In diesem Artikel möchte ich aufzeigen, wie man in LANCOM-Geräten mit der LCOS-Version 9.04 eine VPN-Verbindung einrichtet, welche für die Einwahl eines Android-Handys OHNE Zusatzprogramme und Root verwendet werden kann. Hierbei hat mir dieser Artikel (http://blog.clemens-web.de/vpn-mit-lancom-router-und-android-smartphonetablet/) sehr weitergeholfen. Da dieser Artikel schon etwas älter ist und manche Einstellungsdialoge nun etwas anders aussehen, möchte ich hier eine aktualisiere Version des Artikels aufzeigen.
Benötigt:
- Ein Gerät von LANCOM mit LCOS 9.04 oder höher
- Eine Android-Gerät mit Android Version 4.x
- Ein Windows-PC mit installierter LANconfig Software (http://www.lancom-systems.de/produkte/netzwerkmanagement/lanconfig/)
- Verbindung zum LANCOM-Gerät (kabelgebunden oder WLAN)
Grundsätzlich hat sich an der Einrichtung nichts geändert, es muss als erstes mit dem VPN-Assistenten eine neue VPN-Verbindung angelegt werden:
1. Auf den Geräteeintrag im LANconfig mit der rechten Maustaste klicken und im Kontextmenü "Setup Assistent" auswählen.
2. Im Assistenten auf "Einwahl-Zugang bereitstellen (RAS, VPN)" auswählen und auf "Weiter >" klicken
3. Nun die Option "VPN-Verbindung über das Internet" auswählen und auf "Weiter >" klicken.
4. Nun in der Auswahlbox die Option "VPN-Client mit benutzerdefinierten Parametern" auswählen und auf "Weiter >" klicken.
5. Nun vergeben wir im Feld "Name (VPN)" einen benutzerdefinierten Namen, hier im Bespiel "TEST001" und klicken danach auf "Weiter >".
6. Nun wählen wir die Option "Gemeinsames Passwort (Preshared Key) und Aggressive Mode" aus und geben in das rote Textfeld eines sicheren Preshared-Key ein.
Tipp: Wenn die Option "Anzeigen" aktiviert wird, ist es mit einem Klick auf "Passwort erzeugen" möglich, ein zufälliges Kennwort zu generieren. Dieses Kennwort kopieren wir in einen Passwortsafe oder temp. in eine Textdatei, da wir alle Zugangsdaten für die Einrichtung des Android-Geräts benötigen.
In diesem Beispiel verwenden wir "geheim123geheim" als Preshared-Key. Nach allen Eingaben klicken wir auf "Weiter >".
7. Nun wählen wir die Option "Standard-IKE-Parameter verändern (Betrifft alle ankommenden Aggressive-Mode-Verbindungen)" ab und klicken auf "Weiter >".
8. Auf der nächsten Seite wird nun in beiden Auswahlfeldern der Wert "Key-ID (Gruppenname)" eingetragen sowie eine lokale und eine entfernte Identität vergeben. Die Identitäten sollten beide identisch sein. In diesem Beispiel wird der Wert "androidtest" verwendet. Bitte auch diese Daten in einem Kennwort-Safe oder einer Textdatei temp. abspeichern. Nach allen Eingaben klicken wir auf "Weiter >".
9. Auf der nächsten Seite die Option "Das PFS-Verfahren für die aktuelle Verbindung einsetzen" deaktivieren. Wenn diese Option aktiviert ist, würde zwischen dem Client und dem Server bei jeder neuen Verbindung ein individueller Schlüssel ausgehandelt werden, mit welchem die gesamte Kommunikation verschlüsselt wird. Würde diese Kommunikation aufgezeichnet und würden die Zugangsdaten bekannt könnte die Verbindung somit nicht entschlüsselt werden. Leider wird dies von Android ohne Root und Zusatzprogramme nicht unterstützt und muss daher leider deaktiviert werden. Nach deaktivieren der Option klicken wir auf "Weiter >".
10. Diese Seite das Assistenten kann einfach mit einem Klick auf "Weiter >" übersprungen werden, da hier bereits schon die wichtigsten Verschlüsslungsverfahren ausgewählt sind. Wenn man besonders auf Nummer sicher gehen will, kann man hier noch die Option "AES (128bit)" deaktivieren. Somit muss das Gerät immer die höchste Verschlüsselung verwenden. Hierbei ist jedoch zu beachten, dass bei einer höheren Verschlüsselungsstärke auch die Datenmenge wächst. Es kann also evtl. bei langsamen Mobilfunk-Verbindungen sinnvoll sein, dem Mobilgerät zu erlauben auf eine geringere Verschlüsselungsstärke zu wechseln.
11. Auch der nächste Dialog kann einfach mit einem Klick auf "Weiter >" übersprungen werden.
12. Im nächsten Schritt muss dem Client eine eindeutige IP-Adresse im Netz zugewiesen werden (im Feld "IP-Adresse"). In diesem Bespiel wird die IP-Adresse "192.168.178.194" (SM: 255.255.255.0) verwendet. Nach der Eingabe der Adresse klicken wir auf "Weiter >".
13. In diesem Dialog lassen wir die Option "Alle IP-Adressen für den VPN-Client erlauben" aktiv. Optional könnte hier dem Client nur auf ein spezifisches Netz der Zugang erlaubt werden. Nach dem Prüfen der Auswahl klicken wir auf "Weiter >".
14. In diesem Dialog wird nun die Option "NetBIOS über IP Routing aktivieren" deaktiviert.
Hintergrund: NetBIOS ist eine von Microsoft entwickelte Technologie für die Peer-To-Peer-Vernetzung von Arbeitsstationen in einem Netzwerk. Da ein Android-Gerät einen Linux-Kernel besitzt und die Einwahl nicht über einen Windows-Client vorgenommen wird, sollte diese Option deaktiviert werden. Würde ein Windows-Client sich nun über eine solche Verbindung einwählen, würde er nicht die anderen Geräte im NetBIOS-Netz über die "Netzwerkumgebung" bzw. "Netzwerk" finden und auf diese über das NetBIOS-Protokoll zugreifen können. Dies schränkt allerdings nicht den Zugriff über CIFS/SMB ein! Nach dem Ändern der Option klicken wir auf "Weiter >".
15. Nun ist die Einrichtung der Verbindung über den Assistenten abgeschlossen und dieser kann nun über einen Klick auf "Fertig stellen" geschlossen werden. LANconfig wird nun die geänderte Konfiguration in das Gerät laden. Nun müssen noch einige Einstellungen manuell geändert werden.
16. Im nun in der Standardeinstellung erscheinenden Dialog auf "Nein" klicken.
17. Auf den Geräteeintrag im LANconfig mit der rechten Maustaste klicken und dort im Kontextmenü den Eintrag "Konfigurieren" auswählen.
18. Nun unter "Kommunikation" > "Protokolle" auf die Schaltfläche "PPP-Liste..." klicken.
19. Nun im Dialogfeld auf die Schaltfläche "Hinzufügen..." klicken.
In der Liste müsste bei einer funktionierenden ADSL/VDSL-Leitung auch ein Eintrag des Providers stehen.
Aus Sicherheitsgründen werden ab hier einige Einträge ausgeblendet.
20. Nun füllen wir die Felder im Dialogfeld aus. Bei der Gegenstelle wird der Wert aus Schritt 5 eingegeben. Das Feld Benutzername bleibt leer!
Als Kennwort muss ein zusätzliches (nicht das bereits festgelegte Kennwort) eingegeben werden. Als Beispiel wird hier "SehrGeheim123" verwendet.
Die Anderen Optionen müssen nicht verändert werden und die Eingaben können mit einem Klick auf "OK" gespeichert werden. Ein neuer Eintrag sollte nun in der Liste des Dialogfeldes auftauchen.
Dieses Dialogfeld kann nun mit einem Klick auf "OK" geschlossen werden.
21. Nun im Fenster nach "VPN" > "Allgemein" wechseln und auf "Verbindungs-Liste..." klicken.
Update 03.10.2016: Seit der neusten LCOS-Version findet sich die Schaltfläche unter VPN > IKE/IPSec.
22. Nun im Dialogfeld die Verbindung mit dem Namen "TEST001" auswählen und dann auf die Schaltfläche "Bearbeiten..." klicken.
23. Es können in diesem Dialogfeld alle Einstellungen beibehalten werden, bis der Option "XAUTH". Bei dieser Option muss der Wert "Server" ausgewählt werden. Die Einstellungen werden mit einem Klick auf "OK" gespeichert.
Nun müsste der Eintrag in der Liste so aussehen:
Mit einem Klick auf "OK" wird das Dialogfeld geschlossen.
24. Nun im Fenster nach "Firewall/QoS" > "IPv4-Regeln" wechseln und auf die Schaltfläche "Regeln..." klicken.
Nun prüfen, ob in der Regelliste ein Eintrag mit dem VPN-Namen existiert:
Wenn dies der Fall ist, kann das Dialogfeld mit einem Klick auf "OK" geschlossen werden.
25. Nun mit einem weiteren Klick auf "OK" den Konfigurationsdialog des Routers schließen. Die Konfiguration wird nun in den Router hochgeladen und die Änderungen übernommen. Der Serverteil auf dem LANCOM-Gerät ist nun abgeschlossen, es kann nun mit der Einrichtung des Android-Gerätes begonnen werden.
Unter Android muss nun das Menü "VPN" ausgewählt werden. In diesem Bespiel wird ein Handy mit CyanogenMod verwendet:
26. Im nun erscheinenden Fenster folgende Optionen auswählen, bzw. Eingabefelder ausfüllen:
Name: <Beliebig>
Typ: IPSec Xauth PSK
Serveradresse: <Die feste/dynamische IP-Adresse des Routers oder DNS-Name>
IPSec-ID: <Identifikationsname aus Schritt => androidtest>
Vorinstallierter IPSec-Schlüssel: <Preshared Key aus Schritt 6 => geheim123geheim>
Nun speichern wir die Einstellungen mit einem Druck auf "Speichern".
27. Nun wählen wir die neue Verbindung aus und es erscheint ein weiteres Dialogfeld, in welchem wir nun die folgenden Daten eintragen:
Nutzername: <Verbindungsname aus Schritt 5 => TEST001>
Passwort: <Kennwort aus Schritt 20 => SehrGeheim123>
Je nach Geschmack kann hier die Option "Kontoinformationen speichern" aktiviert werden, dann sollte allerdings aus Sicherheitsgründen das Gerät verschlüsselt und mit einem PIN als Bildschirmsperre gesichert werden um unbefugten Zugriff auf das Netzwerk zu verhindern!
Nach einem Druck auf "Verbinden" müsste nach kurzer Zeit unter der Verbindung der Text "Verbunden" stehen, sowie oben in der Nachrichtenleiste ein kleiner Schlüssel auftauchen:
Nun ist die Einrichtung der VPN-Verbindung abgeschlossen.
UPDATE 01.03.2015: Es gibt nun auch eine offizielle Anleitung von LANCOM: http://www2.lancom.de/kb.nsf/0/5B38E5A461433B26C1257A33002B4B72?opendocument