LANCOM TM. VPN Option

Transkript

1 LANCOM TM VPN Option

2 Lizenzvereinbarung für LANCOM Software-Optionen Nutzungsvereinbarung Für die Freischaltung der Software-Option in einem LANCOM-Produkt darf nur der legal über die Online-Registrierung erhaltene, dedizierte Freischaltcode verwendet werden. Für die Online-Registrierung und zum Erhalt des Freischaltcodes darf nur die durch Kauf einer LANCOM-Software-Option legal erworbene, dedizierte Lizenznummer verwendet werden. Der Lizneznachweis mit der aufgedruckten Lizenznummer ist sorgfältig aufzubewahren. Reverse-Engineering oder Rückassemblierung verboten Bei Verletzung der oben genannten Punkte behält sich LANCOM Systems das Recht vor, gerichtlich gegen Sie vorzugehen. Haftungsbeschränkung LANCOM Systems haftet nicht bei Missbrauch seiner Produkte SSH -Erklärung LANCOM VPN-Produkte werden hergestellt unter Lizenz von SSH Communications Security. Für Produktbestandteile von SSH gilt: 2002 SSH Communications Security. Alle Rechte vorbehalten LANCOM Systems GmbH, Würselen (Germany). Alle Rechte vorbehalten. Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht als Zusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs- und Lieferbedingungen festgelegt ist. Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentation und Software und die Verwendung ihres Inhalts sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet. Änderungen, die dem technischen Fortschritt dienen, bleiben vorbehalten. Windows, Windows NT und Microsoft sind eingetragene Marken von Microsoft, Corp. Cisco ist eine eingetragene Marke von Cisco Systems, Inc. SSH Secure Shell, SSH IPSEC Express, SSH NAT Traversal, SSH Sentinel und SSH Certifier sind Marken von SSH Communications Security. Das LANCOM Systems-Logo und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM Systems GmbH. Alle übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer sein. LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern, und übernimmt keine Gewähr für technische Ungenauigkeiten und/oder Auslassungen. LANCOM Systems GmbH Adenauerstr. 20/B Würselen Deutschland /0702

3 Ein Wort vorab Vielen Dank für Ihr Vertrauen! Mit der LANCOM VPN Option erweitern Sie einen LANCOM-Router um die Fähigkeit, sogenannte 'Virtuelle Private Netzwerke' aufzubauen. Damit können Sie kostengünstige Netzwerkkopplungen über das Internet aufbauen, die ein sehr hohes Maß an Datensicherheit bieten. Eine besondere Eigenschaft von LANCOM VPN ist Dynamic VPN, eine von LANCOM Systems zum Patent angemeldete Technologie. Während VPN üblicherweise statische IP-Adressen voraussetzt, ermöglicht die Funktionalität von Dynamic VPN den Aufbau von VPN-Verbindungen auch mit dynamischen IP-Adressen. Dadurch können Sie LANCOM VPN mit jeder Internet-Anbindung verwenden. An der Erstellung dieser Dokumentation haben mehrere Mitarbeiter/innen aus verschiedenen Teilen des Unternehmens mitgewirkt, um Ihnen die bestmögliche Unterstützung bei der Nutzung Ihres LANCOM-Produktes anzubieten. Sollten Sie dennoch einen Fehler finden, oder einfach nur Kritik oder Anregung zu dieser Dokumentation äußern wollen, senden Sie bitte eine direkt an: Sollten Sie zu den in diesem Handbuch besprochenen Themen noch Fragen haben oder zusätzliche Hilfe benötigen, steht Ihnen unser Internet-Server rund um die Uhr zur Verfügung. Hier finden Sie im Bereich 'Support' viele Antworten auf häufig gestellte Fragen. Darüber hinaus bietet Ihnen die Wissensdatenbank (KnowledgeBase) einen großen Pool an Informationen. Aktuelle Treiber, Firmware, Tools und Dokumentation stehen für Sie jederzeit zum Download bereit. Außerdem steht Ihnen der LANCOM-Support zur Verfügung. Telefonnummern und Kontaktadressen des LANCOM-Supports finden Sie in einem separaten Beileger oder auf der LANCOM Systems-Homepage.

4 Hinweis-Symbole Sehr wichtiger Hinweis, dessen Nichtbeachtung zu Schäden führen kann. Wichtiger Hinweis, der beachtet werden sollte. Zusätzliche Informationen, deren Beachtung hilfreich sein kann aber nicht erforderlich ist. Spezielle Formatierungen im Fließtext Fett Menübefehle, Befehlsknöpfe (Buttons) oder Eingabefelder Code Ein- und Ausgaben im Konsolenmodus <Wert> Stellvertreter für einen konkreten Wert Kursiv Hinweise und Produktnamen

5 Inhalt 1 Einführung Lieferumfang der LANCOM VPN Option Welchen Nutzen bietet VPN? Private IP-Adressen im Internet? Sicherheit des Datenverkehrs im Internet? VPN-Verbindungen im Detail LAN-LAN-Kopplung Einwahlzugänge (Remote Access Service) Was ist Dynamic VPN? Ein Blick auf die IP-Adressierung So funktioniert Dynamic VPN LANCOM VPN im Überblick So geht es weiter Die Installation der VPN-Option Installations-Voraussetzungen Lieferumfang Konfigurations-Rechner mit Windows-Betriebssystem Aktuelles LANconfig Aktuelle Firmware im LANCOM Online-Registrierung Freischalten der VPN-Option Überprüfen der Freischaltung Einrichten der VPN-Verbindung Der LANconfig-Assistent für VPN Die VPN-Konfiguration Schritt-für-Schritt Die Konfigurationseinträge in der Übersicht Aufruf des Assistenten Allgemeine Daten zu Gerät und Gegenstelle ISDN-Verbindung für Dynamic VPN Kennwörter für VPN IP-Adresse der Gegenseite TCP/IP-Routing NetBIOS-Routing IPX-Routing

6 4 Konkrete Verbindungsbeispiele Statisch/statisch Dynamisch/statisch Statisch/dynamisch Dynamisch/dynamisch Die Technik hinter VPN Wie funktioniert VPN? IPSec Die Basis für LANCOM VPN Alternativen zu IPSec Die Standards hinter IPSec Module von IPSec und ihre Aufgaben Security Associations nummerierte Tunnel Die Authentifizierung das AH-Protokoll Verschlüsselung der Pakete das ESP-Protokoll Management der Schlüssel IKE Index

7 Einführung 7 1 Einführung Dieses Kapitel gibt Antworten auf die folgenden drei Fragen: Was gehört zum Lieferumfang der LANCOM VPN Option? Welchen Nutzen hat VPN? Welche Fähigkeiten und Eigenschaften hat LANCOM VPN? 1.1 Lieferumfang der LANCOM VPN Option Prüfen Sie bitte zunächst, ob dem Paket LANCOM VPN Option neben dem vorliegenden Handbuch auch die folgenden Komponenten beiliegen: Lizenznachweis Handbuch LANCOM-CD 1.2 Welchen Nutzen bietet VPN? Mit einem VPN (Virtual Private Network) können sichere Datenverkehrsverbindungen über kostengünstige, öffentliche IP-Netze aufgebaut werden, beispielsweise über das Netz der Netze: das Internet. Was sich zunächst unspektakulär anhört, hat in der Praxis enorme Auswirkungen. Zur Verdeutlichung schauen wir uns zunächst ein typisches Unternehmensnetzwerk ohne VPN-Technik an. Im zweiten Schritt werden wir dann sehen, wie sich dieses Netzwerk durch den Einsatz von VPN optimieren lässt. Herkömmliche Netzwerkstruktur Blicken wir zunächst auf eine typische Netzwerkstruktur, die in dieser oder ähnlicher Form in vielen Unternehmen anzutreffen ist:

8 8 Einführung LAN Zentrale LAN Rechner im Fernzugriff, z.b. Heimarbeit Internet Niederlassung Das Unternehmensnetz basiert auf einem internen Netzwerk (LAN) in der Zentrale. Dieses LAN ist über folgende Wege mit der Außenwelt verbunden: 1 Eine Niederlassung ist (typischerweise über eine Standleitung) angeschlossen. 2 Rechner wählen sich über ISDN oder Modem ins zentrale Netzwerk ein (Remote Access Service RAS). 3 Es existiert eine Verbindung ins Internet, um den Benutzern des zentralen LAN den Zugriff auf das Web und die Möglichkeit zum Versand und Empfang von s zu geben. Alle Verbindungen zur Außenwelt basieren auf dedizierten Leitungen, d.h. Wähl- oder Standleitungen. Dedizierte Leitungen gelten einerseits als zuverlässig und sicher, andererseits aber auch als teuer. Ihre Kosten sind in aller Regel von der Verbindungsdistanz abhängig. So hat es gerade bei Verbindungen über weite Strecken Sinn, nach preisgünstigeren Alternativen Ausschau zu halten. In der Zentrale muss für jeden verwendeten Zugangs- und Verbindungsweg (analoge Wählverbindung, ISDN, Standleitungen) entsprechende Hardware betrieben werden. Neben den Investitionskosten für diese Ausrüstung fallen auch kontinuierliche Administrations- und Wartungskosten an.

9 Einführung 9 Vernetzung über Internet Bei Nutzung des Internets anstelle direkter Verbindungen ergibt sich folgende Struktur: LAN Zentrale 1 2 Internet LAN 3 Rechner im Fernzugriff Niederlassung Alle Teilnehmer sind (fest oder per Einwahl) mit dem Internet verbunden. Es gibt keine teueren dedizierten Leitungen zwischen den Teilnehmern mehr. 1 Nur noch die Internet-Verbindung des LANs der Zentrale ist notwendig. Spezielle Einwahlgeräte oder Router für dedizierte Leitungen zu einzelnen Teilnehmern entfallen. 2 Die Niederlassung ist ebenfalls mit einer eigenen Verbindung ans Internet angeschlossen. 3 Die RAS-Rechner wählen sich über das Internet in das LAN der Zentrale ein. Das Internet zeichnet sich durch geringe Zugangskosten aus. Insbesondere bei Verbindungen über weite Strecken sind gegenüber herkömmlichen Wähloder Standverbindungen deutliche Einsparungen zu erzielen. Die physikalischen Verbindungen bestehen nicht mehr direkt zwischen zwei Teilnehmern, sondern jeder Teilnehmer hat selber nur einen Zugang ins Internet. Die Zugangstechnologie spielt dabei keine Rolle: Idealerweise kommen Breitbandtechnologien wie DSL (Digital Subscriber Line) oder G.703 (2-Mbit-

10 10 Einführung Festverbindung) zum Einsatz. Aber auch herkömmliche ISDN-Verbindungen können verwendet werden. Die Technologien der einzelnen Teilnehmer müssen nicht kompatibel zueinander sein, wie das bei herkömmlichen Direktverbindungen erforderlich ist. Über einen einzigen Internet-Zugang können mehrere gleichzeitige logische Verbindungen zu verschiedenen Gegenstellen aufgebaut werden. Niedrige Verbindungskosten und hohe Flexibilität machen das Internet (oder jedes andere IP-Netzwerk) zu einem hervorragenden Übertragungsmedium für ein Unternehmensnetzwerk. Zwei technische Eigenschaften des IP-Standards stehen allerdings der Nutzung des Internets als Teil von Unternehmensnetzwerken entgegen: Die Notwendigkeit öffentlicher IP-Adressen für alle Teilnehmer Fehlende Datensicherheit durch ungeschützte Datenübertragung Private IP-Adressen im Internet? Der IP-Standard definiert zwei Arten von IP-Adressen: öffentliche und private. Eine öffentliche IP-Adresse hat weltweite Gültigkeit, während eine private IP-Adresse nur in einem abgeschotteten LAN gilt. Öffentliche IP-Adressen müssen weltweit eindeutig und daher einmalig sein. Private IP-Adressen dürfen weltweit beliebig häufig vorkommen, innerhalb eines abgeschotteten Netzwerkes jedoch nur einmal. Normalerweise haben Rechner im LAN nur private IP-Adressen, lediglich der Router mit Anschluss ans Internet verfügt auch über eine öffentliche IP- Adresse. Die Rechner hinter diesem Router greifen über dessen öffentliche IP-Adresse auf das Internet zu (IP-Masquerading). In einem solchen Fall ist nur der Router selber über das Internet ansprechbar. Rechner hinter dem Router sind aus dem Internet heraus ohne Vermittlung durch den Router nicht ansprechbar. Routing auf IP-Ebene mit VPN Soll das Internet zur Kopplung von Netzwerken eingesetzt werden, müssen deshalb IP-Strecken zwischen Routern mit jeweils öffentlicher IP-Adresse eingerichtet werden. Diese Router stellen die Verbindung zwischen mehreren Teilnetzen her. Schickt ein Rechner ein Paket an eine private IP-Adresse in einem entfernten Netzwerksegment, dann setzt der eigene Router dieses Paket über das Internet an den Router des entfernten Netzwerksegments ab.

11 Einführung 11 Die Umwandlung zwischen privaten und öffentlichen IP-Adressen übernimmt VPN. Ohne VPN können Rechner ohne eigene öffentliche IP-Adresse nicht über das Internet miteinander kommunizieren Sicherheit des Datenverkehrs im Internet? Es existiert Skepsis gegenüber der Idee, Teile der Unternehmenskommunikation über das Internet abzuwickeln. Der Grund für die Skepsis ist die Tatsache, dass sich das Internet dem direkten Einflussbereich des Unternehmens entzieht. Anders als bei dedizierten Verbindungen laufen die Daten durch fremde Netzstrukturen, deren Eigentümer dem Unternehmen häufig unbekannt sind. Das Internet basiert außerdem nur auf einer simplen Form der Datenübertragung in Form unverschlüsselter Datenpakete. Dritte, durch deren Netze diese Pakete laufen, können sie mitlesen und möglicherweise sogar manipulieren. Der Zugang zum Internet ist für jedermann möglich. Dadurch ergibt sich die Gefahr, dass sich auch Dritte unbefugt Zugang zu den übertragenen Daten verschaffen. VPN Sicherheit durch Verschlüsselung Zur Lösung dieses Sicherheitsproblems wird der Datenverkehr zwischen zwei Teilnehmern im VPN verschlüsselt. Während der Übermittlung sind die Daten für Dritte unlesbar. Für die Verschlüsselung kommen die modernsten und sichersten Kryptografieverfahren zum Einsatz. Aus diesem Grund übertrifft die Übertragungssicherheit im VPN das Sicherheitsniveau dedizierter Leitungen bei weitem. Für die Datenverschlüsselung werden Codes zwischen den Teilnehmern vereinbart, die man üblicherweise als Schlüssel bezeichnet. Diese Schlüssel kennen nur die Beteiligten im VPN. Ohne gültigen Schlüssel können Datenpakete nicht entschlüsselt werden. Die Daten bleiben Dritten unzugänglich, sie bleiben privat. Schicken Sie Ihre Daten in den Tunnel zur Sicherheit Jetzt wird auch klar, warum VPN ein virtuelles privates Netz aufbaut: Es wird zu keinem Zeitpunkt eine feste, physikalische Verbindung zwischen den Geräten aufgebaut. Die Daten fließen vielmehr über geeignete Routen durchs Internet. Dennoch ist es unbedenklich, wenn Dritte die übertragenen Daten während der Übertragung abfangen und aufzeichnen. Da die Daten durch

