Die Basis für den Aufbau eines VPN-Tunnels zwischen zwei Netzwerken stellen die „Security Associations“ (SAs) dar. In einer SA sind u.a. folgende Parameter definiert:
- IP-Adressen von Quell- und Zielnetzwerk
- Verfahren zur Verschlüsselung, Integritätsprüfung und Authentifizierung
- Schlüssel für die Verbindung
- Gültigkeitsdauer der verwendeten Schlüssel
Die Security Associations werden durch automatisch oder manuell erzeugte VPN-Regeln definiert.
Der Aufbau der Security Associations wird normalerweise durch ein IP-Paket angestossen, das vom Quell- ins Zielnetz übertragen werden soll. Im Fall von Keep-Alive-Verbindungen ist dies ein ICMP-Paket, daß durch einen Eintrag in der Polling-Tabelle an die Gegenstelle verschickt wird.
In komplexen Netzwerk-Szenarien kommt es vor, dass zwischen zwei VPN-Gateways mehrere Netzbeziehungen definiert sind. Wird nun ein einzelnes IP-Paket übertragen, dann werden auch nur die SAs für genau diese eine, auf dieses Paket passende Netzbeziehung aufgebaut. Zum Aufbau der anderen SAs werden wiederum zu den anderen Netzbeziehungen passende IP-Pakete benötigt.
Der Aufbau von SAs aufgrund von Datenpaketen benötigt zum einen Zeit und zum anderen führt es zu Paketverlusten, solange die SAs noch nicht installiert sind. Aber gerade das ist – insbesondere bei Keep-Alive Verbindungen – oft nicht gewünscht. Stattdessen sollen alle SAs sofort aufgebaut werden, die zu den in der Gegenstelle definierten Netzbeziehungen passen. Da aber das Aushandeln aller SAs gerade in komplexen Szenarien viel CPU-Leistung benötigt, kann das Verhalten über den Parameter „SA-Aufbau-gemeinsam“ festgelegt werden.
- SA-Aufbau-gemeinsam
- Ja: Alle im Gerät definierten SAs werden aufgebaut.
- Nein [Default]: Nur die explizit durch ein zu übertragenes Paket angesprochene SA wird aufgebaut.
- nur-bei-KeepAlive: Alle definierten SAs werden aufgebaut, für deren Gegenstelle in der VPN-Verbindungsliste eine Haltezeit von '9999' eingestellt ist (Keep Alive).
Anmerkung: Die Voreinstellung für den ausschließlichen Aufbau von explizit angesprochenen SAs reicht in den meisten Fällen aus, insbesondere wenn nur automatisch erzeugte VPN-Regeln verwendet werden.Die aktuell vorhandenen SAs können unter /Status/VPN eingesehen werden.