LANCOM VPN Option - lancom-systems.de · Windowsﬁ, Windows NTﬁ und Microsoft ... Sollten Sie dennoch einen Fehler finden, oder einfach nur Kritik oder Anre-gung zu dieser Dokumentation

LANCOMTM

VPN Option

Lizenzvereinbarung für LANCOM Software-Optionen

Nutzungsvereinbarung

Für die Freischaltung der Software-Option in einem LANCOM-Produkt darf nur der legal über die Online-Registrierung erh-altene, dedizierte Freischaltcode verwendet werden.

Für die Online-Registrierung und zum Erhalt des Freischaltcodes darf nur die durch Kauf einer LANCOM-Software-Option

legal erworbene, dedizierte Lizenznummer verwendet werden. Der Lizneznachweis mit der aufgedruckten Lizenznummer

ist sorgfältig aufzubewahren.

Reverse-Engineering oder Rückassemblierung verboten

Bei Verletzung der oben genannten Punkte behält sich LANCOM Systems das Recht vor, gerichtlich gegen Sie vorzugehen.

Haftungsbeschränkung

LANCOM Systems haftet nicht bei Missbrauch seiner Produkte

SSH®-Erklärung

LANCOM VPN-Produkte werden hergestellt unter Lizenz von SSH Communications Security. Für Produktbestandteile von

SSH gilt: © 2002 SSH Communications Security. Alle Rechte vorbehalten.

© 2002 LANCOM Systems GmbH, Würselen (Germany). Alle Rechte vorbehalten.

Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht als

Zusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs- und

Lieferbedingungen festgelegt ist.

Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentation und Software und die Verwendungihres Inhalts sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet. Änderungen, die dem technischen

Fortschritt dienen, bleiben vorbehalten.

Windows®, Windows NT® und Microsoft® sind eingetragene Marken von Microsoft, Corp.

Cisco ist eine eingetragene Marke von Cisco Systems, Inc.

SSH Secure Shell, SSH IPSEC Express, SSH NAT Traversal, SSH Sentinel und SSH Certifier sind Marken von SSH Com-munications Security.

Das LANCOM Systems-Logo und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM Systems GmbH. Alleübrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer

sein.

LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern, und übernimmt keine Gewähr für

technische Ungenauigkeiten und/oder Auslassungen.

LANCOM Systems GmbH

Adenauerstr. 20/B252146 Würselen

Deutschland

101481/0702

|

| LANCOM VPN Option |

DEEin Wort vorab

Vielen Dank für Ihr Vertrauen!

Mit der LANCOM VPN Option erweitern Sie einen LANCOM-Router um dieFähigkeit, sogenannte 'Virtuelle Private Netzwerke' aufzubauen. Damit kön-nen Sie kostengünstige Netzwerkkopplungen über das Internet aufbauen, dieein sehr hohes Maß an Datensicherheit bieten.

Eine besondere Eigenschaft von LANCOM VPN ist Dynamic VPN, eine vonLANCOM Systems zum Patent angemeldete Technologie. Während VPN übli-cherweise statische IP-Adressen voraussetzt, ermöglicht die Funktionalitätvon Dynamic VPN den Aufbau von VPN-Verbindungen auch mit dynamischenIP-Adressen. Dadurch können Sie LANCOM VPN mit jeder Internet-Anbind-ung verwenden.

An der Erstellung dieser Dokumentation �

� haben mehrere Mitarbeiter/innen aus verschiedenen Teilen des Unterne-hmens mitgewirkt, um Ihnen die bestmögliche Unterstützung bei der NutzungIhres LANCOM-Produktes anzubieten.

Sollten Sie dennoch einen Fehler finden, oder einfach nur Kritik oder Anre-gung zu dieser Dokumentation äußern wollen, senden Sie bitte eine E-Maildirekt an:

[email protected]

Sollten Sie zu den in diesem Handbuch besprochenen Themen noch Fragenhaben oder zusätzliche Hilfe benötigen, steht Ihnen unser Internet-Serverwww.lancom.de rund um die Uhr zur Verfügung. Hier finden Sie im Bereich'Support' viele Antworten auf �häufig gestellte Fragen�. Darüber hinaus bie-tet Ihnen die Wissensdatenbank (KnowledgeBase) einen großen Pool anInformationen. Aktuelle Treiber, Firmware, Tools und Dokumentation stehenfür Sie jederzeit zum Download bereit.

Außerdem steht Ihnen der LANCOM-Support zur Verfügung. Telefonnum-mern und Kontaktadressen des LANCOM-Supports finden Sie in einem sepa-raten Beileger oder auf der LANCOM Systems-Homepage.

|


DE

Hinweis-Symbole

Sehr wichtiger Hinweis, dessen Nichtbeachtung zu Schäden führen kann.

Wichtiger Hinweis, der beachtet werden sollte.

Zusätzliche Informationen, deren Beachtung hilfreich sein kann aber nicht erforderlich ist.

Spezielle Formatierungen im Fließtext

Fett Menübefehle, Befehlsknöpfe (Buttons) oder Eingabefelder

Code Ein- und Ausgaben im Konsolenmodus

<Wert> Stellvertreter für einen konkreten Wert

Kursiv Hinweise und Produktnamen

|

DE


Inhalt

1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.1 Lieferumfang der LANCOM VPN Option . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.2 Welchen Nutzen bietet VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.2.1 Private IP-Adressen im Internet? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101.2.2 Sicherheit des Datenverkehrs im Internet? . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1.3 VPN-Verbindungen im Detail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.3.1 LAN-LAN-Kopplung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121.3.2 Einwahlzugänge (Remote Access Service) . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.4 Was ist Dynamic VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.4.1 Ein Blick auf die IP-Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.4.2 So funktioniert Dynamic VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.5 LANCOM VPN im Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.6 So geht es weiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2 Die Installation der VPN-Option . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.1 Installations-Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.1.1 Lieferumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.1.2 Konfigurations-Rechner mit Windows-Betriebssystem . . . . . . . . . . . . . . . . . 212.1.3 Aktuelles LANconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.1.4 Aktuelle Firmware im LANCOM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2.2 Online-Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.3 Freischalten der VPN-Option . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.4 Überprüfen der Freischaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3 Einrichten der VPN-Verbindung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253.1 Der LANconfig-Assistent für VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253.2 Die VPN-Konfiguration � Schritt-für-Schritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.2.1 Die Konfigurationseinträge in der Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . 263.2.2 Aufruf des Assistenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273.2.3 Allgemeine Daten zu Gerät und Gegenstelle . . . . . . . . . . . . . . . . . . . . . . . . . 293.2.4 ISDN-Verbindung für Dynamic VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303.2.5 Kennwörter für VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303.2.6 IP-Adresse der Gegenseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323.2.7 TCP/IP-Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323.2.8 NetBIOS-Routing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353.2.9 IPX-Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

|


DE 4 Konkrete Verbindungsbeispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.1 Statisch/statisch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.2 Dynamisch/statisch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.3 Statisch/dynamisch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.4 Dynamisch/dynamisch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

5 Die Technik hinter VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.1 Wie funktioniert VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

5.1.1 IPSec � Die Basis für LANCOM VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.1.2 Alternativen zu IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

5.2 Die Standards hinter IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465.2.1 Module von IPSec und ihre Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465.2.2 Security Associations � nummerierte Tunnel. . . . . . . . . . . . . . . . . . . . . . . . . 465.2.3 Die Authentifizierung � das AH-Protokoll. . . . . . . . . . . . . . . . . . . . . . . . . . . . 475.2.4 Verschlüsselung der Pakete � das ESP-Protokoll . . . . . . . . . . . . . . . . . . . . . . 505.2.5 Management der Schlüssel � IKE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

6 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

| Einführung 7


DE1 Einführung

Dieses Kapitel gibt Antworten auf die folgenden drei Fragen:

• Was gehört zum Lieferumfang der LANCOM VPN Option?

• Welchen Nutzen hat VPN?

• Welche Fähigkeiten und Eigenschaften hat LANCOM VPN?

1.1 Lieferumfang der LANCOM VPN Option

Prüfen Sie bitte zunächst, ob dem Paket LANCOM VPN Option neben dem vor-liegenden Handbuch auch die folgenden Komponenten beiliegen:

• Lizenznachweis

• Handbuch

• LANCOM-CD

1.2 Welchen Nutzen bietet VPN?

Mit einem VPN (Virtual Private Network) können sichere Datenverkehrs-verbindungen über kostengünstige, öffentliche IP-Netze aufgebaut werden,beispielsweise über das Netz der Netze: das Internet.

Was sich zunächst unspektakulär anhört, hat in der Praxis enormeAuswirkungen. Zur Verdeutlichung schauen wir uns zunächst ein typischesUnternehmensnetzwerk ohne VPN-Technik an. Im zweiten Schritt werden wirdann sehen, wie sich dieses Netzwerk durch den Einsatz von VPN optimierenlässt.

Herkömmliche Netzwerkstruktur

Blicken wir zunächst auf eine typische Netzwerkstruktur, die in dieser oderähnlicher Form in vielen Unternehmen anzutreffen ist:

Einführung |


8D

E

Das Unternehmensnetz basiert auf einem internen Netzwerk (LAN) in derZentrale. Dieses LAN ist über folgende Wege mit der Außenwelt verbunden:

1 Eine Niederlassung ist (typischerweise über eine Standleitung) ange-schlossen.

2 Rechner wählen sich über ISDN oder Modem ins zentrale Netzwerk ein(Remote Access Service � RAS).

3 Es existiert eine Verbindung ins Internet, um den Benutzern des zentralenLAN den Zugriff auf das Web und die Möglichkeit zum Versand und Emp-fang von E-Mails zu geben.

Alle Verbindungen zur Außenwelt basieren auf dedizierten Leitungen, d.h.Wähl- oder Standleitungen. Dedizierte Leitungen gelten einerseits als zuver-lässig und sicher, andererseits aber auch als teuer. Ihre Kosten sind in allerRegel von der Verbindungsdistanz abhängig. So hat es gerade bei Verbindun-gen über weite Strecken Sinn, nach preisgünstigeren Alternativen Ausschauzu halten.

In der Zentrale muss für jeden verwendeten Zugangs- und Verbindungsweg(analoge Wählverbindung, ISDN, Standleitungen) entsprechende Hardwarebetrieben werden. Neben den Investitionskosten für diese Ausrüstung fallenauch kontinuierliche Administrations- und Wartungskosten an.

Zentrale

Rechner im Fernzugriff, z.B. Heimarbeit

Internet

1 2 3

LAN

LAN

Niederlassung

| Einführung 9


DEVernetzung über Internet

Bei Nutzung des Internets anstelle direkter Verbindungen ergibt sich fol-gende Struktur:

Alle Teilnehmer sind (fest oder per Einwahl) mit dem Internet verbunden. Esgibt keine teueren dedizierten Leitungen zwischen den Teilnehmern mehr.

1 Nur noch die Internet-Verbindung des LANs der Zentrale ist notwendig.Spezielle Einwahlgeräte oder Router für dedizierte Leitungen zu einzel-nen Teilnehmern entfallen.

2 Die Niederlassung ist ebenfalls mit einer eigenen Verbindung ans Inter-net angeschlossen.

3 Die RAS-Rechner wählen sich über das Internet in das LAN der Zentraleein.

Das Internet zeichnet sich durch geringe Zugangskosten aus. Insbesonderebei Verbindungen über weite Strecken sind gegenüber herkömmlichen Wähl-oder Standverbindungen deutliche Einsparungen zu erzielen.

Die physikalischen Verbindungen bestehen nicht mehr direkt zwischen zweiTeilnehmern, sondern jeder Teilnehmer hat selber nur einen Zugang ins Inter-net. Die Zugangstechnologie spielt dabei keine Rolle: Idealerweise kommenBreitbandtechnologien wie DSL (Digital Subscriber Line) oder G.703 (2-Mbit-

Zentrale

Rechner im Fernzugriff

Internet

1

2

3LAN

LAN

Niederlassung

Einführung |


10D

E Festverbindung) zum Einsatz. Aber auch herkömmliche ISDN-Verbindungenkönnen verwendet werden.

Die Technologien der einzelnen Teilnehmer müssen nicht kompatibel zuein-ander sein, wie das bei herkömmlichen Direktverbindungen erforderlich ist.Über einen einzigen Internet-Zugang können mehrere gleichzeitige logischeVerbindungen zu verschiedenen Gegenstellen aufgebaut werden.

