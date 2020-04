Der Netzwerkspezialist Lancom Systems bietet eine breite Palette an VPN-Gateways an. Zum LANline-Test traten mit dem 1790VA und dem 1906VA ein kleines und ein etwas größeres Gerät an. Testgegenstand waren VPN-Client-Zugriffe ebenso wie die Standortkopplung. Mit der Cloud-Management-Option lassen sich Lancom-Systeme aus der Cloud heraus zentral verwalten.

Eine nach wie vor wichtige Rolle spielen Virtual Private Networks (VPNs) für den sicheren Zugriff mobiler Mitarbeiter auf das Unternehmensnetz ebenso wie für die Standortkopplung und die Kommunikation mit in die Cloud ausgelagerten Anwendungen. LANline startet deshalb mit dieser Ausgabe eine VPN-Gateway-Testreihe, bei der wir zum einen den VPN-Zugriff mobiler Mitarbeiter auf das Firmennetz mit Notebook und Handy testen. In einem zweiten Testszenario verbinden wir die VPN-Gateways über ein simuliertes WAN miteinander, um die Standortkopplung zu testen.

VPN-Lösungen von Lancom

Als erster Testkandidat tritt Lancom Systems mit den VPN-Gateways 1790VA und 1906VA an. Das VPN-Portfolio des deutschen Netzwerkspezialisten, der seit Sommer 2018 zu Rohde & Schwarz gehört, reicht von kleinen Tischmodellen für die Home-Office-Anbindung bis zu Enter-prise-Lösungen, die mehrere Tausend VPN-Tunnel bereitstellen können. Je nach Modelltyp sind die Geräte mit DSL-Modem, LAN-Switch, Router, Firewall, WLAN- und Mobilfunkmodul sowie ISDN- und VoIP-Support ausgestattet.

Für den LANline-Test wählten wir das kleine 1790VA-Gateway und das etwas größere Modell 1906VA, das zusätzlich zu vier LAN-Ports über zwei DSL- und zwei WAN-Ports sowie zwei ISDN- und vier analoge Ports verfügt. Das in beiden Modellen integrierte DSL-Modem unterstützt sowohl ADSL als auch VDSL. Das 1790VA-System unterstützt standardmäßig fünf IPSec-VPN-Kanäle, optional sind bis zu 25 Kanäle möglich. Das 1906VA-Modell bietet 25 IPSec-Verbindungen und lässt sich auf maximal 50 simultane VPN-Kanäle aufrüsten. Lancom bietet ergänzend einen Management-Cloud-Service an, mit dem sich Lancom-Geräte über eine vom Hersteller gehostete mandantenfähige Plattform verwalten lassen. Diese Funktion haben wir uns zum Abschluss des Tests ebenfalls angeschaut.

Um auf die Lancom-Gateways zugreifen zu können, verbanden wir unseren Test-PC mit einem der vier LAN-Ports des jeweiligen Geräts. Auf den VPN-Gateways ist standardmäßig ein DHCP-Server aktiv. Wir konfigurierten deshalb die Netzwerkkarte des PCs für DCHP. Nach einem Reset der IP-Konfiguration erhielt der Rechner vom Lancom-Gateway eine IP-Adresse, und wir konnten per Internet-Browser über die Default-IP-Adresse des Gateways auf dessen HTML-Management-Oberfläche zugreifen. Alternativ lässt sich auf einem Administrationsrechner Lancoms LANconfig-Tool installieren. Es sucht automatisch nach im Netz vorhandenen Lancom-Geräten, was im Test ebenfalls auf Anhieb funktionierte. Bei der ersten Anmeldung am Gateway sollte der Administrator ein neues Passwort vergeben. Die LANconfig-Anwendung stellt weitgehend die gleichen Assistenten und Verwaltungsmenüs bereit wie das HTML-basierte WEBconfig-Management-Tool.

Die LAN-Ports des 1790VA-Gateways lassen sich auch als WAN-Port umkonfigurieren, was wir im zweiten Teil des Test nutzten, um das Gateway mit dem größeren 1906VA-Gerät per LAN-zu-LAN-VPN-Kopplung zu verbinden. Für den Test externer Zugriffe auf das VPN-Gateway via Internet verbanden wir den DSL-Port des 1790VA-Geräts mit einem VDSL-Anschluss von 1&1, der 50 MBit/s im Downstream und 10 MBit/s im Upstream bereitstellt. Es handelte sich um einen Standard-Internet-Zugang mit dynamischer IPv4-Adresse. Die Lancom-Gateways unterstützen auch IPv6-VPNs inklusive IPv4 über IPv6 und IPv6 über IPv4.

Wir starteten den Lancom-Assistenten für die Konfiguration der Internet-Verbindung und gaben die 1&1-Zugangsdaten ein. Anschließend konnten wir vom Test-PC aus auf das Internet zugreifen. Damit das VPN-Gateway auch von außen über das Internet erreichbar ist, mussten wir noch den Dynamic-DNS-Assistenten ausführen. Hier trugen wir den DNS-Namen ein, den wir zuvor bei einem DynDNS-Anbieter neu angelegt hatten. DynDNS sorgt dafür, dass ein registrierter Namen immer über die gerade gültige IP-Adresse des DSL-Routers erreichbar ist.

VPN-Client-Zugriffe konfigurieren

Die Lancom-Gateways unterstützen VPN-Verbindungen mit IPSec in Verbindung mit IKEv1 (Internet Key Exchange) und dem neueren IKEv2-Protokoll, das einfacher, flexibler und weniger fehleranfällig ist. Das OpenVPN-Protokoll lässt sich mit den Lancom-Geräten nicht nutzen. Für Client-Zugriffe verwendet Lancom den VPN-Client von NCP, der als Lancom Advanced VPN Client für Windows und macOS erhältlich ist. Für Apple-Endgeräte mit iOS wie iPhone oder iPad bietet Lancom mit myVPN zudem eine eigene VPN-Software an, die die Konfiguration des in iOS integrierten VPN-Clients stark vereinfacht.

Für die Konfiguration des Client-VPN-Zugriffs empfiehlt es sich, die LANconfig-Software des Herstellers zu verwenden. Das WEBconfig-HTML-GUI enthält zwar weitgehend die gleichen Assistenten wie das LANconfig-Tool. Das Exportieren der VPN-Konfiguration in eine Client-Profildatei, die dann auf dem Endgerät nur noch importiert werden muss, ist aber nur mit der LANconfig-Anwendung möglich. Der Aufbau der Konfigurationsmenüs ist bei beiden Tools weitgehend identisch. Die WEBconfig-Oberfläche hat den großen Vorteil, dass die Hauptmenüs nach Abschluss eines Konfigurationsschrittes nach wie vor verfügbar sind. Beim LANconfig-Tool dagegen schließt sich das Fenster mit den Konfigurationsmenüs jedes Mal, sobald man eine Änderung speichert.

Um den externen VPN-Zugriff zu testen, konfigurierten wir zunächst mit dem 1-Click-VPN-Assistenten des 1790VA-Gateways einen neuen VPN-Zugang. Wir wählten hier das IPSec-Protokoll IKEv2 und den VPN-Client für Windows aus. Bei der Router-Adresse trugen wir den DynDNS-Namen ein, den wir zuvor bereits konfiguriert hatten. Für die automatische Zuweisung einer IPv4-Adresse gaben wir einen Block von zehn Adressen des lokalen Testnetzes an. Im letzten Schritt wählten wir die Option, die Konfiguration in einer VPN-Client-Import-Datei zu speichern. Der Administrator kann die Profildatei auch per E-Mail verschicken oder die Konfigurationsparameter ausdrucken. Im nächsten Schritt kopierten wir die Profildatei auf ein Windows-10-Notebook und installierten hier den Lancom VPN-Client. Dann öffneten wir die VPN-Client-Oberfläche und importierten mit einem Mausklick die Profildatei. Damit war die VPN-Konfiguration abgeschlossen und wir konnten mit dem Notebook über das Internet auf das VPN-Gateway zugreifen und es mit dem lokalen Testnetz verbinden.

