In der Firma haben wir eine FritzBox gegen den Ubiquity EdgeRouter getauscht, der eh ein recht langweiliges Dasein fristete. Der hat eigentlich nur für mich VPN über L2TP bereitgestellt.
Problem war nun also, den VPN Zugang über den Büro LANCOM Router bereitzustellen, ohne diesen Rotz von VPN Client, bei der jeder einzelne Zugang auch noch eine Lizenz nach sich zieht. Versorgt werden muss also MacOS / Fedora / und iOS (Apple, nicht Cisco).
Wenn man also diesen Wizard über LANConfig ausgeführt hat (IKEv2 + PSK), dann sind zwei Dinge wichtig
- iOS / MacOS wird die VPN Verbindung nur 8 Minuten halten, weil PFS (Perfect Forward Secrecy) per Default aktiviert ist
- Fedora NetworkManager wird sich weigern, da es keine Parameter für “Entfernte Identität” gibt
Für Punkt 1 kann man entweder PFS im LANCOM deaktivieren (Verschlüsselungs- Parameter), oder man installiert sich den “Apple Configurator 2” (gibt es nicht(!) für Windows), erstellt ein Profil und konfiguriert den VPN Zugang dort. Da gibt es nämlich die Möglichkeit PFS (Perfect Forward Secrecy) zu aktivieren. Das Problem kann man dann einfach abspeichern und auf MacOS und iOS importieren. Gleich eins vorweg: Im Configurator 2 bei “Entfernter Identität” besser gleich “%any” eintragen, wenn man Punkt 2 auch noch haben möchte.
Für Punkt 2 habe ich auch eine Weile gebraucht, weil MacOS und iOS zwar klappten, aber über Fedora halt nicht. Für IKEv2 und dem NetworkManager benötigt es folgende Pakete
- NetworkManager-strongswan-gnome
- strongswan-charon-nm
- strongswan
- NetworkManager-strongswan
Das erste Paket sollte den Rest nachziehen. Wenn ihr dann über Gnome den Zugang konfiguriert (IKEv2), wird euch der Punkt “Entfernte Identität” fehlen. Den gibt es schlicht nicht. Um dieses Problem zu lösen, müsst ihr im LANConfig unter Authentifizierung bei dem jeweiligen VPN Account, die “lokale Identität” auf Keine stellen.
Zusammengefasst: Für iOS müsst ihr ein Profil über den Configurator 2 erstellen und bei VPN und dem Punkt “Entfernte Identität” “%any” eintragen und zusätzlich PFS aktivieren.
Für Linux NetworkManager (hier Fedora) im LANConfig “Lokale Identität” auf “Keine” stellen. Auf diese Weise kommt ihr mit Apple und Linux NetworkManager ins LANCOM VPN.