Niedrige Verbindungskosten und hohe Flexibilität machen das Internet (oderjedes andere IP-Netzwerk) zu einem hervorragenden Übertragungsmediumfür ein Unternehmensnetzwerk.

Zwei technische Eigenschaften des IP-Standards stehen allerdings der Nut-zung des Internets als Teil von Unternehmensnetzwerken entgegen:

• Die Notwendigkeit öffentlicher IP-Adressen für alle Teilnehmer

• Fehlende Datensicherheit durch ungeschützte Datenübertragung

1.2.1 Private IP-Adressen im Internet?

Der IP-Standard definiert zwei Arten von IP-Adressen: öffentliche und private.Eine öffentliche IP-Adresse hat weltweite Gültigkeit, während eine privateIP-Adresse nur in einem abgeschotteten LAN gilt.

Öffentliche IP-Adressen müssen weltweit eindeutig und daher einmalig sein.Private IP-Adressen dürfen weltweit beliebig häufig vorkommen, innerhalbeines abgeschotteten Netzwerkes jedoch nur einmal.

Normalerweise haben Rechner im LAN nur private IP-Adressen, lediglich derRouter mit Anschluss ans Internet verfügt auch über eine öffentliche IP-Adresse. Die Rechner hinter diesem Router greifen über dessen öffentlicheIP-Adresse auf das Internet zu (IP-Masquerading). In einem solchen Fall istnur der Router selber über das Internet ansprechbar. Rechner hinter demRouter sind aus dem Internet heraus ohne Vermittlung durch den Router nichtansprechbar.

Routing auf IP-Ebene mit VPN

Soll das Internet zur Kopplung von Netzwerken eingesetzt werden, müssendeshalb IP-Strecken zwischen Routern mit jeweils öffentlicher IP-Adresseeingerichtet werden. Diese Router stellen die Verbindung zwischen mehrerenTeilnetzen her. Schickt ein Rechner ein Paket an eine private IP-Adresse ineinem entfernten Netzwerksegment, dann setzt der eigene Router diesesPaket über das Internet an den Router des entfernten Netzwerksegments ab.

| Einführung 11


DEDie Umwandlung zwischen privaten und öffentlichen IP-Adressen übernimmt

VPN. Ohne VPN können Rechner ohne eigene öffentliche IP-Adresse nichtüber das Internet miteinander kommunizieren.

1.2.2 Sicherheit des Datenverkehrs im Internet?

Es existiert Skepsis gegenüber der Idee, Teile der Unternehmenskommunika-tion über das Internet abzuwickeln. Der Grund für die Skepsis ist die Tatsa-che, dass sich das Internet dem direkten Einflussbereich des Unternehmensentzieht. Anders als bei dedizierten Verbindungen laufen die Daten durchfremde Netzstrukturen, deren Eigentümer dem Unternehmen häufig unbe-kannt sind.

Das Internet basiert außerdem nur auf einer simplen Form der Datenübertra-gung in Form unverschlüsselter Datenpakete. Dritte, durch deren Netze diesePakete laufen, können sie mitlesen und möglicherweise sogar manipulieren.Der Zugang zum Internet ist für jedermann möglich. Dadurch ergibt sich dieGefahr, dass sich auch Dritte unbefugt Zugang zu den übertragenen Datenverschaffen.

VPN � Sicherheit durch Verschlüsselung

Zur Lösung dieses Sicherheitsproblems wird der Datenverkehr zwischen zweiTeilnehmern im VPN verschlüsselt. Während der Übermittlung sind die Datenfür Dritte unlesbar.

Für die Verschlüsselung kommen die modernsten und sichersten Kryp-tografieverfahren zum Einsatz. Aus diesem Grund übertrifft die Übertragungs-sicherheit im VPN das Sicherheitsniveau dedizierter Leitungen bei weitem.

Für die Datenverschlüsselung werden Codes zwischen den Teilnehmern vere-inbart, die man üblicherweise als �Schlüssel� bezeichnet. Diese Schlüsselkennen nur die Beteiligten im VPN. Ohne gültigen Schlüssel können Datenpa-kete nicht entschlüsselt werden. Die Daten bleiben Dritten unzugänglich, siebleiben �privat�.

Schicken Sie Ihre Daten in den Tunnel � zur Sicherheit

Jetzt wird auch klar, warum VPN ein virtuelles privates Netz aufbaut: Es wirdzu keinem Zeitpunkt eine feste, physikalische Verbindung zwischen denGeräten aufgebaut. Die Daten fließen vielmehr über geeignete Routen durchsInternet. Dennoch ist es unbedenklich, wenn Dritte die übertragenen Datenwährend der Übertragung abfangen und aufzeichnen. Da die Daten durch

Einführung |


12D

E VPN verschlüsselt sind, bleibt ihr eigentlicher Inhalt unzugänglich. Expertenvergleichen diesen Zustand mit einem Tunnel: Offen nur am Anfang und amEnde, dazwischen perfekt abgeschirmt. Die sicheren Verbindungen innerhalbeines öffentlichen IP-Netzes werden deshalb auch �Tunnel� genannt..

Damit ist das Ziel moderner Netzwerkstrukturen erreicht: Sichere Verbindun-gen über das größte und kostengünstigste aller öffentlichen IP-Netze: dasInternet.

1.3 VPN-Verbindungen im Detail

Es existieren zwei Arten von VPN-Verbindungen:

• VPN-Verbindungen zur Kopplung zweier lokaler Netzwerke. Diese Verbin-dungsart wird auch �LAN-LAN-Kopplung� genannt.

• Den Anschluss eines einzelnen Rechners mit einem Netzwerk, in derRegel über Einwahlzugänge (Remote Access Service � RAS).

1.3.1 LAN-LAN-Kopplung

Als �LAN-LAN-Kopplung� wird die Verbindung von zwei entfernten Netzenbezeichnet. Besteht eine solche Verbindung, dann können die Geräte in demeinen LAN auf Geräte des entfernten LANs zugreifen (sofern sie die notwen-digen Rechte besitzen).

LAN-LAN-Kopplungen werden in der Praxis häufig zwischen Firmenzentraleund -niederlassungen oder zu Partnerunternehmen aufgebaut.

InternetVPN-Tunnel

| Einführung 13


DE

Auf jeder Seite des Tunnels befindet sich ein VPN-fähiger Router (VPN-Gate-way). Die Konfiguration beider VPN-Gateways muss aufeinander abgestimmtsein.

Für die Rechner und sonstigen Geräte in den lokalen Netzwerken ist dieVerbindung transparent, d.h., sie erscheint ihnen wie eine gewöhnlichedirekte Verbindung. Nur die beiden Gateways müssen für die Benutzung derVPN-Verbindung konfiguriert werden.

Parallele Internet-Nutzung

Die Internet-Verbindung, über die eine VPN-Verbindung aufgebaut wurde,kann weiterhin parallel für herkömmliche Internet-Anwendungen (Web, Mailetc.) verwendet werden. Aus Sicherheitsgründen kann die parallele Internet-Nutzung allerdings auch unerwünscht sein. So beispielsweise, wenn auchdie Filiale nur über die zentrale Firewall auf das Internet zugreifen könnensoll. Für solche Fälle kann die parallele Internet-Nutzung auch gesperrt wer-den.

1.3.2 Einwahlzugänge (Remote Access Service)

Über Einwahlzugänge erhalten einzelne entfernte Rechner (Clients) Zugriffauf die Ressourcen eines LANs. Beispiele in der Praxis sind Heimarbe-itsplätze oder Außendienstmitarbeiter, die sich in das Firmennetzwerk ein-wählen.

Soll die Einwahl eines einzelnen Rechners in ein LAN über VPN erfolgen,dann wählt sich der einzelne Rechner ins Internet ein. Eine spezielle VPN-Cli-

InternetLAN

LAN

Einführung |


14D

E ent-Software baut dann auf Basis dieser Internetverbindung einen Tunnelzum VPN-Gateway in der Zentrale auf.

Das VPN-Gateway in der Zentrale muss den Aufbau von VPN-Tunneln mit derVPN-Client-Software des entfernten Rechners unterstützen.

1.4 Was ist Dynamic VPN?

Dynamic VPN ist eine von LANCOM Systems zum Patent angemeldete Tech-nik, die den Aufbau von VPN-Tunneln auch zu solchen Gegenstellen ermögli-cht, die keine statische, sondern nur eine dynamische IP-Adresse besitzen.

Wer benötigt Dynamic VPN und wie funktioniert es? Die Antwort erfolgt inzwei Schritten: Zunächst zeigt ein Blick auf die Grundlagen der IP-Adress-ierung das Problem statischer IP-Adressen. Der zweite Schritt zeigt dieLösung durch Dynamic VPN.

1.4.1 Ein Blick auf die IP-Adressierung

Im Internet benötigt jeder Teilnehmer eine eigene IP-Adresse. Er benötigtsogar eine besondere Art von IP-Adresse, nämlich eine öffentliche IP-Adresse. Die öffentlichen IP-Adressen werden von zentralen Stellen im Inter-net verwaltet. Jede öffentliche IP-Adresse darf im gesamten Internet nur eineinziges Mal existieren.

Innerhalb lokaler Netzwerke auf IP-Basis werden keine öffentlichen, sondernprivate IP-Adressen verwendet. Für diesen Zweck wurden einige Nummern-bereiche des gesamten IP-Adressraums als private IP-Adressen reserviert.

Internet

Zentrale

LAN

Fernarbeitsplatz

mit VPN-Client Laptop mit VPN-Client

| Einführung 15


DEEinem Rechner, der sowohl an ein lokales Netzwerk als auch direkt an das

Internet angeschlossen ist, sind deshalb zwei IP-Adressen zugeordnet: Eineöffentliche für die Kommunkation mit dem Rest des Internets und eine pri-vate, unter der er in seinem lokalen Netzwerk erreichbar ist.

Statische und dynamische IP-Adressen

Öffentliche IP-Adressen müssen beantragt und verwaltet werden, was mitKosten verbunden ist. Es gibt auch nur einen begrenzten Vorrat an öffentli-chen IP-Adressen. Aus diesem Grund verfügt auch nicht jeder Internet-Benutzer über eine eigene feste (statische) IP-Adresse.

Die Alternative zu statischen IP-Adressen sind die sogenannten dynamischenIP-Adressen. Eine dynamische IP-Adresse wird dem Internet-Benutzer vonseinem Internet Service Provider (ISP) bei der Einwahl für die Dauer derVerbindung zugewiesen. Der ISP verwendet dabei eine beliebige unbenutzteAdresse aus seinem IP-Adress-Pool. Die zugewiesene IP-Adresse ist demBenutzer nur temporär zugewiesen, nämlich für die Dauer der aktuellenVerbindung. Wird die Verbindung gelöst, so wird die zugewiesene IP-Adressewieder freigegeben, und der ISP kann sie für den nächsten Benutzer ver-wenden.

Vor- und Nachteile dynamischer IP-Adressen

Dieses Verfahren hat für den ISP einen wichtigen Vorteil: Er benötigt nureinen relativ kleinen IP-Adress-Pool. Auch für den Benutzer sind dynamischeIP-Adressen günstig: Er muss nicht zuerst eine statische IP-Adresse beant-ragen, sondern kann sich sofort ins Internet einwählen. Auch die Verwaltungder IP-Adresse entfällt. Dadurch erspart er sich Aufwand und Gebühren. DieKehrseite der Medaille: Ein Benutzer ohne statische IP-Adresse lässt sich ausdem Internet heraus nicht direkt adressieren.

Für den Aufbau von VPNs ergibt sich daraus ein erhebliches Problem. Möchtebeispielsweise Rechner A einen VPN-Tunnel zu Rechner B über das Internetaufbauen, so benötigt er dessen IP-Adresse. Besitzt B nur eine dynamischeIP-Adresse, so kennt A sie nicht, er kann B deshalb nicht ansprechen.

Hier bietet die Technik von Dynamic VPN die Patentlösung.

