Vorlagen

Die Verbindungs-Vorlagen können verwendet werden, um Werte für Verbindungen vorzudefinieren, die häufig verwendet werden. Alle Werte außer dem Vorlagen-Namen sind optional und füllen das entsprechende Feld einer auf Basis dieser Vorlage erstellten VPN-Verbindung aus.

Es sind verschiedene Vorlagen vordefiniert, wie z. B. die Vorlage "LANCOM Advanced VPN Client", um IPsec-Verbindungen mit diesem Client zu vereinfachen. Die Vorlage "(empty)" kann verwendet werden, falls die Werte einer vorhandenen Verbindungen gelöscht werden sollen.

Wichtig: Die vordefinierten Vorlagen können weder bearbeitet noch gelöscht werden.

Unter VPN > IPsec > Vorlagen können Sie das Fenster IPsec Verbindugs-Vorlage öffnen. Im Fenster IPsec Verbindungs-Vorlage können Sie die folgenden Informationen einsehen und konfigurieren:

Tabelle 1. IPsec Verbindungs-Vorlage
Eingabefeld	Beschreibung
Name	Geben Sie dieser Vorlage einen aussagekräftigen Namen.
Sicherheits-Profil	Wählen Sie eines der vordefinierten Sicherheitsprofile aus.

Im Tab Verbindung können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 2. Verbindung
Eingabefeld	Beschreibung
Verbindung	Eine Netzwerk- oder Internet-Verbindung kann gewählt werden, deren IP-Adressen für die IPsec-Verbindung verwendet werden soll.
Listening-IP-Adressem	Alternativ zur Verbindung können auch benutzerdefinierte IP-Adressen eingetragen werden. Sind hier IP-Adressen gesetzt, so wird die Einstellung Verbindung ignoriert. Werden weder Verbindung noch Listening-IP-Adressen gesetzt, dann verwendet der IPsec-Dienst automatisch eine der konfigurierten IP-Adressen aller Verbindungen.
Remote Gateways	Diese Adresse bzw. Liste von Adressen ist für die Option Verbindung aufbauen notwendig, um die Adresse der Gegenstelle zu bestimmen.
Verbindung aufbauen	Von der Firewall wird eine Verbindung zur im Feld Remote Gateway angegebenen Adresse aufgebaut.
NAT-T erzwingen	Normalerweise wird NAT-T automatisch gesetzt, wenn die Verbindung es erfordert. Wenn dieser Automatismus nicht greift, dann kann über diese Option NAT-T für den Aufbau einer Verbindung erzwungen werden.

Im Tab Tunnel können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 3. Tunnel
Eingabefeld	Beschreibung
Lokale Netzwerke	Lokale Netzwerke, die mit der Gegenstelle verbunden werden sollen.
Remote Netzwerke	Remote-Netzwerke, die mit den lokalen Netzwerken verbunden werden sollen. Wichtig: Es werden alle konfigurierten lokalen mit allen konfigurierten entfernten (Remote) Netzwerken verbunden. Bei IKEv1-Verbindungen und IKEv2-Verbindungen mit aktivierter Option IKEv2-Kompatibilitätsmodus ist die maximale Anzahl an Kombinationen auf 25 begrenzt, bei IKEv2 mit inaktiver Option IKEv2-Kompatibilitätsmodus gibt es keine Begrenzung.
Virtueller IP-Pool	Der Gegenstelle wird eine IP-Adresse aus dem konfigurierten IP-Pool zugewiesen.
IKEv2-Kompatibilitätsmodus	Anstatt alle konfigurierten lokalen und entfernten Netze durch einen einzigen Tunnel zu schicken wird wie bei IKEv1 für jede Verbindung zwischen zwei Netzen ein einzelner Tunnel angelegt. Diese Option ist nur für IKEv2-Verbindungen gültig.

