installation guide - lancom systems

43
Installation Guide LANCOM Advanced VPN Client connecting your business

Upload: others

Post on 05-May-2022

7 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Installation Guide - LANCOM Systems

Installation GuideLANCOM Advanced VPN Client

connecting your business

Page 2: Installation Guide - LANCOM Systems

LANCOM Advanced VPN Client

Page 3: Installation Guide - LANCOM Systems

© 2015 LANCOM Systems GmbH, Würselen (Germany). Alle Rechte vorbehalten.

Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht alsZusicherung von Produkteigenschaften. LANCOM haftet ausschließlich in dem Umfang, der in den Verkaufs- und Lieferbedingun-gen festgelegt ist.

Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentation und Software und die Verwendung ihresInhalts sind nur mit schriftlicher Erlaubnis von LANCOM gestattet. Änderungen, die dem technischen Fortschritt dienen, bleibenvorbehalten.

Windows®, Windows 8®, Windows 8.1®, Windows 7®, Windows Vista™, Windows XP® und Microsoft® sind eingetrageneMarken von Microsoft, Corp.

Das LANCOM-Logo, LCOS und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM Systems GmbH. Alle übrigenverwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer sein.

LANCOM behält sich vor, die genannten Daten ohne Ankündigung zu ändern, und übernimmt keine Gewähr für technischeUngenauigkeiten und/oder Auslassungen.

Produkte von LANCOM enthalten Software, die vom „OpenSSL Project“ für die Verwendung im „OpenSSL Toolkit“ entwickelt wur-den (http://www.openssl.org/).

Produkte von LANCOM enthalten kryptographische Software, die von Eric Young ([email protected]) geschrieben wurde.

Produkte von LANCOM enthalten Software, die von der NetBSD Foundation, Inc. und ihren Mitarbeitern entwickelt wurden.

Produkte von LANCOM enthalten das LZMA SDK, das von Igor Pavlov entwickelt wurde.

© 2015 LANCOM Systems GmbH, Wuerselen (Germany). All rights reserved.

While the information in this manual has been compiled with great care, it may not be deemed an assurance of product charac-teristics. LANCOM Systems shall be liable only to the degree specified in the terms of sale and delivery.

The reproduction and distribution of the documentation and software included with this product is subject to written permissionby LANCOM Systems. We reserve the right to make any alterations that arise as the result of technical development.

All explanations and documents for registration of the products you find in the appendix of this documentation, if they werepresent at the time of printing.

Windows®, Windows 8®, Windows 8.1,® Windows 7®, Windows Vista™, Windows XP® und Microsoft® sind eingetrageneMarken von Microsoft, Corp.

The LANCOM Systems logo, LCOS and the name LANCOM are registered trademarks of LANCOM Systems GmbH. All other namesmentioned may be trademarks or registered trademarks of their respective owners.

This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit http://www.openssl.org/.

This product includes cryptographic software written by Eric Young ([email protected]).

This product includes software developed by the NetBSD Foundation, Inc. and its contributors.

This product includes the LZMA SDK written by Igor Pavlov.

LANCOM Systems GmbH

Adenauerstr. 20/B2

52146 Würselen

Deutschland

www.lancom.de

Würselen, Januar 2015

110972/0115

Page 4: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

1

Einleitung

Neben dem vorliegenden Schnelleinstieg finden Sie in der kompletten Doku-mentation zur vorgestellten VPN-Lösung weitere Informationen:

K Das Benutzerhandbuch zum LANCOM Advanced VPN Client

beschreibt vollständig die umfangreichen Funktionen der VPN-Client-Software mit allen Parametern.

K Das Benutzerhandbuch zu Ihrem LANCOM-Gerät enthält alle Infor-mationen, die zur Inbetriebnahme Ihres Gerätes notwendig sind.Außerdem finden Sie hier alle wichtigen technischen Spezifikationen.

K Das Referenzhandbuch ergänzt das Benutzerhandbuch und geht aus-führlich auf Themen ein, die auch modellübergreifend für das LANCOMBetriebssystem LCOS gelten.

I Benutzer- und Referenzhandbuch befinden sich je nach Modell alsAcrobat-Dokument (PDF-Datei) auf der beiliegenden DVD. AktuelleVersionen von Dokumentation und Software finden Sie jederzeit aufwww.lancom.de/download.

LANCOM Systems bietet mit dem LANCOM Advanced VPN Client eineSoftware mit umfangreichen Security-Funktionen, die optimal auf dieLANCOM VPN Gateways abgestimmt ist. Der vorliegende Schnelleinstiegumfasst alle Konfigurationsschritte, die zur VPN-gesicherten RAS-Einwahleines entfernten Rechners mit LANCOM Advanced VPN Client auf einLANCOM VPN Gateway notwendig sind:

K ’LANCOM Advanced VPN Client installieren und aktivieren’ ⇒ Seite 2

K ’VPN-Zugang auf dem Router mit dem 1-Click-Wizard einrichten’ ⇒Seite 7

K ’VPN-Zugang auf dem Router manuell einrichten’ ⇒ Seite 9

K ’LANCOM Advanced VPN Client konfigurieren’ ⇒ Seite 11

K ’LANCOM Advanced VPN Client auf Zertifikatsverbindungen einstel-len’ ⇒ Seite 16

K ’Extended Authentication Protocol (XAUTH)’ ⇒ Seite 18

Hinweise zur Konfiguration des LANCOM Advanced VPN Clients bei derVerwendung von anderen Gateways entnehmen Sie bitte der integriertenHilfe bzw. dem zugehörigen Handbuch.

