Vereinfachte Netzwerkanbindung mit Zertifikaten – Proadaptives VPN

Bei VPN-Kopplung von großen Netzwerkstrukturen ist oft gewünscht, dass der Konfigurationsaufwand bei der Einrichtung eines neuen Teilnetzwerks auf den dortigen VPN-Router beschränkt wird und die Konfiguration der zentralen Einwahl-Router unverändert bleiben kann. Um diese vereinfachte Netzwerkanbindung zu erreichen, übermitteln die einwählenden Geräte ihre Identität mit Hilfe eines Zertifikates.

Wenn die vereinfachte Einwahl mit Zertifikaten für den Router in der Zentrale aktiviert ist, können die entfernten Router während der IKE-Verhandlung in Phase 2 selbst ein Netzwerk vorschlagen, dass für die Anbindung verwendet werden soll. Dieses Netzwerk wird z. B. bei der Einrichtung der VPN-Verbindung in den entfernten Router eingetragen. Der Router in der Zentrale akzeptiert das vorgeschlagene Netzwerk, wenn zusätzlich zur vereinfachten Einwahl über VPN > Allgemein > Vereinfachte Einwahl mit Zertifikaten aktiviert die Option VPN > Allgemein > Gegenstelle die Auswahl des entfernten Netzwerks erlauben aktiviert ist. Darüber hinaus müssen die vom Client bei der Einwahl verwendeten Parameter mit den Defaultwerten des VPN-Routers übereinstimmen.

Wichtig: Achten Sie bei der Konfiguration der einwählenden Gegenstellen darauf, dass jede Gegenstelle ein spezielles Netzwerk anfordert, damit es nicht zu Konflikten der Netzwerkadressen kommt.

Die Default-Parameter können bei Bedarf unter VPN > IKE/IPSec > Default-Parameter verändert werden.





Wichtig: Durch das Aktivieren der vereinfachten Zertifikate-Einwahl können sich alle entfernten Router mit einem gültigen Zertifikat, das vom Herausgeber des im Gerät befindlichen Root-Zertifikats signiert ist, in das entsprechende Netzwerk einwählen. Es ist keine weitere Konfiguration des Routers erforderlich! Unerwünschte Einwahlen können ausschließlich über das Sperren der Zertifikate und die Verwendung einer CRL verhindert werden. Die vereinfachte Anbindung von Netzwerken mit Zertifikaten ist daher auf Router beschränkt, die Certificate Revocation Lists (CRL) unterstützen.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo