Router, Switche, Firewalls, VLAN
VPN-Verbindungen, 2-Faktor-Authentisierung

Lancom Router VPN IPSec

IPsec Tips (Lancom)

Phasen bei IPSec IKEv1 und IKEv2 (Quelle: Cisco):

understanding-ikev2-packet-exch-debug-01.gif

Der VPN-Tunnelaufbau beim Einsatz von IKEv2/IPSec erfolgt mit 4 IKE-Telegramme.
- 2 Telegramme sind für die Aushandlung der Verschlüsselung (des Steuerkanals IKE) => IKE_SA_INIT-REQUEST + IKE_SA_INIT-RESPONSE.
- 2 Telegramme sind für die Authentifizierung der beiden VPN-Endpunkte => IKE_AUTH-REQUEST + IKE_AUTH-RESPONSE.

Zuerst erfolgt der Austausch der IKE_SA_INIT-Telegramme, danach kommen die IKE_AUTH-Telegramme.
Die IKE_SA_INIT-Telegramme werden unverschlüsselt übertragen.
Die IKE_AUTH-Telegramme sind bereits verschlüsselt.
Die REQUEST-Telegramme kommen immer vom Initiator (Client) des VPN-Tunnels.
Die RESPONSE-Telegramme werden immer vom Responder (Server) versendet.

 

Main Mode - setzt feste IP auf beiden Seiten voraus
Aggressive Mode - erforderlich für dynam. IP

IP wird automatisch zugewisen (IKE-CFG, bsp. Lancom Adv.VPN-Client) oder fest:
ike1: Routing-Tabelle: VPN-Verbindung in "Router" auswählen, feste IP-Adresse (Mask 255.255.255.255)
ike2: Lanconfig: VPN -> IKEv2 -> IPv4-Adressen: IP-Pool festlegen, VPN -> IKEv2 -> Verbindungsliste: IPv4-Adress-Pool auswählen (es darf kein fester IP-Eintrag in der Routing-Tabelle sein)

Local ID - Peer ID
Muss auf beiden Seiten gleich (gedreht natürlich) sein.
Als ID kommt Feste-IP oder FQDN in Frage. Der FQDN muss kein gültiger Domainname sein. Lange Zeichenkette ist besser.

PSK Preshared Key - möglichst 20-30 Zeichen lang, (bei Fritzbox und Lucom keine Sonderzeichen)

phase2localid - phase2remoteid
Proxy-IDs, definieren den Subnetbereich, von und zu dem das VPN getunnelt wird. (Bsp.: 192.168.110.0/24)

PPP-Liste: Gegenstelle eintragen mit (Benutzer) + Passwort.

IPv4-Regeln:
RAS-WITH-NETWORK-SELECTION | 0.0.0.0/0 - 0.0.0.0/0  -> alle IPv4-Adressen (Default-Route) - bei Router-Router
RAS-WITH-CONFIG-PAYLOAD | 0.0.0.0/0 - 0.0.0.0/32 -> nur IPv4-Adresse des VPN-Clients - bei Clientverbindungen

Aktuelle und empfohlene Parameter:
- DH-Gruppe 14
- AES-256
- SHA-256
- Lifetime = 8 Std.

 

DEFAULT-Einträge nicht löschen!
• VPN IKE2 Verbindungsliste:
Bei fehlendem DEFAULT-Eintrag in /Setup/VPN/IKEv2/Gegenstellen/ verarbeitet das VPN-Modul des LANCOM-Router nur einkommende IKE_SA_INIT-REQUEST's, deren Absender-IP-Adresse in /Setup/VPN/IKEv2/Gegenstellen/Entferntes-Gateway eingetragen sind (=> statische IP-Adressen) ODER für welche die Absender-IP-Adresse einer in /Setup/VPN/IKEv2/Gegenstellen/Entferntes-Gateway eingetragen DNS-Adresse entspricht (=> dynamische IP-Adresse). Vom LANCOM-Router nicht akzeptierte IKE_SA_INIT-REQUEST's werden mit Fehlermeldung (Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 632 bytes) unverarbeitet verworfen.

DEFAULT-Eintrag in Verbindungsliste ist wichtig für alle Geräte, deren IP der Router nicht kennt (Mobilfunk, dyn. IP)!
Es werden Verschlüsselungen zugewiesen und PSK oder Zertifikat entschieden.
Der Default-Eintrag darf keinen Eintrag in IPv4-CFG-Pool und IPv4-Regeln aufweisen.

Ab LCOS Fw 10.50 änder sich das Verhalten der Actionstabellen bei IP v6.
Ein "gerne" gemachter Fehler dabei ist, daß das IPv6-Modul eingeschaltet ist, obwohl es nicht genutzt wird.

Konfiguration einer Fritzbox (entsprechend langsam und ohne detaillierte Filter) in CT 2017/15 S.160ff.
Die Fritzbox kann nur IPSec (IKE v.1) + neuerdings Wireguard, kein PPTP oder SSL.

Für zertifikatsbasierte VPN sollte der Router mit der festen IP einen gültigen FQDN besitzen.
Alternativ: X509v3 Subjekt Alternative Name: IP-Adresse oder DNS
Kontrolle der Zertifikate in SSH-Konsole mittels "show vpn cert" und "show vpn ca".

VPN siehe auch:
• VPN zu Android: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1120
• VPN Zertifikate erstellen: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1393
• Adv.VPN Client für Windows lizenzieren: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1376
• VPN über Router hinweg: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1111
• Lancom Router: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1159
• IPSec erklärt: https://administrator.de/tutorial/ipsec-protokoll-einsatz-aufbau-benoetigte-ports-und-begriffserlaeuterungen-73117.html

Last Update: 22.03.2026

VPN IPSec (Client -> LAN) zwischen Android und Lancom Router

Vor der nachfolgenden Erstellung der VPN-Verbindung müssen die » Zertifikate erstellt werden «.

VPN-Verbindung zwischen Lancom Router und Android Client (IPSec IKE.v2 mit Zertifikat)
mit StrongSwan VPN-Client

Lancom-Router:

  • Verschlüsselung: DH28, DH14, kein PFS, AES-CBC-256, AES-CGM-256, SHA-256
  • Authentifizierung: 2x RSA-Signatur, lokale Identität: IPv4-Adresse, entfernte Identität: ASN.1-Distinguished-Name, VPN1, CRL-Check: Ja
    (Variante 2: Authentifizierung: 2x RSA-Signatur, lokale Identität: IPv4-Adresse, entfernte Identität: FQDN (DNS aus Zertifikat und Client-ID), VPN1, CRL-Check: Ja)
  • Verbindungsparameter: Default (30 sek, keine)
  • Gültigkeitsdauer: Default (86.400 sek, 0 kB, 14.400 sek, 2.000.000 kB)
  • Regelerzeugung: Manuell
  • IKE-CFG: Server
  • IPv4-Adress-Pool eintragen

StrongSwan VPN-Client:

  • CA-Zertifikat und Client-Zertifikatskette auf Android übertragen
    (muss als X509v3 Subjekt Alternative Name -> IP des Routers enthalten)
  • CA-Zertifikate: Zertifikat importieren (ca.crt)
  • Verbindungsprotil erstellen
  • Server: IP-Adresse
  • VPN-Typ: IKEv2 Zertifikat
  • Benutzer-Zertifikat: client.pfx
  • CA-Zertifikat: auswäheln -> importiert -> ca.crt
  • Erweitert: Server-Identität ist per Default = Server-IP (passt: X509v3 SAN -> IP)
  • Erweitert: Client-Identität: Identität aus Client-Zertifikat -> Inhaber -> RFC-2253 (CN=... , ggf. gedreht!)
    (Variante 2: Client-Identität: Identität aus Client-Zertifikat -> X509v3 SAN -> DNS)
  • Erweitert: NAT-T Keepalive-Interval: 15
  • Erweitert: RSA/PSS-Signaturen verwenden: on

 

Fehlersuche:

  • SSH Fehlersuche: trace # vpn status  (mit "Cursor-hoch" -> "ENTER" kann man on/off umschalten)
  • trace + vpn - Auswerten mit Putty: Copy-All-To-Clipboard
  • SSH: show vpn long - zeigt VPN-Tunnel Regeln, Verschlüsselung und Einstellungen
  • SSH: show vpn rules- zeigt VPN Security Policies
  • SSH: show vpn sadb - zeigt ausgehandelte SA
  • Trace (LanConfig oder LanMonitor): vpn-debug / vpn-ike / vpn-status  laufen lassen und Verbindung aufbauen

Typischer Fehler:
• DEFAULT-Eintrag in Verbindungsliste bis zum letzten Parameter prüfen!
• im Trace:
Compare: -Received-ID C=de,O=netdesign,CN=tw-pls-tw-client:DER_ASN1_DN != Expected-ID CN=tw-pls-hdf-client,O=netdesign,C=de:DER_ASN1_DN
-> die Geräte drehen die Reihenfolge!

Tip:
• VPN/Allgemein/Flexiber Identitätsvergleich aktivieren
• VPN IKEv1 Default-Parameter: alle 3 Defaults von Gruppe 2 (1024) auf Gruppe 14 (2048) stellen

 

Quellen und Links:

Last Update: 22.03.2026

VPN-Zertifikate erstellen

Um (zertifikatsbasierende) VPN-Verbindungen herzustellen, benötigt man VPN-Zertifikate für alle Geräte, die von derselben VPN-Zertifizierungsstelle (CA) signiert wurden.
Es empfiehlt sich, die VPN-CA und die VPN-Zertifikate an einem Standort zu verwalten und die VPN-Zertifikate von dort an alle weiteren Standorte/Geräte zu exportieren. Die VPN-CA muß nicht öffentlich vertrauenswürdig sein, sondern stellt nur das Vertrauen für die beteiligten VPN-Gegenstellen dar.

Für VPN-Verbindungen werden drei Zertifikate benötigt.

- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel) .CRT
- 1 Maschinenzertifikat für den LANCOM-Router (öffentlicher .CRT und privater Schlüssel .PEM)
- 1 Maschinenzertifikat für die Gegenstelle (öffentlicher .CRT und privater Schlüssel .PEM)

Prinzip: https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1120076.html

Jede weitere VPN-Verbindung benötigt ein eigenes Maschinen-Zertifikat, damit der Router den jeweiligen Client identifizieren kann.

Lancom spezifisch:
Die Router-integrierte CA (nur ab VPN-25 Option) sollte man aus Sicherheitsgründen nicht benutzen.
Das Erstellen einer eigenen CA ist vorzuziehen (gilt für alle VPN-Gateways).
Der Assistent zum Erstellen der Zertifikate im Lancom-Router funktioniert nur mit der integrierten CA.

Die Maschinen-Zertifikate werden bei Lancom-Routern mit ihrer Zertifikatskette als PXSC#12 .p12 -Datei in die Container VPN1..VPN9 geladen.
Die Zertifikate werden erst nach einem Neustart aktiviert!
Es ist (bei Lancom) nicht erforderlich, das extern erstellte CA-Zertifikat in den Router zu laden.
Die .PEM Maschinenzertifikate müssen unverschlüsselt ohne Passwort sein. Nur die Zertifikatskette .P12 ist verschlüsselt.
Der jeweilige VPN-Container wird in der VPN-Verbindung ausgewählt.

 

Zum Erstellen der CA + Zertifikate empfiehlt sich das grafische OpenSSL-Tool XCA.
Anleitung siehe:
https://docs.insys-icom.de/pages/de_m3_creating_certificates_xca.html
https://support.lancom-systems.com/knowledge/display/KB/Erstellen+von+X.509-Zertifikaten+mit+der+Anwendung+XCA

Root-CA (Stammzertifikat)
mit XCA erstellen.

Konfiguration:
- keine Leerzeichen oder Sonderzeichen verwenden
- Groß- und Kleinschreibung ist wichtig!
- Description Name und Common Name sollten identisch sein,
  Common-Name muss eindeutig sein
- der Inhalt muß bei den untegeordneten Zertifikaten identisch sein

  • Zertifikate: "Neues Zertifikat"
  • Selbstsigniertes Zertifikat erstellen
  • Signatur algorithmus: SHA 256
  • Vorlage: "[default] CA" (oder eigene Vorlage) -> "Alles übernehmen"
  • Inhaber: Interner Name = commonName
  • Inhaber: countryName: DE, organizationName: FIRMA
  • Inhaber: Privater Schlüssel erstellen: RSA-2048bit
  • Erweiterungen: Typ: Zertifikats Authorität
  • Erweiterungen: Gültigkeit Zeitspanne höher setzen
  • Schlüsselverwendung laut Vorlage, min. "Certificate Sign, CRL Sign"
  • "OK" erstellt CA-Zertifikat
  • Zertifikate: Export -> Öffentl. CA-Zertifikat als PEM (ca.crt)
  • Private Key der CA wird von XCA verwaltet und muß nicht exportiert werden.

 

Geräte-Zertifikate (Server und Client)
mit XCA erstellen.
Es werden 2 Zertifikatspaare (Server und Client) erstellt, die jeweils mit dem CA-Zertifikat beglaubigt sind.

  • Zertifikate: "Neues Zertifikat"
  • Verwende dieses Zertifikat zum Unterschreiben: "CA-Zertifikat" auswählen
  • Signatur algorithmus: SHA 256
  • Vorlage: "[default] TLS_server" (oder eigene Vorlage) -> "Alles übernehmen"
  • Inhaber: Interner Name = commonName : "server" und "client"
  • Inhaber: wie CA
  • Inhaber: Privater Schlüssel erstellen: RSA-2048bit
  • Erweiterungen: Typ: End Instanz
  • Erweiterungen: Gültigkeit Zeitspanne höher setzen
  • Erweiterungen: ggf. X509v3 Subjekt Alternative Name -> Bearbeiten, IP, E-Mail, DNS hinzu fügen (dyn. Clients)
  • Schlüsselverwendung laut Vorlage, min. "Certificate Sign, Non Repudiation, Key Encipherment, Key Agreement" und "TLS-Server" bzw. "TLS-Client"
  • "OK" erstellt CA-Zertifikat
  • unter Inhaber: RFC-2253 steht die Identität für die Gegenstelle
  • Maschinenzertifikat -> Export: PKCS#12 Zertifikatskette exportieren (client.pfx, server.pfx)
  • je nach Gegenstelle ggf. Privaten Schlüssel des Maschienenzertifikats exportieren

Lancom:
Zertifikatsinstallation überprüfen:
show vpn cert
show vpn ca

Lancom Router

  • WebConfig: Extras -> Dateimanagement -> Zertifikat hoch laden -> Typ: VPN-Container (VPN1..9) PKCS#12 (vorhandene CA ersetzen) -> server.pfx laden, Passphrase erforderlich
  • Zertifikate mit SSH prüfen: "show vpn ca" und "show vpn cert"
  • VPN-Verbindung IPSec (ike2) mit Wizard erstellen
  • Lanconfig: VPN -> IKEv2 -> Authentifizierung -> Verbindung editieren
  • Authentifizierung lokal / entfernt = RSA Signatur
  • Identitätstyp = ASN.1-Distinguished-Name
  • ID lokal/entfernt= jeweils Name im RFC Format, der unter xca -> Inhaber -> RFC2253 steht (CN=netdesign-client,O=netdesign,C=de)
  • Lokales Zertifikat = Container (VPN1) auswählen

Besonderheiten bei Clients mit dynam. IP:

  • Lanconfig: VPN -> IKEv2 -> IPv4-Adressen: IP-Pool festlegen
  • VPN -> IKEv2 -> Verbindungsliste: IPv4-Adress-Pool auswählen
  • VPN -> IKEv2 -> Verbindungsliste: IKE-CFG-Mode= Server
  • bei IOS werden "FQDN" statt "ASN.1.." verwendet
  • ggf. muss das Server-Zertifikat (Lancom Router) die Eigenschaft "X509v3 Subject Alternative Name" besitzen im Format DNS oder IP,
    Inhalt ist dann die WAN IP / Domain Name von Gegenüber.
  • Das Maschinenzertifikat des LANCOM-Routers (VPN-Server) muss den "Common Name" ("CN=") des LANCOM-Routers ausweisen.
    Das Maschinenzertifikat des VPN-Clients bzw. Endpunkt muss den "Common Name" ("CN=") des VPN-Clients bzw. -Endpunktes ausweisen.
  • Fehlermeldungen abarbeiten (in der Regel sowas wie Remote ID doesnt match != ..)
  • Im Internet nachlesen, was der jeweilige Client zwingend benötigt, meist irgendwas am Zertifikat.
    Logmeldungen im Client abarbeiten

Fehlersuche:

  • SSH Fehlersuche: trace # vpn status  (mit "Cursor-hoch" -> "ENTER" kann man on/off umschalten)
  • trace + vpn - Auswerten mit Putty: Copy-All-To-Clipboard
  • SSH: show vpn long - zeigt VPN-Tunnel Regeln, Verschlüsselung und Einstellungen
  • SSH: show vpn rules- zeigt VPN Security Policies
  • SSH: show vpn sadb - zeigt ausgehandelte SA
  • Trace (LanConfig oder LanMonitor): vpn-debug / vpn-ike / vpn-status  laufen lassen und Verbindung aufbauen

Danke an Dr.Einstein: https://www.lancom-forum.de/viewtopic.php?p=110121#p110121

Wenn die Zertifikate erstellt sind, werden die VPN-Verbindungen konfiguriert.


Quellen und Links:

Last Update: 22.03.2026

Lancom VPN Client f.Windows lizenzieren

Lizenz aktivieren

  • Hilfe -> Lizenzinfo und Aktivierung
  • Online aktivieren
  • Lizenzkey und Seriennummer eingeben
  • Onlineaktivierung
  • Erfolgreiche Aktivierung abwarten -> Fertigstellen

Lizenz auf neues Gerät übertragen

  • Hilfe -> Client deaktivieren
  • Assistent zur Deaktivierung ausfüllen
  • Daten an Deaktivierungsserver übertragen
  • E-Mail mit neuem Lizenzschlüssel

Last Update: 22.03.2026

VPN IPSec zwischen Lancom und MikroTik Router

Allgemeines
IPSec IKE v.2 Lan-to-Lan Verbindung mit Preshare.
Der Lancom-Router als Empfänger muß eine feste IP haben und die VPN-Ports müssen beim Router ankommen.
Lancom Router (FW 10.50 RU5)
  • VPN-Verbindung LAN-LAN mit Assistent erstellen (IKEv2, Router als Responder)
  • IPv4 Routing-Tabelle: Route zum Dst.LAN erstellen
  • Firewall: keine Einträge
  • VPN IKEv2 Verbindungsliste:
  • Verschlüsselung: DH-Gruppen: DH14, PFS: nein,
    IKE-SA: AES-CBC-256, Hash-Liste: SHA-256, SHA1,
    Child-SA: AES-CBC-256, AES-GCM-256, Hash-Liste: SHA-256, SHA1
  • Authentifizierung: FQUN, Identität + Passwort
  • Verbindungsparameter: DPD: 30 sek., Encapsulation: keine
  • Gültigkeitsdauer: IKE SA: 108.000 sek, 0 kBytes, Child SA: 28.800 sek, 2.000.000 kBytes
  • IPv4-Regel: Zieladressen einschränken
MikroTik Router (FW 7.8)
  • IP -> IPSec -> Profiles
    neues Profil anlegen, Parameter passend zu Gegenseite
  • IP -> IPSec -> Peers
    neues Peer anlegen, [Gateway-Adresse/32], Profil wie oben, IKE2, Send INITIAL_CONTACT
  • IP -> IPSec -> Identities
    neuer Eintrag, Preshare Key, ID Type (beide Seiten): user fqdn, Match By: remote id
  • IP -> IPSec -> Prosposals
    neuer Eintrag, IKEv2-Prosposals setzen
  • IP -> IPSec -> Policies
    neuer Eintrag, Peer: wie oben, Tunnel anhaken, Src.Netzwerk/24 und Dst.Netzwerk/24, Protocol: 255(all), Action: encrypt, Level: require, IPSec Protocols: esp, Prosposal: wie oben
  • Test - Ergebnis/Verbindung ok:
    IP -> IPSec -> Policies, PH2 State = established
    IP -> IPSec -> Active Peers, State = established, Local- und Remote IP, TX/RX Bytes

  • IP -> Firewall -> NAT darf für VPN-Verbindung nicht maskiert sein! (srcnat für VPN-Quell- und VPN-Zielnetz, action= accept)
  • IP -> Firewall ->Rules: forward-accept für Src.LAN und Dst.LAN
  • Routingtabelle: nicht erforderlich
Last Update: 22.03.2026

VPN Wireguard Verbindung an MikroTik Router

Allgemeines/Voraussetzungen
-> siehe Wireguard VPN
Wireguard (WG) Server (ab RouterOS 7.8)
(Bsp.LAN: 192.168.200.1)
  • Voraussetzung (siehe oben): Internetverbindung (ausgehend) und offener UDP-Port (eingehend)
  • Wireguard -> Wireguard -> neu: Wireguard-Interface/Servername, MTU (1420), Listen Port: 51820 -frei festlegbar (UDP 49152-65535)
    * pro UDP-Port kann nur ein Wireguard-Server angelegt werden
    * pro Router genügt ein Wireguard-Server, wenn man nicht verschiedene Ports nutzen möchte
  • beim Aktivieren wird automatisch ein (unsichtbarer) Private Key und ein (kopierbarer) Public Key erstellt
  • IP -> Addresses: neues WG-Tunnel LAN anlegen: Address(Server): 192.168.200.1/24, (Network: 192.168.200.0), Interface: WG-Servername von oben
  • IP -> Firewall (UDP-Port erlauben): Input - Protocol:UDP - Dst.Port:51820 - In.Interface (WAN) wählen, Accept
  • IP -> Firewall (LAN, Host oder ALL erlauben): Forward -
    Src.Addr: WG-Endgerät (192.168.200.10), Dst.Addr.: LAN-Ziel (Host od. Subnet),
    In.Interface: Wireguard-Server, Out.Interface: LAN/Bridge, Accept
  • NAT muß für die Wireguard-Verbindung aus sein (IP -> Firewall -> NAT), (srcnat für VPN-Quell- und VPN-Zielnetz, action= accept)
  • IP -> Routes: Neue Route zum Wireguard-LAN, Gateway: %wireguard-server, Dst.Address: 192.168.200.0/24  (legt Router automatisch an)
  • neu: Router erstellt QR-Code der Verbindung (Client Daten in Peer eintragen)
Wireguard Peers im Router
(Bsp: 192.168.200.10)
Für jede Gegenstelle muß ein Peer angelegt werden, dass dem Client eine eigene IP (Allowed IPs) zuweist und den Public-Key der Verbindung enthält.
  • Wiregard -> Peers -> neu:
  • Interface: Servername von oben,
  • Public Key: PK der Gegenseite,
    (Alternativ: Wireguard-Tool (unten) oder Wireguard-Client erzeugt Schlüsselpaar)
  • Endpoint: öffentl. DNS/IP der Gegenstelle (bei LAN-to-Client: leer lassen)
  • Endpoint Port: UDP-Port vom Server der Gegenseite,
  • Allowed Addresses: 192.168.200.10/32 (statische Adresse des Clients im Wireguard-LAN)
    Bei LAN-LAN müssen hier alle erlaubten Netze rein, die über den Tunnel erreichbar sein sollen, kann auch 0.0.0.0/0 (alle) sein. (Firewall+Route!)
  • Keepalive: (25s)

    nur für QR-Code erforderlich:
  • Client Address: 192.168.200.10/32 (statische Adresse des Clients im Wireguard-LAN)
  • Client DNS: DNS-Server
  • Client Endpoint: öffentl. WAN IP oder DNS-Name
  • Client Listen Port: UDP-Port vom Server
  • Test: bei erfolgreicher Verbindung mit Client laufen Verbindungs-Bytes (Rx und Tx) im WG-Peer und im Client hoch
Wireguard Endgerät (Handy oder beliebiges anderes Gerät mit dem offiziellen Wireguard-Client)
(Bsp: 192.168.200.10)
  • Wireguard-Client laden
  • neue Verbindung - manuell erstellen
  • beliebiger Verbindungsname
  • Privater Schlüssel (wird automatisch erstellt)
  • Öffentl. Schlüssel: Key in Router -> Wireguard Peer -> Public Key kopieren
  • Adressen: Client Adresse (192.168.200.10/32) (wie Allowed Address vom Wireguard Peer)
  • Nameserver: ggf. Wireguard-Server/Router (192.168.200.1)
  • Öffentl. Schlüssel: PK des Routers aus Wireguard -> Wireguard
  • Erlaubte IPs: 0.0.0.0/0 schicke gesamten Traffic (auch Internet!) in den Tunnel
    sinnvoller ist konkrete Angabe (Transfernet + Zielnetz(e), siehe .conf unten)
  • Endpunkt: Einwahlpunkt IP oder Domain der Gegenseite +Doppelpunkt:Port!  1.2.3.4:51820 (wie oben)

Wireguard Gegenstelle (Router, Lan-to-Lan)
(Bsp.-IPs siehe Skizze)

  • Router1: Wireguard-Server einrichten wie oben
  • Router2: Wireguard-Server einrichten wie oben
    Anmerkung: pro Router genügt ein Wireguard-Server, falls nicht unterschiedliche Ports erforderlich sind
  • IP-Adresse zu virtuellem Wireguard-Interface hinzu fügen (->IP / Addresses)
    - Router 1: Address: 192.168.200.1/24, Network: 192.168.200.0
    - Router 2: Address: 192.168.200.2/24, Network: 192.168.200.0
    Anmerkung: pro Wireguard-Server sind mehrere Transfer-Netze möglich. Die Auswahl erfolgt über die Route unten.
  • Router1: Wireguard-Peer einrichten,
    - Pub-Key von Router2,
    - Endpoint-IP: DSL2, Endpoint-Port: UDP-Port wie oben
    - Allowed Address: 192.168.200.2/32 (Tunnel-Ende), 192.168.20.0/24 (Ziel-LAN)
  • Router2: Wireguard-Peer sinngemäß gleich einrichten
  • Route auf Router1: Route Dest. 192.168.20.0/24 (Ziel-LAN) über Gateway 192.168.200.2 (WG-Transfer)
  • Route auf Router2: Route Dest. 192.168.10.0/24 (Ziel-LAN) über Gateway 192.168.200.1 (WG-Transfer)

Wenn der Wireguard-Router hinter dem Default Router sitzt (wie oben gezeichnet):

  • Default-Router1: Portforwarding UDP (51820) zum Wireguard-Router (192.168.10.15)
  • Default-Router1: Statische Route zu Wireguard-LAN (192.168.200.0/24) über Wireguard-Router (192.168.10.15)
  • Default-Router1: Statische Route zu entferntem LAN (192.168.20.0/24) über Wireguard-IP (192.168.200.2/32)
  • für Router2 sinngemäß gleich


Beispiel der .conf -Datei des Clients (IP: 3):

[Interface]
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = VPN-zu-Oma
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.40.0/24
# PersistentkeepAlive = 25

  • Address: VPN-Adresse des Clients
  • PrivateKey: Privat-Key des jeweiligen Clients (im Client sieht man dann den Public-Key)
  • DNS falls gewünscht
  • PublicKey: Public-Key des WG-Servers
  • Endpoint: öffentliche Adresse des VPN-Servers mit Port
  • AllowedIPs: alle Adressen, die der Wireguard Server in den Tunnel routet. (also zumindest Wireguard-Server und Serverside-LAN)
    Dieses "Cryptokey Routing" bewirkt, dass Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernehmen.
    AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.

Wireguard Online Config Generator:

Quellen und Links:

Verwendete Abkürzungen:
• WG - Wireguard
• GW - Gateway

Last Update: 21.03.2026

Lancom/R&S Firewall VPN Wireguard

Diese Anleitung ist noch in Bau! Ich bin dankbar für jede Hilfe, Ergänzung oder Korrektur.
Allgemeines
Seit Firmware FX 10.12 RU1 (07/2023) unterstützen die Rohde&Schwarz UF-xxx Firewalls Wireguard.
Die UF-Firewall als Verbindungs-Empfänger muß eine feste IP haben und der verwendete UDP-Port muss beim Router ankommen.
Wird die Firewall als WG-Router nach dem Standardgateway installiert, sind im Gateway-Router folgende Einstellungen erforderlich:
  • Portforwarding: UDP-Port (Bsp: 51820) zum WG-Router (LAN-IP)
  • Routing-Tabelle: WG-Transfernetz (Bsp: 192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
  • Firewall: UDP-Zielport (51820) frei geben
  • Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
  • Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben
Wireguard ist OpenSource und für jedes gängige Betriebssystem kostenfrei verfügbar.
Wireguard (WG) Server
(Bsp. Transfer-LAN: 192.168.200.1)
  • Voraussetzung (siehe oben): Internetverbindung (ausgehend) und offener UDP-Port (eingehend)
  • Netzwerk -> Interfaces -> WireGuard-Interfaces: "+" Interface wg0 (ff.) erstellen, MTU (1420), Interface AKTIVIEREN
  • VPN -> WireGuard: "+" WG-Verbindung erstellen, Interface AKTIVIEREN
    - Name: Verbindungsname
    - Interface: wg0 (Bsp) Interface von oben auswählen
    - Adresse: WG Transfernetz Adresse des Servers (bisher nicht verwendetes Netz, Bsp: 192.168.200.1/32)
    - Port: UDP-Port (51820) der WG-Verbindung -frei festlegbar (UDP 49152-65535)
    * pro UDP-Port kann nur ein Wireguard-Interface angelegt werden
    * pro Router genügt ein Wireguard-Server, wenn man nicht verschiedene Ports nutzen möchte

  • Desktop -> Dienste -> Benutzerdef.Dienste: "+" Dienst "WireGuard" anlegen
    - Port: 51820
    - Protocol: UDP
  • Netzwerk -> Netzwerk-Verbindungen: "+" Verbindung hinzufügen
    - Name: WireGuard
    - Interface: WG-Interface (wg01)
    - Netzwerk Adressen: In Feld klicken und oben konfigurierte erlaubte IP-Adressen auswählen. (192.168.200.0/24)
  • Firewallobjekt: Host hinzu fügen (keinen VPN-Host), WireGuard-Server
    - Host: Wireguard-Server (192.168.200.1)
  • Firewall Verbindung (WireGuard-Server <-> WAN) erstellen
    - benutzerdef. Dienst "Wireguard" (von oben) zufügen
    - Verbindungsrichtung drehen (von außen nach innen), Serverspezif.Einstellung, NAT =aus, DMZ/Port-Weiterleitung aktivieren
      (Portforwarding UDP-Port zum WG-Server)
Wireguard Peers im UF-Router
(Bsp Client: 192.168.200.10)
Für jede Gegenstelle muß ein Peer angelegt werden, dass dem Client eine eigene IP (Allowed IPs) zuweist und den Public-Key der Verbindung enthält.
  • VPN -> WireGuard: WG-Verbindung von oben auswählen
  • Authentifizierung: Schlüsselpaar erzeugen, kann auch importiert werden (Private-Key bleibt im Router, Public-Key bekommt die Gegenseite)
  • Peers: "+" neuen Peer erzeugen
    - Name: Peer-Name
    - Remote Adresse: Optionale öffentl. erreichbare Adresse oder DNS-Name der Gegenstelle. Nur nütig für Initiator der Verbindung. Die Angabe wird benötigt, wenn ein Remote-Port angegeben ist.
    - Remote Port: Port wie Gegenseite (Bsp: 51820)
    - Public-Key: Key des Peers  (WG-Tool (unten) oder Wireguard-Peer erzeugt Schlüsselpaar)
    - Keep-Alive: Haltezeit (25s). Wert ist nur verfügbar, wenn eine Remote Adresse eingegeben wurde
    - Routen erstellen: Wenn aktiviert, werden alle IP-Adressen unter Erlaubte IP-Adressen automatisch in die Routing-Tabelle 201 eingetragen. Sonst müssen die Routen manuell erstellt werden.
    - Erlaubte IP-Adressen: IP-Adressen oder Netze mit Subnetzmaske (CIDR-Schreibweise), die über die WG-Verbindung erreichbar sein sollen
      Bei LAN-LAN müssen hier alle erlaubten Netze rein, die über den Tunnel erreichbar sein sollen, kann auch 0.0.0.0/0 (alle) sein.
    ACHTUNG, Bug!?  Trägt man hier das eigene LAN ein, ist der Router über LAN nicht mehr erreichbar.
Wireguard Endgerät (Handy oder beliebiges anderes Gerät mit dem offiziellen Wireguard-Client)
(Bsp: 192.168.200.10)
  • Wireguard-Client laden
  • neue Verbindung - manuell erstellen
  • beliebiger Verbindungsname
  • Privater Schlüssel (wird automatisch erstellt)
  • Öffentl. Schlüssel: Key in Router -> Wireguard Peer -> Public Key kopieren
  • Adressen: Client Adresse (192.168.200.10/32) (wie Allowed Address vom Wireguard Peer)
  • Nameserver: ggf. Wireguard-Server/Router (192.168.200.1)
  • Öffentl. Schlüssel: PK des Routers aus Wireguard -> Wireguard
  • Erlaubte IPs: 0.0.0.0/0 schicke gesamten Traffic (auch Internet!) in den Tunnel
    sinnvoller ist konkrete Angabe (Transfernet + Zielnetz(e), siehe .conf unten)
  • Endpunkt: Einwahlpunkt IP oder Domain der Gegenseite +Doppelpunkt:Port!  1.2.3.4:51820 (wie oben)


Beispiel der .conf -Datei des Clients (IP: 3):

[Interface]
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = VPN-zu-Oma
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.40.0/24
# PersistentkeepAlive = 25

  • Address: VPN-Adresse des Clients
  • PrivateKey: Privat-Key des jeweiligen Clients (im Client sieht man dann den Public-Key)
  • DNS falls gewünscht
  • PublicKey: Public-Key des WG-Servers
  • Endpoint: öffentliche Adresse des VPN-Servers mit Port
  • AllowedIPs: alle Adressen, die der Wireguard Server in den Tunnel routet. (also zumindest Wireguard-Server und Serverside-LAN)
    Dieses "Cryptokey Routing" bewirkt, dass Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernehmen.
    AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.

Wireguard Online Config Generator:

Quellen und Links:

Verwendete Abkürzungen:
• WG - Wireguard
• GW - Gateway

Last Update: 25.03.2026

Quellen und Links:

Last Update: 25.03.2026

MikroTik Router

WLAN

  • CAP - Controlled Access Point (einzelner AP)
    (MikroTik Router mit WLAN-Hardware + RouterOS ab Level 4)
  • CAPsMAN - Controlled Access Points Manager
    (Lizenz hat jeder MikroTik Router mit Router OS Level 6, ist nur 1x erforderlich, geht aber auch mehrfach)
  • Grundkonfiguration CAP Einzelgerät Wireless:
    - WiFi-Interface: WLAN1 +2: Mode= "ap bridge", Country, Frequenz (auto), SSID, (Indoor), WPA aus
    - Security Profiles: Verschlüsselung und Passwort
  • Konfig. als Accesspoint mit DHCP-IP vom LAN:
    - Bridge anlegen, LAN + WLAN-Interfaces aufnehmen
    - IP -> DHCP-Client auf Bridge konf.
  • Konfig. als Accesspoint mit eigenem DHCP-Server:
    - Bridges getrennt für LAN und WLAN anlegen
    - Einrichtung DHCP auf WLAN-Interface siehe DHCP-Server
  • Reset-Button hat 3 Funktionen:
    - Hold this button during boot time until LED light starts flashing, release the button to reset RouterOS configuration (total 5 seconds).
    - Keep holding for 5 more seconds, LED turns solid, release now to turn on CAP mode. The device will now look for a CAPsMAN server (total 10 seconds).
    - Keep holding the button for 5 more seconds until LED turns off, then release it to make the RouterBOARD look for Netinstall servers (total 15 seconds).

CAPsMAN:

  • zentralisiert die Konfiguration aller APs (Provisioning)
  • Roaming der Endgeräte, Optimierung der Frequenzen und Sendeleistungen
  • zentrale Updates
  • optional wird auch der Datenverkehr zentral am CAPsMAN per VLAN angebunden (WLAN Control)
  • CAPsMAN -> CAP-Interface -> Manager -> CAPsManager =ENABLED, CA+Certificate= auto
  • Wireless -> WiFi-Interface -> CAP= ENABLED, Interface= WLANs, Certificate= Request, Discovery Interface festlegen
    Danach ist das WiFI-Interface nur noch vom CAPsMAN zu steuern.
  • andere AP in CAPsMAN einbinden:
    - im GUI: Reset Configuration, CAPs Mode aktivieren
    - am AP RESET-Button länger als 10 sek. drücken -> CAPsMode (im selben LAN-Segment)
    - im AP GUI: WiFi -> CAP -> CAPsMAN-IP  (Layer-3)
  • HotSpot: max. 200 active user ab Router OS Level 4
  • WPA/WPA2/WPA3
  • RADIUS MAC authentication
  • unlimited CAP pro CAPsMAN

Basic MikroTik AP deployment (Channel List -> in Terminal importieren)

Last Update: 28.01.2026

  • Einfache Konfiguration selbst ohne IP-Adressvergabe über MAC-Adresse per Winbox im selben LAN.
  • in Default-Config ist Port-1 = WAN (kein Management)
  • SafeMode (oben links): Konfiguration wird sofort aktiv, aber nicht zurück geschrieben bis man Safe-Mode beendet. Vorher reicht aus/ein für Urzustand.
  • Konfiguration per Winbox, WEB-Gui oder SSH möglich.
  • Werksreset: Reset-Taste (ca. 5 sek.) + Power-on oder SSH: /system reset-configuration oder GUI: System -> Reset Configuration
  • Stromversorgung: meist 24V, Hohlstecker 5,5 x 2.1mm (Plus Innen), teilweise auch PoE oder Schraubklemme

RouterOS wird in Lizenzlevel 0 (Demo) bis 6 (Controller) angeboten.
Preise und Funktionen: https://help.mikrotik.com/docs/display/ROS/RouterOS+license+keys
Alle Lizenzen:

  • gelten zeitlich unbegrenzt
  • beinhalten alle zukünftigen Updates
  • können unbegrenzt Interfaces nutzen
  • sind für ein Gerät

Default Config (Router Mode):

  • WAN Port geschützt durch Firewall, DHCP= on
  • Eth.-Ports (außer WAN) sind Mitglied in "LAN Bridge"
  • LAN-Bridge IP= 192.168.88.1/24, DHCP-Server und DNS = ON
  • WAN Gateway = Ether-1, IP v4 Firewall= ON, NAT= ON, DHCP-Client= ON
  • Default PW ist beim Setzen leer, beim Login siehe Typenschild

Default-Konfig löschen im Terminal: system reset-configuration skip-backup=yes no-default=yes
oder GUI: System -> Reset Configuration -> Haken bei "No default Configuration"

Backup

  • Backup per GUI: Files -> Backup (komplett incl. Zertifikate, geht aber nur optimal auf gleicher Hardware + Firmware)
    dann Konfiguration Download
  • Backup Plaintext per Terminal: (reines Konfig-Backup ohne Zertifikate, aber Script einfach anpassbar, hardwareübergreifend)
    - /export show-sensitive file=backup.rsc  (Scrip Export, dann File Download)
    - /system reset-configuration skip-backup=yes run-after-reset=backup.rsc  (Löschen + Import)
    - import backup.rsc  (Teil-Import als Ergänzung des Systems)
  • Import in neues System: File importieren, dann Reset Configuration (No Default Conf, Run after Reset = importiertes Backups-Script)

Einrichtung Best Practice:

  • Passwort unter System / Users festlegen  (Default: admin / ohne PW, bei manchen WLAN-Accesspoints vorkonf. auf dem Gehäuse)
  • Gerätename GUI: System -> Identity oder Terminal: /system identity set name="UKRouter"
  • IP unter IP -> Addresses (pro Interface oder Bridges) (IP:x.x.x.y/24, Network: x.x.x.0)
  • alle Ports, die "das Gleiche" machen sollen, werden als Bridge zusammen gefasst (jeder Port kann nur zu einer Bridge gehören)
  • Internetzugang kann auf beliebigen Port definiert werden
    - DHCP-Client einrichten, DNS, NTP
    - Default-Gateway aktivieren (Default-Route wird automat. erstellt unter IP -> Routes)
    - NAT einrichten (IP -> Firewall -> NAT): Chain: srcnat, Src.Address: [LAN\24], Out.Interface: Internet,  Action: masquerade
    - DNS-Weiterleitung: IP -> DNS: Allow Remote Requests ->aktivieren
  • Firmware Upgrade unter System / Packages (Channel: upgrade)
  • Router auf HTTPS umstellen (1)
    /certificate
    add name=LocalCA common-name=LocalCA days-valid=36500 key-usage=key-cert-sign,crl-sign
    sign LocalCA
    add name=Webfig common-name=192.168.88.1
    sign Webfig ca=LocalCA
    /ip service
    set www-ssl certificate=Webfig disabled=no
    disable www
  • Firewall (IPTables) unter IP -> Firewall ist per Default aus!
  • Firewall: Accept Input: DNS(56), HTTP/S, Stateful, PING(ICMP), SNMP(UDP-161/162), NTP(UDP-123) / DROP ALL  (siehe Firewall)
  • Firewall: Accept Forward: Stateful,
    pro Wireguard-Verbindung: Wireguard Client Src.Address, LAN-Ziel Dst.Address, In.Interface: WIREGUARD, Out.Interface: Lan-Bridge
  • Internetzugang für LAN: unter IP -> Firewall -> NAT: Chain:dstnat, Protocol:tcp, Dst.Port:80,443, In.Interface oder In.Interface List:festlegen(WAN), Action:dst-nat, To-Adresses:192.168.0.24/32
/ip firewall filter
add action=accept chain=input comment=HTTP/S dst-port=443 in-interface=all-ethernet protocol=tcp
add action=accept chain=input comment=Stateful connection-state=established,related
add action=accept chain=forward comment=Stateful connection-state=established,related
add action=accept chain=input comment=DNS dst-port=56 protocol=tcp
add action=accept chain=input comment=DNS dst-port=56 protocol=udp
 add action=accept chain=input comment=NTP dst-port=123 protocol=udp
add action=accept chain=input comment=SNMP dst-port=161,162 protocol=udp
add action=accept chain=input comment=PING protocol=icmp
add action=accept chain=forward comment=PING protocol=icmp
add action=drop chain=forward comment="DROP ALL"
add action=drop chain=input comment="DROP All"

Firewallregeln
"Action: log" nutzen zur Fehlersuche
Regeln können deaktiviert werden (D/E), ohne sie zu löschen.
In den einzelnen Regeln wird der Traffic für jede Regel angezeigt, d.h. man sieht ob die Regel greift.

  • INPUT Regeln zum Router
  • Erlaube alle Antworten zur Verbindung (statefull): Chain: input,  Connection State: established+related, Action: accept
  • Management-Interface erlauben: Chain: input,  In.Interface: festlegen oder Bridge-LAN, Action: accept
  • DNS-Server des Routers erlauben: Chain: input,  Dst.Address: [LAN-IP des Routers], Protocol: UDP+TCP, Dst.Port: 56(DNS), Action: accept
  • ggf. PING vom LAN erlauben: Chain: input, Protocol: icmp, In.Interface: Bridge-LAN, Action: accept

  • INPUT DROP REGEL
    Drop All: Chain: input, Action: drop
    Achtung! Dann ist alles zu! Ggf. erst Action: log oder "Safe Mode". Zugang lokal immer über WinBox möglich.


  • FORWARD Regeln (Traffic durch den Router)
  • Erlaube alle Antworten zur Verbindung (statefull): Chain: forward,  Connection State: established+related, Action: accept
  • Erlaube lokale PCs über HTTP/S zu Internet: Chain: forward, Dest.Address: NICHT! 192.168.1.0/24 (LAN), Protocol: TCP, Dst.Port: 80,443, In.Interface: LAN-Ports/Bridge, Action: accept
  • Bsp: Erlaube PING LAN ins Gäste-LAN: Chain: forward, Protocol: ICMP, In.Interface: Bridge-LAN, Out.Interface: bridge-gast, Action: accept
  • Bsp: Erlaube WebServer im Gäste-LAN aus LAN: Chain: forward, Protocol: TCP, Dst.Port:80.443, In.Interface: Bridge-LAN, Out.Interface: bridge-gast, Action: accept  (genauso in Gegenrichtung)

  • FORWARD DROP REGELn
  • Drop All: Chain: forward, Action: drop

  • Bsp: Trenne 2 Netze: Chain: forward, Src.Address: 192.168.10.0/24, Dst.Address: 192.168.20.0/24, Action: Accept, dann DROP ALL

Bedienung per Terminal

  • Aktuelle Firmware und mögliche Updates ermitteln /system routerboard print
  • Update Stable Version: /system package update set channel=current
  • Update-Check online: /system package update check-for-updates
  • 1.Schritt: RouterOS Update: /system package update download
  • 2.Wichtig: Reboot!: /system reboot
  • 3.Schritt: Bootlader aktualisieren: /system routerboard upgrade
  • 4.Wieder Reboot: /system reboot
  • SSH Hostkey neu erstellen: /ip ssh regenerate-host-key
  • System-Name setzen: /system identity set name="UKRouter"
  • Benutzer Admin neu einrichten:/user set admin name="maxmuster"
  • Benutzer Passwort setzen: /passwort
  • Routing Table: /ip route print
  • Ping: ping <ip>
  • komplette Konfig ausgeben: /export verbose
  • nur von Default abweichende Konfiguration ausgeben: /export compact
  • Export (compact) in Datei: /export file=configuration.rsc (Datei kann dann unter "Files-Download" übertragen werden
  • Import Konfigurationsdatei von "Files": /import file=configuration.rsc

DHCP-Server

  • IP -> Addresses: feste IP für gewünschtes Interface einrichten (DHCP-Server, Bsp. 192.168.100.1/24)
  • IP -> DHCP-Server -> DHCP: DHCP-Server auf o.g. Interface anlegen (geht auch über Assistent: DHCP-Setup)
  • IP -> DHCP-Server -> Networks: DHCP-LAN (/24), Gateway (IP aus Schritt 1), DNS, NTP
  • IP -> DHCP-Server -> Leases: zeigt die zugewiesenen DHCP-Clients
  • IP -> Pool: DHCP-Pool anlegen, Bereich aus dem DHCP-LAN (192.168.100.10-192.168.100.12), mehrere Bereiche möglich
  • IP -> DHCP-Server -> DHCP: eben definierten Address Pool angeben

VPN IPSec:

VPN Wireguard (ab FW 7):

VPN L2TP:

VPN OpenVPN:

Port based VLAN:

  • VLAN erstellen: Interfaces -> VLAN -> VLAN anlegen (VLANs 10 .. 30, Interface=Uplink Port, Trunk-Port)
  • Router-IP im VLAN erstellen: IP -> Adresses -> IP-Adresse/24, Netzwerkmaske und Interface auf das entsprechende VLAN Interface einstellen
  • ggf. DHCP im VLAN: IP -> Pool -> Bereich definieren (192.168.3.10-192.168.3.20)
  • IP -> DHCP-Server: Interface= (vlan-Interface), Adress-Pool: Pool von oben wählen

VLAN (FW 7.17)
Allgemeines

  • Routing Port ether1 (PoE) darf (in den meisten Setups) nicht Mitglied der VLAN-Bridge sein
  • Interface "VLAN-Bridge" darf keine direkte IP-Adresse besitzen

Einrichtung

  • Bridge -> Bridge -> neue "vlan-bridge" erstellen (VLAN Filterung erstmal AUS)
  • Interfaces -> VLAN -> neus VLAN: Name, VLAN-ID, vlan-bridge eintragen (mehrfach für alle VLANs)
  • IP -> Addresses -> IP-Adresse für jedes VLAN festlegen (192.168.60.1/32, Network: 192.168.60.0)
  • Bridge -> Ports -> NEW:
    - Bridge: vlan-bridge (von oben)
    - VLAN-ID(s) eintragen
    - alle gewünschten VLAN-Ports der VLAN-Bridge zuweisen
      - Untagged Ports: "Admit only untagged and..", PVID entsprechend VLAN
      - Trunk Ports: "Admit All"
  • Bridge -> VLANs: Bridge=vlan-bridge, Tagged=vlan-bridge, alle gewünschten VLAN-IDs
  • Bridge -> Bridge: VLAN-Filterung für vlan-bridge = EIN

siehe auch:

Last Update: 28.01.2026

Quellen und Links:

Last Update: 28.01.2026

PING erlauben in Windows

MS Windows 10/11 und MS Windows Server blockieren PING-Anfragen aus anderen Subnetzen per Firewall in den Default-Einstellungen.
Es antwortet nur auf PING-Anfragen aus dem selben Netz.
(Ohne NAT bleibt beim Routing die Absende-IP unverändert.)
Abhilfe:

  • Freigabe per Firewall-GUI: Eingehende Verbindung, Datei- u. Druckerfreigabe (Echoanforderung ICMP eingehend)
    (alle eingehenden Regeln nach ICMP4 durchsuchen)

  • per GPO: Computerkonfiguration => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows Defender Firewall : "Eingehende ICMP-Ausnahme zulassen" -> Eingehende Echoanforderungen
Last Update: 04.01.2026

Layer 2: VLAN

VLAN (Virtual Local Area Networks)
Logische Netzwerktrennung auf Layer 2

Vorteile:

  • logische Trennung der Netzwerke bei einheitlicher physischer Netzstruktur (Sicherheit, Abgrenzung von IoT, VoIP, iSCSI/Backup usw.)
  • jedes VLAN bildet eine eigene Broadcast-Domain (Traffic wird reduziert und kann in VLANs priorisiert werden)
  • Übertragen mehrerer logisch getrennter VLAN-Netze ist über ein Kabel möglich (Trunking)
  • ein Switch wird mit VLAN in mehrere virtuelle Switche geteilt, auch Switch-übergreifend

Grundlagen:

  • max. 4096 VLANs
  • VLAN-1 ist immer das Default-VLAN im Auslieferungszustand. Geräte ohne VLAN-Tag kommen per Default in VLAN-1.
  • VLAN-7 nutzt die Telekom für VDSL und sollte frei gehalten werden
  • VLAN-fähig sind Layer3-Switche, Router, Linux, VMWare, Windows je nach Netzwerkkarte, diverse Geräte wie NAS, WLAN-AccessPoints usw.
  • jeder Port und jedes Gerät kann Teil nur eines VLANs sein, aber es können ihm mehrere VLANs zugeordnet werden (Trunk)
  • VLAN-Trunks müssen alle VLAN-IDs hinterlegt haben, die sie übertragen sollen. Oder sie sind so konfiguriert, dass sie alle VLANs weiter leiten.
    Dynamische, selbstlernende VLAN-Trunks sind heute Standard.
  • Das PVID-VLAN liegt auch am Trunk immer Untagged an.
  • VLAN-Tags werden vom Ziel-Switch entfernt, wenn der Empfänger-Switchport UNTAGGED ist. Ansonsten gehen die TAGGED Pakete bis zum VLAN-taggingfähigen Zielgerät.
  • Verbinden verschiedener VLANs ist durch gezieltes Routing (Layer 3) möglich
  • VLAN hat per se nichts mit IP-Adressen zu tun
  • Verschiedene VLANs können identische Netzwerkadressen haben, dann ist aber kein Routing möglich.
  • - "Admit ALL" meint "T" - Trunk Port
    - "Admit only UNtagged or PrioTagged" - meint "U" - Access Port für untagged Endgeräte

Verfahren:

- Switch wird pro Port genau einem VLAN zugewiesen (VLAN-ID)
- jeder Port kann Member von mehreren VLANs sein und deren Pakete übertragen (PVID)
- innerhalb eines Switches erfolgt die Kommunikation meist portbasierend, zwischen den Switchen paketbasierend.

  1. (U) Port-basierend (untagged)
    - statische Netzstruktur, unterteilt einen physischen Switch in mehrere logische Switche
    - am Port liegen alle Daten des jeweiligen VLAN an, es werden aber keine VLAN-Informationen nach außen weiter gereicht

  2. (T) TAG-basierend (paketbasiert, framebasiert, tagged)
    - Datenpakete werden mit VLAN-TAG an das nächste Gerät weiter geleitet (Gegenseite muss auch getagged sein)
    - die Kommunikation verschiedener VLANs kann über ein Kabel erfolgen
    - VLAN-TAG wird in IEEE 802.1q festgelegt, Cisco, 3Com u.a. haben teilweise abweichende Standards
    - Anwendung: Uplinks zwischen Switchen, AccessPoints, Hyper-V- und ESX-Servern, VoIP-Telefonen...

Umsetzung:
VLANS werden üblicherweise zwischen Switchen und Routern konfiguriert, Endgeräte haben einen ungetaggten Port mit der passenden VLAN-ID.

  • VLAN tagged
    Tagged Port eingehend: Die VLAN-Markierung wird überprüft aber nicht verändert
    Tagged Port ausgehend: Die VLAN-Markierung wird überprüft aber nicht verändert
  • VLAN untagged - pro Port gibt es max. 1 untagged VLAN
    Untagged Port eingehend: Die VLAN-Markierung wird laut PVID (häufig identlichen mit der untagged VLAN ID) intern im Switch hinzugefügt
    Untagged Port ausgehend: Die VLAN-Markierung wird überprüft und beim Versenden entfernt
  • PVID (Port VLAN ID) - je nach Hersteller, typisch: Netgear, MikroTik, TP-Link
    - bestimmt das VLAN, in das untagged Frames geforwardet werden die an dem Port reinkommen.
    - heisst bei anderen Herstellern native Vlan oder dual Mode VLAN.
    - Jedem Port muss eine PVID zugewiesen werden (standardmäßig PVID 1).
    - Um die Standard-PVID eines Ports zu ändern, muss zunächst ein VLAN erstellt werden, dass den Port als Mitglied enthält.
    This is a term used for non-Cisco switches.
  • Auto-PVID - bei vielen Herstellern ist die PVID automatisch = VLAN-ID



    VLAN-Portdefinition im Lancom Router:

* VLAN am PC:
- Intel oder Realtek Netzwerkkarten unterstützen VLAN
- bei Realtek ist das Realtek Diagnostics Programm erforderlich
1. Original LAN-Karte wird deaktiviert (keine IP)
2. je VLAN wird eine virt. Netzwerkkarte angelegt

* VLAN in VM-Workstation:
1. VLANs über die physische Netzwerkkarte definieren (siehe oben)
2. entsprechende virtuelle Netzwerkkarte mit VLAN der gewünschten VM zuweisen

Dynamische VLANs
Zuordnung zu einem VLAN anhand von MAC-Adresse, IP-Adresse, Protokolltyp oder Anwendungsebene/Portnummer.
Damit kann beispielsweise VoIP priorisiert werden oder ein Mobilgerät unabhängig von seinem Port einem VLAN zugeordnet werden.

Private VLANs
Endgeräte an isolierten Ports können mit dem Internet, aber nicht untereinander kommunizieren.
siehe: https://www.fs.com/de/blog/was-ist-ein-privates-vlan-und-wie-funktioniert-es-16229.html


Quellen:

Last Update: 15.03.2026

Next Generation Firewall

Next-Generation Firewalls kombinieren die Funktionalitäten herkömmlicher professioneller Firewalls wie Paketfilterung, Network Adress Translation (NAT), URL-Blockierung und Virtual Private Networks (VPN) mit modernen Funktionalitäten wie Quality of Service (QoS) und Optionen, die normalerweise nicht in Firewalls zu finden sind. Dazu gehören Intrusion Prevention, SSL und SSH Inspection, Deep-Packet-Inspection, Reputations-basierte Malware-Abwehr oder Applikations-Awareness.
Die hier vorgestellten Unified Firewalls von Rohde & Schwarz Cybersecurity arbeiten nutzerbasierend als Proxy mit AD-Integration.


