IKEv2 / IKEv2 mit LANconfig konfigurieren
Übergeordnetes Thema: IKEv2 mit LANconfig konfigurieren

Authentifizierung

In dieser Tabelle konfigurieren Sie die Parameter für die IKEv2-Authentifizierung der lokalen und mindestens einer entfernten Identität.





Name
Enthält den eindeutigen Namen dieses Eintrages. Diesen Namen ordnen Sie den Verbindungen in der Verbindungs-Liste im Feld "Authentifizierung" zu.
Lokale Authentifizierung
Legt die Authentifizierungsmethode für die lokale Identität fest. Mögliche Werte sind:
  • PSK: Pre-Shared Key
  • RSA-Signature: Verwendung von digitalen Zertifikaten mit privatem RSA-Schlüssel und RSA-Signaturschema
  • Digitale-Signatur: Verwendung von konfigurierbaren Authentifizierungsmethoden mit digitalen Zertifikaten nach RFC 7427. Dieses Verfahren ist ein erweiterbares und flexibles Authentifizierungsverfahren, bei dem z. B. Padding- und Hash-Verfahren frei konfiguriert werden können.
Das Gerät verwendet die konfigurierte Authentifizierungsmethode beim Verbindungsaufbau mit der Gegenstelle. Die Methode muss mit der entsprechenden Konfiguration auf der Gegenseite übereinstimmen. Dabei es möglich, unterschiedliche Authentifizierungsverfahren für die lokale und entfernte Authentifizierung zu verwenden. Beispielsweise kann sich die Zentrale per RSA-Signature ausweisen, während Filialen oder Clients PSK zur Authentifizierung verwenden.
Lokales Digitales Signatur-Profil
Profilname des verwendeten lokalen Digital-Signatur-Profils.
Lokaler Identitätstyp
Zeigt den ID-Typ der lokalen Identität an. Entsprechend interpretiert das Gerät die Eingabe unter "Lokale Identität". Mögliche Angaben sind:
  • Keine Identität: Es wird keine Identität übertragen.
  • IPv4-Adresse: Das Gerät verwendet eine IPv4-Adresse als lokale ID.
  • IPv6-Adresse: Das Gerät verwendet eine IPv6-Adresse als lokale ID.
  • Domänen-Name (FQDN): Das Gerät verwendet einen Domänen-Namen als lokale ID.
  • E-Mail-Adresse (FQUN): Das Gerät verwendet eine E-Mail-Adresse als lokale ID.
  • ASN.1-Distinguished-Name: Das Gerät verwendet einen Distinguished Name als lokale ID (z. B. "CN=client01.example.com,O=test,C=DE"
  • Key-ID (Gruppenname): Das Gerät verwendet den Gruppennamen als lokale ID. Den Gruppennamen können sie beliebig definieren.
Lokale Identität
Enthält die lokale Identität. Die Bedeutung dieser Eingabe ist abhängig von der Einstellung unter "Lokaler Identitätstyp".
Lokales Passwort
Enthält das Passwort der lokalen Identität. Mit diesem Passwort authentifiziert sich das Gerät bei der Gegenseite. Das lokale und entfernte Passwort kann identisch oder unterschiedlich sein.
Entfernte Authentifizierung
Legt die Authentifizierungsmethode für die entfernte Identität fest. Mögliche Werte sind:
  • PSK: Pre-Shared Key
  • RSA-Signature: Verwendung von digitalen Zertifikaten mit privatem RSA-Schlüssel und RSA-Signaturschema
  • Digitale-Signatur: Verwendung von konfigurierbaren Authentifizierungsmethoden mit digitalen Zertifikaten nach RFC 7427. Dieses Verfahren ist ein erweiterbares und flexibles Authentifizierungsverfahren, bei dem z. B. Padding- und Hash-Verfahren frei konfiguriert werden können.
Das Gerät verwendet die konfigurierte Authentifizierungsmethode beim Verbindungsaufbau mit der Gegenstelle. Die Methode muss mit der entsprechenden Konfiguration auf der Gegenseite übereinstimmen. Dabei es möglich, unterschiedliche Authentifizierungsverfahren für die lokale und entfernte Authentifizierung zu verwenden. Beispielsweise kann sich die Zentrale per RSA-Signature ausweisen, während Filialen oder Clients PSK zur Authentifizierung verwenden.
Entferntes Digitales Signatur-Profil
Profilname des entfernten Digital-Signatur-Profils.
Entfernter Identitätstyp
Zeigt den ID-Typ an, den das Gerät von der entfernten Identität erwartet. Entsprechend interpretiert das Gerät die Eingabe unter "Entfernte Identität". Mögliche Angaben sind:
  • Keine Identität: Das Gerät akzeptiert jede ID des entfernten Gerätes. Eine Angabe im Feld "Entfernte Identität" ignoriert das Gerät.
  • IPv4-Adresse: Das Gerät erwartet eine IPv4-Adresse als entfernte ID.
  • IPv6-Adresse: Das Gerät erwartet eine IPv6-Adresse als entfernte ID.
  • Domänen-Name (FQDN): Das Gerät erwartet einen Domänen-Namen als entfernte ID.
  • E-Mail-Adresse (FQUN): Das Gerät erwartet eine E-Mail-Adresse als entfernte ID.
  • ASN.1-Distinguished-Name: Das Gerät erwartet einen Distinguished Name als entfernte ID (z. B. "CN=client01.example.com,O=test,C=DE").
  • Key-ID (Gruppenname): Das Gerät erwartet den Gruppennamen als entfernte ID.
Entfernte Identität
Enthält die entfernte Identität. Die Bedeutung dieser Eingabe ist abhängig von der Einstellung unter "Entfernter Identitätstyp".
Entferntes Passwort
Enthält das Passwort der entfernten Identität.
Weitere entf. Identitäten
Für redundante VPN-Szenarien ist die Angabe von alternativen entfernten Identitäten möglich. Konfigurieren Sie hier weitere entfernte Identitäten aus der Tabelle Erweiterte Einstellungen > Identitäten-Liste.
Lokales Zertifikat
Zeigt das lokale Zertifikat an.
Entfernte Zertifikatsprüfung
Diese Option bestimmt, ob das Gerät prüft, ob die angegebene entfernte Identität im empfangenen Zertifikat enthalten ist.
OCSP-Überprüfung
Mit dieser Einstellung aktivieren Sie die Echtzeitüberprüfung eines X.509-Zertifikats via OCSP, welche den Gültigkeitsstatus des Zertifikates der Gegenstelle abfragt. Um die OCSP-Prüfung für einzelne VPN-Verbindungen zu verwenden, müssen Sie zunächst den globalen OCSP-Client für VPN-Verbindungen aktivieren und anschließend Profillisten gültiger Zertifizierungsstellen anlegen, bei denen das Gerät die Echtzeitprüfung durchführt.
Übergeordnetes Thema: IKEv2 mit LANconfig konfigurieren

www.lancom-systems.de

LANCOM Systems GmbH | Adenauerstr. 20/B2 | 52146 Wuerselen | Deutschland | E-Mail info@lancom.de

LANCOM-Logo