-Online-Hilfe ersichtlich.

VPN-Endpunkt auf dem LANCOM-Router einschalten:

Code: Alles auswählen

Setup/VPN/Aktiv:=Ja

Anti-Replay-Schutz aktivieren:

Code: Alles auswählen

Setup/VPN/Anti-Replay-Window-Size:=100

Schutz vor DDOS-Angriffe aktivieren:

Code: Alles auswählen

Setup/VPN/IKEv2/Cookie-Challenge:=Immer

Achtung: Der Schutz vor DDOS-Angriffe darf nur aktiviert werden, wenn alle VPN-Clients und VPN-Endpunkte den "IKEv2 Cookie Modus" unterstützen!
Dieser Schutz vor DDOS-Angriffe ist erst ab LCOS v10.32 oder höher verfügbar.

VPN-Tunnel auch hinter NAT-Router/Firewall ermöglichen:

Code: Alles auswählen

Setup/VPN/NAT-T-Aktiv:=Ja

Für den VPN-Tunnel hinter NAT-Router/Firewall soll möglichst immer der Port UDP 4500 verwendet werden:

Code: Alles auswählen

Setup/VPN/NAT-T-Port-fuer-Rekeying:=Ja

Erweiterte Parameter sind keine notwendig:

Code: Alles auswählen

Setup/VPN/IKEv2/Erweiterte-Parameter/Name=<leer>
Setup/VPN/IKEv2/Erweiterte-Parameter/PRF-als-Sig-Hash:=Nein

Diese VPN-Regel erlaubt dem Windows-Gerät den Internetzugriff durch den VPN-Tunnel:

Code: Alles auswählen

Setup/VPN/Netzwerkregeln/IPv4-Regeln
VPN_NATEL_NETZ	0.0.0.0/0	0.0.0.0/32

Zur Bedeutung und Wirkung der IPv4-Regeln siehe:

fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

viewtopic.php?f=14&t=17091&p=96922&hili ... gel#p96922

Den VPN-Tunnel für die Einwahl der Windows-Geräte einrichten:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Gegenstellen/

Gegenstelle   Aktiv    SH-Zeit  Entferntes-Gateway  Rtg-Tag   Verschluesselung  Authentifizierung   Parameter   Lebensdauer   IKE-CFG     IPv4-CFG-Pool   IPv6-CFG-Pool     Regelerzeugung  IPv4-Regeln        IPv6-Regeln  Routing   RADIUS-Autorisierung   RADIUS-Accounting   Kommentar
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DEFAULT       ja       0                               0         NATEL          DEFAULT             VPN_NATEL   VPN_NATEL     aus                                           Manuell                                                                                               DEFAULT
VPN_NATEL     ja       0                              10         NATEL          NATEL               VPN_NATEL   VPN_NATEL     Server      VPN_NATEL                         Manuell         VPN_NATEL_NETZ                                                                        VPN_NATEL

Wichtig: Der Name der Gegenstelle muss "DEFAULT" lauten! Für die Gegenstelle "DEFAULT" kann das Routing-Tag nicht geändert werden ("0" ist Pflicht für die Gegenstelle "DEFAULT")! Die Regelerzeugung muss zwingend manuell erfolgen. Die Angabe "Entferntes-Gateway" ist leer zu lassen.

Zur Bedeutung der Gegenstelle-Einträge siehe:
fragen-zum-thema-vpn-f14/ikev2-fragment ... ml#p106085


Die Verbindungskontrolle des VPN-Tunnel erfolgt alle 30 Sekunden:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Allgemeines/

Name                  DPD-Inakt-Timeout  SSL-Encaps.  IPCOMP   Encaps-Mode  
---------------------------------------------------------------------------
VPN_NATEL             30                 nein         nein     Tunnel 

Die Anmeldung der Windows-Geräte ist zu regeln:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Auth/Parameter/

Name     Local-Auth          Local-Dig-Sig-Profil    Local-ID-Typ         Local-ID                   Lokales-Passwort   Remote-Auth         Remote-Dig-Sig-Profil   Remote-ID-Typ         Remote-ID          Remote-Password   Addit.-Remote-ID-List   Lokales-Zertifikat    Remote-Cert-ID-Check    OCSP-Check     
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
DEFAULT  Digital-Signature   WINDOWS                 Keine Identität                                                    Digital-Signature   WINDOWS                 Keine Identität                                                                           VPN1                   nein            nein
NATEL    Digital-Signature   WINDOWS                 Distinguished-Name   CN=granddixence.spdns.de                      Digital-Signature   WINDOWS                 Distinguished-Name    CN=natel.invalid                             VPN_NATEL              VPN1                    ja             nein


> ls /Setup/VPN/IKEv2/Auth/Addit.-Remote-ID-List/

Name              Addit.-Remote-IDs                                                                                                                                                                                                                                             
---------------------------------------------
VPN_NATEL         TEST.INVALID  


> ls /Setup/VPN/IKEv2/Auth/Addit.-Remote-IDs

Name            Remote-Auth           Remote-Dig-Sig-Profil     Remote-ID-Typ          Remote-ID           Remote-Password    Remote-Cert-ID-Check    OCSP-Check     
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
TEST.INVALID    Digital-Signature     WINDOWS                   Distinguished-Name     CN=test.invalid                                ja                 nein

=> Bei mehreren gleichzeitigen VPN-Tunnels von Einwahlverbindungen (RAS) bitte die Hinweise unter:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101708
beachten!

Das Anmeldeverfahren ist zu definieren:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Auth/Digital-Signatur-Profile/

Name           Auth-Methode            Hash-Algorithmen              
----------------------------------------------------------------------
WINDOWS        RSASSA-PKCS1-v1_5       SHA-384

Achtung: Das Anmeldeverfahren RSASSA-PKCS1-v1_5 und RSA-Signature gilt als unsicher! Siehe auch BSI TR-02102-3.
Das Anmeldeverfahren RSASSA-PSS und RSASSA-PKCS1-v1_5 wird von den Windows-Geräten nicht unterstützt.
Die auf ECDSA-basierenden Anmeldeverfahren werden vom LANCOM-Router nicht unterstützt.
Deshalb erfolgt bei Windows-Geräten in Verbindung mit einem LANCOM-Router ein automatischer Rückfall auf das unsichere Anmeldeverfahren RSA-Signature!

Aus Sicherheitsgründen wird auf Windows-Geräte der Einsatz eines VPN-Client von einem Dritthersteller empfohlen!


Die Verschlüsselung des VPN-Tunnels ist zu konfigurieren:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Verschluesselung/

Name   DH-Gruppen   PFS   IKE-SA-Verschluesselungsliste   IKE-SA-Integ-Alg-Liste    Child-SA-Verschluesselungsliste   Child-SA-Integ-Alg-Liste            
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
NATEL  DH19         ja    AES-CBC-128                     SHA-256                   AES-GCM-128                       SHA-256

=> Zu den Verschlüsselungsverfahren bitte die Hinweise unter:
fragen-zum-thema-vpn-f14/windows-10-mit ... ml#p101705
beachten!

Verbrauchte Verschlüsselungs-Schlüssel sind gemäss den Empfehlungen des BSI TR-02102-3 auszutauschen:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Lebensdauer/

Name             IKE-SA-Sec       IKE-SA-KB        Child-SA-Sec     Child-SA-KB         
-----------------------------------------------------------------------------------
VPN_NATEL        86400            2000000          14400            2000000  

Für die Einwahl der Windows-Geräte wurde das IPv4-Netz 192.168.10.1/255.255.255.0 vorgesehen bzw. reserviert:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/IKE-CFG/IPv4

Name              Start-Adresspool    Ende-Adresspool     Erster-DNS       Zweiter-DNS    
---------------------------------------------------------------------------------------
VPN_NATEL         192.168.10.2        192.168.10.254      192.168.10.1

Den Windows-Geräte soll beim VPN-Tunnelaufbau eine IPv4-Adressen aus dem Bereich von 192.168.10.2 bis 192.168.10.254 vergeben werden.
Als DNS-Server dient der LANCOM-Router interne DNS-Server, welcher im Beispiel auf der IP-Adresse 192.168.10.1 auf DNS-Anfragen horcht.

