Anleitung: Lancom Router & Shrew VPN Client einrichten

Anleitung: Lancom Router & Shrew VPN Client einrichten

Vorraussetzung
  • die Grundeinrichtung des Lancom ist abgeschlossen
  • der Internetzugang am Lancom ist eingerichtet
  • eine Feste IP Adresse ist für den Internetzugang oder dyndns ist eingerichtet (der Router ist über diese Adresse von extern erreichbar)


Eine Anleitung zur Einrichtung des Lancom Routers und des Shrew VPN Client mit XAuth Authentifizierung findet ihr hier: https://chefs-kb.de/lancom-shrew-vpn-mit-xauth-einrichten.


Einrichtung des VPN Profils am Lancom Router

Mit Hilfe von Lanconfig https://www.lancom-systems.de/downloads/ starten wir den Setup-Assistenten. In dem wir auf den entsprechenden Router mit der rechten Maustaste klicken und “Setup-Assistent” auswählen.

Lanconfig - Lancom

Anschließend werden gegebenenfalls die Anmeldedaten vom Lancom Router abgefragt. Der Benutzername kann, wenn kein zusätzlich angelegter Benutzer verwendet werden soll, freigelassen werden.

Anmeldung am Lancom ROuter über Lanconfig
Hier bitte das Passwort eingeben und dies mit “OK” bestätigen. Das Feld “Administrator:” kann freigelassen werden, dann verwendet Lancom automatisch den Benutzer root.

Nun startet eine Maske mit für verschiedene Assistenten, je nach Lancommodel unterscheiden sich hier die Assistenten. Für die Einrichtung unseres VPN Profils verwenden wir “Einwahl-Zugang bereitstellen (RAS, VPN)”.

Lanconfig Assistent
Einwahl-Zugang-bereitstellen (RAS, VPN) auswählen und auf “Weiter” klicken.

Anschließend startet der Assistent zur Einrichtung des VPN Profils.
Hier bitte “IKEv1” auswählen und anschließend auf “Weiter” klicken.

Setup Assistent Lanconfig

Im nächsten Dialogfenster, müssen wir keine Änderungen vornehmen.

Einwahl Bereitstellen

Im nächsten Dialogfenster müssen wir dem VPN Profil einen Namen vergeben. Unter diesem wird das Profil im Router hinterlegt. Im Feld “Adresse dieses Routers” muss bei der ersten Einrichtung eines VPN Profils die externe Feste IP Adresse des Routers bzw. die dyndns Adresse unter welcher dieser Router von extern erreichbar ist hinterlegt werden.

Einahl-Zugang bereitstellen
In meinem Beispiel ist der Router von extern unter der 130.10.20.30 erreichbar.

Das nächste Fenster erscheint nur bei der ersten Einrichtung eines VPN Profils. Hier ist ein Bereich von IP Adressen anzugeben, welchen der Router verwenden kann, um bei einer VPN Einwahl dem Client eine IP zu vergeben. Dieser sollte natürlich mindestens dem entsprechen, wieviel Clients sich gleichzeitig einwählen und dieser sollte nicht durch andere Geräte belegt sein (oder sich mit einem anderen DHCP Bereich überschneiden).

Wie ihr den IP Bereich im Lancom Router anpassen könnt, bzw. wie ihr einzelnen VPN separate IP Adressen zuweisen könnt findet ihr hier: https://chefs-kb.de/lancom-vpn-einwahl-ip-zuweisung

IP Adressen

Im letzten Schritt im Assistenten muss nur noch der Speicherort der Konfigurationsdatei angegeben werden. Hier wird eine ini Datei erzeugt, welche wir für die Einrichtung des VPN Profils im Shrew VPN Client verwenden werden.

Konfigurationsdatei

Abschließend ist nur noch der Assisten abzuschließen, in dem man auf “Fertig” klickt. Im Anschluss wird diese neu erstellte Konfiguration in den Lancom übertragen.

Lanconfig Fertigstellen

Nach dem Upload der Konfiguration in den Router wird noch abgefragt, ob ein weiterer Assistent gestartet werden soll, dies können wir mit einem Klick auf “Nein” beenden

Assisten beenden

Damit sind wir auch schon auf Seiten des Lacom Routers fertig und können uns jetzt dem Shrew VPN Client zuwenden.


Einrichtung des VPN Profils im Shrew VPN Client

Ich gehe davon aus, dass der Shrew VPN Client https://www.shrew.net/download/vpn bereits auf dem Rechner installiert ist.
In dieser Anleitung gehe ich von der “Standard Edition” Installation aus.
Wobei die Einrichtung sich von der “Professional Edition” nicht unterscheidet.

Alle Informationen, welche wir für die Einrichtung des Shrew VPN Clients benötigen, können wir aus der zuvor erstellten ini Datei entnehmen.

[PROFILE1]
Name=LC-chefs-kb-CHEF
ConnMedia=21
ConnMode=0
SeamRoaming=1
PriVoIP=1
Gateway=130.10.20.30
PFS=14
UseComp=0
IkeIdType=3
IkeIdStr=CHEF@intern
Secret=>I6^xX#*)&oO?}i;
UseXAUTH=0
IpAddrAssign=0
IkeDhGroup=2
ExchMode=4
IKE-Policy=WIZ-PSK-AES-SHA
IPSEC-Policy=WIZ-ESP-AES-SHA
[IKEPOLICY1]
IkeName=WIZ-PSK-AES-SHA
IkeAuth=1
IkeCrypt=6
IkeHash=2
[IKEPOLICY2]
IkeName=WIZ-PSK-AES-SHA
IkeAuth=1
IkeCrypt=4
IkeHash=2
[IPSECPOLICY1]
IPSecName=WIZ-ESP-AES-SHA
IpsecCrypt=6
IpsecAuth=2
[IPSECPOLICY2]
IPSecName=WIZ-ESP-AES-SHA
IpsecCrypt=4
IpsecAuth=2

Zunächst ist der Shrew VPN Client zu starten. Zum hinzufügen eines neuen Profils ist auf “Add” zu klicken.

Shrew VPN Client

In der nun geöffneten Maske werden alle benötigten Daten hinterlegt.
Unter der ersten Registerkarte “General” im Feld “Host Name or IP Adress” müssen wir die externe IP Adresse/dyndns Adresse des Routers hinterlegen.
Diese finden wir in der ini Datei in Zeile 7 -> Gateway=130.10.20.30.
Entsprechend haben wir hier 130.10.20.30 einzutragen.

General Konfiguration des Shrew VPN Client

Unter der Registerkarte “Client” müssen wir keine Änderungen vornehmen.

Client Konfiguration des Shrew VPN Client

Unter “Name Resolutionen” müssen wir ebenfalls keine Änderungen vornehmen. Man könnte hier aber z.B. unter “Server Address #1” den DNS Server aus dem Zielnetz hinterlegen. Um die Namensauflösung aus de Zielnetz nutzen zu können. Ist z.B. dann interessant, wenn man Outlook anbinden möchte (ohne Outlook Anywhere zu nutzen) oder andere Programme, welche eine funktionierende Namensausflösung vorrausetzen.

Bame Resolution Konfiguration des Shrew VPN Client

Nun kommen wir zur Registerkarte “Authentication”, hier sind einige Einstellungen notwendig. Hier ist auch die Reihenfolge der Einstellungen wichtig. Zu erst muss im Feld “Authentication Method” “Mutual PSK” ausgewählt werden. Anschließend ist uner “Identification Type” “User Fully Qulified Domain Name” auszuwählen, da der automatisch generierte Benutzername, welchen wir aus Zeile 11 aus der ini Datei entnehen können -> IkeIdStr=CHEF@intern ein User Fully Qulified Domain Name ist. Entsprechend ist “CHEF@intern” in das Feld “UFQDN String” einzutragen.

Authentication Konfiguration des Shrew VPN Client

Anschließend ist weiterhin unter “Authentication” im unteren Bereich auf die Registerkarte “Credentials” zu klicken. Hier ist aus der ini Datei aus Zeile 12 -> Secret=>I6^xX#*)&oO?}i; -> der Pre Shared Key: I6^xX#*)&oO?}i; in das Feld “Pre Shared Key” einzutragen.

Pre Shared Key Konfiguration des Shrew VPN Client

Unter der Registerkarte “Phase 1” müssen wir keine Änderungen vornehmen.

Phase1 Konfiguration des Shrew VPN Client

Unter der Registerkarte “Phase 2” müssen wir die “PFS Exchange ” Gruppe anpassen. Hier ist “group 14” zu hinterlegen. Entnommen kann das auch wieder aus der ini Datei aus Zeile 8 -> PFS=14.
Dies kann in späteren oder auch früheren Lanconfig und Firmwareversionen des Lancom Routers variieren, deshalb schreib ich immer die Position aus der ini Datei hinzu, damit ihr den richtigen Wert übernehmen könnt und die Anleitung möglichst lange aktuell bleibt.

Phase2 Konfiguration des Shrew VPN Client

Unter der Registerkarte “Policy” muss man keine Änderungen vornehmen. Je nach Einsatzzweck des VPN empfehle ich hier aber Änderungen vorzunehmen. In der Standardeinstellungen also mit aktivieren “Optain Topology Automatically or Tunnel All” wird sämtlicher Netzwerkverkehr, welcher nicht lokal ist durch den VPN Tunnel übertragen. Also auch der Zugriff auf das Internet. Dies kann unter Umständen ja gewünscht sein. Möchte man aber z.B. via RDP auf einem Rechner im Firmennetzwerk zugreifen, aber lokal (nicht durch den VPN Tunnel über das Firmennetzwerk) im Internet surfen, dann muss das Häkchen entfernt werden und anschließend auf “Add” geklickt werden.

Policy Konfiguration des Shrew VPN Client

Im nun aufgerufenen Fenster ist das Netz einzutragen, auf welches man mit Hilfe des VPN Tunnels zugreifen möchte. Die Eingabe ist mit einem Klick auf “OK” zu übernehmen.

Split Tunneling Konfiguration des Shrew VPN Client
In meinem Beispielt, möchte ich mit Hilfe des VPNs auf alle Geräte im Netzwerk 192.168.50.0 zugreifen, d.h. von 192.168.50.1 bis 192.168.50.254.

Das hinzugefügte Netzwerk (es können mehrere Netzwerke hinzugefügt werden) wird nun unter “Remote Netzwork Resource” angezeigt.
Die Konfiguration im Shrew VPN Client ist nun soweit abgeschlossen. Die Änderungen können mit einem Klick auf “Save” gespeichert werden.

Save Konfiguration des Shrew VPN Client

Das Profil wird nun im Access Manager angezeigt. Es kann hier auch umbenannt werden, indem man mit der rechten Maustaste angeklickt und auf “Renename” klickt.
Zum Test des VPN Profils ist dies einfach doppelt anzucklicken.

Shrew VPn CLient it Profil

Und im nun öffnenden Fenster auf “Connect” zu klicken.

Shrew VPN Client Connect

Wenn der Tunnel erfoglreich aufgebaut wurde erscheint im Fenster die Meldung “tunnel enabled”.

Shrew VPN Client Test

Der Tunnel kann wieder über den Button “Disconnect” getrennt werden.

Der Shrew VPN Client kann nicht bei IPv6 Anschlüssen genutzt werden, wie diese z.B. bei Privatanschlüssen durch Unitymedia betrieben werden. Hier empfehle ich den Einsatz des NCP VPN Client. Ein Anleitung des NCP Client folgt in kürze.



Weitere Anleitungen zum Thema Lancom findet ihr hier: https://chefs-kb.de/category/anleitungen


Wenn ich Dir weiterhelfen konnte, würde ich mich sehr freuen, wenn du eine Spende via Paypal hier lassen könntest, oder mir einen Kaffee über ko-fi.com ausgeben würdest.Dir weiterhelfen konnte, würde ich mich sehr freuen, wenn du mir einen Kaffee ausgeben würdest.

4 Replies to “Anleitung: Lancom Router & Shrew VPN Client einrichten”

  1. Hallo.
    vielen Dank für die Anleitung .
    Aber bei mir klappt es einfach nicht eine Verbindung herzustellen.
    config loaded for site ‘FFJ’
    attached to key daemon …
    peer configured
    iskamp proposal configured
    esp proposal configured
    client configured
    local id configured
    remote id configured
    pre-shared key configured
    bringing up tunnel …
    negotiation timout occurred !!!!!!!!!!!!!!!!! Fehler ?
    tunnel disabled
    detached from key daemon
    Woran könnte es liegen ???
    Vielen Dank.
    NH

    1. Hi,
      das ist mit dieser Fehlermeldung schwiering zu sagen. Um den Fehler zu finden, wäre hier eine Traceausgabe auf dem Lancom Router mit dem Häkchen bei VPN-Status notwendig (während die EInwahl versucht wird). Generell könnte es sein das die PFS Gruppen nicht zueinander passt, dies könnte man nochmals abgleichen oder dass die Einwahl von einem IPv6 Anschluß (dual stack) durchgeführt wird, was wiederum nicht vom Shrew VPN Client unterstützt wird.

      Liebe Grüße
      Maik

  2. Moin Chef,

    vielen Dank für Deine Anleitung 🙂
    Ich hatte schon etliche gelesen, bei Dir war deutlich gekennzeichnet IKEv1 bei der Einrichtung des Lancom R883VAW auszuwählen. Daran bin ich bis dahin gescheitert und hatte ebenfalls einen TimeOut. IKEv2 ist offensichtlich falsch.

    Läuft jetzt 😀
    Gruß Torsten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert