BlackBerry 10, VPN zu einem LANCOM Router

Trotz des neuen BlackBerry Enterprise Service 10 / 10.1 und der damit verbundenen Balance Funktion, kann er vorkommen, das eine VPN Verbindung benötigt wird. Vorstellbar ist z.B. das abrufen eines Konto vom eigenen Mailserver (ActiveSync, IMAP usw.) wenn dieser nicht direkt aus dem Internet erreichbar ist oder schlicht das nicht Vorhandensein eines BES 10.1 Servers.

Der Vorteil der neuen Gerätegeneration mit BlackBerry 10 besteht ja darin, alle möglichen Protokolle Nativ zu unterstützen. Dazu gehört auch ActiveSync, IMAP, CalDAV usw. Da auch keine BlackBerry Option im Mobilfunkvertrag mehr benötigt wird, verhält sich eine BlackBerry 10 nicht nur wie ein iPhone/Android, sondern benötigt auch die gleichen Mobilfunktarife.

Im Folgenden möchte ich die Einrichtung einer VPN Verbindung zu einem LANCOM Routers erklären. Die Abbildungen stammen von einem Router welcher mit der LCOS Version 8.80 arbeitet. Die Anleitung ist so aber auch auf andere Versionen (ab 7.8) übertragbar. Dabei kommt uns zu Gute, das die BlackBerry 10 Geräte als Cisco VPN Client arbeiten können und der LANCOM Router Verbindungen von solchen Clients verarbeiten kann – Stichwort XAUTH.

Für die Konfiguration des Routers verwendet man am einfachsten den Assistenten aus dem LANConfig Programm (Windows). Wer die Einstellungen unbedingt per Hand durchführen möchte, dem sei gesagt, das der Assistent im Grunde nichts anderes macht nur erheblich Benutzerfreundlicher und garantiert fehlerfrei.

Vorab noch eine Anmerkung zu den von LANCOM erzeugten Passwörtern. Der Assistent erzeugt auf Wunsch Zufallspasswörter. Da diese besonders sicher sein sollten, enthalten diese Kennwörter Erweiterten Sonderzeichen. Genau mit diesen Sonderzeichen hatte ich aber Probleme bei der Einwahl.

Als Lösung dient ich folgende Vorgehensweise: Ändert man die Einstellungen für die Kennwörter und erzeugt Passwörter mit der Maximalen Passwortlänge und den im folgenden Bild aufgeführten Einstellungen, sind auch diese ebenfalls ausreicht stark. Überall im Assistenten wo es einen Button „Passwort erzeugen“ gibt, hat dieser Button einen kleinen Pfeil. Über diesen erreicht man die Einstellungen für „Passwort erzeugen“:

VPN_21

 

Die Router Konfiguration

Der Assistent wird gestartet:

VPN_1 VPN_2 VPN_3 VPN_4 VPN_5 VPN_6 VPN_7 VPN_8 VPN_9 VPN_10 VPN_11 VPN_12 VPN_13 VPN_14

 

Sind alle Einstellungen wie auf den Bildern getätigt, ist die Arbeit mit dem Assistenten abgeschlossen. Es müssen noch kleine Anpassungen am Router durchgeführt werden:

Dazu den Router erneut konfigurieren – diesmal ohne den Assistenten – und unter VPN – Allgemein – Verbindungs-Liste den gerade angelegten Eintrag Bearbeiten.

VPN_15 VPN_16

In den Einstellungen unter XAUTH: „Server“ auswählen

VPN_17

Weiter geht es unter Kommunikation – Protokolle – PPP-Liste. Hier muss ein neuer Eintrag erstellt werden, welcher nicht vom Assistenten erstellt wird.

VPN_18 VPN_19

Der neue Eintrag erhält als Gegenstelle den im Assistenten verwendeten Namen für das VPN Profil. Die Liste enthält diesen schon – er muss nur ausgewählt werden. Dann noch ein „Passwort“ eingeben oder erzeugen lassen und „IPv4-Routing“ aktivieren.

VPN_20

Ist alles eingestellt, werden die Daten noch auf den Router übertragen.

Weiter am BlackBerry:

Unter Einstellungen – Netzwerkverbindungen werden die VPN Profile verwaltet. Hier auf Hinzufügen tippen.

VPN_BB_4 VPN_BB_5 VPN_BB_3

Im nächsten Schritt gibt man neben dem Profilnamen die Serveradresse an. Hier wird die eigene IP Adresse eingetragen (falls eine feste IP vorhanden) oder man gibt einen DNS Namen ein (Dnydns oder dergleichen). Die Voreinstellung „Gateway-Typ“ bleibt auf „Cisco ASA“, genau wie der „Authentifizierungstyp“ auf „XAUTH-PSK“ stehen beliebt.

