IPsec-Verbindungs-Einstellungen

Unter VPN > IPsec > Verbindungen können Sie eine IPsec-Verbindung hinzufügen, oder eine vorhandene Verbindung bearbeiten.

Im Bearbeitungsfenster Verbindung können Sie die folgenden Elemente konfigurieren:

Eingabefeld	Beschreibung
I/0	Ein Schiebeschalter gibt an, ob die IPSec-Verbindung derzeit aktiv (I) oder inaktiv (0) ist. Mit einem Klick auf den Schiebeschalter können Sie den Status der Verbindung ändern. Eine neue Verbindung ist standardmäßig aktiviert.
Name	Geben Sie einen eindeutigen Namen für die Verbindung ein. Dieser muss aus einem bis 63 alphanumerischen Zeichen und Unterstrichen bestehen.
Vorlage	Wählen Sie optional eine der vordefinierten Vorlagen aus. Alle Einstellungen werden entsprechend der gesetzten Werte aus der Vorlage verwendet. Werte die nicht in der Vorlage gesetzt wurden, werden zurückgesetzt. Daher kann die Vorlage "(empty)" verwendet werden, um alle Werte zurückzusetzen.
Sicherheits-Profil	Wählen Sie eines der vordefinierten Sicherheitsprofile aus.

Im Tab Verbindung können Sie die folgenden Felder konfigurieren:

Tabelle 1. Verbindung
Eingabefeld	Beschreibung
Verbindung	Eine Netzwerk- oder Internet-Verbindung kann gewählt werden, deren IP-Adressen für die IPsec-Verbindung verwendet werden soll.
Listening-IP-Adressem	Alternativ zur Verbindung können auch benutzerdefinierte IP-Adressen eingetragen werden. Klicken Sie rechts auf , um Ihren Eintrag zur Liste hinzuzufügen. Sind hier IP-Adressen gesetzt, so wird die Einstellung Verbindung ignoriert. Werden weder Verbindung noch Listening-IP-Adressen gesetzt, dann verwendet der IPsec-Dienst automatisch eine der konfigurierten IP-Adressen aller Verbindungen.
Remote Gateways	Diese Adresse bzw. Liste von Adressen ist für die Option Verbindung aufbauen notwendig, um die Adresse der Gegenstelle zu bestimmen.
Verbindung aufbauen	Von der Firewall wird eine Verbindung zur im Feld Remote Gateway angegebenen Adresse aufgebaut.
NAT-T erzwingen	Normalerweise wird NAT-T automatisch gesetzt, wenn die Verbindung es erfordert. Wenn dieser Automatismus nicht greift, dann kann über diese Option NAT-T für den Aufbau einer Verbindung erzwungen werden.

Im Tab Tunnel können Sie die folgenden Felder konfigurieren:

Tabelle 2. Tunnel
Eingabefeld	Beschreibung
Lokale Netzwerke	Lokale Netzwerke, die mit der Gegenstelle verbunden werden sollen. Klicken Sie rechts auf , um Ihren Eintrag zur Liste hinzuzufügen.
Remote Netzwerke	Remote-Netzwerke, die mit den lokalen Netzwerken verbunden werden sollen. Klicken Sie rechts auf , um Ihren Eintrag zur Liste hinzuzufügen. Wichtig: Es werden alle konfigurierten lokalen mit allen konfigurierten entfernten (Remote) Netzwerken verbunden. Bei IKEv1-Verbindungen und IKEv2-Verbindungen mit aktivierter Option IKEv2-Kompatibilitätsmodus ist die maximale Anzahl an Kombinationen auf 25 begrenzt, bei IKEv2 mit inaktiver Option IKEv2-Kompatibilitätsmodus gibt es keine Begrenzung.
Virtueller IP-Pool	Der Gegenstelle wird eine IP-Adresse aus dem konfigurierten IP-Pool zugewiesen.
Virtuelle IP	Weisen Sie der Gegenstelle eine bestimmte IP-Adresse zu. Wichtig: Die Optionen Remote-Netzwerke, Virtueller IP-Pool und Virtuelle IP sollten nicht zusammen verwendet werden
IKEv2-Kompatibilitätsmodus	Anstatt alle konfigurierten lokalen und entfernten Netze durch einen einzigen Tunnel zu schicken wird wie bei IKEv1 für jede Verbindung zwischen zwei Netzen ein einzelner Tunnel angelegt. Diese Option ist nur für IKEv2-Verbindungen gültig.