12 . 12 Einführung VPN verschlüsselt sind, bleibt ihr eigentlicher Inhalt unzugänglich. Experten vergleichen diesen Zustand mit einem Tunnel: Offen nur am Anfang und am Ende, dazwischen perfekt abgeschirmt. Die sicheren Verbindungen innerhalb eines öffentlichen IP-Netzes werden deshalb auch Tunnel genannt. Internet VPN-Tunnel Damit ist das Ziel moderner Netzwerkstrukturen erreicht: Sichere Verbindungen über das größte und kostengünstigste aller öffentlichen IP-Netze: das Internet. 1.3 VPN-Verbindungen im Detail Es existieren zwei Arten von VPN-Verbindungen: VPN-Verbindungen zur Kopplung zweier lokaler Netzwerke. Diese Verbindungsart wird auch LAN-LAN-Kopplung genannt. Den Anschluss eines einzelnen Rechners mit einem Netzwerk, in der Regel über Einwahlzugänge (Remote Access Service RAS) LAN-LAN-Kopplung Als LAN-LAN-Kopplung wird die Verbindung von zwei entfernten Netzen bezeichnet. Besteht eine solche Verbindung, dann können die Geräte in dem einen LAN auf Geräte des entfernten LANs zugreifen (sofern sie die notwendigen Rechte besitzen). LAN-LAN-Kopplungen werden in der Praxis häufig zwischen Firmenzentrale und -niederlassungen oder zu Partnerunternehmen aufgebaut.

13 Einführung 13 LAN Internet LAN Auf jeder Seite des Tunnels befindet sich ein VPN-fähiger Router (VPN-Gateway). Die Konfiguration beider VPN-Gateways muss aufeinander abgestimmt sein. Für die Rechner und sonstigen Geräte in den lokalen Netzwerken ist die Verbindung transparent, d. h., sie erscheint ihnen wie eine gewöhnliche direkte Verbindung. Nur die beiden Gateways müssen für die Benutzung der VPN-Verbindung konfiguriert werden. Parallele Internet-Nutzung Die Internet-Verbindung, über die eine VPN-Verbindung aufgebaut wurde, kann weiterhin parallel für herkömmliche Internet-Anwendungen (Web, Mail etc.) verwendet werden. Aus Sicherheitsgründen kann die parallele Internet- Nutzung allerdings auch unerwünscht sein. So beispielsweise, wenn auch die Filiale nur über die zentrale Firewall auf das Internet zugreifen können soll. Für solche Fälle kann die parallele Internet-Nutzung auch gesperrt werden Einwahlzugänge (Remote Access Service) Über Einwahlzugänge erhalten einzelne entfernte Rechner (Clients) Zugriff auf die Ressourcen eines LANs. Beispiele in der Praxis sind Heimarbeitsplätze oder Außendienstmitarbeiter, die sich in das Firmennetzwerk einwählen. Soll die Einwahl eines einzelnen Rechners in ein LAN über VPN erfolgen, dann wählt sich der einzelne Rechner ins Internet ein. Eine spezielle VPN-Cli-

14 14 Einführung ent-software baut dann auf Basis dieser Internetverbindung einen Tunnel zum VPN-Gateway in der Zentrale auf. LAN Zentrale Fernarbeitsplatz mit VPN-Client Internet Laptop mit VPN- Client Das VPN-Gateway in der Zentrale muss den Aufbau von VPN-Tunneln mit der VPN-Client-Software des entfernten Rechners unterstützen. 1.4 Was ist Dynamic VPN? Dynamic VPN ist eine von LANCOM Systems zum Patent angemeldete Technik, die den Aufbau von VPN-Tunneln auch zu solchen Gegenstellen ermöglicht, die keine statische, sondern nur eine dynamische IP-Adresse besitzen. Wer benötigt Dynamic VPN und wie funktioniert es? Die Antwort erfolgt in zwei Schritten: Zunächst zeigt ein Blick auf die Grundlagen der IP-Adressierung das Problem statischer IP-Adressen. Der zweite Schritt zeigt die Lösung durch Dynamic VPN Ein Blick auf die IP-Adressierung Im Internet benötigt jeder Teilnehmer eine eigene IP-Adresse. Er benötigt sogar eine besondere Art von IP-Adresse, nämlich eine öffentliche IP- Adresse. Die öffentlichen IP-Adressen werden von zentralen Stellen im Internet verwaltet. Jede öffentliche IP-Adresse darf im gesamten Internet nur ein einziges Mal existieren. Innerhalb lokaler Netzwerke auf IP-Basis werden keine öffentlichen, sondern private IP-Adressen verwendet. Für diesen Zweck wurden einige Nummernbereiche des gesamten IP-Adressraums als private IP-Adressen reserviert.

15 Einführung 15 Einem Rechner, der sowohl an ein lokales Netzwerk als auch direkt an das Internet angeschlossen ist, sind deshalb zwei IP-Adressen zugeordnet: Eine öffentliche für die Kommunkation mit dem Rest des Internets und eine private, unter der er in seinem lokalen Netzwerk erreichbar ist. Statische und dynamische IP-Adressen Öffentliche IP-Adressen müssen beantragt und verwaltet werden, was mit Kosten verbunden ist. Es gibt auch nur einen begrenzten Vorrat an öffentlichen IP-Adressen. Aus diesem Grund verfügt auch nicht jeder Internet- Benutzer über eine eigene feste (statische) IP-Adresse. Die Alternative zu statischen IP-Adressen sind die sogenannten dynamischen IP-Adressen. Eine dynamische IP-Adresse wird dem Internet-Benutzer von seinem Internet Service Provider (ISP) bei der Einwahl für die Dauer der Verbindung zugewiesen. Der ISP verwendet dabei eine beliebige unbenutzte Adresse aus seinem IP-Adress-Pool. Die zugewiesene IP-Adresse ist dem Benutzer nur temporär zugewiesen, nämlich für die Dauer der aktuellen Verbindung. Wird die Verbindung gelöst, so wird die zugewiesene IP-Adresse wieder freigegeben, und der ISP kann sie für den nächsten Benutzer verwenden. Vor- und Nachteile dynamischer IP-Adressen Dieses Verfahren hat für den ISP einen wichtigen Vorteil: Er benötigt nur einen relativ kleinen IP-Adress-Pool. Auch für den Benutzer sind dynamische IP-Adressen günstig: Er muss nicht zuerst eine statische IP-Adresse beantragen, sondern kann sich sofort ins Internet einwählen. Auch die Verwaltung der IP-Adresse entfällt. Dadurch erspart er sich Aufwand und Gebühren. Die Kehrseite der Medaille: Ein Benutzer ohne statische IP-Adresse lässt sich aus dem Internet heraus nicht direkt adressieren. Für den Aufbau von VPNs ergibt sich daraus ein erhebliches Problem. Möchte beispielsweise Rechner A einen VPN-Tunnel zu Rechner B über das Internet aufbauen, so benötigt er dessen IP-Adresse. Besitzt B nur eine dynamische IP-Adresse, so kennt A sie nicht, er kann B deshalb nicht ansprechen. Hier bietet die Technik von Dynamic VPN die Patentlösung.