Einführung |


16D

E 1.4.2 So funktioniert Dynamic VPN

Verdeutlichen wir die Funktionsweise von Dynamic VPN an Hand dreierBeispiele (Bezeichnungen beziehen sich auf die IP-Adressart der beiden VPN-Gateways):

• dynamisch � statisch

• statisch � dynamisch

• dynamisch � dynamisch

Dynamisch � statisch

Möchte ein Benutzer an Rechner B im LAN 2 eine Verbindung zu Rechner Aim LAN 1 aufbauen, dann erhält Gateway 2 die Anfrage und versucht, einenVPN-Tunnel zu Gateway 1 aufzubauen. Gateway 1 verfügt über eine statischeIP-Adresse und kann daher direkt über das Internet angesprochen werden.

Problematisch ist, dass die IP-Adresse von Gateway 2 dynamisch zugeteiltwird, und Gateway 2 seine aktuelle IP-Adresse beim Verbindungsaufruf anGateway 1 übermitteln muss. In diesem Fall sorgt Dynamic VPN für die Über-tragung der IP-Adresse beim Verbindungsaufbau.

a Gateway 2 baut eine Verbindung zu seinem Internet-Anbieter auf underhält eine dynamische IP-Adresse zugewiesen.

b Gateway 2 spricht Gateway 1 über dessen öffentliche IP-Adresse an.Über Funktionen von Dynamic VPN erfolgen Identifikation und Übermit-tlung der IP-Adresse an Gateway 2. Schließlich baut Gateway 1 den VPN-Tunnel auf.

Gateway 1 mit statischer

IP-Adresse

Rechner BRechner A

Gateway 2 mit dynamischer

IP-Adressea

LAN 1 LAN 2

b

Internet

| Einführung 17


DEFür diesen Verbindungsaufbau ist kein ISDN-Anschluss erforderlich. Die

dynamische Seite übermittelt ihre IP-Adresse verschlüsselt über das Internet-Protokoll ICMP (alternativ auch über UDP).

Statisch � dynamisch

Möchte umgekehrt Rechner A im LAN 1 eine Verbindung zu Rechner B im LAN2 aufbauen, dann erhält Gateway 1 die Anfrage und versucht einen VPN-Tun-nel zu Gateway 2 aufzubauen. Gateway 2 verfügt nur über eine dynamischeIP-Adresse und kann daher nicht direkt über das Internet angesprochen wer-den.

Mit Hilfe von Dynamic VPN kann der VPN-Tunnel trotzdem aufgebaut wer-den. Dieser Aufbau geschieht in drei Schritten:

a Gateway 1 wählt Gateway 2 über ISDN an. Es nutzt dabei die ISDN-Möglichkeit, kostenlos seine eigene Rufnummer über den D-Kanal zuübermitteln. Gateway 2 ermittelt anhand der empfangenen Rufnummeraus den konfigurierten VPN-Gegenstellen die IP-Adresse von Gateway 1.

Für den Fall, dass Gateway 2 keine Rufnummer über den D-Kanal erhält(etwa weil das erforderliche ISDN-Leistungsmerkmal nicht zur Verfügungsteht) oder eine unbekannte Rufnummer übertragen wird, nimmt Gate-way 2 den Anruf entgegen, und die Geräte authentifizieren sich über denB-Kanal. Nach erfolgreicher Aushandlung übermittelt Gateway 1 seineIP-Adresse und baut den B-Kanal sofort wieder ab.

b Nun ist Gateway 2 an der Reihe: Zunächst baut es eine Verbindung zuseinem ISP auf, von dem es eine dynamische IP-Adresse zugewiesenbekommt.

InternetGateway 1

mit statischer IP-Adresse

Rechner A

Gateway 2 mit

dynamischer IP-Adresse

Anruf über ISDNa

bc

LAN 1 LAN 2

Rechner B

Einführung |


18D

E c Gateway 2 kann den VPN-Tunnel zu Gateway 1 jetzt aufbauen. Diestatische IP-Adresse von Gateway 1 ist ihm ja bekannt.

Der beschriebene Verbindungsaufbau setzt bei beiden VPN-Gateways einenISDN-Anschluss voraus, über den im Normalfall jedoch keine gebührenpflich-tigen Verbindungen aufgebaut werden.

Dynamisch � dynamisch

Der Aufbau von VPN-Tunneln gelingt mit Dynamic VPN auch zwischen zweiGateways, die beide nur über dynamische IP-Adressen verfügen. Passen wirdas besprochene Beispiel an, so dass diesmal auch Gateway 1 nur über einedynamische IP-Adresse verfügt. Auch in diesem Beispiel möchte Rechner Aeine Verbindung zu Rechner B aufbauen:

a Gateway 1 baut eine Verbindung zu seinem ISP auf, um eine öffentlichedynamische Adresse zu erhalten.

b Es folgt der Anruf über ISDN bei Gateway 2 zur Übermittlung dieser dyna-mischen Adresse. Zur Übermittlung werden drei Verfahren verwendet:

• Als Information im LLC-Element des D-Kanals. Über das D-Kanal-Protokoll von Euro-ISDN (DSS-1) können im sogenannten LLC-Element (Lower Layer Compatibility) beim Anruf zusätzliche Informa-tionen an die Gegenstelle übermittelt werden. Diese Übermittlungfindet vor dem Aufbau des B-Kanals statt. Die Gegenstelle lehnt nacherfolgreicher Übertragung der Adresse den Anruf ab. Eine gebühren-pflichtige Verbindung über den B-Kanal kommt auf diese Weise nichtzustande. Die IP-Adresse wird aber trotzdem übertragen.

Das LLC-Element steht normalerweise im Euro-ISDN ohne besondereAnmeldung oder Freischaltung zur Verfügung. Es kann allerdings von

InternetGateway 1

mit dynamischer IP-Adresse

Rechner BRechner A

Gateway 2 mit

dynamischer

IP-Adresse

Anruf über ISDN

a cd

LAN 1 LAN 2b

| Einführung 19


DETelefongesellschaften, einzelnen Vermittlungsstellen oder Telefo-

nanlagen gesperrt werden. Im nationalen ISDN nach 1TR6 gibt eskein LLC-Element. Das beschriebene Verfahren funktioniert dahernicht.

• Als Subadresse über den D-Kanal. Funktioniert die Adressüber-mittlung über das LLC-Element nicht, dann versucht Gateway 1 dieAdresse als sogenannte Subadresse zu übermitteln. Die Subadresseist wie das LLC-Element ein Informationselement des D-Kanal-Pro-tokolls und ermöglicht wie dieses die kostenlose Übermittlung kurzerInformationen. Allerdings muss hier die Telefongesellschaft dasISDN-Merkmal 'Subadressierung' (normalerweise gegen Berech-nung) freischalten. Wie beim LLC-Element wird der Anruf nacherfolgreicher Übertragung der IP-Adresse von der Gegenstelleabgelehnt und die Verbindung bleibt gebührenfrei.

• Über den B-Kanal. Scheitern beide Versuche, die IP-Adresse überden D-Kanal zu übertragen, dann muss für die Übertragung der IP-Adresse eine konventionelle Verbindung über den B-Kanal aufgebautwerden. Nach der Übertragung der IP-Adresse wird die Verbindungsofort abgebaut. Es fallen die üblichen Gebühren an.

c Gateway 2 baut eine Verbindung zum ISP auf, der ihm eine dynamischeIP-Adresse zuweist.

d Gateway 2 baut den VPN-Tunnel zu Gateway 1 auf.

Der beschriebene Verbindungsaufbau setzt bei beiden VPN-Gateways einenISDN-Anschluss voraus.

1.5 LANCOM VPN im Überblick

In diesem Abschnitt sind alle Funktionen und Eigenschaften von LANCOMVPN aufgelistet. VPN-Experten wird dieser Überblick viel sagen. Er ist sehrkompakt, verwendet allerdings eine Vielzahl komplexer Fachbegriffe. Für dasVerständnis ist die Kenntnis der technischen Grundlagen von VPN notwendig.Seien Sie beruhigt: Sie können diesen Abschnitt auch bedenkenlos übersprin-gen. Für Inbetriebnahme und Betrieb von LANCOM VPN sind die Informa-tionen nicht erforderlich.

Der Funktionsumfang von LANCOM VPN kann in Abhängigkeit vom Funktion-sumfang des ausführenden LANCOM variieren. Informationen zum Funktion-

Einführung |


20D

E sumfang Ihres LANCOM entnehmen Sie dessen Spezifikationen. Nicht alleaufgeführten Funktionen sind schon in allen VPN-fähigen Firmware-Ver-sionen verfügbar. Aktualisierte Firmware-Versionen finden Sie im Download-Bereich der LANCOM-Website.

• VPN nach dem IPSec-Standard

• VPN-Tunnel über Festverbindung, Wählverbindung und IP-Netzwerk

• Dynamic VPN: Öffentliche IP-Adresse können statisch oder dynamischsein (für den Aufbau zu Gegenstellen mit dynamischer IP-Adresse istISDN-Verbindung erforderlich)

• IPSec-Protokolle AH und ESP jeweils im Transport- und Tunnelmodus

• Hash-Algorithmen:

• HMAC-MD5-96, Hashlänge 128 Bits

• HMAC-SHA-1-96, Hashlänge 160 Bits

• Symmetrische Verschlüsselungsverfahren

• AES (Rijndael), Schlüssellänge 128-256 Bits

• DES, Schlüssellänge 56 Bits

• Triple-DES, Schlüssellänge 168 Bits

• CAST, Schlüssellänge 128 Bits

• Blowfish, Schlüssellänge 128-448 Bits

• IKE mit Preshared Keys

• Schlüsselaustausch über Oakley, Diffie-Hellman-Algorithmus mit Schlüs-sellänge 768 Bits, 1024 Bits oder 1536 Bits (well known groups 1, 2 und 5)

• Schlüsselmanagement nach ISAKMP

1.6 So geht es weiter

Im folgenden Kapitel wird die Installation der LANCOM VPN Option aufeinem LANCOM beschrieben.

Sobald die LANCOM VPN Option auf dem gewünschten LANCOM installiertist, lesen Sie im Kapitel 'Einrichten der VPN-Verbindung' auf Seite 25, welcheSchritte für den Aufbau von VPN-Verbindungen notwendig sind.

| Die Installation der VPN-Option 21


DE2 Die Installation der VPN-Option

In diesem kurzen Kapitel erfahren Sie, wie die LANCOM VPN Option in IhrenLANCOM installiert wird. Die Installation erfolgt in vier Schritten:

a Überprüfen der Installations-Voraussetzungen

b Online-Registrierung

c Freischalten der VPN-Option

d Überprüfen der Freischaltung

2.1 Installations-Voraussetzungen

Nehmen Sie sich einige Minuten Zeit, und überprüfen Sie, ob bei Ihnen alleVoraussetzungen für eine erfolgreiche Installation vorliegen.

2.1.1 Lieferumfang

Vergewissern Sie sich, dass das Optionspaket folgende Komponentenenthält:

� LANCOM-CD mit LANtools, aktueller Firmware und elektronischer Doku-mentation

� Lizenznachweis mit aufgedruckter Lizenznummer

� Handbuch

2.1.2 Konfigurations-Rechner mit Windows-Betriebssystem

Sie benötigen für die Installation der LANCOM VPN Option einen Rechner miteinem Windows-Betriebssystem: Windows XP, Windows Millennium Edition(Me), Windows 2000, Windows 98, Windows 95, Windows NT 4.0.

Dieser Rechner muss Zugriff auf den zu konfigurierenden LANCOM haben.Der Zugriff kann entweder über LAN (Inband), über die eingebaute serielleKonfigurationsschnittstelle des Gerätes (Outband) oder über die Fernkonfigu-ration erfolgen.

Die Installation der VPN-Option |


22D

E 2.1.3 Aktuelles LANconfig

Die jeweils aktuelle Version von LANconfig und LANmonitor finden Sie aufder LANCOM Systems-Homepage www.lancom.de im Dateibereich ('Down-load'). Es empfiehlt sich in jedem Fall, diese Programme vor der weiterenInstallation zu aktualisieren.

Aufruf und Bedienung von LANconfig sind in der Dokumentation Ihres LAN-COM-Routers beschrieben.

2.1.4 Aktuelle Firmware im LANCOM

Aktuelle Firmware-Updates finden Sie auf der LANCOM Systems-Websitewww.lancom.de im Dateibereich ('Download'). Suchen Sie Ihr Gerät in derGeräteliste aus, und laden Sie die Datei mit der passenden Firmware aufIhren Rechner herunter.

Nähere Informationen zur Aktualisierung der Firmware finden Sie in derDokumentation Ihres LANCOM-Routers.

2.2 Online-Registrierung

Mit der korrekten Firmware-Version enthält Ihr LANCOM bereits die gesamteVPN-Software. Sie muss nur noch freigeschaltet werden.

Zur Freischaltung der VPN-Option im LANCOM benötigen Sie einen Freis-chaltcode.

Beachten Sie bitte: Der Freischaltcode liegt dem Paket nicht bei, sondernwird Ihnen bei der Online-Registrierung mitgeteilt.

Der LANCOM VPN Option liegt ein Lizenznachweis bei. Auf diesem ist eineLizenznummer abgedruckt. Mit der Lizenznummer können Sie sich einmaligbei LANCOM Systems registrieren und erhalten dann einen Freischaltcode.

Eine erfolgreiche Online-Registrierung entwertet die verwendete Lizenznum-mer Ihrer LANCOM VPN Option. Der hieraus gewonnene Freischaltcode istausschließlich auf dem per Seriennummer angegebenen LANCOM verwend-bar! Vergewissern Sie sich, dass Sie die VPN-Option tatsächlich nur auf demangegebenen Gerät installieren wollen. Ein späterer Wechsel auf einanderes Gerät ist ausgeschlossen!

| Die Installation der VPN-Option 23


DEErforderliche Registrierungsdaten

Zur Online-Registrierung halten Sie bitte folgende Daten bereit:

� Genaue Bezeichnung der Software-Option

� Die Lizenznummer (vom Lizenznachweis)

� Seriennummer Ihres freizuschaltenden LANCOM (befindet sich auf derGehäuseunterseite)

� Ihre Kundendaten (Firma, Name, Anschrift, E-Mail-Adresse).

Die Registrierung ist auch anonym, also ohne Angabe persönlicherDaten, möglich. Zusätzliche Informationen erleichtern uns eine Unter-stützung im Support- und Servicefall. Alle Daten werden selbstver-ständlich streng vertraulich behandelt.

Online-Eingabe der Registrierungsdaten

a Starten Sie einen Webbrowser, und gehen Sie auf die LANCOM Sys-tems-Website 'www.lancom.de/register/routeroption'.

b Geben Sie die erforderlichen Daten ein, und folgen Sie den weiterenAnweisungen. Nach Eingabe aller Daten werden Ihnen der Freischalt-code zur VPN-Option für Ihr LANCOM sowie Ihre Kundendaten übermit-telt. Wenn Sie Ihre E-Mail-Adresse angegeben haben, werden Ihnen dieDaten einschließlich des Freischaltcodes per E-Mail zugesandt. DieOnline-Registrierung ist damit beendet.

Heben Sie den Freischaltcode gut auf! Möglicherweise benötigen Sie ihnspäter zum erneuten Freischalten der VPN-Option, etwa nach einer Repara-tur.

Hilfe im Problemfall

Bei Problemen mit der Registrierung Ihrer Software-Option wenden Sie sichbitte per E-Mail an [email protected].

2.3 Freischalten der VPN-Option

Die Freischaltung der VPN-Option ist sehr einfach. In LANconfig markierenSie den gewünschten LANCOM (durch einfachen Mausklick auf den Eintrag)und wählen den Menübefehl Extras / Software-Option freischalten:

mailto:[email protected]

Die Installation der VPN-Option |


24D

E

Es erscheint das Eingabefenster 'Software-Option freischalten':

Geben Sie den Freischaltcode ein, den Sie über oben genannte Online-Regis-trierung erworben haben. Der LANCOM startet anschließend automatischneu.

2.4 Überprüfen der Freischaltung

Die erfolgreiche Freischaltung der LANCOM VPN Option können Sie über-prüfen, indem Sie bei ausgewähltem Gerät in LANconfig den MenübefehlGerät / Eigenschaften auswählen. Im Eigenschaften-Fenster sehen Sie imRegister 'Info' eine Liste der aktiven Software-Optionen.

| Einrichten der VPN-Verbindung 25


DE3 Einrichten der VPN-Verbindung

Nachdem Sie die LANCOM VPN Option auf dem gewünschten LANCOMinstalliert haben, erfahren Sie in diesem Kapitel alles Notwendige zum Auf-bau einer VPN-Verbindung.

Im ersten Abschnitt erhalten Sie allgemeine Informationen zum LANconfig-Assistenten für VPN. Im zweiten Abschnitt folgt eine Schritt-für-Schritt-Anle-itung mit der ausführlichen Beschreibung aller notwendigen Eingaben.

Konkrete Konfigurationsbeispiele für die vier typischen VPN-Verbindung-sarten finden Sie im folgenden Kapitel.

3.1 Der LANconfig-Assistent für VPN

Die Einrichtung von VPN-Strecken wird mit einem Setup-Assistenten vonLANconfig vorgenommen (Aufruf und Eingabe der Daten wird im folgendenAbschnitt beschrieben).

Für VPN existiert kein separater Assistent, vielmehr wird der herkömmlicheAssistent für die LAN-LAN-Kopplung ('Zwei lokale Netze verbinden') verwen-det. Mit der Freischaltung von LANCOM VPN wird dieser Assistent so erwei-tert, dass er auch Netzwerkkopplungen über VPN einrichten kann.

Wichtige Voraussetzung: ein funktionierender Internet-Zugang

Der LAN-LAN-Assistent richtet keinen Internet-Zugang ein. Er setzt vielmehreine funktionierende Zugangskonfiguration für das Internet voraus und ver-wendet diese. Die Einrichtung des Zugangs erfolgt über den Internet-Zugangs-Assistenten. Der Internet-Zugang sollte eingerichtet sein, bevor dieVPN-Verbindung mit dem LAN-LAN-Assistenten begonnen wird.

Der VPN-Tunnel wird über diejenige Verbindung aufgebaut, die sich aus derRouting-Tabelle für die IP-Adresse der Gegenstelle ergibt. In aller Regel han-delt es sich um die Standard-Internet-Verbindung, die der IP-Adresse'255.255.255.255' (Netzmaske '0.0.0.0') zugeordnet ist.

Bestehende Verbindungen in VPN-Verbindungen umwandeln

Für die Umwandlung bereits bestehender Netzwerkkopplungen in VPN-Verbindungen empfehlen wir Ihnen, den LAN-LAN-Assistenten ein zweitesMal komplett auszuführen.

Einrichten der VPN-Verbindung |


26D

E Wenn Sie nach Ihrem eigenen Gerätenamen bzw. nach dem Namen derGegenstelle gefragt werden, verwenden Sie dieselben Namen, mit denen diealte Netzwerkkopplung arbeitet. Achten Sie dabei auf die exakte Schreib-weise.

Dadurch wird die bisherige Netzwerkverbindung durch eine VPN-basierteNetzwerkverbindung ersetzt.

3.2 Die VPN-Konfiguration � Schritt-für-Schritt

Bevor Sie den LAN-LAN-Assistenten zum Aufbau einer VPN-Netzkopplungausführen, prüfen Sie bitte, ob folgende Voraussetzungen vorliegen:

• Die LANCOM VPN Option ist auf beiden LANCOM freigeschaltet.

• Wenn die VPN-Verbindung über das Internet erfolgen soll, ist ein Inter-net-Zugang in beiden LANCOM konfiguriert und funktioniert einwandfrei.

3.2.1 Die Konfigurationseinträge in der Übersicht

In dieser Übersicht finden Sie alle Fragen, die Ihnen der Assistent währendder Installation stellt. Einige Fragen sind in bestimmten Konfigurationen nichterforderlich. Wir erklären dennoch alle Abfragen, erwähnen aber, in welchenFällen Sie unnötig sind.

Eine VPN-Verbindung besteht immer zwischen dem zu konfigurierendenGerät und einer bekannten Gegenstelle. Die Konfiguration wird auf beidenSeiten vorgenommen. Dabei ist darauf zu achten, dass die Konfigurationsan-gaben zueinander passen.

Die Übersicht zeigt Ihnen auch die Abhängigkeiten der Informationen zwis-chen beiden Gegenstellen. Bei Beachtung dieser Abhängigkeiten lassen sichviele unnötige Fehlangaben vermeiden.

Angabe Gateway 1 Gateway 2

Verfügt die Gegenstelle über einen

ISDN-Anschluss?

Ja/Nein Ja/Nein

Typ der eigenen IP-Adresse statisch/dynamisch statisch/dynamisch

Typ IP-Adresse der Gegenstelle statisch/dynamisch statisch/dynamisch

Name des eigenen Gerätes Name1 Name2

Name der Gegenstelle Name2 Name1

ISDN-Rufnummer Gegenstelle Rufnummer1 Rufnummer2



DE

In den Spalten 'Gateway 1' und 'Gateway 2' finden Sie Auswahlmöglich-keiten und Variable stellvertretend für konkrete Konfigurationsangaben.Diese Stellvertreter sind in Kursivschrift gesetzt.

Die Spalte zwischen den Variablen kennzeichnet notwendige Abhän-gigkeiten, die bei der Eingabe an beiden Gateways zu beachten sind.Beispielsweise müssen die Angaben, ob die VPN-Verbindung über einedirekte Verbindung oder über das Internet aufgebaut werden soll, auf beidenGateways übereinstimmen. Solche notwendige Übereinstimmungen werdendurch Pfeile ( ) symbolisiert.

Die hier verwendete tabellarische Darstellungsform wird sowohl für dieanschließende Schritt-für-Schritt Anleitung verwendet, als auch für diekonkreten Beispielkonfigurationen im dritten Abschnitt dieses Kapitels.

3.2.2 Aufruf des Assistenten

Zum Aufruf des Assistenten wird das gewünschte LANCOM in LANconfigmarkiert und der Menübefehl Extras / Setup Assistent ausgewählt:

ISDN-Anruferkennung Gegenstelle ISDN-Kennung1 ISDN-Kennung2

Kennwort zur sicheren

Übertragung der IP-Adresse

Kennwort1 Kennwort1

Shared Secret für Verschlüsselung geheim geheim

IP-Adresse der Gegenstelle IP-Adresse1 IP-Adresse2

IP-Netzadresse des entfernten

Netzes

IP-Adresse3 IP-Adresse4

Netzmaske des entfernten

Netzwerks

IP-Netzmaske zu IP-

Adresse3

IP-Netzmaske zu IP-

Adresse4

Dömänenbezeichnung im entfern-

ten Netzwerk

Domäne1 Domäne2

Eigene Stationen bei Zugriff auf

entferntes Netz verstecken (Extranet-VPN)?

Ja/Nein Ja/Nein

NetBIOS-Routing für Zugriff auf

entferntes Netz?

Ja/Nein Ja/Nein

Name einer lokalen Arbeitsgruppe

(nur bei NetBIOS)

Arbeitsgruppe1 Arbeitsgruppe2




28D

E

Daraufhin erscheint ein Fenster mit den für das jeweilige Gerät verfügbarenAssistenten, darunter auch der Assistent für die LAN-LAN-Kopplung ('Zweilokale Netze verbinden'). Wählen Sie diesen Eintrag.

Die Bedienung des Assistenten ist intuitiv. Schrittweise werden alle erforder-lichen Angaben für die gewünschte Verbindung abgefragt. Mit Weiter undZurück kann jederzeit vor- und zurückgesprungen werden.

In der ersten Abfrage geben Sie an, dass die gewünschte Netzwerkkopplungüber VPN erfolgen soll.

In den folgenden Abschnitten finden Sie Beschreibungen zu allen möglichenKonfigurationsabfragen. Die Abfragen werden in der Reihenfolge beschrie-ben, in der sie im Assistenten erscheinen. Zur besseren Übersicht sind siethematisch zusammengefasst.

Der Assistent lässt automatisch solche Abfragen aus, die nicht erforderlichsind. Daher ist es möglich und richtig, dass der Assistent nicht alle hier bes-chriebenen Parameter auch tatsächlich abfragt.



DE3.2.3 Allgemeine Daten zu Gerät und Gegenstelle

Für VPN-Verbindungen über das Internet muss der Typ der IP-Adressen aufbeiden Seiten angegeben werden. Es gibt zwei Typen von IP-Adressen:statische und dynamische. Eine Erklärung zum Unterschied der beiden IP-Adresstypen finden Sie im Abschnitt 'Ein Blick auf die IP-Adressierung' aufSeite 14.

Die Dynamic VPN-Funktionalität von erlaubt VPN-Verbindungen nicht nurzwischen Gateways mit statischen (festen) IP-Adressen, sondern auch beiVerwendung dynamischer IP-Adressen. Der aktive Aufbau von VPN-Verbind-ungen zu Gegenstellen mit dynamischer IP-Adresse erfordert eine ISDN-Verbindung (vgl. 'Was ist Dynamic VPN?' auf Seite 14).

Verfügt Ihr eigenes Gerät über einen ISDN-Anschluss, so fragt der Assistentnach, ob auch die Gegenstelle über einen solchen verfügt.

Anschließend werden der eigene IP-Adresstyp und der Typ der Gegenstelleabgefragt. Die Angaben auf beiden Seiten müssen zueinander passen.

Wenn Sie Ihren LANCOM noch nicht benannt haben, so fragt Sie der Assis-tent nach einem neuen eigenen Gerätenamen. Mit der Eingabe benennenSie Ihren LANCOM neu. Achten Sie darauf, dass Sie die beiden VPN-Gate-ways unterschiedlich benennen.

Ein Gerätename darf nicht ausschließlich aus Ziffern bestehen, sondern musmindestens einen Buchstaben enthalten.

Um das entfernte VPN-Gateway identifizieren zu können, geben Sie dessenNamen als Namen der Gegenstelle an.


Verfügt die Gegenstelle über einen ISDN-Anschluss?

Ja/Nein Ja/Nein

Typ der eigenen IP-Adresse statisch/dynamisch statisch/dynamisch

Typ IP-Adresse der Gegenstelle statisch/dynamisch statisch/dynamisch

Name des eigenen Gerätes Name1 Name2

Name der Gegenstelle Name2 Name1



30D

E 3.2.4 ISDN-Verbindung für Dynamic VPN

Die Angaben zur ISDN-Verbindung werden benötigt, wenn eine VPN-Verbin-dung zu einem Gateway mit dynamischer IP-Adresse aufgebaut werden soll.Die ISDN-Parameter werden deshalb auch nur dann abgefragt, wenn zumind-est ein beteiligtes VPN-Gateway lediglich über eine dynamische IP-Adresseverfügt und beide Geräte einen ISDN-Anschluss haben.

Im Feld ISDN-Rufnummer wird die Rufnummer der ISDN-Gegenstelleangegeben. Erforderlich ist die Angabe der kompletten Rufnummer derGegenstelle einschließlich aller notwendigen Vorwahlen.

Mit der angegebenen ISDN-Anruferkennung (CLI � Calling Line Identifica-tion) wird der Anrufer identifiziert und authentifiziert. Wird ein LANCOMangerufen, vergleicht er die für die Gegenstelle eingetragene ISDN-Anrufer-kennung mit der Kennung, die der Anrufer tatsächlich über den D-Kanal über-mittelt. Die ISDN-Kennung setzt sich üblicherweise aus der nationalen Vor-wahl (ohne führende Null) und der MSN zusammen.

Die Übermittlung der Anruferkennung kann von der Telefongesellschaft odereiner beteiligten Telefonanlage blockiert werden. Achten Sie darauf, dass dieÜbermittlung der Anruferkennung an beiden Anschlüssen freigeschaltet ist.

3.2.5 Kennwörter für VPN

Das Kennwort zur sicheren Übertragung der IP-Adresse wird vonDynamic VPN für den Austausch von dynamischen IP-Adressen verwendet.Wird die IP-Adresse per ISDN übertragen, so meldet sich der Anrufer mitdiesem Kennwort bei der Gegenstelle an. Bei Übermittlung einer IP-Adresseüber das Internet (per ICMP oder UDP) werden die Daten mit diesem Ken-nwort verschlüsselt. Das Kennwort muss auf beiden Seiten identischeingegeben werden.


ISDN-Rufnummer Gegenstelle Rufnummer1 Rufnummer2

ISDN-Anruferkennung Gegenstelle ISDN-Kennung1 ISDN-Kennung2


Kennwort zur sicheren Übertragung der IP-Adresse

Kennwort1 Kennwort1




DE

Das Shared Secret ist das zentrale Kennwort für die Sicherheit der VPN-Verbindung. Es muss auf beiden Seiten identisch eingegeben werden.

Tipps zum richtigen Umgang mit Kennwörtern

Für den Umgang mit Kennwörtern gelten einige grundsätzliche Regeln, deren Einhaltungwir Ihnen ans Herz legen wollen:

• Wählen Sie ein ausreichend langes Kennwort.Ein Kennwort sollte aus mindestens acht Zeichen bestehen. Jedes zusätzlicheZeichen erhöht seine Sicherheitswirkung.

• Halten Sie das Kennwort so geheim wie möglich. Notieren Sie niemals ein Kennwort. Beliebt aber völlig ungeeignet sind beispiels-weise: Notizbücher, Brieftaschen und Textdateien im Computer. Es klingt trivial, kannaber nicht häufig genug wiederholt werden: verraten Sie Ihr Kennwort nicht weiter.Die sichersten Systeme kapitulieren vor der Geschwätzigkeit.

• Kennwörter nur sicher übertragen.Ein gewähltes Kennwort muss der Gegenseite mitgeteilt werden. Wählen Sie dazuein möglichst sicheres Verfahren. Meiden Sie: Ungeschützte E-Mail, Brief, Fax.Besser ist die persönliche Übermittlung unter vier Augen. Die höchste Sicherheiterreichen Sie, wenn Sie das Kennwort auf beiden Seiten persönlich eingeben.

• Wählen Sie ein sicheres Kennwort.Kennwörter aus dem allgemeinen Sprachgebrauch oder Namen sind unsicher. Ver-wenden Sie zufällige Buchstaben- und Ziffernfolgen. Sehr günstig wirken sich auchSonderzeichen wie '%&^?#-*+_:;,!' aus. Mit einem solchen Kennwort vereiteln Sieeinen typischen Angriff: Das systematische Ausprobieren gängiger Kennwörter.

• Verwenden Sie ein Kennwort niemals doppelt.Wenn Sie dasselbe Kennwort für mehrere Zwecke verwenden, mindern Sie seineSicherheit. Wenn eine Gegenseite unsicher ist, werden mit einem Schlag auch alleanderen Verbindungen gefährdet, bei denen dieses Kennwort verwendet wird.

• Wechseln Sie das Kennwort regelmäßig.Kennworte sollen möglichst häufig gewechselt werden. Das ist mit Mühe verbunden,erhöht aber die Sicherheit des Kennwortes beträchtlich.

• Wechseln Sie das Kennwort sofort bei Verdacht.Wenn ein Mitarbeiter mit Zugriff auf ein Kennwort Ihr Unternehmen verlässt, wird eshöchste Zeit, dieses Kennwort zu wechseln. Ein Kennwort sollte auch immer danngewechselt werden, wenn der geringste Verdacht einer undichten Stelle auftritt.



32D

E 3.2.6 IP-Adresse der Gegenseite

Über die IP-Adresse der Gegenseite wählen Sie eine Gegenstelle mitstatischer IP-Adresse an.

3.2.7 TCP/IP-Routing

Die TCP/IP-Routing-Einstellungen für VPN-Verbindungen sind identisch mitden Parametern, die für herkömmliche Netzwerkkopplungen verwendet wer-den.

Netzwerkkkopplungen über VPN reagieren besonders empfindlich auf falscheAngaben zum TCP/IP-Routing. Es ist unbedingt darauf zu achten, dass dieRoutinginformationen zum entfernten Netz mit der tatsächlichen Situationdort übereinstimmt. Ansonsten kann es vorkommen, dass der gewünschteVPN-Tunnel nicht aufgebaut wird.

Bei einer Netzwerkkopplung ist zu beachten, dass beide Netzwerke logischvoneinander getrennt sind. Sie müssen daher jeweils über eine eigeneNetzwerknummer verfügen (im Beispielfall '10.10.1.x' und '10.10.2.x'). Diebeiden Netzwerknummern müssen unterschiedlich sein.

Die IP-Adresse des entfernten Netzwerkes wird immer mitsamt derzugehörigen Netzmaske eingegeben (siehe Kasten 'Was ist eine Netz-maske?').


IP-Adresse der Gegenstelle IP-Adresse1 IP-Adresse2



Netzes

IP-Adresse3 IP-Adresse4

Netzmaske des entfernten

Netzwerks

IP-Netzmaske zu IP-

Adresse3

IP-Netzmaske zu IP-

Adresse4

Dömänenbezeichnung im entfern-

ten Netzwerk

Domäne1 Domäne2

Eigene Stationen bei Zugriff auf

entferntes Netz verstecken (Extranet-VPN)?

Ja/Nein Ja/Nein



DEDer Zugriff auf entfernte Rechner kann in einem TCP/IP-Netzwerk nicht nur

über die Angabe der IP-Adresse erfolgen, sondern dank DNS (Domain NameSystem) auch über frei definierbare Namen.

Was ist eine Netzmaske?

Eine IP-Adresse besteht aus vier Zahlen, jede im Wertebereich von 0-255. Technischstellen diese Zahlen Bytes dar, bestehen also jeweils aus 8 Bits.

Die IP-Adresse eines Rechners besteht aus der Adresse des Subnetzes, in dem er sichbefindet, und seiner Adresse innerhalb dieses Subnetzes. Die 32 Bits einer IP-Adressekönnen flexibel dem Subnetz- und dem Rechnerteil zugeordnet werden, um Subnetzeunterschiedlicher Größe zu ermöglichen. Die Aufteilung geschieht durch Angabe derNetzmaske.

Die Netzmaske besteht ebenfalls aus 4 Bytes = 32 Bits. Steht ein Bit der Netzmaske auf'1', so ist die entsprechende Stellen der IP-Adresse als Subnetzadresse zu interpretieren.Entsprechend wird die Rechneradresse in den Bits der IP-Adresse angegeben, die in derNetzmaske auf '0' stehen.

Beispiel: Die IP-Adresse '192.168.17.43' mit der Netzmaske '255.255.255.0' adressiertden Rechner '43' im Subnetz '192.168.17.0'.

0 0 0 1 0 0 0 1 0 0 1 0 1 0 1 11 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0. ..1 1 0 0 0 0 0 0 0 01 11 11 11 11 11 11 1 1 1 1 1 1 1 1 1. .

.

0 0 0 1 0 0 0 1 0 0 1 0 1 0 1 11 1 0 0 0 0 0 0 1 0 1 0 1 0 0 0. . .

IP-Adresse '192.168.17.43':

RechnerSubnetz

Netzmaske '255.255.255.0':

LAN der Zentrale. IP: 10.10.1.0Netzmaske: 255.255.255.0

Domäne: 'zentrale'

LAN: 10.10.1.100

Internet: 193.10.10.1

LAN der Filiale. IP: 10.10.2.0Netzmaske: 255.255.255.0

Domäne: 'filiale'

10.10.1.2

10.10.2.10

'server.zentrale''pc1.filiale'

VPN-Verbindung

LAN: 10.10.2.100

Internet: 193.10.10.2



34D

E Beispielsweise kann der Rechner mit dem Namen 'pc1.filiale.firma' (IP10.10.2.10) auf den Server in der Zentrale nicht nur über dessen IP-Adressezugreifen, sondern auch über dessen Namen 'server.zentrale.firma'. EinzigeVoraussetzung: Die Domäne des entfernten Netzwerks muss im Assis-tenten angegeben werden. Sie wird in der Form '*.domäne' angegeben,wobei der Stern als Platzhalter für beliebige Rechnernamen oder Unter-domänen steht. Im Beispiel wird am VPN-Gateway 10.10.1.100'*.filiale' alsDomäne des entfernten Netzwerks eingetragen, am Gateway 10.10.2.100entsprechend '*.zentrale'.

Die einwandfreie Funktion des angegebenen DNS-Servers im entferntenNetz muss gewährleistet sein. Sofern das entfernte VPN-Gateway nichtzugleich auch DNS-Server für die angegebene Domäne ist, muss im VPN-Gateway die IP-Adresse des zuständigen DNS-Servers eingetragen werden.Nähere Informationen zur korrekten DNS-Konfiguration finden Sie im LAN-COM Referenzhandbuch.

Schließlich können Sie die eigenen Stationen hinter einer anderen IP-Adresse maskieren. Bei dieser als 'Extranet-VPN' bezeichneten Betriebsarterscheinen die eigenen Rechner gegenüber dem entfernten LAN nicht mitihrer eigenen IP-Adresse, sondern mit einer anderen frei wählbaren (z.B. derdes VPN-Gateways).

Den Stationen im entfernten LAN wird dadurch der direkte Zugriff auf dieRechner im eigenen LAN verwehrt. Wurde beispielsweise im LAN der Filialefür den Zugriff auf die Zentrale der Extranet-VPN-Modus hinter der IP-Adresse '10.10.2.100' eingestellt, und greift der Rechner '10.10.2.10' auf denServer '10.10.1.2' zu, so erscheint bei diesem eine Anfrage von der IP'10.10.2.100'. Die tatsächliche IP-Adresse des Rechners bleibt verborgen.

Wenn ein LAN im Extranet-Modus gekoppelt wird, so wird auf derGegenseite nicht dessen tatsächliche (verborgene) LAN-Adresse angegeben,sondern die IP-Adresse, mit der das LAN nach außen hin auftritt (im Beispiel'10.10.2.100'). Die Netzmaske lautet in diesem Fall '255.255.255.255'.



DE3.2.8 NetBIOS-Routing

Auch die Angaben für das NetBIOS-Routing sind nicht VPN-spezifisch,sondern werden für alle LAN-LAN-Kopplungen auf IP-Basis abgefragt.

Das Protokoll NetBIOS wird von einigen Netzwerk-Systemen für den Zugriffauf gemeinsame Ressourcen (zumeist Server und Drucker) verwendet. Prom-inentes Beispiel für die Verwendung von NetBIOS: Windows-Netze.

Das NetBIOS-Routing ist schnell eingerichtet: Lediglich der Name einerWindows-Arbeitsgruppe im eigenen LAN sollte angegeben werden.

Entfernte Windows-Arbeitsgruppen erscheinen nicht in der Windows-Netzwerkumgebung. Rechner in entfernten Windows-Netzwerken könnennur direkt (z.B. über einen Shortcut oder über die Computer-Suche) ange-sprochen werden.

3.2.9 IPX-Routing

Grundsätzlich ist es nicht möglich, über eine reine IPSec-Verbindung IPX-Pakete zu übertragen. Man kann jedoch die Möglichkeit nutzen, zusätzlich aufder IPSec-Verbindung einen PPTP-Tunnel zwischen den beiden LANCOMVPN-Gateways aufzubauen, um über diesen dann die IPX-Pakete zu über-tragen.

Erzeugen Sie dazu in LANconfig unter Kommunikation / Protokolle in derPPTP-Liste eine neue Gegenstelle (hier im Beispiel �PPTP� genannt). Als IP-Adresse geben Sie die Intranet-Adresse des jeweils gegenüberliegendenLANCOMs an. Den Port lassen Sie unverändert. Wenn Sie eine Haltezeitangeben, so wird nach Ablauf dieser Zeitspanne der Übertragungskanal beiInaktivität automatisch getrennt.


NetBIOS-Routing für Zugriff auf entferntes Netz?

Ja/Nein Ja/Nein

Name einer lokalen Arbeitsgruppe (nur bei NetBIOS)

Arbeitsgruppe1 Arbeitsgruppe2



36D

E

Anschließend legen Sie unter Kommunikation / Protokolle in der PPP-Liste ebenfalls eine neue Gegenstelle mit gleichem Namen an (hier imBeispiel also �PPTP�). Als Benutzername muss hier der Name eingetragenwerden, der auf der anderen Seite als Gegenstellenname eingetragen ist .Hier im Beispiel ist beides auf �PPTP� gesetzt. Das Passwort muss auf beidenSeiten übereinstimmen. Zusätzlich aktivieren Sie hier das IPX-Routing undschalten die Überprüfung mit CHAP ein. Alle anderen Parameter können aufden Default-Werten belassen werden.

Als nächstes wird auf beiden Seiten das IPX-Routing konfiguriert. Legen Siedazu in der Routing-Tabelle unter IPX/SPX / Routing jeweils einen neuenEintrag an. Das in der Routing-Tabelle jeweils identisch einzugebendeNetzwerk und Binding beschreibt das sogenannte �IPX-Transfernetzerk�.



DEDas �IPX-Transfernetz� - im Beispiel �12345678� - muss unterschiedlich zu den

auf der Registerkarte Allgemein beschriebenen jeweiligen lokalen IPX-Netzwerken sein. Wird dort als lokales IPX-Netzwerk �00000000� und alsBinding �Auto� angegeben, so versucht das LANCOM die richtigen Werte ausden IPX-Paketen des lokalen Novell-Servers selbständig zu ermitteln. Ist keinlokaler Novell-Server vorhanden (z.B. Telearbeitsplatz), so ist ein eindeutigerWert vorzugeben (z.B. �00001111� mit Binding �802.3�).



38D

E

| Konkrete Verbindungsbeispiele 39


DE4 Konkrete Verbindungsbeispiele

In diesem Kapitel werden die vier möglichen VPN-Verbindungstypen an Handkonkreter Beispiele veranschaulicht. Die vier Verbindungsarten werden nachder IP-Adressart der beiden VPN-Gateways kategorisiert:

• statisch/statisch

• dynamisch/statisch (die dynamische Seite initiiert die Verbindung)

• statisch/dynamisch (die statische Seite initiiert die Verbindung)

• dynamisch/dynamisch

Zu jeder dieser vier VPN-Verbindungsarten gibt es einen eigenen Abschnittmit einer Aufführung aller notwendigen Konfigurationsangaben in Form derbereits bekannten Tabelle.

4.1 Statisch/statisch

Zwischen den beiden LANCOM Zentrale und Filiale wird eine VPN-Verbin-dung aufgebaut. Beide Gateways verfügen über statische IP-Adressen. BeideSeiten können den Verbindungsaufbau initiieren.

Zentrale Filiale

LAN

10.

10.1

.x

LAN

10.

10.2

.x

VPN-Tunnel

Statische IP-AdresseÖffentliche IP 193.10.10.1

Private IP 10.10.1.1



Internet

Angabe Zentrale Filiale

Typ der eigenen IP-Adresse statisch statisch

Typ IP-Adresse der Gegenstelle statisch statisch

Name des eigenen Gerätes Zentrale Filiale

Name der Gegenstelle Filiale Zentrale


IP-Adresse der Gegenseite 193.10.10.2 193.10.10.1


Netzes

10.10.2.0 10.10.1.0

Netzmaske des entfernten Netzes 255.255.255.0 255.255.255.0

Konkrete Verbindungsbeispiele |


40D

E 4.2 Dynamisch/statisch

Das VPN-Gateway Filiale baut eine VPN-Verbindung zum Gateway Zentraleauf. Filiale verfügt über eine dynamische IP-Adresse (die ihm bei der Inter-net-Einwahl von seinem Internet-Anbieter zugewiesen wurde), Zentralehingegen über eine statische. Während des Verbindungsaufbaus überträgtFiliale seine aktuelle IP-Adresse an Zentrale (standardmäßig über ICMP,alternativ auch über UDP Port 87).

Zentrale Filiale

LAN

10.

10.1

.x

LAN

10.

10.2

.x

VPN-Tunnel



Dynamische IP-AdressePrivate IP 10.10.2.1

Internet


Typ der eigenen IP-Adresse statisch dynamisch

Typ IP-Adresse der Gegenstelle dynamisch statisch





vertraulich vertraulich


IP-Adresse der Gegenseite � 193.10.10.1

IP-Netzadresse des entfernten Netzes

10.10.2.0 10.10.1.0


| Konkrete Verbindungsbeispiele 41


DE4.3 Statisch/dynamisch

In diesem Fall initiiert (im Gegensatz zur dynamisch/statischen Verbindung)die statische Seite den Aufbau der VPN-Verbindung.

Das VPN-Gateway Zentrale baut eine VPN-Verbindung zu Filiale auf. Zen-trale verfügt über eine statische IP-Adresse, Filiale über eine dynamische.

Die Angaben zur ISDN-Verbindung werden für die Übertragung der IP-Adresse verwendet und nicht für den eigentlichen Verbindungsaufbau insInternet. Die Internetverbindung wird mit dem Internet-Zugangs-Assistentenkonfiguriert.

Zentrale FilialeLA

N 1

0.10

.1.x

LAN

10.

10.2

.x

VPN-Tunnel

Statische IP-AdressePrivate IP 10.10.1.1

Öffentliche IP 193.10.10.1

ISDN-Nr. (030) 12345

ISDN-Kennung 03012345


ISDN-Nr. (069) 54321


ISDN

Internet


Typ der eigenen IP-Adresse statisch dynamisch

Typ IP-Adresse der Gegenstelle dynamisch statisch



ISDN-Rufnummer Gegenstelle 06954321 03012345

ISDN-Anruferkennung Gegenstelle 06954321 03012345





IP-Adresse der Gegenseite 193.10.10.1


10.10.2.0 10.10.1.0


Konkrete Verbindungsbeispiele |


42D

E 4.4 Dynamisch/dynamisch

Zwischen den beiden LANCOM Zentrale und Filiale wird eine VPN-Verbin-dung aufgebaut. Beide Seiten haben dynamische IP-Adressen. Beide Seitenkönnen den Verbindungsaufbau initiieren.

Die Angaben zur ISDN-Verbindung werden für die Übertragung der IP-Adresse verwendet und nicht für den eigentlichen Verbindungsaufbau insInternet. Die Internetverbindung wird mit dem Internet-Zugangs-Assistentenkonfiguriert.

Zentrale Filiale

LAN

10.

10.1

.x

LAN

10.

10.2

.x

VPN-Tunnel


ISDN-Nr. (030) 12345



ISDN-Nr. (069) 54321


ISDN

Internet


Typ der eigenen IP-Adresse dynamisch dynamisch

Typ IP-Adresse der Gegenstelle dynamisch dynamisch



ISDN-Rufnummer Gegenstelle 06954321 03012345

ISDN-Anruferkennung Gegenstelle 06954321 03012345






10.10.2.0 10.10.1.0


| Die Technik hinter VPN 43


DE5 Die Technik hinter VPN

Dieses Kapitel erklärt die technischen Grundlagen von VPN im allgemeinenund LANCOM VPN im besonderen. Sie erhalten einen Überblick über die ver-wendeten Konzepte und Standards, auf denen die Technik basiert.

Dieses Wissen ist für die Nutzung von VPN mit LANCOM nicht zwingenderforderlich, kann aber hilfreich sein. LANCOM VPN ist so konzipiert, dassauch Anwender ohne tiefere Kenntnisse die Vorteile der VPN-Technik nutzenkönnen. Insbesondere der Aufbau von VPN-Verbindungen ist ohne detaillierteBasiskenntnisse möglich.

5.1 Wie funktioniert VPN?

Ein VPN muss in der Praxis einer Reihe von Ansprüchen gerecht werden:

• Unbefugte Dritte dürfen die Daten nicht lesen können (Verschlüsselung)

• Ausschluss von Datenmanipulationen (Datenintegrität)

• Zweifelsfreie Feststellung des Absenders der Daten (Authentizität)

• Einfache Handhabung der Schlüssel

• Kompatibilität mit VPN-Geräten verschiedener Hersteller

Diese fünf wichtigen Ziele erreicht LANCOM VPN durch die Verwendung desweitverbreiteten IPSec-Standards.

5.1.1 IPSec � Die Basis für LANCOM VPN

Das ursprüngliche IP-Protokoll enthält keinerlei Sicherheitsvorkehrungen.Erschwerend kommt hinzu, dass Pakete unter IP nicht gezielt an denEmpfänger gesendet werden, sondern über das gesamte Netzwerksegmentan alle angeschlossenen Rechner gestreut werden. Wer auch immer möchte,bedient sich und liest die Pakete mit. Datenmissbrauch ist so möglich.

Deshalb wurde IP weiterentwickelt und es gibt IP inzwischen auch in einersicheren Variante: IPSec. LANCOM VPN basiert auf IPSec.

IPSec steht für �IP Security Protocol� und ist ursprünglich der Name einerArbeitsgruppe innerhalb des Interessenverbandes IETF, der Internet Engi-neering Task Force. Diese Arbeitsgruppe hat über die Jahre ein Rahmenwerkfür ein gesichertes IP-Protokoll entwickelt, das heute allgemein als IPSecbezeichnet wird.

