Anleitung: Lancom Router & Shrew VPN Client einrichten
Vorraussetzung
- die Grundeinrichtung des Lancom ist abgeschlossen
- der Internetzugang am Lancom ist eingerichtet
- eine Feste IP Adresse ist für den Internetzugang oder dyndns ist eingerichtet (der Router ist über diese Adresse von extern erreichbar)
Eine Anleitung zur Einrichtung des Lancom Routers und des Shrew VPN Client mit XAuth Authentifizierung findet ihr hier: https://chefs-kb.de/lancom-shrew-vpn-mit-xauth-einrichten.
Einrichtung des VPN Profils am Lancom Router
Mit Hilfe von Lanconfig https://www.lancom-systems.de/downloads/ starten wir den Setup-Assistenten. In dem wir auf den entsprechenden Router mit der rechten Maustaste klicken und “Setup-Assistent” auswählen.
![Lanconfig - Lancom](https://chefs-kb.de/wp-content/uploads/2020/04/2-1024x876.png)
Anschließend werden gegebenenfalls die Anmeldedaten vom Lancom Router abgefragt. Der Benutzername kann, wenn kein zusätzlich angelegter Benutzer verwendet werden soll, freigelassen werden.
![Anmeldung am Lancom ROuter über Lanconfig](https://chefs-kb.de/wp-content/uploads/2020/04/3.png)
Nun startet eine Maske mit für verschiedene Assistenten, je nach Lancommodel unterscheiden sich hier die Assistenten. Für die Einrichtung unseres VPN Profils verwenden wir “Einwahl-Zugang bereitstellen (RAS, VPN)”.
![Lanconfig Assistent](https://chefs-kb.de/wp-content/uploads/2020/04/4.png)
Anschließend startet der Assistent zur Einrichtung des VPN Profils.
Hier bitte “IKEv1” auswählen und anschließend auf “Weiter” klicken.
![Setup Assistent Lanconfig](https://chefs-kb.de/wp-content/uploads/2020/04/5-1.png)
Im nächsten Dialogfenster, müssen wir keine Änderungen vornehmen.
![Einwahl Bereitstellen](https://chefs-kb.de/wp-content/uploads/2020/04/6.png)
Im nächsten Dialogfenster müssen wir dem VPN Profil einen Namen vergeben. Unter diesem wird das Profil im Router hinterlegt. Im Feld “Adresse dieses Routers” muss bei der ersten Einrichtung eines VPN Profils die externe Feste IP Adresse des Routers bzw. die dyndns Adresse unter welcher dieser Router von extern erreichbar ist hinterlegt werden.
![Einahl-Zugang bereitstellen](https://chefs-kb.de/wp-content/uploads/2020/04/7.png)
Das nächste Fenster erscheint nur bei der ersten Einrichtung eines VPN Profils. Hier ist ein Bereich von IP Adressen anzugeben, welchen der Router verwenden kann, um bei einer VPN Einwahl dem Client eine IP zu vergeben. Dieser sollte natürlich mindestens dem entsprechen, wieviel Clients sich gleichzeitig einwählen und dieser sollte nicht durch andere Geräte belegt sein (oder sich mit einem anderen DHCP Bereich überschneiden).
Wie ihr den IP Bereich im Lancom Router anpassen könnt, bzw. wie ihr einzelnen VPN separate IP Adressen zuweisen könnt findet ihr hier: https://chefs-kb.de/lancom-vpn-einwahl-ip-zuweisung
![IP Adressen](https://chefs-kb.de/wp-content/uploads/2020/04/8.png)
Im letzten Schritt im Assistenten muss nur noch der Speicherort der Konfigurationsdatei angegeben werden. Hier wird eine ini Datei erzeugt, welche wir für die Einrichtung des VPN Profils im Shrew VPN Client verwenden werden.
![Konfigurationsdatei](https://chefs-kb.de/wp-content/uploads/2020/04/9.png)
Abschließend ist nur noch der Assisten abzuschließen, in dem man auf “Fertig” klickt. Im Anschluss wird diese neu erstellte Konfiguration in den Lancom übertragen.
![Lanconfig Fertigstellen](https://chefs-kb.de/wp-content/uploads/2020/04/10.png)
Nach dem Upload der Konfiguration in den Router wird noch abgefragt, ob ein weiterer Assistent gestartet werden soll, dies können wir mit einem Klick auf “Nein” beenden
![Assisten beenden](https://chefs-kb.de/wp-content/uploads/2020/04/11.png)
Damit sind wir auch schon auf Seiten des Lacom Routers fertig und können uns jetzt dem Shrew VPN Client zuwenden.
Einrichtung des VPN Profils im Shrew VPN Client
Ich gehe davon aus, dass der Shrew VPN Client https://www.shrew.net/download/vpn bereits auf dem Rechner installiert ist.
In dieser Anleitung gehe ich von der “Standard Edition” Installation aus.
Wobei die Einrichtung sich von der “Professional Edition” nicht unterscheidet.
Alle Informationen, welche wir für die Einrichtung des Shrew VPN Clients benötigen, können wir aus der zuvor erstellten ini Datei entnehmen.
[PROFILE1] Name=LC-chefs-kb-CHEF ConnMedia=21 ConnMode=0 SeamRoaming=1 PriVoIP=1 Gateway=130.10.20.30 PFS=14 UseComp=0 IkeIdType=3 IkeIdStr=CHEF@intern Secret=>I6^xX#*)&oO?}i; UseXAUTH=0 IpAddrAssign=0 IkeDhGroup=2 ExchMode=4 IKE-Policy=WIZ-PSK-AES-SHA IPSEC-Policy=WIZ-ESP-AES-SHA [IKEPOLICY1] IkeName=WIZ-PSK-AES-SHA IkeAuth=1 IkeCrypt=6 IkeHash=2 [IKEPOLICY2] IkeName=WIZ-PSK-AES-SHA IkeAuth=1 IkeCrypt=4 IkeHash=2 [IPSECPOLICY1] IPSecName=WIZ-ESP-AES-SHA IpsecCrypt=6 IpsecAuth=2 [IPSECPOLICY2] IPSecName=WIZ-ESP-AES-SHA IpsecCrypt=4 IpsecAuth=2
Zunächst ist der Shrew VPN Client zu starten. Zum hinzufügen eines neuen Profils ist auf “Add” zu klicken.
![Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/12.png)
In der nun geöffneten Maske werden alle benötigten Daten hinterlegt.
Unter der ersten Registerkarte “General” im Feld “Host Name or IP Adress” müssen wir die externe IP Adresse/dyndns Adresse des Routers hinterlegen.
Diese finden wir in der ini Datei in Zeile 7 -> Gateway=130.10.20.30.
Entsprechend haben wir hier 130.10.20.30 einzutragen.
![General Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/13.png)
![](https://chefs-kb.de/wp-content/uploads/2020/04/grafik-4.png)
Unter der Registerkarte “Client” müssen wir keine Änderungen vornehmen.
![Client Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/grafik.png)
Unter “Name Resolutionen” müssen wir ebenfalls keine Änderungen vornehmen. Man könnte hier aber z.B. unter “Server Address #1” den DNS Server aus dem Zielnetz hinterlegen. Um die Namensauflösung aus de Zielnetz nutzen zu können. Ist z.B. dann interessant, wenn man Outlook anbinden möchte (ohne Outlook Anywhere zu nutzen) oder andere Programme, welche eine funktionierende Namensausflösung vorrausetzen.
![Bame Resolution Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/grafik-1.png)
Nun kommen wir zur Registerkarte “Authentication”, hier sind einige Einstellungen notwendig. Hier ist auch die Reihenfolge der Einstellungen wichtig. Zu erst muss im Feld “Authentication Method” “Mutual PSK” ausgewählt werden. Anschließend ist uner “Identification Type” “User Fully Qulified Domain Name” auszuwählen, da der automatisch generierte Benutzername, welchen wir aus Zeile 11 aus der ini Datei entnehen können -> IkeIdStr=CHEF@intern ein User Fully Qulified Domain Name ist. Entsprechend ist “CHEF@intern” in das Feld “UFQDN String” einzutragen.
![Authentication Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/14.png)
![](https://chefs-kb.de/wp-content/uploads/2020/04/grafik-5.png)
Anschließend ist weiterhin unter “Authentication” im unteren Bereich auf die Registerkarte “Credentials” zu klicken. Hier ist aus der ini Datei aus Zeile 12 -> Secret=>I6^xX#*)&oO?}i; -> der Pre Shared Key: I6^xX#*)&oO?}i; in das Feld “Pre Shared Key” einzutragen.
![Pre Shared Key Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/15.png)
![](https://chefs-kb.de/wp-content/uploads/2020/04/grafik-6.png)
Unter der Registerkarte “Phase 1” müssen wir keine Änderungen vornehmen.
![Phase1 Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/grafik-2.png)
Unter der Registerkarte “Phase 2” müssen wir die “PFS Exchange ” Gruppe anpassen. Hier ist “group 14” zu hinterlegen. Entnommen kann das auch wieder aus der ini Datei aus Zeile 8 -> PFS=14.
Dies kann in späteren oder auch früheren Lanconfig und Firmwareversionen des Lancom Routers variieren, deshalb schreib ich immer die Position aus der ini Datei hinzu, damit ihr den richtigen Wert übernehmen könnt und die Anleitung möglichst lange aktuell bleibt.