16 16 Einführung So funktioniert Dynamic VPN Verdeutlichen wir die Funktionsweise von Dynamic VPN an Hand dreier Beispiele (Bezeichnungen beziehen sich auf die IP-Adressart der beiden VPN- Gateways): dynamisch statisch statisch dynamisch dynamisch dynamisch Dynamisch statisch Möchte ein Benutzer an Rechner B im LAN 2 eine Verbindung zu Rechner A im LAN 1 aufbauen, dann erhält Gateway 2 die Anfrage und versucht, einen VPN-Tunnel zu Gateway 1 aufzubauen. Gateway 1 verfügt über eine statische IP-Adresse und kann daher direkt über das Internet angesprochen werden. Problematisch ist, dass die IP-Adresse von Gateway 2 dynamisch zugeteilt wird, und Gateway 2 seine aktuelle IP-Adresse beim Verbindungsaufruf an Gateway 1 übermitteln muss. In diesem Fall sorgt Dynamic VPN für die Übertragung der IP-Adresse beim Verbindungsaufbau. Gateway 1 mit statischer IP-Adresse Internet b a Gateway 2 mit dynamischer IP-Adresse LAN 1 LAN 2 Rechner A Rechner B a b Gateway 2 baut eine Verbindung zu seinem Internet-Anbieter auf und erhält eine dynamische IP-Adresse zugewiesen. Gateway 2 spricht Gateway 1 über dessen öffentliche IP-Adresse an. Über Funktionen von Dynamic VPN erfolgen Identifikation und Übermittlung der IP-Adresse an Gateway 2. Schließlich baut Gateway 1 den VPN- Tunnel auf.

17 Einführung 17 Für diesen Verbindungsaufbau ist kein ISDN-Anschluss erforderlich. Die dynamische Seite übermittelt ihre IP-Adresse verschlüsselt über das Internet- Protokoll ICMP (alternativ auch über UDP). Statisch dynamisch Möchte umgekehrt Rechner A im LAN 1 eine Verbindung zu Rechner B im LAN 2 aufbauen, dann erhält Gateway 1 die Anfrage und versucht einen VPN-Tunnel zu Gateway 2 aufzubauen. Gateway 2 verfügt nur über eine dynamische IP-Adresse und kann daher nicht direkt über das Internet angesprochen werden. Mit Hilfe von Dynamic VPN kann der VPN-Tunnel trotzdem aufgebaut werden. Dieser Aufbau geschieht in drei Schritten: Gateway 1 mit statischer IP-Adresse Internet c b Gateway 2 mit dynamischer IP-Adresse LAN 1 a LAN 2 Anruf über ISDN Rechner A Rechner B a b Gateway 1 wählt Gateway 2 über ISDN an. Es nutzt dabei die ISDN- Möglichkeit, kostenlos seine eigene Rufnummer über den D-Kanal zu übermitteln. Gateway 2 ermittelt anhand der empfangenen Rufnummer aus den konfigurierten VPN-Gegenstellen die IP-Adresse von Gateway 1. Für den Fall, dass Gateway 2 keine Rufnummer über den D-Kanal erhält (etwa weil das erforderliche ISDN-Leistungsmerkmal nicht zur Verfügung steht) oder eine unbekannte Rufnummer übertragen wird, nimmt Gateway 2 den Anruf entgegen, und die Geräte authentifizieren sich über den B-Kanal. Nach erfolgreicher Aushandlung übermittelt Gateway 1 seine IP-Adresse und baut den B-Kanal sofort wieder ab. Nun ist Gateway 2 an der Reihe: Zunächst baut es eine Verbindung zu seinem ISP auf, von dem es eine dynamische IP-Adresse zugewiesen bekommt.

18 18 Einführung c Gateway 2 kann den VPN-Tunnel zu Gateway 1 jetzt aufbauen. Die statische IP-Adresse von Gateway 1 ist ihm ja bekannt. Der beschriebene Verbindungsaufbau setzt bei beiden VPN-Gateways einen ISDN-Anschluss voraus, über den im Normalfall jedoch keine gebührenpflichtigen Verbindungen aufgebaut werden. Dynamisch dynamisch Der Aufbau von VPN-Tunneln gelingt mit Dynamic VPN auch zwischen zwei Gateways, die beide nur über dynamische IP-Adressen verfügen. Passen wir das besprochene Beispiel an, so dass diesmal auch Gateway 1 nur über eine dynamische IP-Adresse verfügt. Auch in diesem Beispiel möchte Rechner A eine Verbindung zu Rechner B aufbauen: Gateway 1 mit dynamischer IP-Adresse a Internet d c Gateway 2 mit dynamischer IP-Adresse LAN 1 LAN 2 b Anruf über ISDN Rechner A Rechner B a b Gateway 1 baut eine Verbindung zu seinem ISP auf, um eine öffentliche dynamische Adresse zu erhalten. Es folgt der Anruf über ISDN bei Gateway 2 zur Übermittlung dieser dynamischen Adresse. Zur Übermittlung werden drei Verfahren verwendet: Als Information im LLC-Element des D-Kanals. Über das D- Kanal-Protokoll von Euro-ISDN (DSS-1) können im sogenannten LLC- Element (Lower Layer Compatibility) beim Anruf zusätzliche Informationen an die Gegenstelle übermittelt werden. Diese Übermittlung findet vor dem Aufbau des B-Kanals statt. Die Gegenstelle lehnt nach erfolgreicher Übertragung der Adresse den Anruf ab. Eine gebührenpflichtige Verbindung über den B-Kanal kommt auf diese Weise nicht zustande. Die IP-Adresse wird aber trotzdem übertragen. Das LLC-Element steht normalerweise im Euro-ISDN ohne besondere Anmeldung oder Freischaltung zur Verfügung. Es kann allerdings von