Page 5: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

a LANCOM Advanced VPN Client installieren und

aktivieren

Zur Installation des LANCOM Advanced VPN Clients legen Sie bitte die mitge-lieferte DVD in Ihr DVD-Laufwerk. Sollte das Setup-Programm nach einigenSekunden nicht automatisch starten, öffnen Sie bitte die Datei „autostart.exe“aus dem Stammverzeichnis der DVD. Der folgende Assistent leitet Sie durchdie weiteren Schritte der Installation. Wählen Sie dabei die 'Standard-Instal-lation' aus.

Sollte bereits eine frühere Version des Clients vorhanden sein, so muss diesevorher deinstalliert werden.

I Zur vollständigen Installation ist ein Neustart erforderlich.

Aktivierung

Nach dem Neustart ist der LANCOM Advanced VPN Client bereits vollständiginstalliert. Sie können den LANCOM Advanced VPN Client vor der Aktivierung30 Tage lang testen. Nach dem Start des Clients erscheint das Hauptfenster.

Um nach der 30 Tage-Testphase den vollen Funktionsumfang nutzen zukönnen, ist eine Produktaktivierung notwendig. Hierfür stehen drei möglicheSzenarien zur Verfügung:

K Es handelt sich um eine Erstinstallation mit Erwerb einer vollen Lizenz.

2

Page 6: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

K Ein Software- und Lizenz-Upgrade von einer früheren Version mit Erwerbeiner neuen Lizenz. Hier können alle neuen Funktionen der neuen Versionbenutzt werden.

K Ein Software-Update als reines Buxfixing. Sie behalten Ihre bisherigeLizenz bei. Hierbei wird zwar die neue Client-Version installiert, jedochsteht dem Anwender nur der Funktionsumfang der bisherigen Version zurVerfügung. Der Anwender profitiert hierbei von Fehlerbehebungengegenüber der bisherigen Version.

In jedem Fall sind folgende Schritte durchzuführen:

A Klicken Sie im Hauptfenster auf Aktivierung. Im Folgenden erscheint einDialog, der Ihre aktuelle Versionsnummer und die verwendete Lizenzanzeigt.

I Dieser Dialog kann alternativ im Hauptfenster über den MenüpunktHilfe E Lizenzinfo und Aktivierung aufgerufen werden.

B Klicken Sie hier erneut auf Aktivierung. Sie können die Aktivierungonline oder offline vornehmen.

C Auch für die „Offline-Aktivierung“ wird ein Zugang zum Internetbenötigt.

3

Page 7: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

Online-Aktivierung

A Wenn Sie die Online-Aktivierung wählen, geben Sie in folgendem Dia-log Ihre Lizenzdaten ein. Diese haben Sie mit dem Erwerb des LANCOMAdvanced VPN Clients erhalten.

B Der Client stellt eine Verbindung zum LANCOM Server her.

Falls Sie bereits eine ältere Version des LANCOM Advanced VPN Clients benut-zen, können Sie ein bereits eingerichtetes VPN-Profil zur Verbindung mit demInternet verwenden. Sobald der Computer über eine Verbindung mit demInternet verfügt, verbindet er sich automatisch mit dem Aktivierungs-Server.Die Aktivierung erfolgt automatisch und der Vorgang schließt selbstständigab.

4

Page 8: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

Offline-Aktivierung

A Wenn Sie die Offline-Aktivierung gewählt haben, müssen Sie genausowie bei der Online-Aktivierung zunächst Ihre Lizenzdaten und die Serien-nummer eingeben. Diese werden dann überprüft und in einer Datei aufder Festplatte gespeichert. Den Dateinamen können Sie frei wählen, esmuß sich allerdings um eine Textdatei (.txt) handeln.

B In dieser Aktivierungsdatei sind Ihre Lizenzdaten enthalten. Zur Aktivie-rung muß diese Datei dem Aktivierungs-Server übergeben werden. Star-ten Sie dazu Ihren Browser und öffnen Sie die Seite www.lancom-systems.de/avc-aktivierung.

C Klicken Sie auf Durchsuchen und wählen Sie die eben erstellte Aktivie-rungsdatei aus. Im Anschluss daran klicken Sie auf Absenden.Die Aktivierungsdatei wird nun vom Aktivierungs-Server bearbeitet. Sie

5

Page 9: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

werden auf eine Website weitergeleitet, der Sie Ihren Aktivierungs-Codeentnehmen können. Drucken Sie diese Seite aus oder notieren Sie sich denangegebenen Code.

D Wechseln Sie wieder zum LANCOM Advanced VPN Client und klicken Sieim Hauptfenster auf Aktivierung. Geben Sie im folgenden Dialog denCode ein, den Sie ausgedruckt oder notiert haben.

E Mit der Eingabe des Aktivierungs-Codes ist die Produktaktivierung abge-schlossen und Sie können den LANCOM Advanced VPN Client im UmfangIhrer Lizenz benutzen.

Abhängig von der von Ihnen erworbenen Lizenz wird nun die Lizenz- und Ver-sions-Nummer angezeigt.

6

Page 10: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

Upgrade

Wenn Sie bereits über eine frühere Version des LANCOM Advanced VPNClients verfügen und einen Upgrade-Schlüssel auf die aktuelle Version erwor-ben haben, können Sie unter www.lancom.de/avc/upgrade einen neuenLizenzschlüssel anfordern.

A Geben Sie die Seriennummer des LANCOM Advanced VPN Clients undIhren Upgrade-Schlüssel in die dafür vorgesehenen Felder ein. Die Serien-nummer finden Sie im Monitor-Menü des Clients unter Hilfe E Lizenz-

info und Aktivierung.

B Anschließend klicken Sie auf Absenden. Der neue Lizenzschlüssel wird inder Antwortseite auf Ihrem Bildschirm angezeigt.

C Diesen Schlüssel tragen Sie dann im Monitor-Menü des Clients unter demMenü-Punkt Hilfe E Lizenzinfo und Aktivierung E Lizenzierung ein.

