Vereinfachte Einwahl mit Zertifikaten

Bei der Einwahl von Rechnern mit wechselnden IP-Adressen ist zu Beginn der IKE-Verhandlung (Phase 1) die Identität der Gegenstelle noch nicht bekannt, zur Kommunikation werden Defaultwerte für IKE-Proposal-Listen und IKE-Proposal-Gruppen verwendet. Während der Verhandlung wird die Identität übermittelt, anhand derer die Parameter für die Phase 2 bestimmt werden können (IPSec-Proposal-Liste und PFS-Gruppe). Um diese Zuordnung zu ermöglichen, muss allerdings jeder einzelne Benutzer separat in der Konfiguration des VPN-Routers eingetragen werden.

Bei der zertifikatsbasierten Einwahl wird über das Zertifikat eine Identität übermittelt. Um nicht jeweils eigene Benutzereinträge in der Router-Konfiguration anlegen zu müssen, können für alle über Zertifikate identifizierbaren Benutzer gemeinsame Parameter für Phase 2 definiert werden. Bei dieser vereinfachten Einwahl muss der Benutzer nur über ein gültiges Zertifikat verfügen, das vom Herausgeber des im Gerät befindlichen Root-Zertifikats signiert ist. Darüber hinaus müssen die vom Client bei der Einwahl verwendeten Parameter mit den Defaultwerten des VPN-Routers übereinstimmen.

Anmerkung: Informationen über die Konfiguration des VPN-Clients entnehmen Sie bitte der entsprechenden Dokumentation des Software-Herstellers.

Zur Konfiguration der vereinfachten Einwahl wird diese Funktion aktiviert. Die Default-Parameter können bei Bedarf verändert werden.





Konfigurationstool Aufruf
LANconfig VPN / Allgemein und VPN / Allgemein / Defaults
WEBconfig, Telnet LCOS-Menübaum > Setup > VPN
Anmerkung: Durch das Aktivieren der vereinfachten Zertifikate-Einwahl können sich alle Clients mit einem gültigen Zertifikat, das vom Herausgeber des im Gerät befindlichen Root-Zertifikats signiert ist, in das entsprechende Netzwerk einwählen. Es ist keine weitere Konfiguration des Routers erforderlich! Unerwünschte Einwahlen können ausschließlich über das Sperren der Zertifikate und die Verwendung einer CRL verhindert werden.