![Phase2 Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/16.png)
![](https://chefs-kb.de/wp-content/uploads/2020/04/grafik-7.png)
Unter der Registerkarte “Policy” muss man keine Änderungen vornehmen. Je nach Einsatzzweck des VPN empfehle ich hier aber Änderungen vorzunehmen. In der Standardeinstellungen also mit aktivieren “Optain Topology Automatically or Tunnel All” wird sämtlicher Netzwerkverkehr, welcher nicht lokal ist durch den VPN Tunnel übertragen. Also auch der Zugriff auf das Internet. Dies kann unter Umständen ja gewünscht sein. Möchte man aber z.B. via RDP auf einem Rechner im Firmennetzwerk zugreifen, aber lokal (nicht durch den VPN Tunnel über das Firmennetzwerk) im Internet surfen, dann muss das Häkchen entfernt werden und anschließend auf “Add” geklickt werden.
![Policy Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/17.png)
Im nun aufgerufenen Fenster ist das Netz einzutragen, auf welches man mit Hilfe des VPN Tunnels zugreifen möchte. Die Eingabe ist mit einem Klick auf “OK” zu übernehmen.
![Split Tunneling Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/18.png)
Das hinzugefügte Netzwerk (es können mehrere Netzwerke hinzugefügt werden) wird nun unter “Remote Netzwork Resource” angezeigt.
Die Konfiguration im Shrew VPN Client ist nun soweit abgeschlossen. Die Änderungen können mit einem Klick auf “Save” gespeichert werden.
![Save Konfiguration des Shrew VPN Client](https://chefs-kb.de/wp-content/uploads/2020/04/19.png)
Das Profil wird nun im Access Manager angezeigt. Es kann hier auch umbenannt werden, indem man mit der rechten Maustaste angeklickt und auf “Renename” klickt.
Zum Test des VPN Profils ist dies einfach doppelt anzucklicken.
![Shrew VPn CLient it Profil](https://chefs-kb.de/wp-content/uploads/2020/04/20.png)
Und im nun öffnenden Fenster auf “Connect” zu klicken.
![Shrew VPN Client Connect](https://chefs-kb.de/wp-content/uploads/2020/04/21.png)
Wenn der Tunnel erfoglreich aufgebaut wurde erscheint im Fenster die Meldung “tunnel enabled”.
![Shrew VPN Client Test](https://chefs-kb.de/wp-content/uploads/2020/04/22.png)
Der Tunnel kann wieder über den Button “Disconnect” getrennt werden.
Der Shrew VPN Client kann nicht bei IPv6 Anschlüssen genutzt werden, wie diese z.B. bei Privatanschlüssen durch Unitymedia betrieben werden. Hier empfehle ich den Einsatz des NCP VPN Client. Ein Anleitung des NCP Client folgt in kürze.
Weitere Anleitungen zum Thema Lancom findet ihr hier: https://chefs-kb.de/category/anleitungen
Wenn ich Dir weiterhelfen konnte, würde ich mich sehr freuen, wenn du eine Spende via Paypal hier lassen könntest, oder mir einen Kaffee über ko-fi.com ausgeben würdest.Dir weiterhelfen konnte, würde ich mich sehr freuen, wenn du mir einen Kaffee ausgeben würdest.
4 Replies to “Anleitung: Lancom Router & Shrew VPN Client einrichten”
Hallo.
vielen Dank für die Anleitung .
Aber bei mir klappt es einfach nicht eine Verbindung herzustellen.
config loaded for site ‘FFJ’
attached to key daemon …
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel …
negotiation timout occurred !!!!!!!!!!!!!!!!! Fehler ?
tunnel disabled
detached from key daemon
Woran könnte es liegen ???
Vielen Dank.
NH
Hi,
das ist mit dieser Fehlermeldung schwiering zu sagen. Um den Fehler zu finden, wäre hier eine Traceausgabe auf dem Lancom Router mit dem Häkchen bei VPN-Status notwendig (während die EInwahl versucht wird). Generell könnte es sein das die PFS Gruppen nicht zueinander passt, dies könnte man nochmals abgleichen oder dass die Einwahl von einem IPv6 Anschluß (dual stack) durchgeführt wird, was wiederum nicht vom Shrew VPN Client unterstützt wird.
Liebe Grüße
Maik
Moin Chef,
vielen Dank für Deine Anleitung 🙂
Ich hatte schon etliche gelesen, bei Dir war deutlich gekennzeichnet IKEv1 bei der Einrichtung des Lancom R883VAW auszuwählen. Daran bin ich bis dahin gescheitert und hatte ebenfalls einen TimeOut. IKEv2 ist offensichtlich falsch.
Läuft jetzt 😀
Gruß Torsten