In diesem Artikel möchte ich aufzeigen, wie man in LANCOM-Geräten mit der LCOS-Version 9.04 eine VPN-Verbindung einrichtet, welche für die Einwahl eines Android-Handys OHNE Zusatzprogramme und Root verwendet werden kann. Hierbei hat mir dieser Artikel (http://blog.clemens-web.de/vpn-mit-lancom-router-und-android-smartphonetablet/) sehr weitergeholfen. Da dieser Artikel schon etwas älter ist und manche Einstellungsdialoge nun etwas anders aussehen, möchte ich hier eine aktualisiere Version des Artikels aufzeigen.
Benötigt:
- Ein Gerät von LANCOM mit LCOS 9.04 oder höher
- Eine Android-Gerät mit Android Version 4.x
- Ein Windows-PC mit installierter LANconfig Software (http://www.lancom-systems.de/produkte/netzwerkmanagement/lanconfig/)
- Verbindung zum LANCOM-Gerät (kabelgebunden oder WLAN)
Grundsätzlich hat sich an der Einrichtung nichts geändert, es muss als erstes mit dem VPN-Assistenten eine neue VPN-Verbindung angelegt werden:
1. Auf den Geräteeintrag im LANconfig mit der rechten Maustaste klicken und im Kontextmenü "Setup Assistent" auswählen.
2. Im Assistenten auf "Einwahl-Zugang bereitstellen (RAS, VPN)" auswählen und auf "Weiter >" klicken
3. Nun die Option "VPN-Verbindung über das Internet" auswählen und auf "Weiter >" klicken.
4. Nun in der Auswahlbox die Option "VPN-Client mit benutzerdefinierten Parametern" auswählen und auf "Weiter >" klicken.
5. Nun vergeben wir im Feld "Name (VPN)" einen benutzerdefinierten Namen, hier im Bespiel "TEST001" und klicken danach auf "Weiter >".
6. Nun wählen wir die Option "Gemeinsames Passwort (Preshared Key) und Aggressive Mode" aus und geben in das rote Textfeld eines sicheren Preshared-Key ein.
Tipp: Wenn die Option "Anzeigen" aktiviert wird, ist es mit einem Klick auf "Passwort erzeugen" möglich, ein zufälliges Kennwort zu generieren. Dieses Kennwort kopieren wir in einen Passwortsafe oder temp. in eine Textdatei, da wir alle Zugangsdaten für die Einrichtung des Android-Geräts benötigen.
In diesem Beispiel verwenden wir "geheim123geheim" als Preshared-Key. Nach allen Eingaben klicken wir auf "Weiter >".
7. Nun wählen wir die Option "Standard-IKE-Parameter verändern (Betrifft alle ankommenden Aggressive-Mode-Verbindungen)" ab und klicken auf "Weiter >".
8. Auf der nächsten Seite wird nun in beiden Auswahlfeldern der Wert "Key-ID (Gruppenname)" eingetragen sowie eine lokale und eine entfernte Identität vergeben. Die Identitäten sollten beide identisch sein. In diesem Beispiel wird der Wert "androidtest" verwendet. Bitte auch diese Daten in einem Kennwort-Safe oder einer Textdatei temp. abspeichern. Nach allen Eingaben klicken wir auf "Weiter >".
9. Auf der nächsten Seite die Option "Das PFS-Verfahren für die aktuelle Verbindung einsetzen" deaktivieren. Wenn diese Option aktiviert ist, würde zwischen dem Client und dem Server bei jeder neuen Verbindung ein individueller Schlüssel ausgehandelt werden, mit welchem die gesamte Kommunikation verschlüsselt wird. Würde diese Kommunikation aufgezeichnet und würden die Zugangsdaten bekannt könnte die Verbindung somit nicht entschlüsselt werden. Leider wird dies von Android ohne Root und Zusatzprogramme nicht unterstützt und muss daher leider deaktiviert werden. Nach deaktivieren der Option klicken wir auf "Weiter >".
10. Diese Seite das Assistenten kann einfach mit einem Klick auf "Weiter >" übersprungen werden, da hier bereits schon die wichtigsten Verschlüsslungsverfahren ausgewählt sind. Wenn man besonders auf Nummer sicher gehen will, kann man hier noch die Option "AES (128bit)" deaktivieren. Somit muss das Gerät immer die höchste Verschlüsselung verwenden. Hierbei ist jedoch zu beachten, dass bei einer höheren Verschlüsselungsstärke auch die Datenmenge wächst. Es kann also evtl. bei langsamen Mobilfunk-Verbindungen sinnvoll sein, dem Mobilgerät zu erlauben auf eine geringere Verschlüsselungsstärke zu wechseln.
