VPN IPSec-Client für Android (NCP/Lancom/Bintec...)

~ 0 min
2022-07-24 10:39

Der NCP-Client für Android wird nicht weiter entwickelt.
Aktuelle Android-Versionen bieten ihn nicht mehr zur Installation an.
Hat man den NCP-Client bereits, läßt er sich auch auf Android 10 (mit Warnung) installieren und nutzen.

Android 12 unterstützt meist kein IPSec IKE v.1 mehr.
Android 10 unterstützt meist noch kein IPSec IKE v.2.
VPN IKE v.2 geht bei den meisten Geräten ab Android 11 mit dem integrierten Client.
Bei Android System-VPN empfiehlt sich die App: VPN Shortcut.
Ältere Android-Versionen: NCP-Client.
-> Beste Alternative: StrongSwan (IKE v.2 zertifikatsbasiert).

VPN IKE v.2 mit Android v.2-fähigem VPN
https://docplayer.org/191793538-Manuelle-einrichtung-einer-ikev2-client-to-site-vpn-verbindung-ipv4-zwischen-lancom-routern-und-android-endgeraeten.html

VPN IKE v.1 mit Android v.1-fähigem VPN
https://www.it-beratung-koch.de/kb/ipsec-vpn-verbindung-zwischen-lancom-router-und-android/  (PDF-Kopie als Anlage)
DEFAULT-Eintrag in Verbindungsliste ist wichtig für alle Geräte, deren IP der Router nicht kennt (Mobilfunk, dyn. IP)!
DEFAULT-Werte wechseln mit den LCOS-Versionen.
- VPN IKE1 Defaults: "IKE_PRESH_KEY" ggf. durch "WIZ-IKE-PRESH-KEY"
- VPN IKE1 Default IPSec Prosposal Liste (alt):

- VPN IKE1 Default IPSec Prosposal Liste (Stand FW.10.50):


Android 10 (ff.) Konfiguration Systemfunktion IKE v1
Android-Gerät:
- IPSec XAUTH PSK
- IPSec-ID: (ipsec-id)
- vorinstallierter IPSec-Schlüssel: (ipsec-key)
- Nutzername: (nutzer-name)
- beim Verbinden: (nutzer-name) + (passwort)

Router:
- Verbindungsparameter: PFS=2, IKE-Gruppe=2, IKE-Presh-Key
- IKE-Schlüssel: lokale/entfernte Identitäts-Typ: Key-ID, Identität: (ipsec-id), Preshare= (ipsec-key)
- IPSec-Prosposals: TN-AES256-SHA, TN-AES128-SHA
- kein dynam. VPN, Aggressive Mode, IKE-CFG= Server, XAUTH= Server, Regel= manuell, IPv4-Regel: Wiz-Any-To-Any (o.a.)
- kein AH, feste RAS-IP konf. (IPv4-Routing-Tabelle)
- Kommunikation/PPP-Liste: Gegenstelle: (nutzer-name), Passwort= passwort


Android Konfiguration NCP/IKE v1
Android-Gerät:
- XAUTH: nicht gesetzt
- IKE ID Type: FQUN
- IKE: lokale Identität (FQUN)
- Aggresive Mode IKE v1
- PFS: DH-Group 2 (1024bit) / neu: DH14
- IKE DH Group: none / neu: DH2
- IKE Policy: automatic / neu: user defined
  (Encryption: AES 256bit, Hash: SHA)
- IPSec Policy: automatic / neu: User deifined
  (Protocol: ESP, Encryption: AES 256bit, Autentification: SHA)
- Line Timeout: 100 sec
- Connection Mode: Auto reconnect
- IKE config mode

Router:
- IP-Adressen: automatisch, Config-Mode
- PFS-Group manuell setzen
- IPSec HTTPS ein


Advanced VPN-Client für Windows (Android-veraltet)
IPSec VPN-Client von NCP für Windows, MacOS und Android.
Lancom, Bintec, Juniper u.a. kaufen dieses Produkt und passen es an.

ab Version 9.3: IKE V2 inklusive Mobility Extensions (MOBIKE), Mobile Broadband, neue Firewall-Features, Seamless Roaming

ab Version 3.10: Ab dieser Version ist für alle Major-Versionen eine Aktivierung bzw. Update-Installation mit altem Lizenzschlüssel nicht mehr möglich. Bitte beachten Sie folglich, ab Version 3.10 für die Aktivierung zwingend einen Lizenzschlüssel der gleichen Version (3) verwenden zu müssen.

ab Version 3: Unterstützung von Windows 10.
Update auf Version 3: Deinstallation der Vorversion erforderlich! (Vorher Profil sichern!)

ab Version 2.32 Build218: Kopieren der Lizenz bei Neuinstallation nicht mehr möglich!
- neue Funktion zum Deaktiveren der Lizenz im Programm nutzen.
Es werden die aktuellen Lizenzdaten angezeigt und per Mail zugesendet. Die sind für die Neuaktivierung erforderlich.

vor Version 2.32: Übernahme auf neuen PC: Verzeichnis Programme/Lancom sichern, ncp.db (Lizenzdatei) in neue Installation kopieren. Danach kommt Meldung: "Hardware geändert, neu aktivieren" . Das geht problemlos. Geht erst ab V2.2 unter Windows 7!

Versionen Kompatibilitätsliste (Win, macOS): https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=37457108
Aktuelle Versionen: bei NCP.

Updates zu Servicereleases sind kostenlos, Major Releases kostenpflichtig.
Neue Major Releases bis Version 10.1x wurden durch Änderung der ersten Nachkommastelle gekennzeichnet, z.B. 10.00 auf 10.10.
Ab Version 11 werden Major Releases durch Änderungen ganzer Zahlen gekennzeichnet, z.B. 11.x auf 12.x.

-------------------------------------------------------------------
Übernahme Telefonbuch: ncpphone.cfg
Profil sichern: ncpphone.sav im Installationsverzeichnis des Clients.

Übernahme Android über Export / Import.
Die Bedienung ist alles andere als intuitiv, funktioniert aber. (Haken anwählen, dann bestätigen mit ZURÜCK-Button)

 


Alternative VPN-Clients

Lancom myVPN für MacOS - veraltet, nur IKE v1, funktioniert nicht mit aktuellen iOS.
Besser manuell konfigurieren (IPSec over HTTPS aus, Firewallregel nicht vergessen).
(https://support.lancom-systems.com/knowledge/display/KB/IKEv2+VPN-Verbindung+zwischen+LANCOM+Router+und+Apple+iPhone-+oder+iPad-Client)

Windows 10 - OS-Client kann eingeschränkt IKE v2.
Win10 unterstützt kein IKEv2 mit PSK sondern hier nur EAP mit MsCHAPv2 oder mit Zertifikaten.
Im LANCOM darf nicht PSK als Server und Client Identität genommen werden und für die Remote-Auth muss RSA gewählt werden (Authentifizierung mit Client-Zertifikaten).
Quellen:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html#toc-10

Unter Windows 10 ist der Lancom Advanced VPN Client eine gute Lösung.

VPN IPSec zertifikatsbasiert zu Android
https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1398

Durchschnittliche Bewertung 4 (1 Abstimmung)

Es ist möglich, diese FAQ zu kommentieren.