Nach Eingabe des neuen Lizenzschlüssels startet der Aktivierungsvorgang.

b VPN-Zugang auf dem Router mit dem 1-Click-Wizard

einrichten

Die VPN-Zugänge im LANCOM VPN Router lassen sich sehr einfach mit demSetup-Assistenten erstellen und in eine Datei exportieren, die vom LANCOMAdvanced VPN Client als Profil eingelesen werden kann. Dabei werden dieerforderlichen Informationen der aktuellen Konfiguration des LANCOM VPNRouter entnommen und mit zufällig ermittelten Werten ergänzt (z.B. für denPreshared Key).

A Starten Sie über LANconfig den Setup-Assistenten 'Zugang bereitstellen'und wählen Sie die 'VPN-Verbindung'.

7

Page 11: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

B Aktivieren Sie die Optionen 'LANCOM Advanced VPN Client' und'Beschleunigen Sie das Konfigurieren mit 1-Click-VPN'.

C Geben Sie den Namen für diesen Zugang ein und wählen Sie aus, überwelche Adresse der Router aus dem Internet erreichbar ist.

D Im letzten Schritt können Sie wählen, wie die neuen Zugangsdaten aus-gegeben werden sollen:

k Profil als Importdatei für den LANCOM Advanced VPN Client spei-chern

k Profil per E-Mail versenden

k Profil ausdrucken

D Das Versenden der Profildatei per E-Mail stellt ein Sicherheitsrisikodar, weil die E-Mail unterwegs ggf. abgehört werden könnte!

Zum Versenden der Profildatei per E-Mail muss in der Konfigurationdes Geräts ein SMTP-Konto mit den erforderlichen Zugangsdaten indem LANCOM VPN Router eingerichtet sein. Außerdem muss auf demKonfigurationsrechner ein E-Mail-Programm als Standard-Mail-Anwendung eingerichtet sein, über die auch andere AnwendungenE-Mails versenden dürfen.

Beim Erstellen des VPN-Zugangs werden Einstellungen verwendet, die opti-mal auf die Verwendung im LANCOM Advanced VPN Client abgestimmt sind,darunter z.B.:

K Gateway: Sofern im LANCOM VPN Router definiert, wird hier ein DynDNS-Name verwendet, ansonsten die IP-Adresse.

K FQUN: Kombination aus dem Namen der Verbindung, eine fortlaufendenNummer und der internen Domäne im LANCOM VPN Router.

K Domäne: Sofern im LANCOM VPN-Router definiert, wird hier die interneDomäne verwendet, ansonsten ein DynDNS-Name oder die IP-Adresse.

K VPN IP-Netze: Alle im Gerät definierten IP-Netzwerke vom Typ 'Intranet'.

K Preshared Key: Zufällig generierter Schlüssel mit einer Länge von 16ASCII-Zeichen.

K Automatische Medienerkennung als Verbindungsmedium.

K VoIP-Priorisierung: Die VoIP-Priorisierung ist standardmäßig aktiviert.

K Exchange Mode: Als Exchange-Mode wird der 'Aggressive Mode' ver-wendet.

8

Page 12: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

K Seamless Roaming: Per Default aktiviert.

K IKE-Config-Mode: Der IKE-Config-Mode ist aktiviert, die IP-Adress-Infor-mationen für den LANCOM Advanced VPN Client werden automatischvom LANCOM VPN-Router zugewiesen.

c VPN-Zugang auf dem Router manuell einrichten

Das Einrichten des VPN-Zugangs für einen LANCOM Advanced VPN Client aufIhrem LANCOM VPN-Router gelingt schnell und komfortabel mit derKonfigurationssoftware LANconfig unter Windows:

A Starten Sie LANconfig, klicken Sie mit der rechten Maustaste auf Ihr Gerätund wählen Sie aus dem Kontextmenü den Punkt Setup Assistent.

B Wählen Sie im Setup Assistenten den Eintrag Einwahl-Zugang bereit-stellen (RAS, VPN)

C Wählen Sie im folgenden Fenster VPN-Verbindung über das Internet

und im nächsten Schritt den LANCOM Advanced VPN Client.

D Geben Sie einen Benutzernamen für den Benutzer an, der sich in dasNetzwerk einwählen soll, z.B. KMUSTERMANN.

9

Page 13: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

E Geben Sie den Preshared Key für Verbindungs-Authentifizierungen nachdem 'Aggressive Mode' ein. Der Preshared Key wird zur Verschlüsselungder Verbindung zwischen Client und Gateway verwendet.

I Für jeden Benutzer kann ein eigener Preshared Key verwendet wer-den. Machen Sie von dieser Möglichkeit Gebrauch, um die Sicherheitder VPN-Verbindungen weiter zu verbessern!

Wählen Sie alternativ die Option Zertifikate (RSA Signature), wenn die Ver-bindungs-Authentifizierung über den sichereren 'Main Mode' mit Hilfe vondigitalen Zertifikaten erfolgen soll.

I Bitte beachten Sie, dass in diesem Fall digitale Zertifikate sowohl fürden Einwahl-Router als auch für den VPN-Client benötigt werden.

Nur für Aggressive Mode/Preshared Key

F Geben Sie als Fully Qualified Username eine E-Mail-Adresse des Nut-zers ein, mit der sich der Client beim VPN-Gateway authentifizieren kann.

Nur für Main Mode/ RSA Signature

G Geben Sie die Lokale Identität und die Entfernte Identität an, um denVerbindungsaufbau über Zertifikate zu ermöglichen.

I Lokaler und entfernter Identitäts-Typ sind so genannte „ASN.1.Distin-guished Names“ und können den Zertifikaten entnommen werden.

10

Page 14: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

H Zur Einwahl in das LAN muss der VPN-Client über eine gültige IP-Adresseaus dem Adressbereich des LANs verfügen. Tragen Sie im folgenden Dia-log eine IP-Adresse ein, die diesem Client bei der Einwahl in das LANzugewiesen werden soll.

