HowTo für ein VPN mit X.509 Zertifikaten Intranator <=> Lancom (LCOS v6.x) Zeitabgleich Die LANCOM überprüft bei der Authentifizierung auch den Gültigkeitszeitraum des Zertifikats. Daher muss die Systemzeit immer korrekt sein wenn eine VPN-Verbindung aufgebaut werden soll. Die LANCOM aktualisiert ihre Zeit u.a. über das NTP-Protokoll. Dies kann mit dem Windows-Tool LANconfig unter Datum/Zeit > Synchronisierung konfiguriert werden. Zertifikate Die LANCOM kann keine eigenen Zertifikate erstellen. Dies übernimmt daher das Programm makecert. Starten Sie die Batchdatei makecert.bat C:\makecert>makecert C:\makecert>openssl req -x509 -newkey rsa:2048 -days 730 -new -nodes -config openssl.cnf -outform PEM -keyform PEM -keyout privatekey.pem -out newcert.cer Using configuration from openssl.cnf Loading 'screen' into random state - done Generating a 2048 bit RSA private key...+++...+++ writing new private key to 'privatekey.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. Geben Sie jetzt die Daten des Rechners ein. Für einige Felder gibt es einen Standardwert der in eckigen Klammern angegeben ist. Wollen Sie diesen verwenden, so drücken Sie einfach nur Return. Verwenden Sie keine Umlaute und andere Sonderzeichen, da es sonst zu Problemen kommen kann. Der Common Name (oder Rechnername auf dem Intranator) muß eindeutig sein und darf nicht auf anderen Rechnern oder für eine CA wiederverwendet werden. Country Name (2 letter code) [DE]: State or Province Name (full name) []: Locality Name (eg, city) []: Organization Name (eg, company) []:Intra2net AG Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:Netgear Client Email Address []: C:\makecert>openssl pkcs12 -export -in newcert.cer -inkey privatekey.pem -out newcert.p12 Loading 'screen' into random state - done Wählen Sie ein Transportpasswort, mit dem die Schlüsseldatei auf dem Weg zur Lancom geschützt wird. Enter Export Password: Verifying password - Enter Export Password: C:\makecert>del privatekey.pem Anmelden an der Web-Oberfläche der LANCOM. Unter Extras > Zertifikate oder Datei hochladen können Sie nun das Zertifikatspaket newcert.p12 aus dem
makecert-verzeichnis heraufladen. Geben Sie das von Ihnen gewählte Transportpasswort ein. Damit die LANCOM auch das Zertifikat des Intranator überprüfen kann, benötigt sie noch das Zertifikat des Intranator. Erzeugen Sie auf dem Intranator einen X.509- Zertifikat. Öffnen Sie im Schlüsselmanager auf dem Intranator bei diesem Schlüssel den Reiter Daten und exportieren das Zertifikate (> Export > Zertifikate exportieren).
Speichern Sie diese als Datei z.b. unter C:\makecert\intranator.pem. Diese Datei importieren Sie ebenfalls über die Weboberfläche. Nach dem Upload können Sie mittels Telnet oder SSH auf der Command-Line mit show vpn ca und show vpn cert den erfolgreichen Upload überprüfen. (Es gibt keine direkte Möglichkeit die Zertifikate aus der LANCOM zu löschen! Speichern Sie in diesem Fall Ihre aktuelle Konfiguration z.b. mit dem Windows-Tool LANconfig. Mit Telnet oder SSH auf die Commad-Line und mit cd other und do reset die LANCOM in den Auslieferungszustand versetzen.) Verwenden Sie für die Einrichtung der VPN-Verbindungen zwischen den lokalen Netzen nach Möglichkeit die Setup-Assistenten von LANconfig. Die Assistenten leiten Sie durch die Konfiguration und nehmen alle benötigten Einstellungen vor. Führen Sie die Konfiguration nacheinander an beiden Routern durch.
Es identifiziert sich nicht wirklich mit diesem Bezeichner. Nur wenn LANCOMs untereinander kommunizieren wollen (z.b. Dynamischens VPN). Dieser Bezeichner wird bei den Verbindungs-Parametern benutzt.
Irgend ein Dummy-Passwort eingeben. Wird nicht wirklich benötigt!
Beachten Sie das Format des DN (Distinguished Name) z.b.! /E=info@essling.de/CN=intranator.essling.lan/OU=Technik/O=ESSLING/C=DE /ST=Saarland/L=Merchweiler Die einzelnen Objekte werden in umgekehrter Reihenfolgen im Vergleich zum Intranator geschrieben!
PFS (Perfect Forward Secret) auf beiden Seiten aktivieren! VPN ständig aufgebaut lassen => Haltezeit=0!
NAT oder Nicht-NAT! Das ist hier die Frage! Wenn es unbedingt sein muß ;-)!
Anschließend noch mit dem Windows-Tool LANconfig unter VPN > Allgemein > Verbindungsliste > Bearbeiten den Parameter Regelerzeugung kontrollieren. Dieser muß auf Automatisch stehen damit die Firewall automatisch Ipsec durchläßt.
Zertifikat der LANCOM in den Intranator importieren Damit der Intranator eine Verbindung aufbauen kann, muss er zuerst den Public-Key der Gegenstelle kennen. Gehen Sie zum importieren auf die Seite System > Schlüssel > Fremde Schlüssel, wählen einen Namen und stellen den Schlüsseltyp ein. Öffnen Sie nun die Datei C:\makecert\newcert.pem (die wurde paralell zur newcert.p12 erstellt) mit einem Texteditor, markieren ihn und kopieren ihn in die Zwischenablage. Nun können Sie ihn in das Copy & Paste Feld einfügen und importieren. Intranator Verbindung konfigurieren Aus Sicherheitsgründen muss VPN vor der Verwendung für jeden Provider aktiviert werden. Gehen Sie dazu auf Netzwerk > Provider > Profile, wählen den entsprechenden Provider aus und aktivieren auf der Seite Firewall den Punkt VPN. Legen Sie zuerst evtl. benötigte Schlüssel an. Weitere Informationen hierzu finden Sie in 17. Kapitel, Schlüsselmanagement. Sie können dann unter Dienste >VPN > Verbindungen neue Verbindungen anlegen. Geben Sie einer neuen Verbindung einen Namen und wählen den Typ aus. Details zu den einzelnen Verbindungstypen finden Sie in 16. Kapitel, VPN Verbindungen. Wählen Sie aus, wie die Gegenstelle erreichbar ist. Wenn die Gegenstelle eine fest vergebene offizielle IP besitzt sollten
Sie unbedingt diese (und nicht etwa den dazugehörigen DNS-Namen) eingeben. Hat die Gegenstelle weder eine feste IP noch einen DNS-Namen, so können Sie auf dynamische IP schalten. Allerdings muss dann die Gegenstelle die Verbindung aufbauen. Je nach Verbindungstyp müssen Sie nun das Lokale Netz, das Netz der Gegenstelle oder beides auswählen. Als Verschlüsselungstypen wählen Sie ESP aus. Perfect Forward Secrecy (PFS) muss auf beiden Seiten identisch eingestellt sein. Ist PFS aktiviert, so ist sichergestellt, dass ein Sitzungsschlüssel nicht aus den vorhergehenden errechnet werden kann. Dies erhöht die Sicherheit der Verbindung. Wählen Sie auf der nächsten Seite das zu verwendende Authentifizierungsverfahren aus. Wählen Sie das Public-Key Verfahren und die verwendeten Schlüssel aus. Auf der nächsten Seite können Sie einstellen, ob die Verbindung automatisch nach dem Online gehen aufgebaut werden oder manuell aktiviert werden soll. Sie können einstellen, wie oft der Intranator versuchen soll die Verbindung aufzubauen. Tragen Sie 0 ein wenn er es endlos versuchen soll. Aus Sicherheitsgründen hat jede IPSec Verbindung eine begrenzte Lebensdauer. Kurz vor Ablauf der Verbindung versucht der Intranator automatisch eine neue Verbindung auszuhandeln. Die Lebensdauer kann für die Schlüsselaushandlungsverbindung (IKE / Phase 1) und die tatsächliche Verbindung (IPSec SA / Phase 2) getrennt eingestellt werden. Es ist sinnvoll aber nicht notwendig die Lebensdauern auf beiden Seiten identisch einzustellen.