11. Auch der nächste Dialog kann einfach mit einem Klick auf "Weiter >" übersprungen werden.
12. Im nächsten Schritt muss dem Client eine eindeutige IP-Adresse im Netz zugewiesen werden (im Feld "IP-Adresse"). In diesem Bespiel wird die IP-Adresse "192.168.178.194" (SM: 255.255.255.0) verwendet. Nach der Eingabe der Adresse klicken wir auf "Weiter >".
13. In diesem Dialog lassen wir die Option "Alle IP-Adressen für den VPN-Client erlauben" aktiv. Optional könnte hier dem Client nur auf ein spezifisches Netz der Zugang erlaubt werden. Nach dem Prüfen der Auswahl klicken wir auf "Weiter >".
14. In diesem Dialog wird nun die Option "NetBIOS über IP Routing aktivieren" deaktiviert.
Hintergrund: NetBIOS ist eine von Microsoft entwickelte Technologie für die Peer-To-Peer-Vernetzung von Arbeitsstationen in einem Netzwerk. Da ein Android-Gerät einen Linux-Kernel besitzt und die Einwahl nicht über einen Windows-Client vorgenommen wird, sollte diese Option deaktiviert werden. Würde ein Windows-Client sich nun über eine solche Verbindung einwählen, würde er nicht die anderen Geräte im NetBIOS-Netz über die "Netzwerkumgebung" bzw. "Netzwerk" finden und auf diese über das NetBIOS-Protokoll zugreifen können. Dies schränkt allerdings nicht den Zugriff über CIFS/SMB ein! Nach dem Ändern der Option klicken wir auf "Weiter >".
15. Nun ist die Einrichtung der Verbindung über den Assistenten abgeschlossen und dieser kann nun über einen Klick auf "Fertig stellen" geschlossen werden. LANconfig wird nun die geänderte Konfiguration in das Gerät laden. Nun müssen noch einige Einstellungen manuell geändert werden.
16. Im nun in der Standardeinstellung erscheinenden Dialog auf "Nein" klicken.
17. Auf den Geräteeintrag im LANconfig mit der rechten Maustaste klicken und dort im Kontextmenü den Eintrag "Konfigurieren" auswählen.
18. Nun unter "Kommunikation" > "Protokolle" auf die Schaltfläche "PPP-Liste..." klicken.
19. Nun im Dialogfeld auf die Schaltfläche "Hinzufügen..." klicken.
In der Liste müsste bei einer funktionierenden ADSL/VDSL-Leitung auch ein Eintrag des Providers stehen. Aus Sicherheitsgründen werden ab hier einige Einträge ausgeblendet.
20. Nun füllen wir die Felder im Dialogfeld aus. Bei der Gegenstelle wird der Wert aus Schritt 5 eingegeben. Das Feld Benutzername bleibt leer!
Als Kennwort muss ein zusätzliches (nicht das bereits festgelegte Kennwort) eingegeben werden. Als Beispiel wird hier "SehrGeheim123" verwendet.
Die Anderen Optionen müssen nicht verändert werden und die Eingaben können mit einem Klick auf "OK" gespeichert werden. Ein neuer Eintrag sollte nun in der Liste des Dialogfeldes auftauchen.
Dieses Dialogfeld kann nun mit einem Klick auf "OK" geschlossen werden.
21. Nun im Fenster nach "VPN" > "Allgemein" wechseln und auf "Verbindungs-Liste..." klicken.
Update 03.10.2016: Seit der neusten LCOS-Version findet sich die Schaltfläche unter VPN > IKE/IPSec.
22. Nun im Dialogfeld die Verbindung mit dem Namen "TEST001" auswählen und dann auf die Schatlfläche "Bearbeiten..." klicken.
23. Es können din diesem Dialogfeld alle Einstellungen beibehalten werden, außer der Option "XAUTH". Bei dieser Option muss der Wert "Server" ausgewählt werden. Die Einstellungen werden mit einem Klick auf "OK" gespeichert.
Nun müsste der Eintrag in der Liste so aussehen:
Mit einem Klick auf "OK" wird das Dialogfeld geschlossen.
24. Nun im Fenster nach "Firewall/QoS" > "IPv4-Regeln" wechseln und auf die Schaltfläche "Regeln..." klicken.