Die Firewall enthält (mit entsprechender Lizenz) einen mehrstufigen Malware- und Virenschutz.
Neben der lokalen Patternprüfung, Statful Inspection und Deep Inspection im Proxy der Firewall erfolgt eine KI-Prüfung und bei Unklarheit eine Sandboxprüfung bei Avira, so dass eine zuverlässige Fehlererkennung gewährleistet ist.
Die Firewall arbeitet mit einem eigenen Zertifikat und überprüft auch HTTPS-verschlüsselten Datenverkehr.
Sie ersetzt nicht den Client-Virenschutz, aber sie erhöht die Sicherheit der Clients deutlich.

Auch der POP3/S, SMTP/S-, IMAP/S Datenstrom zum Mailserver läßt sich damit überprüfen.
Dafür ist außerdem eine cloudbasierte Spamprüfung konfigurierbar.

Die Firewall besitzt (je nach Modell) mehrere Ports und kann so auch lokale Netzwerk-Zonen voneinander trennen. (1 Gb/s bis 10 Gb/s, Multi-WAN (gewichtetes richtlinienbasiertes Routing / Failover), Lastverteilung)
Die Performance ist für LAN optimiert und übertrifft die WAN-optimierten Lancom-Router um ein Vielfaches.

Der Webfilter unterstützt das Filtern nach URL und Inhalt, anpassbare Regeln für Benutzer, Blacklists / Whitelists, Import / Export von URL-Listen,  Blockieren von angegebenen Dateitypen (beispielsweise kein Download von EXE-Dateien für alle Nutzer außer...), kategoriebasiertes Blockieren von Websites (individuell konfigurierbar), Online-Scan-Technologie, HTTP(S)-Proxy-Unterstützung und eine Override-Funktion für Ausnahmen.

Die Apllication-Kontrolle bietet Layer-7-Paketfilter (Deep Packet Inspection) zum Filtern nach Applikationen (z. B. Facebook, YouTube, BitTorrent etc.).
Hier werden nicht nur Domainnamen, sondern auch Protokolle u.ä. zur Analyse einbezogen.

Eine umfangreiche Netzwerkvisualisierung dient dem Monitoring und der Fehlersuche (Netzwerk, IDS / IPS, Applikationskontrolle, Surfkontrolle, Antivirus / Antispam).

Die Geräte unterstützen VLAN, QoS, VPN (IPSec und SSL).

Hardware, Software und Cloudlösung sind Made in Germany.


Die Modelle ab UF-200 verfügen (mit entsprechender Lizenz) über vollen UTM-Schutz (Malware-, URL- und Spam-Filter, App.-Kontrolle, IDS/IPS, HA).
Die kleinere UF-100 unterstützt nur Malware-, URL- und Spam-Filter und besitzt kein Application Control und IDS (Intrusion Detection System) / IPS (Intrusion Prevention System) und High Availabilty.
Beim kleinsten Modell UF-50 fehlt außerdem Antivirus und Antispam.

Es gibt eine Basic-Softwarelizenz zur Aktivierung der Firewall-Funktionen der jeweiligen Firewall mit SSL Inspection inkl. aller Software-Updates
oder eine Full-Lizenz zur Aktivierung der UTM- & Firewall-Funktionen der Firewall mit Sandboxing, Machine Learning, AV/Malware Protection, SSL Inspection inkl. aller Software-Updates.

 

Einrichtungshinweise siehe hier.

Last Update: 30.12.2025

VPN ist nicht VPN

Virtual Privat Network (VPN) stellt eine verschlüsselte Verbindung über ein unverschlüsseltes Medium her.
Klassische Nutzung:
  • verschlüsselte Verbindung in das eigene Heim- oder Firmennetz über das Internet
  • Vernetzung von Firmen oder Standorten untereinander über das Internet
  • sichere Anbindung von eigenen Cloud-Standorten
  • verschlüsselte Nutzung unsicherer Netzwerke wie öffentliche WLAN über einen "sicheren" eigenen(!) Endpunkt
Sucht man im Internet nach VPN, findet man fast ausschließlich Online-VPN-Anbieter wie NordVPN.
Diese Anbieter bieten eine (VPN-)verschlüsselte Verbindung zu ihren Standorten, um diesen als Einwahlpunkt ins Internet zu nutzen.
Die Interneteinwahl erfogt praktisch erst von deren Standorten, womit man Geoblocking / Ländersperren für Internetseiten oder Streamingdienste umgehen kann. Außerdem schafft es eine gewisse Anonymisierung des Absenders.
Und das ist auch schon der einzige Nutzen.

Was diese Anbieter nicht bieten können ist eine sichere Verbindung, denn man holt sich bewußt als Tunnelende der Verschlüsselung einen fremden VPN-Anbieter.
Die Lösung macht keinen Sinn zur "sicheren" Einwahl ins Internet oder gar zum eigenen Mailprovider.
Ein "richtiges" VPN muß vom eigenen Netz bis zum Zielnetz oder Ziel-PC reichen.
Last Update: 30.12.2025

VPN-Strategie 2025

Stand der Technik

Lange Zeit nutzen wir vorrangig LANCOM Router für VPN-Verbindungen.
Lancom ist ein deutsches Unternehmen, die Router sind zuverlässig, langlebig und nutzen IP-Sec VPN.
Allerdings haben die Geräte ihre Grenzen.
Lancom hat einen VPN-Client für Windows und MacOS, deutlich verspätet auch für Mac M1-Chips. Für Windows-Notebooks mit SOC-(KI)CPU, für Android und auch für Linux gibt es keine direkte VPN-Unterstützung.
Lancom-Router haben keine Nutzerverwaltung und keine Multifaktor-Unterstützung (2FA).
Modernere VPN-Verschlüsselungsprotokolle werden nicht unterstützt.

In den letzten Jahren löste ich die Kompatibilitätsprobleme und fehlende Clients mit Wireguard-VPN.
Wireguard ist Open-Source, modern und robost. Kostenlose VPN-Clients sind für alle Betriebssysteme verfügbar.
Als EU-Hardware kann beispielsweise der lettische Anbieter MikroTik eingesetzt werden.

Allerdings werden auch hier PreShares und Zertifikate fest im Client hinterlegt,- eine Authentisierung beim Verbindungsaufbau ist nicht vorgesehen.
Der aktuelle „Stand der Technik“ entsprechend DSGVO, Cyberversicherungen oder NIS2/Kritis fordert Zwei-Faktor Authentisierung zur Firmeneinwahl.
Last Update: 29.12.2025

Problemlösung: VPN-Gateway

OPNsense Firewall und VPN-Gateway

  • Freie Firewall-Distribution unter FreeBSD-Lizenz, niederländischer Hauptentwickler
  • kostenlose Version und Business-Edition mit Support verfügbar
  • Hardware frei skalierbar für kleine Außenstellen, rauhe Industrieumgebung bis Multiport- HiSpeed-Router, mit SFP+ Modul oder LTE
  • inclusive Open-VPN, kostenlose VPN-Client für alle OS (keine VPN Lizenzkosten)
  • Zwei-Faktor-Authentisierung (TOTP) für Open-VPN voll integriert
  • Anmeldung mit lokalen Usern oder ActiveDirectory Domänen-Usern
  • leistungsfähige Multiport Firewall
  • Next-Generation Firewall zubuchbar (Application Control, Cloud Reputation…)
  • gemeinsam nutzbar mit bestehender Infrastruktur (parallel zu IPsec oder Wireguard)
  • Telefoniefunktionen, SIP oder DSL-Modem sind nicht integriert und erfordern separate Hardware

Hardware-Beispiele:
OPNsense ist ein offener Standard und läuft zu jedem Einsatzzweck auf den passenden Geräten.

Bsp: Industriegehäuse, lüfterlos, DIN-RAIL Halterung für Hutschienenmontage, 24V Schraubstecker
Bsp: lüfterloses Gehäuse, 6-Port Firewall mit 2.5 Gb/s Ports
Bsp: 19" Firewall mit RJ45- und SFP+ Ports
Last Update: 29.12.2025