Den VPN-Zugriff von einem Handy aus testeten wir mit einem Android-8.0-Gerät. Android bringt standardmäßig bereits einen VPN-Client mit, der IKEv1 und v2 unterstützt. Auf der Lancom-Website stehen zahlreiche detaillierte Anleitungen zur Verfügung, darunter auch eine Beschreibung, wie man eine IPSec-IKEv2-Verbindung für Android konfiguriert. Mit Hilfe dieser Anleitung erstellten wir eine neue VPN-Verbindung und konfigurierten auf dem Android-Handy den VPN-Client. Anschließend konnten wir uns über eine Mobilfunk-Internetverbindung erfolgreich mit dem Lancom-VPN-Gateway verbinden und per RDP-App (Remote Desktop Protocol) vom Mobiltelefon aus den PC im lokalen Testnetz bedienen.

Für die Verschlüsselung der IPSec-Verbindungen verwendeten wir einen Pre-shared Key. Es ist auch möglich, hier Zertifikate einzusetzen. Die Lancom-Gateways lassen sich als Root-CA (Certification Authority) oder als untergeordnete CA konfigurieren. Beim VPN-Setup ist dann anstelle des Pre-shared Keys der Menüpunkt Zertifikate zu wählen. Wenn VPN-Verbindungen manuell einzurichten sind, empfiehlt es sich, auf der Lancom-Webseite nach einer passenden Schritt-für-Schritt-Anleitung zu suchen. Denn in den meisten Fällen sind viele unterschiedliche Parameter einzugeben.

LAN-zu-LAN-Kopplung einrichten

Um die Standortkopplung zwischen den zwei VPN-Gateways zu testen, setzten wir einen WAN-Simulator ein, der die zwei lokalen Testnetze miteinander verband. Lancom stellt auch für die Site-to-Site-Kopplung VPN-Setup-Assistenten zur Verfügung. Am einfachsten lässt sich eine VPN-Verbindung zwischen zwei Gateways konfigurieren, indem der Administrator im LANconfig-Tool das erste Gerät mit der Maus per Drag-and-Drop auf das zweite Gerät zieht. Dadurch startet der Assistent für beide Geräte gleichzeitig und konfiguriert die Netze automatisch. Der Administrator gibt im Wizard lediglich an, ob alle Netze der Gegenstelle erreichbar sein sollen, oder ob der Zugriff nur auf das Intranet erlaubt wird. Im LANline-Test konnten wir auf diese Weise die VPN-Standortkopplung der zwei lokalen Netze über den zwischengeschalteten WAN-Simulator problemlos einrichten. Anzeigen lassen sich die aktiven VPN-Verbindungen entweder in der Systeminformationsansicht des WEBconfig-Tools oder mit dem Zusatz-Tool LANmonitor, das zahlreiche Netzinformationen darstellt.

Der Administrator kann die Standortkopplung für VPN-Gateways auch mit dem 1-Click-VPN-Assistenten konfigurieren. Dieser Wizard bietet mehr Optionen an als das Drag-and-Drop-Setup. So lässt sich wählen, ob IKEv1 oder v2 zum Einsatz kommen soll. Der Administrator kann zudem IPSec-over-HTTPS aktivieren, sodass der gesamte VPN-Datenverkehr über Port 443 läuft. Dieses Verfahren basiert auf der „NCP VPN Path Finder“-Technologie. Es eignet sich für Umgebungen, in denen der Administrator den für IKE benötigte Port 500 auf den Firewalls nicht freischalten kann, sowie für VPN-Kopplungen über Mobilfunknetze.

