VPN zwischen einem Lancom und einem Netgear DG834B Router

Die Lancom Router gehören wohl zur den besten auf dem Markt, leider bietet Lancom keine Geräte für den kleinen Geldbeutel. Einen Homeoffice-Arbeitsplatz kann man zwar auch per VPN-Software-Client einbinden, aber eine dauerhaft aufgebaute VPN-Verbindung ist in manchen fällen die schönere Lösung.
Die hier vorgeschlagene Lösung ist zwar durch den Netgear DG834B deutlich günstiger, aber es ist eindeutig ein Consumer-Gerät und somit auch entsprechend simpel aufgebaut. Zudem beherrscht der Netgear DG834B lediglich max. 3DES als Verschlüsselungsalgorithmus. Gegenüber Geräten mit AES Verschlüsselungsalgorithmus (z.B. Lancom) ein klarer Nachteil bei der Sicherheit!

In diesem Beispiel gehe ich von festen IP-Adressen bei der Einwahl ins Internet aus, die Vorgaben bei diesem Beispiel sehen wie folgt aus:

    Lancom -> WAN-IP: 1.1.1.1 -> LAN-IP: 192.168.1.254/24
    Netgear -> WAN-IP: 2.2.2.2 -> LAN-IP: 192.168.2.254/24

Die Konfigurationen laufen im wesentlichem über die Assistenten ab und bedürfen nur geringer Nacharbeitung. Ich beginne mit dem Lancom Router, Konfiguration mit Hilfe des LANconfig Tool:

Im Setup-Assistenten den Punkt, “Zwei lokale Netze Verbinden (auch VPN)” auswählen.
Im Setup-Assistenten den Punkt, “Zwei lokale Netze Verbinden (auch VPN)” auswählen.

Der Setup-Assistenten führt mit dem Punkt, „Zwei lokale Netze Verbinden (auch VPN)“ zum gewünschten Erfolg. Natürlich möchten wir eine VPN-Verbindung über das Internet aufbauen und so zwei Netze zusammenschließen. ISDN kommt nicht zum Einsatz, deswegen kann der Punkt verneint werden.

Das Passwort spielt keine Rolle, da es nur bei Lancom Geräten verwendet wird. Der Preshared Key ist wichtig!
Das Passwort spielt keine Rolle, da es nur bei Lancom Geräten verwendet wird. Der Preshared Key ist wichtig!

Ich gehe in diesem Beispiel von festen IP-Adressen auf beiden Seiten oder einen DNS auflösbaren Namen (DynDNS) aus. Die beiden Bezeichner sind frei wählbar, sollen aber auf beiden Seiten übereinstimmen. Weil, Netzgear DG834B = günstig = wenig Extras, ist Preshared Key die Wahl für die Verbindungs-Authentifizierung. Es folgt die Vorgabe für den Preshared Key (PSK), dieser sollte gut gewählt sein und muss genauso in den Netgear Router übernommen werden. Das Passwort spielt bei dieser Bindung keine Rolle, aber es muss eins hinterlegt werden, da sonst die Konfiguration nicht fortgesetzt werden kann. Das Passwort und der PSK müssen nochmal bestätigt werden.

Die IP’s sollten bekannt sein, bzw festgelegt und entsprechen eingetragen werden.
Die IP’s sollten bekannt sein, bzw festgelegt und entsprechen eingetragen werden.

Mit dem standardmäßig vorgegebenem optimiertem Verbindungsaufbau kann die Konfiguration fortgesetzt werden. Die Verbindung soll automatisch aufgebaut werden und bei Trennung erneut aufgebaut werden. Die nötigen IP-Adressen sollten bekannt sein und entsprechend eingetragen werden. Gateway = WAN-IP des Netgear Routers, sowie Adresse und Netzmaske = LAN-IP und Netzmaske des Netgear Routers.
Ich möchte keine Maskierung vornehmen und NetBIOS kommt auch nicht zum Einsatz, bei bedarf bitte entsprechende Häkchen setzen. Damit ist die Einrichtung mit dem Assistenten durch und es folgt eine kleine Anpassung.

Noch kurz von Hand eine Änderung durchführen und der Lancom ist fertig.
Noch kurz von Hand eine Änderung durchführen und der Lancom ist fertig.
Am Ende sollten die Einstellungen für den Netgear wie folgt aussehen.
Am Ende sollten die Einstellungen für den Netgear wie folgt aussehen.

Unter VPN -> IKE-Auth. -> IKE-Schlüssel und Identitäten.
Bei der Konfiguration für den Netgear Router, müssen der lokale ID-Typ und der entfernte ID-Typ geändert werden. Die Identifizierung soll über die IP-Adresse ablaufen, also beide ID-Typen auf IP-Adresse setzen. Jetzt noch alle Änderungen mit OK verlassen und die Konfiguration auf der Seite des Lancom ist vollendet.

Es folgt die Konfiguration auf dem Netgear Router:

Es wirkt nach weniger Daten, dabei sind die wesentlichen im Überblick.
Es wirkt nach weniger Daten, dabei sind die wesentlichen im Überblick.

Die groben Voreinstellungen nehmen wir hier ebenfalls mit dem Assistenten vor und bessern manuell nach. Der Assistent im Netgear Router möchte ebenfalls einen Verbindungsnamen und einen PSK wissen. Die VPN-Verbindung wird mit einem anderen Router aufgebaut, also VPN-Gateway. Die WAN- / LAN-IP-Adressen sollten mit den Adressen des Lancom Router ausgefüllt werden. Fertig ist die kurze Konfiguration mit dem Assistenten.

Kurz noch ein Häkchen bei IKE Keep Alive und bei PFS verwenden und schon kann der Tunnel aufgebaut werden.
Kurz noch ein Häkchen bei IKE Keep Alive und bei PFS verwenden und schon kann der Tunnel aufgebaut werden.

Jetzt muss die erstellte Richtlinie noch kurz angepasst werden und schon ist alles fertig. Der Lancom Router verwendet serienmäßig Perfect Forward Secrecy. Die Option muss am Netgear jetzt manuell aktiviert werden. Für einen automatischen VPN-Verbindungsaufbau muss noch IKE Keep Alive Option aktiviert werden und mit einer IP-Adresse aus dem LAN des Lancom Routers versehen werden. Ich habe dafür die interne IP-Adresse des Lancom gewählt, es kann aber auch eine beliebige IP-Adresse eines Servers oder Rechners sein. Jetzt noch die Einstellungen übernehmen und der VPN-Tunnel sollte sich selbständig aufbauen. Ein einfacher Ping einer Adresse im anderen Netzwerk sollte die Verbindung bestätigen.

Die von mir verwendeten Router waren mit den Firmware Versionen, Lancom 7.22/7.23 und Netgear 4.01.27, ausgestattet. Es sollte aber auch mit anderen Versionen klappen.

2 Comments

  • Freddy
    24. August 2011 - 08:15 | Permalink

    Super Anleitung! Ich musste den NEtgear neu starten und dann hat es sofort geklappt.

  • Freddy
    28. August 2011 - 19:34 | Permalink

    Nachtrag: ich musste für eine dauerhaft stabile Verbindung den Lancom Timeout auf 9999 (endlos) Sek. und auf Negear Seite den Timeout auf 82000 (23h) Sek. stellen. Weiter musste ich die Lancon IKE und IPSec Proposals Reihenfolge ändern ändern, damit nicht bis zum 3. oder 5. Proposal ausprobiert werden muss.

  • Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.