19 Einführung 19 c d Telefongesellschaften, einzelnen Vermittlungsstellen oder Telefonanlagen gesperrt werden. Im nationalen ISDN nach 1TR6 gibt es kein LLC-Element. Das beschriebene Verfahren funktioniert daher nicht. Als Subadresse über den D-Kanal. Funktioniert die Adressübermittlung über das LLC-Element nicht, dann versucht Gateway 1 die Adresse als sogenannte Subadresse zu übermitteln. Die Subadresse ist wie das LLC-Element ein Informationselement des D-Kanal-Protokolls und ermöglicht wie dieses die kostenlose Übermittlung kurzer Informationen. Allerdings muss hier die Telefongesellschaft das ISDN-Merkmal 'Subadressierung' (normalerweise gegen Berechnung) freischalten. Wie beim LLC-Element wird der Anruf nach erfolgreicher Übertragung der IP-Adresse von der Gegenstelle abgelehnt und die Verbindung bleibt gebührenfrei. Über den B-Kanal. Scheitern beide Versuche, die IP-Adresse über den D-Kanal zu übertragen, dann muss für die Übertragung der IP- Adresse eine konventionelle Verbindung über den B-Kanal aufgebaut werden. Nach der Übertragung der IP-Adresse wird die Verbindung sofort abgebaut. Es fallen die üblichen Gebühren an. Gateway 2 baut eine Verbindung zum ISP auf, der ihm eine dynamische IP-Adresse zuweist. Gateway 2 baut den VPN-Tunnel zu Gateway 1 auf. Der beschriebene Verbindungsaufbau setzt bei beiden VPN-Gateways einen ISDN-Anschluss voraus. 1.5 LANCOM VPN im Überblick In diesem Abschnitt sind alle Funktionen und Eigenschaften von LANCOM VPN aufgelistet. VPN-Experten wird dieser Überblick viel sagen. Er ist sehr kompakt, verwendet allerdings eine Vielzahl komplexer Fachbegriffe. Für das Verständnis ist die Kenntnis der technischen Grundlagen von VPN notwendig. Seien Sie beruhigt: Sie können diesen Abschnitt auch bedenkenlos überspringen. Für Inbetriebnahme und Betrieb von LANCOM VPN sind die Informationen nicht erforderlich. Der Funktionsumfang von LANCOM VPN kann in Abhängigkeit vom Funktionsumfang des ausführenden LANCOM variieren. Informationen zum Funktion-

20 20 Einführung sumfang Ihres LANCOM entnehmen Sie dessen Spezifikationen. Nicht alle aufgeführten Funktionen sind schon in allen VPN-fähigen Firmware-Versionen verfügbar. Aktualisierte Firmware-Versionen finden Sie im Download- Bereich der LANCOM-Website. VPN nach dem IPSec-Standard VPN-Tunnel über Festverbindung, Wählverbindung und IP-Netzwerk Dynamic VPN: Öffentliche IP-Adresse können statisch oder dynamisch sein (für den Aufbau zu Gegenstellen mit dynamischer IP-Adresse ist ISDN-Verbindung erforderlich) IPSec-Protokolle AH und ESP jeweils im Transport- und Tunnelmodus Hash-Algorithmen: HMAC-MD5-96, Hashlänge 128 Bits HMAC-SHA-1-96, Hashlänge 160 Bits Symmetrische Verschlüsselungsverfahren AES (Rijndael), Schlüssellänge Bits S, Schlüssellänge 56 Bits Triple-S, Schlüssellänge 168 Bits CAST, Schlüssellänge 128 Bits Blowfish, Schlüssellänge Bits IKE mit Preshared Keys Schlüsselaustausch über Oakley, Diffie-Hellman-Algorithmus mit Schlüssellänge 768 Bits, 1024 Bits oder 1536 Bits (well known groups 1, 2 und 5) Schlüsselmanagement nach ISAKMP 1.6 So geht es weiter Im folgenden Kapitel wird die Installation der LANCOM VPN Option auf einem LANCOM beschrieben. Sobald die LANCOM VPN Option auf dem gewünschten LANCOM installiert ist, lesen Sie im Kapitel 'Einrichten der VPN-Verbindung' auf Seite 25, welche Schritte für den Aufbau von VPN-Verbindungen notwendig sind.

21 Die Installation der VPN-Option 21 2 Die Installation der VPN-Option In diesem kurzen Kapitel erfahren Sie, wie die LANCOM VPN Option in Ihren LANCOM installiert wird. Die Installation erfolgt in vier Schritten: a Überprüfen der Installations-Voraussetzungen b c d Online-Registrierung Freischalten der VPN-Option Überprüfen der Freischaltung 2.1 Installations-Voraussetzungen Lieferumfang Nehmen Sie sich einige Minuten Zeit, und überprüfen Sie, ob bei Ihnen alle Voraussetzungen für eine erfolgreiche Installation vorliegen. Vergewissern Sie sich, dass das Optionspaket folgende Komponenten enthält: LANCOM-CD mit LANtools, aktueller Firmware und elektronischer Dokumentation Lizenznachweis mit aufgedruckter Lizenznummer Handbuch Konfigurations-Rechner mit Windows-Betriebssystem Sie benötigen für die Installation der LANCOM VPN Option einen Rechner mit einem Windows-Betriebssystem: Windows XP, Windows Millennium Edition (Me), Windows 2000, Windows 98, Windows 95, Windows NT 4.0. Dieser Rechner muss Zugriff auf den zu konfigurierenden LANCOM haben. Der Zugriff kann entweder über LAN (Inband), über die eingebaute serielle Konfigurationsschnittstelle des Gerätes (Outband) oder über die Fernkonfiguration erfolgen.

22 22 Die Installation der VPN-Option Aktuelles LANconfig Die jeweils aktuelle Version von LANconfig und LANmonitor finden Sie auf der LANCOM Systems-Homepage im Dateibereich ('Download'). Es empfiehlt sich in jedem Fall, diese Programme vor der weiteren Installation zu aktualisieren. Aufruf und Bedienung von LANconfig sind in der Dokumentation Ihres LAN- COM-Routers beschrieben Aktuelle Firmware im LANCOM Aktuelle Firmware-Updates finden Sie auf der LANCOM Systems-Website im Dateibereich ('Download'). Suchen Sie Ihr Gerät in der Geräteliste aus, und laden Sie die Datei mit der passenden Firmware auf Ihren Rechner herunter. Nähere Informationen zur Aktualisierung der Firmware finden Sie in der Dokumentation Ihres LANCOM-Routers. 2.2 Online-Registrierung Mit der korrekten Firmware-Version enthält Ihr LANCOM bereits die gesamte VPN-Software. Sie muss nur noch freigeschaltet werden. Zur Freischaltung der VPN-Option im LANCOM benötigen Sie einen Freischaltcode. Beachten Sie bitte: Der Freischaltcode liegt dem Paket nicht bei, sondern wird Ihnen bei der Online-Registrierung mitgeteilt. Der LANCOM VPN Option liegt ein Lizenznachweis bei. Auf diesem ist eine Lizenznummer abgedruckt. Mit der Lizenznummer können Sie sich einmalig bei LANCOM Systems registrieren und erhalten dann einen Freischaltcode. Eine erfolgreiche Online-Registrierung entwertet die verwendete Lizenznummer Ihrer LANCOM VPN Option. Der hieraus gewonnene Freischaltcode ist ausschließlich auf dem per Seriennummer angegebenen LANCOM verwendbar! Vergewissern Sie sich, dass Sie die VPN-Option tatsächlich nur auf dem angegebenen Gerät installieren wollen. Ein späterer Wechsel auf ein anderes Gerät ist ausgeschlossen!