Die Technik hinter VPN |


44D

E Wichtig ist, dass IPSec selber kein Protokoll ist, sondern nur der Standard fürein Protokoll-Rahmenwerk. IPSec besteht in der Tat aus verschiedensten Pro-tokollen und Algorithmen für die Verschlüsselung, die Authentifizierung unddas Schlüssel-Management. Diese Standards werden in den folgendenAbschnitten vorgestellt.

Sicherheit im IP-Gewand

IPSec ist (nahezu) vollständig innerhalb in Ebene 3 des OSI-Modells imple-mentiert, also in der Vermittlungsebene (dem Network Layer). Auf Ebene 3wird in IP-Netzwerken der Verkehr der Datenpakete auf Basis des IP-Pro-tokolls abgewickelt.

Damit ersetzt IPSec das IP-Protokoll. Die Pakete werden unter IPSec internanders aufgebaut als IP-Pakete. Ihr äußerer Aufbau bleibt dabei aber voll-ständig kompatibel zu IP. IPSec-Pakete werden deshalb weitgehend problem-los innerhalb bestehender IP-Netze transportiert. Die für den Transport derPakete zuständigen Geräte im Netzwerk können IPSec-Pakete bei Blick aufsÄußere nicht von IP-Paketen unterscheiden.

Ausnahmen sind bestimmte Firewalls und Proxy-Server, die auch auf denInhalt der Pakete zugreifen. Die Probleme resultieren dabei aus (teilweisefunktionsbedingten) Inkompatibilitäten dieser Geräte mit dem geltenden IP-Standard. Diese Geräte müssen entsprechend an IPSec angepasst werden.

In der nächsten Generation des IP-Standards (IPv6) wird IPSec fest implemen-tiert werden. Man kann deshalb davon ausgehen, dass IPSec auch in Zukunftder wichtigste Standard für virtuelle private Netzwerke sein wird.

5.1.2 Alternativen zu IPSec

IPSec ist ein offener Standard. Er ist unabhängig von einzelnen Herstellernund wird innerhalb der IETF unter Einbezug der interessierten Öffentlichkeitentwickelt. Die IETF steht jedermann offen und verfolgt keine wirtschaftlicheInteressen. Aus dieser offenen Gestaltung zur Zusammenführung ver-schiedener technischer Ansätze resultiert die breite Anerkennung von IPSec.

Dennoch gab und gibt es andere Ansätze zur Verwirklichung von VPNs. Nurdie beiden wichtigsten seien hier erwähnt. Sie setzen nicht auf der Netzwerk-ebene wie IPSec an, sondern auf Verbindungs- und auf Anwendungsebene.



DESicherheit auf Verbindungsebene � PPTP, L2F, L2TP

Bereits auf der Verbindungsebene (Level 2 des OSI-Modells) können Tunnelgebildet werden. Microsoft und Ascend entwickelten frühzeitig das Point-to-Point Tunneling Protocol (PPTP). Cisco stellte ein ähnliches Protokoll mitLayer 2 Forwarding (L2F) vor. Beide Hersteller einigten sich auf ein gemein-sames Vorgehen und in der IETF wurde daraus das Layer 2 Tunnel Protocol(L2TP).

Der Vorteil dieser Protokolle gegenüber IPSec liegt vor allem darin, dassbeliebige Netzwerk-Protokolle auf eine solche sichere Netzwerkverbindungaufgesetzt werden können, insbesondere NetBEUI und IPX.

Ein wesentlicher Nachteil der beschriebenen Protokolle ist die fehlendeSicherheit auf Paketebene. Außerdem wurden die Protokolle speziell für Ein-wahlverbindungen entwickelt.

Sicherheit auf höherer Ebene � SSL, S/MIME, PGP

Auch auf höheren Ebenen des OSI-Modells lässt sich die Kommunikationdurch Verschlüsselung absichern. Bekannte Beispiele für Protokolle dieserArt sind SSL (Secure Socket Layer) vornehmlich für Webbrowser-Verbindun-gen, S/MIME (Secure Multipurpose Internet Mail Extensions) für E-Mailsund PGP (Pretty Good Privacy) für E-Mails und Dateien.

Bei allen obengenannten Protokollen übernimmt eine Anwendung die Ver-schlüsselung der übertragenen Daten, beispielsweise der Webbrowser aufder einen Seite und der HTTP-Server auf der anderen Seite.

Ein Nachteil dieser Protokolle ist die Beschränkung auf bestimmte Anwend-ungen. Für verschiedene Anwendungen werden zudem in aller Regel ver-schiedene Schlüssel benötigt. Die Verwaltung der Konfiguration wird aufjedem einzelnen Rechner vorgenommen und kann nicht komfortabel nur aufden Gateways erfolgen, wie das bei IPSec möglich ist. Zwar sind Sicherung-sprotokolle auf Anwendungsebene intelligenter, schließlich kennen sie dieBedeutung der übertragenen Daten. Zumeist sind sie aber auch deutlichkomplexer.

Alle diese Layer-2-Protokolle erlauben nur Ende-Ende-Verbindungen, sindalso (ohne Ergänzungen) ungeeignet für die Kopplung ganzer Netzwerke.

Andererseits benötigen diese Mechanismen nicht die geringsten Änderun-gen der Netzwerkgeräte oder der Zugangssoftware. Zudem können sie imUnterschied zu Protokollen in unteren Netzwerkebenen auch dann nochwirken, wenn die Dateninhalte schon in den Rechner gelangt sind.



46D

E Die Kombination ist möglich

Alle genannten Alternativen sind verträglich zu IPSec und daher auch parallelanzuwenden. Auf diese Weise kann das Sicherheitsniveau erhöht werden. Esist beispielsweise möglich, sich mit einer L2TP-Verbindung ins Internet ein-zuwählen, einen IPSec-Tunnel zu einem Web-Server aufzubauen und dabeidie HTTP-Daten zwischen Webserver und Browser im gesicherten SSL-Modus auszutauschen.

Allerdings beeinträchtigt jede zusätzlich eingesetzte Verschlüsselung denDatendurchsatz. Der Anwender wird im Einzelfall entscheiden, ob ihm dieSicherheit alleine über IPSec ausreicht oder nicht. Nur in seltenen Fällen wirdeine höhere Sicherheit tatsächlich notwendig sein. Zumal sich der verwen-dete Grad an Sicherheit auch innerhalb von IPSec noch einstellen lässt.

5.2 Die Standards hinter IPSec

IPSec basiert auf verschiedenen Protokollen für die verschiedenen Teilfunk-tionen. Die Protokolle bauen aufeinander auf und ergänzen sich. Die durchdieses Konzept erreichte Modularität ist ein wichtiger Vorteil von IPSecgegenüber anderen Standards. IPSec ist nicht auf bestimmte Protokolle bes-chränkt, sondern kann jederzeit um zukünftige Entwicklungen ergänzt wer-den. Die bisher integrierten Protokolle bieten außerdem schon jetzt ein sohohes Maß an Flexibilität, dass IPSec perfekt an nahezu jedes Bedürfnisangepasst werden kann.

5.2.1 Module von IPSec und ihre Aufgaben

IPSec hat eine Reihe von Aufgaben zu erfüllen. Für jede dieser Aufgabenwurde eines oder mehrere Protokolle definiert.

• Sicherung der Authentizität der Pakete

• Verschlüsselung der Pakete

• Übermittlung und Management der Schlüssel

5.2.2 Security Associations � nummerierte Tunnel

Eine logische Verbindung (Tunnel) zwischen zwei IPSec-Geräten wird als SA(Security Association) bezeichnet. SAs werden selbstständig vom IPSec-Gerät verwaltet. Eine SA besteht aus drei Werten:



DE• Security Parameter Index (SPI)

Kennziffer zur Unterscheidung mehrerer logischer Verbindungen zumselben Zielgerät mit denselben Protokollen

• IP-Ziel-Adresse

• Verwendetes SicherheitsprotokollKennzeichnet das bei der Verbindung eingesetzte Sicherheitspro-tokoll: AH oder ESP (zu diesen Protokollen in den folgenden Abschnit-ten mehr).

Eine SA gilt dabei nur für eine Kommunikationsrichtung der Verbindung (sim-plex). Für eine vollwertige Sende- und Empfangsverbindung werden zwei SAsbenötigt. Außerdem gilt eine SA nur für ein eingesetztes Protokoll. WerdenAH und ESP verwendet, so sind ebenfalls zwei separate SAs notwendig, alsojeweils zwei für jede Kommunikationsrichtung.

Die SAs werden im IPSec-Gerät in einer internen Datenbank verwaltet, in derauch die erweiterten Verbindungsparameter abgelegt werden. Zu diesenParametern gehören beispielsweise die verwendeten Algorithmen undSchlüssel.

5.2.3 Die Authentifizierung � das AH-Protokoll

Das AH-Protokoll (Authentification Header) gewährleistet die Integrität undAuthentizität der Daten. Häufig wird die Integrität als Bestandteil derAuthentizität betrachtet. Wir betrachten im Folgenden die Integrität als sep-arates Problem, das von AH gelöst wird. Neben Integrität und Authentizitätbietet AH auch einen wirksamen Schutz gegen Wiedereinspielen empfange-ner Pakete (Replay Protection).

IP-Paketen fügt AH einen eigenen Header direkt hinter dem ursprünglichenIP-Header hinzu. Wichtigster Bestandteil dieses AH-Headers ist ein Feld mitAuthentifizierungsdaten (Authentication Data), häufig auch als IntegrityCheck Value (ICV) bezeichnet.

IP-Header AH-Header Daten

Authentifizierungs-

daten, ICV



48D

E Der Ablauf von AH im Sender

Im Sender der Pakete läuft die Erstellung der Authentication Data in 3 Schrit-ten ab.

a Aus dem Gesamtpaket wird eine Prüfsumme mittels Hash-Algorithmenerrechnet.

b Diese Prüfsumme wird zusammen mit einem dem Sender und Empfängerbekannten Schlüssel erneut durch einen Hash-Algorithmus geschickt.

c Es ergeben sich die gesuchten Authentifizierungsdaten, die im AH-Header abgelegt werden.

Prüfung von Integrität und Authentizität im Empfänger

Beim Empfänger läuft das AH-Protokoll sehr ähnlich ab. Auch der Empfängerberechnet zunächst mit seinem Schlüssel die Authentifizierungsdaten für dasempfangene Paket. Beim Vergleich mit dem übermittelten ICV des Paketesstellt sich heraus, ob Integrität und Authentizität des Paketes gegeben sindoder nicht.

Authentifizierungs-daten, ICV

Prüfsumme(Hash-Code)

a

b

c


c



DE

Bildung der Prüfsumme für den Integritäts-Check

Um die Integrität, also die Korrektheit der transferierten Pakete zu gewähr-leisten, versieht AH beim Versand jedes Paket mit einer Prüfsumme. BeimEmpfänger prüft AH, ob die Prüfsumme zum Inhalt des Paketes passt. Ist dasnicht der Fall, dann wurde es entweder falsch übertragen oder bewusstverändert. Solche Pakete werden sofort verworfen und gelangen nicht mehrauf höhere Protokollebenen.

Zur Errechnung der Prüfsumme stehen verschiedene sogenannte Hash-Algo-rithmen zur Verfügung. Hash-Algorithmen zeichnen sich dadurch aus, dassdas Ergebnis (der Hash-Code) charakteristisch für die Eingangsdaten ist (�Fin-gerabdruck�), ohne dass umgekehrt vom Hash-Code auf die Eingangsdatengeschlossen werden könnte. Außerdem haben bei einem hochwertigenHash-Algorithmus kleinste Änderungen des Eingangswertes einen völligunterschiedlichen Hash-Code zur Folge. So werden systematische Analysenmehrerer Hash-Codes erschwert.

LANCOM VPN unterstützt die beiden gängigsten Hash-Algorithmen: MD5und SHA-1. Beide Methoden arbeiten übrigens ohne Schlüssel, d.h. alleineauf der Basis fester Algorithmen. Schlüssel kommen erst in einem späterenSchritt von AH ins Spiel: bei der endgültigen Berechnung der AuthentificationData. Die Integritäts-Prüfsumme ist nur ein notwendiges Zwischenergebnisauf dem Weg dorthin.



Prüfsumme

(Hash-Code)

a

b

d

c


c

Identisch?



50D

E Berechnung der Authentifizierungsdaten

Im zweiten Schritt bildet AH einen neuen Hash-Code aus der Prüfsumme undeinem Schlüssel, die endgültigen Authentifizierungsdaten. Auch für diesenProzess gibt es unter IPSec verschiedene Standards zur Auswahl. LANCOMVPN unterstützt HMAC (Hash-based Message Authentication Code). AlsHash-Algorithmen stehen die Hash-Funktionen MD5 und SHA-1 zur Verfü-gung. Die HMAC-Versionen heißen ensprechend HMAC-MD5-96 und HMAC-SHA-1-96.

Jetzt wird deutlich, dass AH das Paket selber unverschlüsselt lässt. Lediglichdie Prüfsumme des Paketes und der eigene Schlüssel werden gemeinsamzum ICV, den Authentifizierungsdaten, chiffriert und dem Paket als Prüfkrite-rium beigelegt.

Replay Protection � Schutz vor wiederholten Paketen

AH kennzeichnet zusätzlich zur Beschriftung mit dem ICV jedes Paket auchmit einer eindeutigen, fortlaufenden Nummer (Sequence Number). Dadurchkann der Empfänger solche Pakete erkennen, die von einem Dritten auf-genommen wurden und nun wiederholt gesendet werden. Diese Art vonAngriffen wird als �Packet Replay� bezeichnet.

5.2.4 Verschlüsselung der Pakete � das ESP-Protokoll

Das ESP-Protokoll (Encapsulating Security Payload) verschlüsselt die Paketezum Schutz vor unbefugtem Zugriff. Diese ehemals einzige Funktion von ESPwurde in der weiteren Entwicklung des Protokolls um Möglichkeiten zumSchutz der Integrität und zur Feststellung der Authentizität erweitert. Zudemverfügt auch ESP inzwischen über einen wirksamen Schutz gegen Wiedere-inspielung von Paketen. ESP bietet damit alle Funktionen von AH an.

Arbeitsweise von ESP

Der Aufbau von ESP ist komplizierter als der von AH. Auch ESP fügt einenHeader hinter den IP-Header ein, zusätzlich allerdings auch noch eineneigenen Trailer und einen Block mit ESP-Authentifizierungsdaten.

IP-Header ESP-Header DatenESP-

Trailer

ESP-Auth.-

Daten



DETransport- und Tunnel-Modus

ESP kann (wie AH auch) in zwei Modi verwendet werden: Im Transport-Modus und im Tunnel-Modus.

Im Transport-Modus wird der IP-Header des ursprünglichen Paketesunverändert gelassen und es werden ESP-Header, die verschlüsselten Datenund die beiden Trailer eingefügt.

Der IP-Header enthält die unveränderte IP-Adresse. Der Transport-Moduskann daher nur zwischen zwei Endpunkten verwendet werden, beispiels-weise zur Fernkonfiguration eines Routers. Zur Kopplung von Netzen über dasInternet kann der Transport-Modus nicht eingesetzt werden � hier wird einneuer IP-Header mit der öffentlichen IP-Adresse des Gegenübers benötigt. Indiesen Fällen kommt ESP im Tunnel-Modus zum Einsatz.

Im Tunnel-Modus wird das gesamte Paket inkl. dem ursprünglichen IP-Header am Tunnel-Eingang verschlüsselt und authentifiziert und mit ESP-Header und -Trailern versehen. Diesem neuen Paket wird ein neuer IP-Headervorangesetzt, diesmal mit der öffentlichen IP-Adresse des Empfängers amTunnel-Ende.

Verschlüsselungs-Algorithmen

IPSec setzt als übergeordnetes Protokoll keine bestimmte Verschlüsselungs-Algorithmen voraus. In der Wahl der angewandten Verfahren sind die Her-steller von IPSec-Produkten daher frei. Üblich sind folgende Standards:

• AES � Advanced Encryption Standard AES ist der offizielle Verschlüsselungsstandard für die Verwendung inUS-amerikanischer Regierungsbehörden und damit die wichtigste Ver-schlüsselungstechnik weltweit. Im Jahr 2000 entschied sich dasNational Institute of Standards and Technology (NIST) nach einem welt-weiten Wettbewerb zwischen zahlreichen Verschlüsselungsalgorithmenfür den Rijndael-Algorithmus (gesprochen: �Reindoll�) und erklärte ihn2001 zum AES.

Beim Rijndael-Algorithmus handelt es sich um ein symmetrisches Ver-schlüsselungsverfahren, das mit variablen Block- und Schlüssellängenarbeitet. Es wurde von den beiden belgischen Kryptografen Joan Daemenund Vincent Rijmen entwickelt und zeichnet sich durch hohe Sicherheit,hohe Flexibilität und hervorragende Effizienz aus.

• DES � Data Encryption StandardDES wurde Anfang der 70er Jahre von IBM für die NSA (National Security



52D

E Agency) entwickelt und war jahrelang weltweiter Verschlüsselungsstan-dard. Die Schlüssellänge dieses symmetrischen Verfahrens beträgt 56Bits. Es gilt heute aufgrund der geringen Schlüssellänge als unsicher undwurde vom NIST im Jahr 2000 durch den AES (Rijndael-Algorithmus)ersetzt. Er sollte nicht mehr verwendet werden.

• Triple-DES (auch 3-DES)Ist eine Weiterentwicklung des DES. Der herkömmliche DES-Algorithmuswird dreimal hintereinander angewendet. Dabei werden zwei ver-schiedene Schlüssel mit jeweils 56 Bits Länge eingesetzt, wobei derSchlüssel des ersten Durchlaufs beim dritten Durchlauf wiederverwendetwird. Es ergibt sich eine nominale Schlüssellänge von 168 Bit bzw. eineeffektive Schlüssellänge von 112 Bit.

Triple-DES kombiniert die ausgeklügelte Technik des DES mit einem aus-reichend langen Schlüssel und gilt daher als sehr sicher. Triple-DES arbe-itet allerdings langsamer als andere Verfahren.

• BlowfishDie Entwicklung des prominenten Kryptografen Bruce Schneier ver-schlüsselt symmetrisch. Blowfish erreicht einen hervorragenden Daten-durchsatz und gilt als sehr sicher.

• CAST (nach den Autoren Carlisle Adams und Stafford Tavares)Ist ein symmetrisches Verfahren mit einer Schlüssellänge von 128 Bits.CAST ermöglicht eine variable Änderung von Teilen des Algorithmus' zurLaufzeit.

Die Verschlüsselung kann unter LANconfig in der Expertenkonfigurationangepasst werden. Eingriffe dieser Art sind in der Regel nur dann erforder-lich, wenn VPN-Verbindungen zwischen Geräten unterschiedlicher Herstelleraufgebaut werden sollen. Standardmässig bieten LANCOM-Gateways dieVerschlüselung entweder nach AES (128-bit), Blowfish (128-bit) oder Triple-DES (168-bit) an.

5.2.5 Management der Schlüssel � IKE

Das Internet Key Exchange Protocol (IKE) ist ein Protokoll, in dem Unterpro-tokolle zum Aufbau der SAs und für das Schlüsselmanagement eingebundenwerden können.

Innerhalb von IKE werden in LANCOM VPN zwei Unterprotokolle verwendet:Oakley für die Authentifizierung der Partner und den Schlüsselaustauschsowie ISAKMP für die Verwaltung der SAs.



DEAufbau der SA mit ISAKMP/Oakley

Jeder Aufbau einer SA erfolgt in mehreren Schritten (bei dynamischen Inter-net-Verbindungen erfolgen diese Schritte, nachdem die öffentliche IP-Adresse übertragen wurde):

a Per ISAKMP sendet der Initiator an die Gegenstelle eine Meldung imKlartext mit der Aufforderung zum Aufbau einer SA und Vorschlägen (Pro-posals) für die Sicherheitsparameter dieser SA.

b Die Gegenstelle antwortet mit der Annahme eines Vorschlags.

c Beide Geräte erzeugen nun Zahlenpaare (bestehend aus öffentlichem undprivatem Zahlenwert) für das Diffie-Hellman-Verfahren.

d In zwei weiteren Mitteilungen tauschen beide Geräte ihre öffentlichenZahlenwerte für Diffie-Hellman aus.

e Beide Seiten erzeugen aus übertragenem Zahlenmaterial (nach dem Dif-fie-Hellman-Verfahren) und Shared Secret einen gemeinsamen gehe-imen Schlüssel, mit dem die weitere Kommunikation verschlüsselt wird.Außerdem authentifizieren sich beide Seiten gegenseitig anhand vonHash-Codes ihres gemeinsamen Shared Secrets. Die sogenanntePhase 1 des SA-Aufbaus ist damit beendet.

f Phase 2 basiert auf der verschlüsselten und authentifizierten Verbindung,die in Phase 1 aufgebaut wurde. In Phase 2 werden die Sitzungsschlüsselfür die Authentifizierung und die symmetrische Verschlüsselung deseigentlichen Datentransfers erzeugt und übertragen.

Für die Verschlüsselung des eigentlichen Datentransfers werden symme-trische Verfahren eingesetzt. Asymmetrische Verfahren (auch bekannt alsPublic-Key-Verschlüsselung) sind zwar sicherer, da keine geheimen Schlüsselübertragen werden müssen. Zugleich erfordern sie aber aufwändige Berech-nungen und sind daher deutlich langsamer als symmetrische Verfahren. Inder Praxis wird Public-Key-Verschlüsselung meist nur für den Austausch vonSchlüsselmaterial eingesetzt. Die eigentliche Datenverschlüsselung erfolgtanschließend mit schnellen symmetrischen Verfahren.

Der regelmäßige Austausch neuer Schlüssel

ISAKMP sorgt während des Bestehens der SA dafür, dass regelmäßig neuesSchlüsselmaterial zwischen den beiden Geräten ausgetauscht wird. DieserVorgang geschieht automatisch und kann über die Einstellung der 'Lifetime'in der erweiterten Konfiguration von LANconfig kontrolliert werden.



54D

E

| Index 55


DE6 Index

Numerics3-DES 20, 52AAES 20, 51AH 20, 47BBlowfish 20, 52CCAST 20, 52DDES 20, 51DNS-Server 34Domäne 34Dynamic VPN

Beispiele 40dynamisch - dynamisch 18, 42dynamisch - statisch 16, 40Einführung 14Funktionsweise 16ICMP 40ISDN 30statisch - dynamisch 17, 41UDP 40

EESP 20, 47, 50Extranet-VPN 34FFirmware 3, 22Freischalten der VPN-Option 21, 23GGerätename 29

Index |


56D

E HHash-Algorithmen 20Hinweis-Symbole 4IICMP 40IKE 20, 52Installation 21Internet-Zugang 25IP-Adressen

dynamische 15statische 15

IPSec 43IPv6 44IPX-Routing 35ISAKMP 20, 52ISDN

Anruferkennung (CLI) 30B-Kanal 18, 19D-Kanal 17, 19Euro-ISDN (DSS-1) 18LLC 18

KKnowledgeBase 3LL2F 45L2TP 45LANconfig 22LAN-LAN-Kopplung 25Lieferumfang 21Lizenznachweis 23NNetBIOS 35Netzmaske 33

| Index 57


DEO

Online-Registrierung 22PPasswörter

Shared Secret 31Tipps zum richtigen Umgang 31

PPTP 35, 45Preshared Key 20

Shared Secret 31Public-Key 53RRegistrierung 21, 22

Hilfe im Problemfall 23Rijndael 51Routing-Tabelle 25SSchlüssellängen 20Security Association 46Security Parameter Index 47Seriennummer 23Setup-Assistent 27Support 3TTCP/IP

Netzmaske 33Routing 32

Textformatierungen 4Transportmodus 20, 51Triple-DES 20, 52Tunnelmodus 20, 51UÜberprüfen der Freischaltung 24UDP 40

Index |


58D

E VVerschlüsselung 51, 53VPN

Beispiele 39dynamisch - dynamisch 42dynamisch - statisch 40Einrichten der Verbindung 25Funktionsumfang 19Konfiguration 26Passwörter 30statisch - dynamisch 40statisch - statisch 39Technik 43

Wwell known groups 20Windows

Kopplung von Arbeitsgruppen 35Unterstützte Betriebssysteme 21

Documents

LANCOM VPN Option - lancom-systems.de · Windowsﬁ, Windows NTﬁ und Microsoft ... Sollten Sie dennoch einen Fehler finden, oder einfach nur Kritik oder Anre-gung zu dieser Dokumentation