Nun die Felder „Gruppenbenutzername“ und „Gruppenkennwort“ füllen. Diese Werte wurden durch den Assistenten gesetzt. Will man diese noch einmal nachlesen, ist dies im LANCOM unter VPN – IKE-Auth. – IKE-Schlüssel und Identitäten möglich. Dazu den Eintrag aus der Liste auswählen. Der Eintrag hat eine „KEY-“ vor dem Namen erhalten. Über „Bearbeiten“ und dem Klick auf „Anzeigen“ wird das Kennwort im Feld „Preshared-Key“ sichtbar. Dieses Kennwort ist das „Gruppenkennwort“. Der Wert bei „Lokaler Identität“ und „Entfernte Identität“ sollten identisch sein und werden als „Gruppenbenutzername“ im Handy eingetragen.

VPN_BB_1

Die nächsten wichtigen Felder sind „Benutzername“ und „Kennwort“. Die richtigen Werte findet man im LANCOM unter Kommunikation – Protokolle – PPP-Liste. Hier wurde durch Sie gerade ein neuer Eintrag erstellt. Der Wert im Feld „Gegenstelle“ wurde ursprünglich im Assistenten eingegeben und wird im Handy unter „Benutzername“ eingetragen. Das Feld „Benutzername“ im LANCOM ist Richtigerweise LEER! Das Feld Passwort ist dagegen gefüllt und kann mit einem Klick auf „Anzeigen“ sichtbar gemacht werden. Das hier enthaltene Passwort wird im Handy unter „Kennwort“ eingetragen.

VPN_BB_2

Nachdem die Einstellungen gespeichert sind, kann die Verbindung mit dem LANCOM hergestellt werden. War dies erfolgreich, wir in der oberen Statusleite links neben den „Funksymbolen“ ein kleiner Schlüssel angezeigt.

Zum Testen einfach den Browser öffnen und einen Web Server im eignen Netz aufrufen. Weiterhin kann man unter Einstellungen – Info im Feld „Kategorie“ die Rubrik „Netzwerk“ auswählen. Hier sollte es einen Eintrag VPN geben unter der die IP Adresse angezeigt wird, die der LANCOM dem BlackBerry zugewiesen hat. Eine weitere Testmöglichkeit ist etwas versteckt. Dazu bleiben wir in den Einstellungen, wählen dann aber „Netzwerkverbindungen“ – „Wi-Fi“. Hier gibt es in der unteren Menüleiste den Eintrag „Erweitert“. Im Feld „Diagnoseinformation“ scrollt man ganz nach untern und wählt „Ping“. Hier kann man unter „Ping-Test für“ einen IP Adresse aus dem Firmennetz eingeben und einen Ping durchführen.

Feinheiten:

Hat man nun unter Einstellungen – Netzwerkverbindungen – VPN das VPN Profil ausgewählt und die VPN Verbindung zum eigenen LANCOM Router steht (hinter dem Eintrag in der VPN Liste gibt es nun einen „Disconnect“ Button), kann man in diesem Menü auf die Kontextmenüpunkte (drei übereinander angeordnete Punkte) unten rechts tippen. Im Kontextmenü gibt es einen Eintrag „Statusdetails anzeigen“. Hier werden alle relevanten Informationen angezeigt. Ich habe dabei festgestellt, dass als DNS Server die IP Adresse des Routers eingetragen ist. Dies musste noch geänderte werden. Dazu im Menü der VPN Profilliste auf „Bearbeiten“ tippen und anschließend das entsprechende Profil auswählen. Ebenfalls unten in der Menüliste befindet sich „Erweitert“. Dieses antippen und anschließend den Bildschirm nach unten scrollen um die erweiterten Einstellungen zu erreichen. Hier gibt es einen Punkt „DNS automatisch ermitteln“ der standardmäßig aktiviert ist. Deaktiviert man diesen, erscheinen neue Eingabefelder für Primärer und Sekundärer DNS. Hier kann der richtige DNS Server eingetragen werden. Desweiteren gibt es hier auch die Möglichkeit einen Proxy einzutragen. Dies ist dann relevant wenn in Ihrem „Firmennetz“ für den Internetzugang ein Proxy erforderlich ist. Dazu muss man wissen das das Gerät jeglichen Datenverkehr durch den VPN Tunnel leitet wenn dieser aufgebaut ist. Das bedeutet natürlich auch, das nun der Internetzugang des Firmennetzes benutzt wird und ist hierzu ein Proxy erforderlich, dann muss ich diese Information auch dem Gerät mitteilen und konfigurieren. Sollte der Proxy einen Autorisierung fordern, dann können die Informationen auch hier eingetragen werden. Das Gerät sendet diese dann automatisch.

Achtung! Die Erweiterten Einstellungen lassen auch eine Änderung des Verschlüsselungsalgorithmus zu. Änderungen können dazu führen das die VPN Verbindung nicht mehr zu Stande kommt oder Instabile ist. Interessant ist dieser Punkt aber für denjenigen, der eventuell aus Kompatibilitätsgründen zu anderen Geräten die IKE Gruppe oder die verwendeten Verschlüsselungsverfahren in seinem Router geändert hat.

Weitere Möglichkeiten der Nutzung der VPN Verbindung, sowie die Einrichtung an einem BlackBerry PlayBook, folgen in späteren Beiträgen.

14 Gedanken zu „BlackBerry 10, VPN zu einem LANCOM Router

  1. Hallo ,
    ich habe das ausprobiert und ich komme auch ein Stück weit. Aber bei der Phase 2 meldet der Router im trace immer

    Phase-2 failed for peer XXXX : no rule mathces the phase 2 ids
    das wars dann

    • Hallo,

      Fehler in Phase 2 können leider vielseitig sein. Wenn Sie schon ein Trace mitlaufen lassen haben, wäre es eventuell hilfreich das komplette Trace zu erhalten. Vielleicht können wir so besser helfen.

  2. Wow, klasse Anleitung! Es hat auf Anhieb mit dem VPN-Aufbau geklappt! Ich musste zuvor allerdings meinen BlackBerry aus dem lokalen WLAN trennen. Danach funktionierte der VPN-Aufbau über das Mobilfunknetz auf meinen LANCOM sofort.

    Die Beschreibugn ist sehr gut und toll nachvollziehbar, darauf habe ich schon lange gewartet. Und nun ist mein BlackBerry zum ersten Mal überhaupt via VPN im Netz angebunden. Freu mich! 🙂

    Vielen Dank also noch mal für die Arbeit!

    Daniel

  3. Hallo Daniel, wir freuen uns über deinen Kommentar. Ebenso freut es uns das alles funktioniert, so soll es sein und dafür machen wir uns die Arbeit. Weiterhin viel Spaß mit deinem BlackBerry.

    Natürlich sind wir auch immer offen für neue Themen.

    Grüße vom Team DUISBERG!

  4. Die Anleitung ist 100%ig korrekt! Sehr gut DANKE. Wichtig im Vergleich zum iPhone. Bild 10 im Wizard und das das Gruppenkennwort auf dem BB der PreSharedKey im Lancom ist.

  5. Danke. Konnte dieses How-To auch nutzen um mit meinem S4 unter Android 4.2.2 mit nativen IPSec Xauth PSK, also ohne extra VPN Client, eine sichere Verbindung aufzubauen (bin vorher mit PPTP verbunden gewesen, was nicht mehr sicher ist). Einzig mit den Erweiterten Sonderzeichen bei Kennwörter gabs es keine Verbindung wie bei dir. Danke nochmal.

  6. Super Anleitung, vielen Dank!!!
    Kleine Frage: gibt es eine Möglichkeit bei bestehender VPN-Verbindung, direkt also über den Provider ins Internet zu gehen und nur den Verkehr zum VPN-Netz über den Tunnel zu schicken? Danke und macht bitte so weiter 🙂 MiTi

    • Hallo MiTi,

      leider haben wir zu deiner Frage auch noch keinen Weg gefunden. Es wird immer und grundsätzlich alles durch den VPN getunnelt.

      Grüße.

  7. Hallo,

    Erst mal ein „Danke!“ für die gute Anleitung.
    Beschrieben ist ja eine VPN-Verbindung im „Agressive Mode“ der besonders bei kurzen Shared Secrets mit frei verfügbaren Tools zu brechen ist. Als mir das bewusst wurde habe ich an einer Main-Mode-Einwahl mit Zertifikaten Lancom/BB10 gefeilt. Wenn Interesse daran besteht einfach melden.

  8. Hi Steffen,

    mich würde Deine Main-Mode Einwahl auch interessieren, wie komm ich an die Informationen um das auch zu testen?

    Beste Grüsse

    Hans

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.