I Achten Sie darauf, dass es sich um eine freie IP-Adresse handelt, diesedarf z.B. von einem DHCP-Server im LAN nicht an andere Geräte ver-geben werden.

I Im folgenden Fenster können Sie angeben, auf welche Bereiche des loka-len Netzwerkes der Client zugreifen darf. Im Normalfall kann die Vorein-stellung Alle IP-Adressen für den VPN-Client erlauben beibehaltenwerden. Soll der Client nur auf ein bestimmtes Subnetz oder einenbegrenzten IP-Adressbereich zugreifen dürfen, können Sie dieses nachdem Markieren von Folgendes IP-Netzwerk soll vom VPN-Client

erreicht werden können mit Hilfe der Angaben für das IP-Netz und dieNetzwerkmaske näher bestimmen.

J Wenn Sie in einem Microsoft Windows Netzwerk arbeiten, lassen Sie dieEinstellung NetBIOS über IP Routing aktivieren eingeschaltet.Bestätigen Sie mit Weiter. Ein Klick auf Fertig stellen beendet die Kon-figuration.

d LANCOM Advanced VPN Client konfigurieren

Nach einem Neustart des Computers startet der LANCOM Advanced VPNClient automatisch - diese Funktion kann im LANCOM Advanced VPN Clientspäter unter dem Menüpunkt Ansicht E Autostart E kein Autostart aus-geschaltet werden. Solange der LANCOM Advanced VPN Client aktiv ist,erscheint in der Symbolleiste in der rechten unteren Bildschirmecke einAmpel-Symbol.

Sofern noch kein Profil eingerichtet ist, startet mit dem LANCOM AdvancedVPN Client automatisch ein Assistent, der Ihnen bei der Erstellung des ersten

11

Page 15: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

Profils behilflich ist. Möchten Sie später zu den bereits bestehenden Profilenein weiteres Profil hinzufügen, können Sie den Assistenten jederzeit überKonfiguration E Profile E Neuer Eintrag starten.

Zur Erstellung eines Profils gehen Sie wie folgt vor:

A Wählen Sie die Verbindungsmethode Verbindung zum Firmennetz überIPSec. Dies gewährleistet, dass die Verbindung verschlüsselt wird.

B Geben Sie einen aussagekräftigen Namen ein, unter dem das Profil imLANCOM Advanced VPN Client abgelegt werden soll. Eine Möglichkeit istz.B. der Name der Firma, zu deren Netzwerk eine Verbindung aufgebautwerden soll.

C Wählen Sie als Verbindungsart Automatische Medienerkennung.Aktivieren Sie optional die Checkbox für Seamless Roaming.

I Wir setzen voraus, dass der Rechner mit dem LANCOM Advanced VPNClient bereits über einen Zugang zum Internet verfügt. Sollte derInternetzugang noch nicht eingerichtet sein, wählen Sie an dieserStelle die entsprechende Internet-Zugangsart aus. In zusätzlichen Ein-gabefeldern haben Sie dann die Möglichkeit, die Zugangsdaten zuIhrem Internetaccount einzutragen (Benutzername, Passwort, Ein-wahlrufnummer etc.).

12

Page 16: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

D Im folgenden Fenster geben Sie entweder die IP-Adresse oder alternativden DNS-Namen des Gateways ein (z. B. vpnserver.musterfirma.de).

I Achten Sie darauf, dass es sich bei der IP-Adresse um die öffentlicheAdresse des VPN-Gateways des Netzes handeln muss, in das Sie sicheinwählen möchten. Wenn Sie die Einstellung Erweiterte Authenti-

sierung (XAUTH) aktivieren, kann der Benutzer mit Hilfe vonBenutzername und Passwort authentifiziert werden. Wenn Sie die Fel-der Benutzername und Passwort frei lassen, wird der Benutzer beijeder Einwahl zur Eingabe der Login-Daten aufgefordert. Um die Ver-wendung von XAUTH besonders sicher zu gestalten, sollten Sie nachMöglichkeit anstelle des Pre-shared-Key-Verfahrens (PSK) die Ein-wahl über RSA-SIG (Zertifikate) verwenden. Stellen Sie dabei sicher,dass das VPN-Gateway nur das Zertifikat der jeweils richtigen Gegen-stelle akzeptiert (und nicht alle von der gleichen CA ausgestellten Zer-tifikate). Im Abschnitt ’Extended Authentication Protocol (XAUTH)’ ⇒ Seite 18finden Sie weitere Informationen zur Konfiguration des ExtendedAuthentication Protocol XAUTH im VPN-Gateway. Im Abschnitt ’LANCOM Advanced VPN Client auf Zertifikatsverbin-dungen einstellen’ ⇒ Seite 16 finden Sie weitere Informationen zurzertifikatsbasierten Einwahl in ein VPN-Gateway.

13

Page 17: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

E Im nächsten Fenster werden Einstellungen zur Verbindungsherstellungund zur Verschlüsselung der Verbindung abgefragt.

k Wählen Sie als Austausch-Modus die Option 'Aggressive Mode',wenn Sie ausschließlich Preshared Keys zur Authentifizierung verwen-den wollen.

k Wählen Sie den 'Main Mode', wenn Sie für die Authentifizierungdigitale Zertifikate verwenden möchten. In diesem Fall müssen Sienach dem Fertigstellen des Profil-Assistenten das Profil manuell aufdie Verwendung der Zertifikate umstellen (’LANCOM Advanced VPNClient auf Zertifikatsverbindungen einstellen’ ⇒ Seite 16).

Die Voreinstellungen für die PFS-Gruppe (DH-Gruppe 2 (1024 Bit)) kön-nen übernommen werden.