Damit der LANCOM-interne DNS-Server auf der IP-Adresse 192.168.10.1 auf DNS-Anfragen horcht, ist folgende Konfiguration erforderlich:

Code: Alles auswählen

> ls Setup/TCP-IP/Loopback-Liste/

Name          Loopback-Addr.   Rtg-Tag
--------------------------------------------
ROUTER10      192.168.10.1     10

Aus Sicherheitsgründen muss der VPN-Zugriff eingeschränkt werden:

Code: Alles auswählen

> ls Setup/IP-Router/Tag-Tabelle/

Gegenstelle       Rtg-Tag  Start-WAN-Pool   Ende-WAN-Pool    DNS-Default      DNS-Backup       NBNS-Default     NBNS-Backup    
-----------------------------------------------------------------------------------------------------------------------------
VPN_NATEL         10       0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0          0.0.0.0  

Zur Bedeutung der Einträge in der "Wan-Tag-Tabelle" siehe:

fragen-zum-thema-vpn-f14/vpn-clients-mi ... 12347.html

https://www2.lancom.de/kb.nsf/b8f10fe56 ... 6c00408781

Eigene IPv4-Routing-Einträge sind nicht erforderlich:

Code: Alles auswählen

> ls /Setup/VPN/IKEv2/Routing/IPv4

Name        Netze        IKE-CFG-Adr-Senden
---------------------------------------------------

Auch nicht erforderlich ist die Definition von VPN-Regeln in der Firewall-Regeltabelle:

Code: Alles auswählen

/Setup/IP-Router/Firewall/Regel-Tabelle/

In der Firewall-Regeltabelle sind alle Einträge mit VPN-Regel:=nein zu versehen.

[stefanbunzel]

Hallo GrandDixence,

ich habe mir erlaubt, dieses gute Tutorial in das Lancom-Wiki aufzunehmen: http://lancom-wiki.de/index.php?title=V ... dows_Phone

Ich hoffe, dass du nichts dagegen hast? Ansonsten bitte Rückmeldung per PM - und ich werde es dort wieder entfernen.

Viele Grüße,
Stefan

[GrandDixence]

Die Anleitung für den VPN-Tunnel zwischen einem Windows 10 (Mobile)-Gerät und einem LANCOM-Gerät wurde aktualisiert. Das LANCOM-Wiki wurde von mir nicht aktualisiert!

Eine Anleitung für den VPN-Tunnel zwischen einem Android-Gerät und einem LANCOM-Gerät findet man unter:

http://www.lancom-forum.de/aktuelle-lan ... 16074.html

[stefanbunzel]

Hallo GrandDixence,

vielen Dank für deinen Hinweis. Ich habe versucht, deine Änderungen ins Wiki zu übernehmen und hoffe, nichts Wesentliches übersehen zu haben. Immer diese Details...

Vielleicht hat mal jemand Lust, noch einmal beide Anleitungen zu vergleichen und noch evtl. Unterschiede zu beseitigen?

Viele Grüße,
Stefan

[GrandDixence]

Eine Anleitung für den VPN-Tunnel zwischen zweier LANCOM-Gerät findet man unter:

http://www.lancom-forum.de/fragen-zum-t ... 16213.html

[GrandDixence]

Eine Anleitung für den VPN-Tunnel zwischen einem Apple-Gerät (iOS/macOS) und einem LANCOM-Gerät mit IKEv2/IPSec findet man unter:

https://grokdesigns.com/pfsense-ikev2-for-ios-macos-1/

und oben stehend.

Um einen sicheren, BSI TR-02102-3 komformen VPN-Tunnel zwischen Apple-Gerät und LANCOM-Gerät realisieren zu können, muss ein VPN-Profil mit dem Apple Configurator 2 erstellt werden:

- Teil 3 der Anleitung
https://grokdesigns.com/pfsense-ikev2-for-ios-macos-3/

- Configuration Profile Reference - developer.apple.com
https://developer.apple.com/business/do ... erence.pdf

Eine funktionierende Wahl der Verschlüsselungsparameter ist unter:
fragen-zum-thema-vpn-f14/vpn-ikev2-zwis ... tml#p97589
ersichtlich.

[p0ddie]

Diese Copypasta passt bei mir nicht, da ich die Verbindung nicht mit Zertifikaten aufbaue.

[tobiasr]

Um eine Verbindung mit dem Windows VPN Client und halbwegs sicheren Verschlüsselungsverfahren zu ermöglichen, muss man einerseits die Schlüsselverfahren für ein bereits angelegtes VPN in Windows anpassen:

Set-VpnConnectionIPsecConfiguration -ConnectionName "Lancom-VPN" -AuthenticationTransformConstants None -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -PfsGroup None -DHGroup Group14 -PassThru -Force

Zudem einen Registry-Key anpassen:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\NegotiateDH2048_AES256 (DWORD) = 2

Und das VPN auf 'Computerzertifikat' umstellen. Dies geht im 'Windows XP Design'-Dialog aus den Adapteroptionen. Unter 'Sicherheit'. Dort auch auf Maximale Datenverschlüsselung umstellen.