23 Die Installation der VPN-Option 23 Erforderliche Registrierungsdaten Zur Online-Registrierung halten Sie bitte folgende Daten bereit: Genaue Bezeichnung der Software-Option Die Lizenznummer (vom Lizenznachweis) Seriennummer Ihres freizuschaltenden LANCOM (befindet sich auf der Gehäuseunterseite) Ihre Kundendaten (Firma, Name, Anschrift, -Adresse). Die Registrierung ist auch anonym, also ohne Angabe persönlicher Daten, möglich. Zusätzliche Informationen erleichtern uns eine Unterstützung im Support- und Servicefall. Alle Daten werden selbstverständlich streng vertraulich behandelt. Online-Eingabe der Registrierungsdaten a Starten Sie einen Webbrowser, und gehen Sie auf die LANCOM Systems-Website ' b Geben Sie die erforderlichen Daten ein, und folgen Sie den weiteren Anweisungen. Nach Eingabe aller Daten werden Ihnen der Freischaltcode zur VPN-Option für Ihr LANCOM sowie Ihre Kundendaten übermittelt. Wenn Sie Ihre -Adresse angegeben haben, werden Ihnen die Daten einschließlich des Freischaltcodes per zugesandt. Die Online-Registrierung ist damit beendet. Heben Sie den Freischaltcode gut auf! Möglicherweise benötigen Sie ihn später zum erneuten Freischalten der VPN-Option, etwa nach einer Reparatur. Hilfe im Problemfall Bei Problemen mit der Registrierung Ihrer Software-Option wenden Sie sich bitte per an optionsupport@lancom.de. 2.3 Freischalten der VPN-Option Die Freischaltung der VPN-Option ist sehr einfach. In LANconfig markieren Sie den gewünschten LANCOM (durch einfachen Mausklick auf den Eintrag) und wählen den Menübefehl Extras / Software-Option freischalten:

24 24 Die Installation der VPN-Option Es erscheint das Eingabefenster 'Software-Option freischalten': Geben Sie den Freischaltcode ein, den Sie über oben genannte Online-Registrierung erworben haben. Der LANCOM startet anschließend automatisch neu. 2.4 Überprüfen der Freischaltung Die erfolgreiche Freischaltung der LANCOM VPN Option können Sie überprüfen, indem Sie bei ausgewähltem Gerät in LANconfig den Menübefehl Gerät / Eigenschaften auswählen. Im Eigenschaften-Fenster sehen Sie im Register 'Info' eine Liste der aktiven Software-Optionen.

25 Einrichten der VPN-Verbindung 25 3 Einrichten der VPN-Verbindung Nachdem Sie die LANCOM VPN Option auf dem gewünschten LANCOM installiert haben, erfahren Sie in diesem Kapitel alles Notwendige zum Aufbau einer VPN-Verbindung. Im ersten Abschnitt erhalten Sie allgemeine Informationen zum LANconfig- Assistenten für VPN. Im zweiten Abschnitt folgt eine Schritt-für-Schritt-Anleitung mit der ausführlichen Beschreibung aller notwendigen Eingaben. Konkrete Konfigurationsbeispiele für die vier typischen VPN-Verbindungsarten finden Sie im folgenden Kapitel. 3.1 Der LANconfig-Assistent für VPN Die Einrichtung von VPN-Strecken wird mit einem Setup-Assistenten von LANconfig vorgenommen (Aufruf und Eingabe der Daten wird im folgenden Abschnitt beschrieben). Für VPN existiert kein separater Assistent, vielmehr wird der herkömmliche Assistent für die LAN-LAN-Kopplung ('Zwei lokale Netze verbinden') verwendet. Mit der Freischaltung von LANCOM VPN wird dieser Assistent so erweitert, dass er auch Netzwerkkopplungen über VPN einrichten kann. Wichtige Voraussetzung: ein funktionierender Internet-Zugang Der LAN-LAN-Assistent richtet keinen Internet-Zugang ein. Er setzt vielmehr eine funktionierende Zugangskonfiguration für das Internet voraus und verwendet diese. Die Einrichtung des Zugangs erfolgt über den Internet- Zugangs-Assistenten. Der Internet-Zugang sollte eingerichtet sein, bevor die VPN-Verbindung mit dem LAN-LAN-Assistenten begonnen wird. Der VPN-Tunnel wird über diejenige Verbindung aufgebaut, die sich aus der Routing-Tabelle für die IP-Adresse der Gegenstelle ergibt. In aller Regel handelt es sich um die Standard-Internet-Verbindung, die der IP-Adresse ' ' (Netzmaske ' ') zugeordnet ist. Bestehende Verbindungen in VPN-Verbindungen umwandeln Für die Umwandlung bereits bestehender Netzwerkkopplungen in VPN- Verbindungen empfehlen wir Ihnen, den LAN-LAN-Assistenten ein zweites Mal komplett auszuführen.

26 26 Einrichten der VPN-Verbindung Wenn Sie nach Ihrem eigenen Gerätenamen bzw. nach dem Namen der Gegenstelle gefragt werden, verwenden Sie dieselben Namen, mit denen die alte Netzwerkkopplung arbeitet. Achten Sie dabei auf die exakte Schreibweise. Dadurch wird die bisherige Netzwerkverbindung durch eine VPN-basierte Netzwerkverbindung ersetzt. 3.2 Die VPN-Konfiguration Schritt-für-Schritt Bevor Sie den LAN-LAN-Assistenten zum Aufbau einer VPN-Netzkopplung ausführen, prüfen Sie bitte, ob folgende Voraussetzungen vorliegen: Die LANCOM VPN Option ist auf beiden LANCOM freigeschaltet. Wenn die VPN-Verbindung über das Internet erfolgen soll, ist ein Internet-Zugang in beiden LANCOM konfiguriert und funktioniert einwandfrei Die Konfigurationseinträge in der Übersicht In dieser Übersicht finden Sie alle Fragen, die Ihnen der Assistent während der Installation stellt. Einige Fragen sind in bestimmten Konfigurationen nicht erforderlich. Wir erklären dennoch alle Abfragen, erwähnen aber, in welchen Fällen Sie unnötig sind. Eine VPN-Verbindung besteht immer zwischen dem zu konfigurierenden Gerät und einer bekannten Gegenstelle. Die Konfiguration wird auf beiden Seiten vorgenommen. Dabei ist darauf zu achten, dass die Konfigurationsangaben zueinander passen. Die Übersicht zeigt Ihnen auch die Abhängigkeiten der Informationen zwischen beiden Gegenstellen. Bei Beachtung dieser Abhängigkeiten lassen sich viele unnötige Fehlangaben vermeiden. Angabe Gateway 1 Gateway 2 Verfügt die Gegenstelle über einen Ja/Nein Ja/Nein ISDN-Anschluss? Typ der eigenen IP-Adresse statisch/dynamisch statisch/dynamisch Typ IP-Adresse der Gegenstelle statisch/dynamisch statisch/dynamisch Name des eigenen Gerätes Name1 Name2 Name der Gegenstelle Name2 Name1 ISDN-Rufnummer Gegenstelle Rufnummer1 Rufnummer2