F Tragen Sie im folgenden Dialog in das Feld Shared Secret den PresharedKey ein. Als „Lokale Identität“ wählen Sie den Typ Fully Qualified

Username. Im Feld „ID“ wird die E-Mail-Adresse eingetragen, mit dersich der Client beim VPN-Gateway authentifiziert.

I Achten Sie darauf, dass für den „Preshared Key“ und die E-Mail-Adresse exakt die gleichen Werte verwendet werden, die auch im

14

Page 18: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

Setup-Assistenten für LANconfig bei der Einrichtung des RAS-Zugangs im VPN-Gateway eingetragen wurden.

G Im nächsten Fenster wird abgefragt, welche IP-Adresse der Client erhal-ten soll. Wenn Sie im LANCOM VPN-Gateway eine feste IP-Adresse fürden Einwahlzugang vorgeben möchten, können Sie zwischen lokale

IP-Adresse verwenden oder IP-Adresse manuell vergeben wählen.Sie können aber auch einen Pool von IP-Adressen angeben, aus dem denVPN-Clients dynamisch eine freie IP-Adresse zugewiesen wird (IKE ConfigMode). Wenn Sie die Option IKE Config Mode verwenden wählen, wer-den IP-Adressen und DNS Server über das Protokoll IKE Config Modezugewiesen. Alternativ zur Verwendung des IKE Config Modes kann auchein DHCP Server des Gateways genutzt werden mit der Option DHCP über

IPSec. Dabei wird über den VPN-Tunnel dem Client in einer DHCP-Ver-handlung die IP-Adresse zugewiesen.

H Im letzten Fenster der Profil-Konfiguration werden die Netzwerkadressenmit den Netzwerkmasken eingegeben, auf die der Client zugreifen soll.Hier können ggf. verschiedene Teilnetze bzw. Subnetze angegeben wer-den. Ein Klick auf Fertigstellen beendet die Konfiguration.

Nun kann eine Verbindung zum eingestellten Firmennetz hergestellt werden.Hierzu wählen Sie im Hauptfenster des LANCOM Advanced VPN Clients unterProfil das von Ihnen gewünschte Verbindungsprofil aus und klicken aufVerbinden. Sind alle Einstellungen im Profil und auf dem VPN-Gateway kor-rekt, wird die Verbindung hergestellt. Der Client-Rechner hat damit Zugriff aufalle freigegebenen Ressourcen im LAN wie z. B. Mail- , Datei- oder Drucker-Server.

15

Page 19: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

Um ein Profil nachträglich zu ändern, wählen Sie im LANCOM Advanced VPNClient den Menüpunkt Konfiguration E Profile, markieren in der Liste derProfile den gewünschten Eintrag und klicken auf Konfigurieren.

e LANCOM Advanced VPN Client auf

Zertifikatsverbindungen einstellen

Bei der zertifikatsbasierten Einwahl mit dem LANCOM Advanced VPN Clientin einen LANCOM VPN-Router müssen die entsprechenden Profil-Einstellungen an die Verwendung von Zertifikaten angepasst werden.

A Öffnen Sie über den Menüpunkt Konfiguration E Zertifikate E

Bearbeiten die Einstellungen für eine vorhandene Zertifikats-Konfigura-tion oder legen Sie mit Hinzufügen eine neue Zertifikats-Konfigurationan.

k Wählen Sie als Zertifikattyp die 'PKCS#12-Datei aus A und geben Siedie gewünschte Zertifikatsdatei an B.

A

BC

D

E

16

Page 20: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

k Wenn Sie mit verschiedenen Zertifikaten arbeiten möchten, aktivierenSie die Option 'Softzertifikatsauswahl' C und geben den Pfad zumOrdner an, in dem die Zertifikatsdateien abgelegt sind D.

k Wählen Sie aus, ob die PIN (das Kennwort) für das Zertifikat bei jedemVerbindungsaufbau abgefragt werden soll E. Alternativ können Siedie PIN über den Menüpunkt Verbindung E PIN eingeben fest imLANCOM Advanced VPN Client speichern.

k Bei aktivierter Softzertifikatsauswahl können Sie beim Verbindungs-aufbau im Hauptfenster des LANCOM Advanced VPN Clients jeweilsdas gewünschte Zertifikat aus der Liste auswählen, passend zumgewählten Profil.

B Stellen Sie in den IPSec-Einstellungen des Profils die IKE-Richtlinie aufRSA-Signatur um und den Austausch-Modus auf Main Mode.

C Stellen Sie die Identität auf ASN1 Distinguished Names um. Die ID kannfrei bleiben, da diese Information aus dem Zertifikat ausgelesen wird.

17

Page 21: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

Deaktivieren Sie die Option Preshared Key verwenden und wählen Siedie zuvor definierte Zertifikats-Konfiguration für dieses Profil aus.

D Verwenden Sie bei der IP-Adressen-Zuweisung den IKE Config Mode.

E Bei der Zertifikatsüberprüfung können Sie optional die Zertifikate ein-schränken, die der LANCOM Advanced VPN Client akzeptiert. Dazu gebenSie den Benutzer und/oder den Aussteller des eingehenden Zertifikats undggf. den zugehörigen „Fingerprint“ an.

f Extended Authentication Protocol (XAUTH)

Mit der Verwendung von XAUTH wird eine zusätzliche Authentifizierung mitXAUTH-Benutzernamen und XAUTH-Kennwort durchgeführt. Diese Authenti-fizierung kann im LCOS über eine interne Benutzertabelle (die PPP-Liste)geprüft werden.

C Um die Verwendung von XAUTH besonders sicher zu gestalten, solltenSie nach Möglichkeit anstelle des Preshared Key-Verfahrens (PSK) dieEinwahl über RSA-SIG (Zertifikate) verwenden. Stellen Sie dabeisicher, dass das VPN-Gateway nur das Zertifikat der jeweils richtigen

18

Page 22: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

DE

Gegenstelle akzeptiert (und nicht alle von der gleichen CA ausgestell-ten Zertifikate).

Für die Authentifizierung von VPN-Gegenstellen über XAUTH wird der ent-sprechende Eintrag in der VPN-Verbindungsliste (LANconfig: VPN E

Allgemein E Verbindungs-Liste) auf die Betriebsart als XAUTH-Serverumgestellt.

Zusätzlich wird in der PPP-Liste ein Eintrag erstellt, in dem der Name derGegenstelle dem Namen der VPN-Verbindung entspricht (LANconfig:Kommunikation E Protokolle E PPP-Liste). Weiterhin wird in diesemEintrag das Kennwort hinterlegt sowie weitere Optionen wie die geroutetenProtokolle definiert.

19

Page 23: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientD

E

20

Page 24: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

1

Introduction

In addition to the Quick Start Guide at hand, you will find more informationabout the VPN solution presented here in the complete documentation:

K The user manual for the LANCOM Advanced VPN Client describes indetail the extensive range of functions and parameters in the VPN clientsoftware.

K The user manual for your LANCOM device contains all of the detailedinformation required for setting up your device. It also contains all of theimportant technical specifications.

K The reference manual supplements the user manual and fully addressesissues concerning the LANCOM operating system LCOS that also apply toall other models.

I The user and reference manual are supplied as Acrobat documents(PDF files) on the accompanying DVD, depending on the model. Thelatest versions of documentation and software are always availablefrom www.lancom.de/en/download.

LANCOM Systems provides the LANCOM Advanced VPN Client, an appli-cation that features comprehensive security functions and is designed tomeet the requirements of the LANCOM VPN gateways. The followingQuick Start Guide covers all of the necessary steps for the configuration ofa VPN-secured RAS connection of a remote computer with LANCOMAdvanced VPN Client via a LANCOM VPN gateway:

K ’Installing and activating the LANCOM Advanced VPN Client’ ⇒Page 2

K ’Setting up VPN access on the router with the 1-Click-Wizard’ ⇒Page 7

K ’Manual setup of VPN access on the router’ ⇒ Page 9

K ’LANCOM Advanced VPN Client configuration’ ⇒ Page 11

K ’LANCOM Advanced VPN Client set up for certificate-based connec-tions’ ⇒ Page 16

K ’Extended Authentication Protocol (XAUTH)’ ⇒ Page 18

Instructions for the configuration of the LANCOM Advanced VPN Client incombination with other gateways can be taken from the integrated helpor from the relevant user manual.

Page 25: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

a Installing and activating the LANCOM Advanced VPN

Client

To install the LANCOM Advanced VPN Client insert the DVD supplied with thedevice into your DVD-ROM drive. The setup program should start automati-cally within seconds; if not, please manually execute the "autostart.exe" in theroot directory of the DVD. A Wizard starts that will guide you through theinstallation. Select 'Standard Installation'.

If a previous version of the client is already installed, this must be uninstalledfirst.

I To complete the installation, you will need to restart the device.

Activation

Once the device has been restarted, the installation of the LANCOM AdvancedVPN Client is complete. You can test the LANCOM Advanced VPN Client for 30days before activation. Once the client has been started, the main windowappears.

The product must be activated in order to make use of the complete set of fea-tures after the 30-day trial period has expired. There are three possible sce-narios here:

K This is a first-time installation with the purchase of a full license.

2

Page 26: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

K A software and license upgrade from a previous version with the pur-chase of a new license. In this case, all of the new functions of the newversion can be used.

K A software update purely for bugfixing. You retain your former license. Inthis case, the new client version is installed but the user has access to thescope of functions of the former version only. The user benefits from bug-fixing improvements carried out since the last version.

In every case the following steps must be taken:

A Click on Activation in the main window. A dialog then appears whichshows your current version number and the license used.

I Alternatively, this dialog can be accessed via the menu item Help ELicense information and activation.

B Click on Activation again here. You can activate your product online oroffline.

C An Internet connection is required for "Offline Activation" as well.

3

Page 27: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

Online activation

A If you select Online Activation, enter your license data in the followingdialog. You received this information when you purchased your LANCOMAdvanced VPN Client.

B The client connects to the LANCOM server.

If you were already using an older version of the LANCOM Advanced VPNClient, then you can use your existing user profile to connect to the Internet.As soon as the computer is connected to the Internet, it automatically con-nects to the activation server. No further action is necessary to carry out theactivation and the process completes automatically.

4

Page 28: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

Offline Activation

A If you have selected Offline Activation, similar to the online activationyou will need to enter your license data and serial number when activat-ing. These are then verified and stored in a file on the hard drive. You mayselect the name of the file freely providing that it is a text file (.txt).

B Your license data is included in this activation file. This file must be trans-ferred to the activation server for activation. Start your browser and openthe website www.lancom-systems.de/en/avc-activation.

C Click on Search and select the activation file that was just created. Thenclick Send. The activation server will now process the activation file. Youwill be forwarded to a website where you will be able to view your acti-vation code. Print this page or make a note of the code listed here.

5

Page 29: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

D Switch back to the LANCOM Advanced VPN Client and click onActivation in the main window. Enter the code that you printed ormade a note of in the following dialog.

E Once the activation code has been entered, the product activation is com-plete and you can use the LANCOM Advanced VPN Client as specifiedwithin the scope of your license.

Depending on the license you purchased, the license and version number willnow appear.

6

Page 30: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

Upgrade

If you already have an earlier version of the LANCOM Advanced VPN Clientand you have purchased an upgrade key for the current version, you canrequest a new license key from www.lancom.eu/avc/upgrade.

A Enter the serial number of the LANCOM Advanced VPN Client and yourupgrade key into the appropriate fields. You will find the serial number inthe Client Monitor menu under Help E License info. and activation.

