In der Regel werden VPN-Verbindungen mit Routern von Lancom über den Lancom Advanced VPN Client hergestellt. Dieser Client ist kostenpflichtig, kann nur für einen Arbeitsplatz eingesetzt werden und für große Updates müssen Update-Lizenzen gekauft werden. Es ist eigentlich der bekannte NCP IPsec Client in einer Lancom-Version und ist unter Windows für VPN die erste Wahl.
Im Betriebssystem von Apple ist ja VPN als Netzwerkverbindung integriert. Um zum Lancom-Router eine VPN-Verbindung aufzubauen sind bei der Konfiguration auf dem Router und auf dem Mac ein zwei Besonderheiten zu beachten:
– Beim Router muß zusätzlich für diese VPN-Einwahl eine lokale feste IP im Routing vergeben werden.
– Im OS X muß für diese VPN-Verbindung PFS aktiviert werden, was nur über ein Konfigurations-Profil möglich ist.
Zur Administration des Routers verwende ich die App LANCOM LANconfig, welche aber nur für Windows zur Verfügung steht. Ich nutze LANconfig in einer VM (z.B. Parallels) mit einer Verbindung zum Netzwerk des Routers. (local oder per VPN)
Im Lancom Router wird die Einwahl wie folgt konfiguriert:
1) VPN>Allgemein>Netzwerk-Regeln>IPv4-Regel anlegen
2) VPN>IKEv2/IPSec>Authentifizierung anlegen
3) VPN>IKEv2/IPSec>Verbindungs-Liste Verbindung anlegen
4) IP-Router>Routing>IP anlegen
IP im Bereich der von DHCP nicht genutzt wird eintragen, z.B. in unserem Fall 192.168.100.200 und höher! Je Einwahl eine fixe IP, keine doppelte IP!
Für Mac OS X (oder iPad/iPhone) muß die VPN-Verbindung per Profil konfiguriert werden. Nur im „Apple Configurator“ kann für die VPN-Verbindung „Perfect Forward Secrecy“ aktiviert werden!
– Den Apple Configurator 2 starten
– CMD+N / Ablage -> Neues Profil
– unter „Allgemein“ einen eindeutigen Namen vergeben, z.B. „VPN Vorname Nachname“
– unter „VPN“ -> „Konfigurieren“ um eine neue VPN Konfiguration anzulegen
– „Verbindungsname“: Hier den Namen vergeben, welcher später in den Netzwerkeinstellungen bzw. im VPN-Statusleistensymbol angezeigt wird
– „Verbindungs-Typ“, IKEv2
– „VPN immer ein
– „Server“: Der VPN Endpunkt, also feste IP vom LANCOM Router oder die Domain, die dorthin zeigt
– „Entfernte ID“: Die Identität, welche auch auf dem LANCOM hinterlegt ist. Name oder Mailadresse
– „Locale ID“: Die Identität, welche auch auf dem LANCOM hinterlegt ist. Wie Entfernte ID
– „Geräte-Authentifizierung“ Schlüssel (Shared Secret)
– „Schlüssel (Shared Secret)“: Dort den PSK eintragen
– „Perfect Forward Secrecy aktivieren“: an – WICHTIG, Einstellung über macOS-GUI nicht möglich
Unter IKE SA-Parameter
– „Verschlüsselung…“, DEFAULT: AES-256
– „Integrität…“, SHA2-256
– „Diffie…“, 14
– „Insgesamt in Minuten“: 480 (es sind Sekunden…) – WICHTIG
– „Proxy…“, Ohne
Alle anderen Einstellung nicht verändern!
Wichtiger Hinweis!
Unter DNS muß zuerst ein DNS-Server (z.B. 8.8.8.8) eingetragen werden, dann das Profil sichern, dann den DNS-Server-Eintrag wieder löschen und nochmal sichern. Nur so kann das Profil auf dem Mac installiert werden! Bug im Configurator 2.16.
Dann das Profil mit CMD+S auf der Festplatte speichern und anschließen die Datei mit einem Doppelklick öffnen und einspielen. Das Profil taucht bei Erfolg direkt in den Netzwerkeinstellungen auf und kann aktiviert werden.