Im Tab Authentifizierung können Sie die folgenden Felder konfigurieren:

Tabelle 3. Authentifizierung
Eingabefeld	Beschreibung
Authentifizierungstyp	Geben Sie den Authentifizierungstyp an. Mögliche Werte: Zertifikat – die Authentifizierung wird über ein lokales und ein Remote-Zertifikat durchgeführt. Certificate Authority – die Authentifizierung wird über ein lokales und ein Remote-Zertifikat durchgeführt, das von der ausgewählten CA signiert wurde. PSK (Preshared Key) – die Authentizierung erfolgt über ein Passwort. LTA – bei dem Modus LANCOM Trusted Access wird immer ein Clientzertifikat erwartet und aus diesem Clientzertifikat werden die Gruppen des sich verbindenden Benutzers gelesen, um die dazu passenden Regeln zu aktivieren.
PSK (Preshared Key)	Nur bei Authentifizierungstyp PSK (Preshared Key) – Geben Sie das zu verwendende Passwort an.
Lokales Zertifikat	Das Zertifikat der Firewall zur Authentifizierung. Dieses muss einen Private Key beinhalten.
Lokaler Identifier	Ist dieses Feld leer, wird bei PSK-Authentifizierung automatisch die ausgehende IP-Adresse der Firewall verwendet und bei Zertifikat-Authentifizierung der Distinguished Name (DN) des ausgewählten lokalen Zertifikats. Bei PSK-Authentifizierung sind die folgenden Werte erlaubt: IP-Adressen, Fully Qualified Domain Names (FQDN), E‑Mail Adressen (FQUN) und freier Text zwischen Anführungszeichen ("). Bei Zertifikat-Authentifizierung sind die folgenden Werte erlaubt: Den Distinguished Name (DN) des ausgewählten Zertifikats, Wildcard DN – Alle DN Elemente müssen (in korrekter Reihenfolge) vorhanden sein, dürfen aber als Wildcard (z.B. CN=*) angegeben werden – eventuelle Subject Alternative Names (SAN) des ausgewählten Zertifikats.
Erweiterte Authentifizierung	Aktiviert die optionale Verwendung einer zusätzlichen Benutzer-Authentifizierung. Sobald Sie ein Sicherheitsprofil ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung: Keine erweiterte Authentifizierung – Keine erweiterte Authentifizierung durchführen. XAUTH (IKEv1) – Es wird entweder die lokale Benutzerdatenbank oder ein RADIUS-Server verwendet (je nachdem, ob in den IPSec-Einstellungen RADIUS aktiv ist oder nicht). EAP First Round – Es wird ein externer RADIUS-Server verwendet, der in den IPSec-Einstellungen aktiviert sein muss. Die Konfiguration für den RADIUS-Server wird in den IPSec-Einstellungen vorgenommen. Die Einstellungen im Bereich Lokal dienen zur Authentifizierung der Firewall bei der Gegenstelle. Die Gegenstelle authentifiziert sich lediglich per EAP. EAP Second Round – Es wird ein externer RADIUS-Server verwendet, der in den IPSec-Einstellungen aktiviert sein muss. Die Konfiguration für den RADIUS-Server wird in den IPSec-Einstellungen vorgenommen. Die Einstellungen im Bereich Lokal dienen zur Authentifizierung der Firewall bei der Gegenstelle. Die Gegenstelle authentifiziert sich mit dem PSK oder einem Zertifikat bei der Firewall und führt danach eine EAP-Authentifizierung durch. EAP-TLS – Entspricht der Variante EAP First Round mit dem Unterschied, dass ein TLS-Zertifikat zur EAP-Authentifizierung verwendet wird. Anmerkung: Bei IKEv1 stehen unabhängig vom Authentifizierungstyp die Optionen Keine erweiterte Authentifizierung und XAUTH (IKEv1) zur Verfügung. Bei IKEv2 mit Zertifikats- bzw. PSK-Authentifizierung stehen mit Ausnahme von XAUTH (IKEv1) alle Optionen zur Verfügung. Bei IKEv2 mit CA-Authentifizierung stehen die Optionen Keine erweiterte Authentifizierung und EAP Second Round zur Verfügung.
Remote Zertifikat	Nur bei Authentifizierungstyp "Zertifikat": Zertifikat der Gegenstelle.
Certificate Authority	Nur bei Authentifizierungstyp "Certificate Authority": Eine CA, deren signierte Zertifikate für die Authentifizierung verwendet werden können.
Remote Identifier	Ist dieses Feld leer, wird bei PSK-Authentifizierung automatisch die IP-Adresse des Remote Gateways verwendet, falls diese gesetzt wurde. Bei Zertifikat-Authentifizierung der Distinguished Name (DN) des ausgewählten remote Zertifikats. Bei PSK-Authentifizierung sind die folgenden Werte erlaubt: IP-Adressen, Fully Qualified Domain Names (FQDN), E‑Mail Adressen (FQUN) und freier Text zwischen Anführungszeichen ("). Bei Zertifikat-Authentifizierung sind die folgenden Werte erlaubt: Den Distinguished Name (DN) des ausgewählten Zertifikats, Wildcard DN – Alle DN Elemente müssen (in korrekter Reihenfolge) vorhanden sein, dürfen aber als Wildcard (z.B. CN=*) angegeben werden – eventuelle Subject Alternative Names (SAN) des ausgewählten Zertifikats.

Im Tab Routing können Sie die folgenden Felder konfigurieren:

Tabelle 4. Routing
Eingabefeld	Beschreibung
Routen-basiertes IPsec	Diese Option erlaubt es, bei Aktivierung durch das ausschließlich manuelle Festlegen von Routing-Regeln und Routing-Tabellen (bzw. deren Einträgen), genau festzulegen, welcher Datenverkehr durch einen Tunnel geleitet werden soll. Das ist insbesondere dann hilfreich, wenn in der Verbindung verwendete Netze (lokale Netze oder remote Netze) sich auf unerwünschte Art mit weiteren auf dem Gerät definierten Netzen überschneiden. In den Dialogen zur Routing-Konfiguration (Routing-Regeln und -Tabellen) können an den Stellen, wo Quell- / Ziel-Interfaces ausgewählt werden können, nach Aktivierung dieser Option auch diejenigen IPSec-Verbindungen ausgewählt werden, für die Routen-basiertes IPsec aktiviert wurde. Zur einfacheren Unterscheidung von anderen Interfaces sind diese mit einem Vorhängeschloss markiert.
MTU	Hier können Sie die MTU (Maximum Transmission Unit), also die maximale Größe eines unfragmentierten Datenpakets einstellen. Standardmäßig liegt sie bei 1400.

Im Tab Traffic-Shaping können Sie die folgenden Felder konfigurieren:

Eingabefeld	Beschreibung
Traffic-Gruppe	Wählen Sie optional den Namen einer Traffic-Gruppe aus. Dadurch werden die für diese Gruppe definierten Regeln für den Datenverkehr auf dieser Verbindung angewendet. Siehe auch Traffic Shaping. Anmerkung: Falls es sich um einen Routen-basierten IPsec-Tunnel handelt, kann der Datenverkehr innerhalb eines Tunnels mit Hilfe einer eigenen Shaping-Konfiguration priorisiert werden.
DSCP ausgehend	Wählen Sie einen optionalen DSCP-Wert für ausgehenden Datenverkehr aus der Liste aus. Die Liste enthält die Bezeichnungen aus den relevanten RFCs (z. B. "CS0") und der Gruppe (z. B. "Standard"). Zusätzlich wird der Wert ebenfalls in seiner numerischen Repräsentation zu verschiedenen Basen (binär, hexadezimal und dezimal) angezeigt. Die Liste kann entsprechend dieser Darstellungen durchsucht werden, so dass Sie unabhängig von der individuell bevorzugten Darstellung schnell den gewünschten Wert finden.

Eingabefeld

Beschreibung

Traffic-Gruppe

Wählen Sie optional den Namen einer Traffic-Gruppe aus. Dadurch werden die für diese Gruppe definierten Regeln für den Datenverkehr auf dieser Verbindung angewendet. Siehe auch Traffic Shaping.

Anmerkung: Falls es sich um einen Routen-basierten IPsec-Tunnel handelt, kann der Datenverkehr innerhalb eines Tunnels mit Hilfe einer eigenen Shaping-Konfiguration priorisiert werden.

DSCP ausgehend

Wählen Sie einen optionalen DSCP-Wert für ausgehenden Datenverkehr aus der Liste aus. Die Liste enthält die Bezeichnungen aus den relevanten RFCs (z. B. "CS0") und der Gruppe (z. B. "Standard"). Zusätzlich wird der Wert ebenfalls in seiner numerischen Repräsentation zu verschiedenen Basen (binär, hexadezimal und dezimal) angezeigt. Die Liste kann entsprechend dieser Darstellungen durchsucht werden, so dass Sie unabhängig von der individuell bevorzugten Darstellung schnell den gewünschten Wert finden.

Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue VPN-IPsec-Verbindung hinzufügen oder eine bestehende Verbindung bearbeiten. Klicken Sie für eine neu konfigurierte Netzwerkverbindung auf Erstellen, um die Verbindung zur Liste der verfügbaren IPSec-Netzwerkverbindungen hinzuzufügen, oder auf Abbrechen, um die Erstellung einer neuen Netzwerkverbindung abzubrechen.

Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).

Klicken Sie auf Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.