B Finally, click on Send. The new license key will then be displayed on theresponding page on your screen.

C This key then has to be entered into the Client Monitor menu under Help

E License info. and activation E Licensing.

The activation procedure commences after entry of the new license key.

b Setting up VPN access on the router with the 1-Click-

Wizard

VPN access accounts on the LANCOM VPN router are easily set up with theSetup Wizard and exported to a file. This file can then be imported as a profileby the LANCOM Advanced VPN Client. All of the information about theLANCOM VPN Router's configuration is also included, and then supplementedwith randomly generated values (e.g. for the preshared key).

A Use LANconfig to start the 'Set up a RAS Account' wizard and select the'VPN connection'.

B Activate the options 'LANCOM Advanced VPN Client' and 'Speed up con-figuration with 1-Click-VPN'.

7

Page 31: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

C Enter a name for this access and select the address under which the routeris accessible from the Internet.

D In the final step you can select how the access data is to be entered:

k Save profile as an import file for the LANCOM Advanced VPN Client

k Send profile via e-mail

k Print out profile

D Sending a profile via e-mail could be a security risk should the e-mailbe intercepted en route!

To send the profile via e-mail, the device configuration must be set upwith an SMTP account with the necessary access data on theLANCOM VPN router. Further, the configuration computer requires ane-mail program that is set up as the standard e-mail application andthat can be used by other applications to send e-mails.

When setting up the VPN access, certain settings are made to optimizeoperations with the LANCOM Advanced VPN Client, including:

K Gateway: If defined in the LANCOM VPN router, a DynDNS name is usedhere, or alternatively the IP address

K FQUN: Combination of the name of the connection, a sequential numberand the internal domain in the LANCOM VPN router.

K Domain: If defined in the LANCOM VPN router, the internal domain isused here, or alternatively a a DynDNS name or IP address

K VPN IP networks: All IP networks defined in the device as type 'Intranet'.

K Preshared key: Randomly generated key 16 ASCII characters long.

K Automatic recognition of connection media.

K VoIP prioritization: VoIP prioritization is activated as standard.

K Exchange mode: The exchange mode to be used is 'Aggressive Mode'.

K Seamless roaming Enabled by default.

K IKE config mode The IKE config mode is activated, the IP address informa-tion for the LANCOM Advanced VPN Client is automatically assigned bythe LANCOM VPN router.

8

Page 32: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

c Manual setup of VPN access on the router

Setting up VPN access for the LANCOM Advanced VPN Client with yourLANCOM VPN-router is quick and convenient with the configuration softwareLANconfig, which is available for Windows:

A Start , right-click on your device and select the Setup Wizard from thecontext menu.

B In the Setup Wizard, select the entry Provide remote access (RAS, VPN).

C In the following windows, select VPN connection over the Internet andthen LANCOM Advanced VPN Client.

D Enter a VPN name for the user who is dialing into the network, such asA.N.OTHER.

E Enter the preshared key for connection authentication in 'AggressiveMode'. The preshared key is used to encrypt the connection betweenclient and gateway.

I Each user should be assigned their own preshared key. Observing thisrule will further increase the security of your VPN connections.

9

Page 33: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

Alternatively, select the Certificates (RSA Signature) option if theconnection authentication should take place via the secure 'Main Mode' usingdigital certificates.

I Please note that this will require digital certificates for the dial-uprouter and the VPN client.

Only for Aggressive Mode/Preshared Key

F Enter an e-mail address for the user as the Fully Qualified Username;this will be used to identify the client at the VPN gateway.

Only for Main Mode/RSA Signa-ture

G Enter the local identity and the remote identity, in order to allow con-nection establishment using certificates.

I Local and remote identity types are "ASN.1.Distinguished Names"and can be inferred from the certificates.

H To access the LAN, the VPN client requires a valid IP address from theLAN's address range. In the dialog that follows, enter the IP address thatwill be assigned to your client when it accesses the LAN.

I Ensure that this IP address is freely available and that a DHCP servercannot assign it to another device in the LAN.

10

Page 34: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

I The following window allows you to enter the areas of the local networkthat the client should have access to. In most cases the default settingAllow all IP addresses to be available to the VPN client can be used.If the client should have access that is limited to a particular subnet or alimited range of IP addresses, use the option The following IP network

should be available to the VPN client, which allows you to define theIP network and netmask.

J If you are working in a Microsoft Windows network, leave the optionActivate NetBIOS over IP routing switched on. Confirm with Next.Conclude the configuration by clicking on Finish.

d LANCOM Advanced VPN Client configuration

The LANCOM Advanced VPN Client starts automatically each time Windowsis started. To disable this function in the LANCOM Advanced VPN Client, acti-vate the menu item View E Autostart E No autostart. As long as theLANCOM Advanced VPN Client is active, a traffic light symbol will be dis-played in the lower right-hand corner of the screen.

If no profile has been set up, the LANCOM Advanced VPN Client automaticallystarts a Wizard that will help you create the first profile. To set up additionalprofiles, you can run the Wizard manually under Configuration E Profiles

E Add New Entry.

To generate a new profile, proceed as follows:

A Select the connection type Link to Corporate Network using IPSec. Thisensures that the connection will be secured with encryption.

B Enter a name that adequately describes the profile that is being generatedfor the LANCOM Advanced VPN Client. One possibility is to use the nameof the company whose network is being connected to, for example.

11

Page 35: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

C Select the connection type Automatic media detection. Optionally,enable the checkbox for Seamless roaming.

I This description assumes that the computer with the LANCOMAdvanced VPN Client already has an Internet connection. If the Inter-net connection is not already set up, please select the correspondingtype of connection now. The following dialogs let you enter the accessinformation for your Internet account (user name, password, dial-upnumber etc.).

D In the following window, enter either the IP address or the DNS name ofthe gateway (e.g. vpnserver.testcompany.com).

I Note that this IP address must be the public address of the VPNgateway that you are connecting to. If you activate the setting forExtended authentication (XAUTH), the user will additionally beauthenticated using a user ID and password. If you leave the fields foruser ID and password empty, the user is prompted to enter their logindata each time they dial in. In order to make XAUTH particularlysecure, dial- in via RSA-SIG (certificates) should be used instead of the

12

Page 36: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

preshared key method (PSK) whenever possible. Here it is importantto ensure that the VPN gateway accepts only the certificate of the cor-rect remote site (and not all certificates issued by the same CA). In the section ’Extended Authentication Protocol (XAUTH)’ ⇒Page 18 you will find more information about configuring theextended authentication protocol XAUTH in the VPN gateway. See the section ’LANCOM Advanced VPN Client set up for certificate-based connections’ ⇒ Page 16 for more information about certifi-cate-based dialing-in to a VPN gateway.

13

Page 37: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

E In the next window, the settings for connection establishment andencryption will be requested.

k Select the option Aggressive Mode as the 'Exchange Mode' if youwant to use only preshared keys for authentication.

k Select the option Main Mode if you want to use digital certificates forconnection authentication. In this case, after finishing the Profile Wiz-ard, you must manually set the profile to use certificates (’LANCOMAdvanced VPN Client set up for certificate-based connections’ ⇒Page 16).

The default settings for the PFS group (DH group 2 (1024 Bit)) can beretained.

F In the dialog that follows, enter your preshared key into the field Shared

Secret. Select the "Local identity“ type as Fully Qualified Username. Inthe field "ID" enter the e-mail address that the client will use for authen-tication at the VPN gateway.

I Note that the preshared key and the e-mail entries must agree exactlywith those entered in the LANconfig Setup Wizard when the RASaccess was set up at the VPN gateway.

14

Page 38: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

G In the following window, the IP address intended for the client isrequested. If you want the LANCOM VPN gateway to set a fixed IP addressfor dial- in access, you can chose between Local IP Address or Manual

IP Address. You also have the alternative of entering a pool of IPaddresses, one of which can be assigned dynamically to the VPN client(IKE Config Mode). If you select the option IKE Config Mode, IPaddresses and DNS servers are assigned with the aid of the IKE-configmode protocol. As an alternative to using the IKE config mode, you canuse a DHCP server on the gateway device by selecting the option DHCP

over IPSec. Here, a DHCP negotiation via the VPN tunnel assigns an IPaddress to the client.

H The final window of the profile configuration is for entering the networkaddresses and netmasks that the client should have access to. Differentportions of the network or subnets can be defined here. Conclude theconfiguration by clicking on Finish.

A connection can now be established to the company network that has beendefined. To do this, access the main window of the LANCOM Advanced VPNClient, use Profile to select the connection profile you require, and click onConnect. If all of the settings in the profile and in the VPN gateway have beenentered correctly, a connection will be successfully established. The clientcomputer now has access to all of the available resources in the LAN such asmail, file, and printer servers.

15

Page 39: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

A profile can be altered later in the LANCOM Advanced VPN Client by select-ing the menu entry Configuration E Profiles, marking the relevant profileand clicking on Configure.

e LANCOM Advanced VPN Client set up for certificate-

based connections

To use the LANCOM Advanced VPN Client to dial in to a LANCOM VPN router,the appropriate profile settings must be adjusted to enable the use of certifi-cates.

A Click on the menu item Configuration E Certificates E Edit to openthe settings for an existing certificate configuration, or create a new onewith Add.

k Select the certificate type 'from PKCS#12 file' A and set the requiredcertificate file B.

k To work with a variety of certificates, activate the option 'SoftCertificate Selection' C and enter the path for the folder where thecertificate files are stored D.

A

BC

D

E

16

Page 40: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

k Define whether or not the PIN (password) for the certificate should beentered before each connection establishment E. Alternatively, thePIN can be permanently stored in the LANCOM Advanced VPN Clientunder the menu item Connection E Enter PIN.

k If you have enabled certificate selection, when you initiate the con-nection you can select the required certificate in the main window ofthe LANCOM Advanced VPN Client according to the selected profile.

B In the IPSec general settings for the profile, set the IKE policy to RSA

signature and the exchange mode to Main mode.

C Switch the identity to ASN1 Distinguished Names. The ID can remainblank since this information is taken from the certificate. Disable the

17

Page 41: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

Preshared key option and select the previously defined certificate con-figuration for this profile.

D Use the IKE config mode to assign the IP address.

E For the certificate check, you can optionally restrict the certificatesaccepted by the LANCOM Advanced VPN Client. To do this, you define theuser and/or the issuer of the incoming certificate and, if applicable, theassociated "fingerprint".

f Extended Authentication Protocol (XAUTH)

When using XAUTH, an additional authentication is performed by means ofan XAUTH user name and XAUTH password. In LCOS, this authentication canbe checked by means of an internal user table (the PPP list).

C In order to make XAUTH particularly secure, dial- in via RSA-SIG(certificates) should be used instead of the preshared key method(PSK) whenever possible. Here it is important to ensure that the VPNgateway accepts only the certificate of the correct remote site (andnot all certificates issued by the same CA).

18

Page 42: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN Client

EN

To authenticate VPN remote stations via XAUTH, the corresponding entry inthe VPN connection list (LANconfig: VPN E General E Connection list)must be switched to the XAUTH server mode.

In addition, an entry is created in the PPP list, in which the name of theremote station corresponds to the name of the VPN connection (LANconfig:Communication E Protocols E PPP list). Also specified in this entry arethe password and other options such as the routed protocols.

19

Page 43: Installation Guide - LANCOM Systems

K LANCOM Advanced VPN ClientEN

20