Die Lancom-Gateways bieten zusätzlich zu den VPN-Funktionen zahlreiche weitere Einstellmöglichkeiten, unter anderem für die Routing-, Firewall- und VLAN-Konfiguration. Die von LANline getesteten VPN-Gateways unterstützen die Routing-Protokolle BGP, LISP, OSPF und RIP. Mit dem Lancom-Feature ARF (Advanced Routing and Forwarding) ist es zudem möglich, isolierte und getrennt voneinander routende IP-Kontexte bereitzustellen. Das 1790VA-Gateway unterstützt bis zu 16 virtualisierte ARF-Netze, das 1906VA-Modell bis zu 64. Für die Authentifizierung lassen sich die Lancom-Gateways auch als Radius-Server konfigurieren. Die NAT-Traversal-Funktion (NAT-T) lässt sich für VPN-Verbindungen einsetzen, die kein IPSec-Passthrough unterstützen.

Per Dynamic VPN können Lancom-Gateways Verbindungen von oder zu dynamischen IP-Adressen aufbauen. Die IP-Adresse lässt sich dabei über einen ISDN-B- oder -D-Kanal übermitteln oder per ICMP oder UDP verschlüsselt übertragen. In größeren Umgebungen ist es zudem möglich, mehrere VPN-Gateways als hochverfügbare Cluster zu konfigurieren. Über die integrierte Firewall lassen sich Zugriffsregeln für die VPN-Verbindungen festlegen. Beim Einrichten neuer VPN-Verbindungen erstellen Lancom-Gateways für die konfigurierten Netzsegmente automatisch die Firewall-Zugriffsregeln. Der Administrator kann diese Regeln anpassen und individuelle Regeln auch für andere Netzsegmente hinzufügen.

Mit der Lancom Management Cloud bietet der Netzwerkspezialist eine in Deutschland gehostete mandantenfähige Plattform für eine zentrale Verwaltung von VPN-Gateways, WLAN-Geräten, Routern und Switches sowie Security- und Compliance-Einstellungen an. Die Lösung unterstützt auch ein Application-Management, das über White- und Blacklists steuert, welche Anwendungen über die jeweiligen Verbindungen kommunizieren dürfen. Die ersten vier Wochen ist die Nutzung der Management Cloud kostenfrei. Um Lancom-Geräte dauerhaft über die Cloudkonsole konfigurieren zu können, ist eine Cloudlizenz zu erwerben. Für Großkunden ist auch eine On-Premises-Version der Management-Plattform erhältlich.

Das Herstellen einer Verbindung mit der Lancom Management Cloud ist sowohl per LANconfig-Tool als auch über die Web-GUI möglich. Für das Hinzufügen per Web-GUI wird für jedes Gerät eine Cloud-PIN benötigt. Sollte diese nicht mitgeliefert worden sein, kann der Administrator über die Lancom-Website Aktivierungscodes generieren.

Fazit

Lancoms VPN-Gateways lassen sich mittels der 1-Click-VPN-Assistenten sehr einfach konfigurieren. Dem erfahrenen Administrator bieten die Geräte vielfältige Einstellmöglichkeiten sowohl für VPN-Verbindungen als auch für die LAN- und WAN-Anbindung oder die Routing- und Firewall-Settings. Das HTML-basierte WEBconfig-Tool bietet eine übersichtliche Verwaltungskonsole. Für manche Aufgaben wie das Erzeugen einer Importdatei für VPN-Clients ist das LANconfig-Tool besser geeignet. Für größere Unternehmen, die ihre Geräte zentral über die Cloud verwalten wollen, bietet Lancom mit der Management Cloud eine interessante Alternative. Die Preise für den Cloud-Service beginnen bei 84 Euro pro Gerät für ein Jahr inklusive Support und Updates. Der Netto-Listenpreis für das 1790VA-Gateway mit fünf VPN-Kanälen beträgt 649 Euro. Ein Upgrade auf 25 simultan genutzte VPN-Kanäle ist für 249 Euro erhältlich. Das 1906VA-Modell mit 25 VPN-Tunneln kostet laut Preisliste 1.199 Euro.