27 Einrichten der VPN-Verbindung 27 Angabe Gateway 1 Gateway 2 ISDN-Anruferkennung Gegenstelle ISDN-Kennung1 ISDN-Kennung2 Kennwort zur sicheren Kennwort1 Kennwort1 Übertragung der IP-Adresse Shared Secret für Verschlüsselung geheim geheim IP-Adresse der Gegenstelle IP-Adresse1 IP-Adresse2 IP-Netzadresse des entfernten Netzes IP-Adresse3 IP-Adresse4 Netzmaske des entfernten Netzwerks Dömänenbezeichnung im entfernten Netzwerk Eigene Stationen bei Zugriff auf entferntes Netz verstecken (Extranet-VPN)? NetBIOS-Routing für Zugriff auf entferntes Netz? Name einer lokalen Arbeitsgruppe (nur bei NetBIOS) In den Spalten 'Gateway 1' und 'Gateway 2' finden Sie Auswahlmöglichkeiten und Variable stellvertretend für konkrete Konfigurationsangaben. Diese Stellvertreter sind in Kursivschrift gesetzt. Die Spalte zwischen den Variablen kennzeichnet notwendige Abhängigkeiten, die bei der Eingabe an beiden Gateways zu beachten sind. Beispielsweise müssen die Angaben, ob die VPN-Verbindung über eine direkte Verbindung oder über das Internet aufgebaut werden soll, auf beiden Gateways übereinstimmen. Solche notwendige Übereinstimmungen werden durch Pfeile ( ) symbolisiert. Die hier verwendete tabellarische Darstellungsform wird sowohl für die anschließende Schritt-für-Schritt Anleitung verwendet, als auch für die konkreten Beispielkonfigurationen im dritten Abschnitt dieses Kapitels Aufruf des Assistenten IP-Netzmaske zu IP- Adresse3 Domäne1 Ja/Nein Ja/Nein Arbeitsgruppe1 IP-Netzmaske zu IP- Adresse4 Domäne2 Ja/Nein Ja/Nein Arbeitsgruppe2 Zum Aufruf des Assistenten wird das gewünschte LANCOM in LANconfig markiert und der Menübefehl Extras / Setup Assistent ausgewählt:

28 28 Einrichten der VPN-Verbindung Daraufhin erscheint ein Fenster mit den für das jeweilige Gerät verfügbaren Assistenten, darunter auch der Assistent für die LAN-LAN-Kopplung ('Zwei lokale Netze verbinden'). Wählen Sie diesen Eintrag. Die Bedienung des Assistenten ist intuitiv. Schrittweise werden alle erforderlichen Angaben für die gewünschte Verbindung abgefragt. Mit Weiter und Zurück kann jederzeit vor- und zurückgesprungen werden. In der ersten Abfrage geben Sie an, dass die gewünschte Netzwerkkopplung über VPN erfolgen soll. In den folgenden Abschnitten finden Sie Beschreibungen zu allen möglichen Konfigurationsabfragen. Die Abfragen werden in der Reihenfolge beschrieben, in der sie im Assistenten erscheinen. Zur besseren Übersicht sind sie thematisch zusammengefasst. Der Assistent lässt automatisch solche Abfragen aus, die nicht erforderlich sind. Daher ist es möglich und richtig, dass der Assistent nicht alle hier beschriebenen Parameter auch tatsächlich abfragt.

29 Einrichten der VPN-Verbindung Allgemeine Daten zu Gerät und Gegenstelle Angabe Gateway 1 Gateway 2 Verfügt die Gegenstelle über einen Ja/Nein Ja/Nein ISDN-Anschluss? Typ der eigenen IP-Adresse statisch/dynamisch statisch/dynamisch Typ IP-Adresse der Gegenstelle statisch/dynamisch statisch/dynamisch Name des eigenen Gerätes Name1 Name2 Name der Gegenstelle Name2 Name1 Für VPN-Verbindungen über das Internet muss der Typ der IP-Adressen auf beiden Seiten angegeben werden. Es gibt zwei Typen von IP-Adressen: statische und dynamische. Eine Erklärung zum Unterschied der beiden IP- Adresstypen finden Sie im Abschnitt 'Ein Blick auf die IP-Adressierung' auf Seite 14. Die Dynamic VPN-Funktionalität von erlaubt VPN-Verbindungen nicht nur zwischen Gateways mit statischen (festen) IP-Adressen, sondern auch bei Verwendung dynamischer IP-Adressen. Der aktive Aufbau von VPN-Verbindungen zu Gegenstellen mit dynamischer IP-Adresse erfordert eine ISDN- Verbindung (vgl. 'Was ist Dynamic VPN?' auf Seite 14). Verfügt Ihr eigenes Gerät über einen ISDN-Anschluss, so fragt der Assistent nach, ob auch die Gegenstelle über einen solchen verfügt. Anschließend werden der eigene IP-Adresstyp und der Typ der Gegenstelle abgefragt. Die Angaben auf beiden Seiten müssen zueinander passen. Wenn Sie Ihren LANCOM noch nicht benannt haben, so fragt Sie der Assistent nach einem neuen eigenen Gerätenamen. Mit der Eingabe benennen Sie Ihren LANCOM neu. Achten Sie darauf, dass Sie die beiden VPN-Gateways unterschiedlich benennen. Ein Gerätename darf nicht ausschließlich aus Ziffern bestehen, sondern mus mindestens einen Buchstaben enthalten. Um das entfernte VPN-Gateway identifizieren zu können, geben Sie dessen Namen als Namen der Gegenstelle an.

30 30 Einrichten der VPN-Verbindung ISDN-Verbindung für Dynamic VPN Angabe Gateway 1 Gateway 2 ISDN-Rufnummer Gegenstelle Rufnummer1 Rufnummer2 ISDN-Anruferkennung Gegenstelle ISDN-Kennung1 ISDN-Kennung2 Die Angaben zur ISDN-Verbindung werden benötigt, wenn eine VPN-Verbindung zu einem Gateway mit dynamischer IP-Adresse aufgebaut werden soll. Die ISDN-Parameter werden deshalb auch nur dann abgefragt, wenn zumindest ein beteiligtes VPN-Gateway lediglich über eine dynamische IP-Adresse verfügt und beide Geräte einen ISDN-Anschluss haben. Im Feld ISDN-Rufnummer wird die Rufnummer der ISDN-Gegenstelle angegeben. Erforderlich ist die Angabe der kompletten Rufnummer der Gegenstelle einschließlich aller notwendigen Vorwahlen. Mit der angegebenen ISDN-Anruferkennung (CLI Calling Line Identification) wird der Anrufer identifiziert und authentifiziert. Wird ein LANCOM angerufen, vergleicht er die für die Gegenstelle eingetragene ISDN-Anruferkennung mit der Kennung, die der Anrufer tatsächlich über den D-Kanal übermittelt. Die ISDN-Kennung setzt sich üblicherweise aus der nationalen Vorwahl (ohne führende Null) und der MSN zusammen. Die Übermittlung der Anruferkennung kann von der Telefongesellschaft oder einer beteiligten Telefonanlage blockiert werden. Achten Sie darauf, dass die Übermittlung der Anruferkennung an beiden Anschlüssen freigeschaltet ist Kennwörter für VPN Angabe Gateway 1 Gateway 2 Kennwort zur sicheren Kennwort1 Kennwort1 Übertragung der IP-Adresse Shared Secret für Verschlüsselung geheim geheim Das Kennwort zur sicheren Übertragung der IP-Adresse wird von Dynamic VPN für den Austausch von dynamischen IP-Adressen verwendet. Wird die IP-Adresse per ISDN übertragen, so meldet sich der Anrufer mit diesem Kennwort bei der Gegenstelle an. Bei Übermittlung einer IP-Adresse über das Internet (per ICMP oder UDP) werden die Daten mit diesem Kennwort verschlüsselt. Das Kennwort muss auf beiden Seiten identisch eingegeben werden.

31 Einrichten der VPN-Verbindung 31 Tipps zum richtigen Umgang mit Kennwörtern Für den Umgang mit Kennwörtern gelten einige grundsätzliche Regeln, deren Einhaltung wir Ihnen ans Herz legen wollen: Wählen Sie ein ausreichend langes Kennwort. Ein Kennwort sollte aus mindestens acht Zeichen bestehen. Jedes zusätzliche Zeichen erhöht seine Sicherheitswirkung. Halten Sie das Kennwort so geheim wie möglich. Notieren Sie niemals ein Kennwort. Beliebt aber völlig ungeeignet sind beispielsweise: Notizbücher, Brieftaschen und Textdateien im Computer. Es klingt trivial, kann aber nicht häufig genug wiederholt werden: verraten Sie Ihr Kennwort nicht weiter. Die sichersten Systeme kapitulieren vor der Geschwätzigkeit. Kennwörter nur sicher übertragen. Ein gewähltes Kennwort muss der Gegenseite mitgeteilt werden. Wählen Sie dazu ein möglichst sicheres Verfahren. Meiden Sie: Ungeschützte , Brief, Fax. Besser ist die persönliche Übermittlung unter vier Augen. Die höchste Sicherheit erreichen Sie, wenn Sie das Kennwort auf beiden Seiten persönlich eingeben. Wählen Sie ein sicheres Kennwort. Kennwörter aus dem allgemeinen Sprachgebrauch oder Namen sind unsicher. Verwenden Sie zufällige Buchstaben- und Ziffernfolgen. Sehr günstig wirken sich auch Sonderzeichen wie '%&^?#-*+_:;,!' aus. Mit einem solchen Kennwort vereiteln Sie einen typischen Angriff: Das systematische Ausprobieren gängiger Kennwörter. Verwenden Sie ein Kennwort niemals doppelt. Wenn Sie dasselbe Kennwort für mehrere Zwecke verwenden, mindern Sie seine Sicherheit. Wenn eine Gegenseite unsicher ist, werden mit einem Schlag auch alle anderen Verbindungen gefährdet, bei denen dieses Kennwort verwendet wird. Wechseln Sie das Kennwort regelmäßig. Kennworte sollen möglichst häufig gewechselt werden. Das ist mit Mühe verbunden, erhöht aber die Sicherheit des Kennwortes beträchtlich. Wechseln Sie das Kennwort sofort bei Verdacht. Wenn ein Mitarbeiter mit Zugriff auf ein Kennwort Ihr Unternehmen verlässt, wird es höchste Zeit, dieses Kennwort zu wechseln. Ein Kennwort sollte auch immer dann gewechselt werden, wenn der geringste Verdacht einer undichten Stelle auftritt. Das Shared Secret ist das zentrale Kennwort für die Sicherheit der VPN- Verbindung. Es muss auf beiden Seiten identisch eingegeben werden.

32 32 Einrichten der VPN-Verbindung IP-Adresse der Gegenseite Über die IP-Adresse der Gegenseite wählen Sie eine Gegenstelle mit statischer IP-Adresse an TCP/IP-Routing Angabe Gateway 1 Gateway 2 IP-Adresse der Gegenstelle IP-Adresse1 IP-Adresse2 Angabe Gateway 1 Gateway 2 IP-Netzadresse des entfernten Netzes Netzmaske des entfernten Netzwerks Dömänenbezeichnung im entfernten Netzwerk Eigene Stationen bei Zugriff auf entferntes Netz verstecken (Extranet-VPN)? IP-Adresse3 IP-Netzmaske zu IP- Adresse3 Domäne1 Ja/Nein IP-Adresse4 IP-Netzmaske zu IP- Adresse4 Domäne2 Ja/Nein Die TCP/IP-Routing-Einstellungen für VPN-Verbindungen sind identisch mit den Parametern, die für herkömmliche Netzwerkkopplungen verwendet werden. Netzwerkkkopplungen über VPN reagieren besonders empfindlich auf falsche Angaben zum TCP/IP-Routing. Es ist unbedingt darauf zu achten, dass die Routinginformationen zum entfernten Netz mit der tatsächlichen Situation dort übereinstimmt. Ansonsten kann es vorkommen, dass der gewünschte VPN-Tunnel nicht aufgebaut wird. Bei einer Netzwerkkopplung ist zu beachten, dass beide Netzwerke logisch voneinander getrennt sind. Sie müssen daher jeweils über eine eigene Netzwerknummer verfügen (im Beispielfall ' x' und ' x'). Die beiden Netzwerknummern müssen unterschiedlich sein. Die IP-Adresse des entfernten Netzwerkes wird immer mitsamt der zugehörigen Netzmaske eingegeben (siehe Kasten 'Was ist eine Netzmaske?').

33 Einrichten der VPN-Verbindung 33 Der Zugriff auf entfernte Rechner kann in einem TCP/IP-Netzwerk nicht nur 'server.zentrale' 'pc1.filiale' VPN-Verbindung LAN: Internet: LAN: Internet: LAN der Zentrale. IP: Netzmaske: Domäne: 'zentrale' LAN der Filiale. IP: Netzmaske: Domäne: 'filiale' über die Angabe der IP-Adresse erfolgen, sondern dank DNS (Domain Name System) auch über frei definierbare Namen. Was ist eine Netzmaske? Eine IP-Adresse besteht aus vier Zahlen, jede im Wertebereich von Technisch stellen diese Zahlen Bytes dar, bestehen also jeweils aus 8 Bits. Die IP-Adresse eines Rechners besteht aus der Adresse des Subnetzes, in dem er sich befindet, und seiner Adresse innerhalb dieses Subnetzes. Die 32 Bits einer IP-Adresse können flexibel dem Subnetz- und dem Rechnerteil zugeordnet werden, um Subnetze unterschiedlicher Größe zu ermöglichen. Die Aufteilung geschieht durch Angabe der Netzmaske. Die Netzmaske besteht ebenfalls aus 4 Bytes = 32 Bits. Steht ein Bit der Netzmaske auf '1', so ist die entsprechende Stellen der IP-Adresse als Subnetzadresse zu interpretieren. Entsprechend wird die Rechneradresse in den Bits der IP-Adresse angegeben, die in der Netzmaske auf '0' stehen. Beispiel: Die IP-Adresse ' ' mit der Netzmaske ' ' adressiert den Rechner '43' im Subnetz ' '. IP-Adresse ' ': Netzmaske ' ': Subnetz Rechner