Im Tab Authentifizierung können Sie Vorgaben für die folgenden Felder einstellen:

Tabelle 4. Authentifizierung
Eingabefeld	Beschreibung
Authentifizierungstyp	Geben Sie den Authentifizierungstyp an. Mögliche Werte: Zertifikat – die Authentifizierung wird über ein lokales und ein Remote-Zertifikat durchgeführt. Certificate Authority – die Authentifizierung wird über ein lokales und ein Remote-Zertifikat durchgeführt, das von der ausgewählten CA signiert wurde. PSK (Preshared Key) – die Authentizierung erfolgt über ein Passwort. LTA – bei dem Modus LANCOM Trusted Access wird immer ein Clientzertifikat erwartet und aus diesem Clientzertifikat werden die Gruppen des sich verbindenden Benutzers gelesen, um die dazu passenden Regeln zu aktivieren.
PSK (Preshared Key)	Nur bei Authentifizierungstyp PSK (Preshared Key) – Geben Sie das zu verwendende Passwort an.
Lokales Zertifikat	Das Zertifikat der Firewall zur Authentifizierung. Dieses muss einen Private Key beinhalten.
Lokaler Identifier	Ist diese Feld leer, wird bei PSK-Authentifizierung automatisch die ausgehende IP-Adresse der Firewall verwendet und bei Zertifikat-Authentifizierung der Distinguished Name (DN) des ausgewählten lokalen Zertifikats. Bei PSK-Authentifizierung sind die folgenden Werte erlaubt: IP-Adressen, Fully Qualified Domain Names (FQDN), E‑Mail Adressen (FQUN) und freier Text zwischen Anführungszeichen ("). Bei Zertifikat-Authentifizierung sind die folgenden Werte erlaubt: Den Distinguished Name (DN) des ausgewählten Zertifikats, Wildcard DN – Alle DN Elemente müssen (in korrekter Reihenfolge) vorhanden sein, dürfen aber als Wildcard (z.B. CN=*) angegeben werden – eventuelle Subject Alternative Names (SAN) des ausgewählten Zertifikats.
Erweiterte Authentifizierung	Aktiviert die optionale Verwendung einer zusätzlichen Benutzer-Authentifizierung. Sobald Sie ein Sicherheitsprofil ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung: Keine erweiterte Authentifizierung – Keine erweiterte Authentifizierung durchführen. XAUTH (IKEv1) – Es wird entweder die lokale Benutzerdatenbank oder ein RADIUS-Server verwendet (je nachdem, ob in den IPSec-Einstellungen RADIUS aktiv ist oder nicht). EAP First Round – Es wird ein externer RADIUS-Server verwendet, der in den IPSec-Einstellungen aktiviert sein muss. Die Konfiguration für den RADIUS-Server wird in den IPSec-Einstellungen vorgenommen. Die Einstellungen im Bereich Lokal dienen zur Authentifizierung der Firewall bei der Gegenstelle. Die Gegenstelle authentifiziert sich lediglich per EAP. EAP Second Round – Es wird ein externer RADIUS-Server verwendet, der in den IPSec-Einstellungen aktiviert sein muss. Die Konfiguration für den RADIUS-Server wird in den IPSec-Einstellungen vorgenommen. Die Einstellungen im Bereich Lokal dienen zur Authentifizierung der Firewall bei der Gegenstelle. Die Gegenstelle authentifiziert sich mit dem PSK oder einem Zertifikat bei der Firewall und führt danach eine EAP-Authentifizierung durch. EAP-TLS – Entspricht der Variante EAP First Round mit dem Unterschied, dass ein TLS-Zertifikat zur EAP-Authentifizierung verwendet wird. Anmerkung: Bei IKEv1 stehen unabhängig vom Authentifizierungstyp die Optionen Keine erweiterte Authentifizierung und XAUTH (IKEv1) zur Verfügung. Bei IKEv2 mit Zertifikats- bzw. PSK-Authentifizierung stehen mit Ausnahme von XAUTH (IKEv1) alle Optionen zur Verfügung. Bei IKEv2 mit CA-Authentifizierung stehen die Optionen Keine erweiterte Authentifizierung und EAP Second Round zur Verfügung.
Remote Zertifikat	Nur bei Authentifizierungstyp "Zertifikat": Zertifikat der Gegenstelle.
Certificate Authority	Nur bei Authentifizierungstyp "Certificate Authority": Eine CA, deren signierte Zertifikate für die Authentifizierung verwendet werden können.
Remote Identifier	Ist diese Feld leer, wird bei PSK-Authentifizierung automatisch die IP-Adresse des Remote Gateways verwendet, falls diese gesetzt wurde. Bei Zertifikat-Authentifizierung der Distinguished Name (DN) des ausgewählten remote Zertifikats. Bei PSK-Authentifizierung sind die folgenden Werte erlaubt: IP-Adressen, Fully Qualified Domain Names (FQDN), E‑Mail Adressen (FQUN) und freier Text zwischen Anführungszeichen ("). Bei Zertifikat-Authentifizierung sind die folgenden Werte erlaubt: Den Distinguished Name (DN) des ausgewählten Zertifikats, Wildcard DN – Alle DN Elemente müssen (in korrekter Reihenfolge) vorhanden sein, dürfen aber als Wildcard (z.B. CN=*) angegeben werden – eventuelle Subject Alternative Names (SAN) des ausgewählten Zertifikats.

Im Tab Routing können Sie die folgenden Felder konfigurieren:

Tabelle 5. Routing
Eingabefeld	Beschreibung
Routen-basiertes IPsec	Diese Option erlaubt es, bei Aktivierung durch das ausschließlich manuelle Festlegen von Routing-Regeln und Routing-Tabellen (bzw. deren Einträgen), genau festzulegen, welcher Datenverkehr durch einen Tunnel geleitet werden soll. Das ist insbesondere dann hilfreich, wenn in der Verbindung verwendete Netze (lokale Netze oder remote Netze) sich auf unerwünschte Art mit weiteren auf dem Gerät definierten Netzen überschneiden. In den Dialogen zur Routing-Konfiguration (Routing-Regeln und -Tabellen) können an den Stellen, wo Quell- / Ziel-Interfaces ausgewählt werden können, nach Aktivierung dieser Option auch diejenigen IPSec-Verbindungen ausgewählt werden, für die Routen-basiertes IPsec aktiviert wurde. Zur einfacheren Unterscheidung von anderen Interfaces sind diese mit einem Vorhängeschloss markiert.
MTU	Hier können Sie die MTU (Maximum Transmission Unit), also die maximale Größe eines unfragmentierten Datenpakets einstellen. Standardmäßig liegt sie bei 1400.

Im Tab Traffic-Shaping können Sie die folgenden Felder konfigurieren:

Eingabefeld	Beschreibung
Traffic-Gruppe	Wählen Sie optional den Namen einer Traffic-Gruppe aus. Dadurch werden die für diese Gruppe definierten Regeln für den Datenverkehr auf dieser Verbindung angewendet. Siehe auch Traffic Shaping. Anmerkung: Falls es sich um einen Routen-basierten IPsec-Tunnel handelt, kann der Datenverkehr innerhalb eines Tunnels mit Hilfe einer eigenen Shaping-Konfiguration priorisiert werden.
DSCP ausgehend	Wählen Sie einen optionalen DSCP-Wert für ausgehenden Datenverkehr aus der Liste aus. Die Liste enthält die Bezeichnungen aus den relevanten RFCs (z. B. "CS0") und der Gruppe (z. B. "Standard"). Zusätzlich wird der Wert ebenfalls in seiner numerischen Repräsentation zu verschiedenen Basen (binär, hexadezimal und dezimal) angezeigt. Die Liste kann entsprechend dieser Darstellungen durchsucht werden, so dass Sie unabhängig von der individuell bevorzugten Darstellung schnell den gewünschten Wert finden.

Eingabefeld

Beschreibung

Traffic-Gruppe

Wählen Sie optional den Namen einer Traffic-Gruppe aus. Dadurch werden die für diese Gruppe definierten Regeln für den Datenverkehr auf dieser Verbindung angewendet. Siehe auch Traffic Shaping.

Anmerkung: Falls es sich um einen Routen-basierten IPsec-Tunnel handelt, kann der Datenverkehr innerhalb eines Tunnels mit Hilfe einer eigenen Shaping-Konfiguration priorisiert werden.

DSCP ausgehend

Wählen Sie einen optionalen DSCP-Wert für ausgehenden Datenverkehr aus der Liste aus. Die Liste enthält die Bezeichnungen aus den relevanten RFCs (z. B. "CS0") und der Gruppe (z. B. "Standard"). Zusätzlich wird der Wert ebenfalls in seiner numerischen Repräsentation zu verschiedenen Basen (binär, hexadezimal und dezimal) angezeigt. Die Liste kann entsprechend dieser Darstellungen durchsucht werden, so dass Sie unabhängig von der individuell bevorzugten Darstellung schnell den gewünschten Wert finden.

Klicken Sie auf Erstellen.

Der Dialog IPsec Verbindugs-Vorlage schließt sich. Die neue Vorlage wird zur Liste der verfügbaren Vorlagen in der Objektleiste hinzugefügt.