IPsec-Verbindungen

Mit Hilfe des Menüs IPsec können Sie IPsec-Verbindungen und Failover-Gruppen erstellen und verwalten.
Bei IP Security (IPsec) handelt es sich um eine Reihe von Protokollen, die für die kryptographische Sicherung der Kommunikation auf der IP-Schicht (Schicht 3) entwickelt wurden.
IPsec-Protokolle:
Authentication Header (AH) – Zur Authentifizierung der Sender von Paketen und zur Sicherstellung der Unversehrtheit der Paketdaten. Das Authentication Header Protocol (AH) prüft die Echtheit und Integrität der Paketdaten. Zudem stellt es sicher, dass sich die IP-Adressen von Sender und Empfänger während der Übertragung nicht geändert haben. Die Pakete werden über Prüfsummen authentifiziert, die mit dem Verfahren Hash-based Message Authentication Code (HMAC) gemeinsam mit einem Schlüssel erstellt wurden.
Encapsulating Security Payload (ESP) – Zur Verschlüsselung des gesamten Pakets und zur Authentifizierung seines Inhalts. Zusätzlich zur Verschlüsselung bietet ESP die Möglichkeit, Sender zu authentifizieren und Paketinhalte zu prüfen.
Diese Seite verfügt über 2 Abschnitte:
IPsec-Verbindungen
Im Bereich IPsec-Verbindungen erscheint eine Liste aller IPsec-Verbindungen. Sie können die Liste nach Name, Gruppenname, Richtliniennamen, Verbindungstyp und Status der Verbindung filtern. Auf der Seite finden Sie zudem die Option, eine neue Verbindung hinzuzufügen, die Parameter der bestehenden Richtlinie zu aktualisieren oder eine Richtlinie zu löschen. Zusätzlich können Sie Verbindungen manuell oder mit Hilfe des Verbindungs-Assistenten erstellen. Im Fall einer Fernzugriffsverbindung exportieren Sie die Verbindungskonfiguration, indem Sie unter der Spalte „Verwalten“ auf das Symbol für Exportieren klicken.
* Die aktiven IPsec-Verbindungen können Sie auch auf der Seite System > Aktuelle Aktivität > IPsec-Verbindungen ansehen und verwalten.
Der Status jeder Verbindung wird folgendermaßen angezeigt:
Verbindungsstatus
Beschreibung
Aktiv
Verbindung
Die Verbindung ist aktiv, aber nicht verbunden. Klicken, um die Verbindung herzustellen.
Die Verbindung ist aktiv und verbunden. Klicken, um die Verbindung zu trennen. Wenn Sie sich abmelden, wird die Verbindung deaktiviert. Um die Verbindung wiederherzustellen, aktivieren Sie die Verbindung.
Die Verbindung ist aktiv, aber nur teilweise verbunden. Klicken, um die Verbindung zu trennen. Wenn für das LAN und/oder entfernte Netzwerk mehrere Subnetze konfiguriert werden, erstellt die Appliance für jedes Subnetz eine Sub-Verbindung. Diese Status weist darauf hin, dass eine der Sub-Verbindungen nicht aktiv ist.
Verbindung ist nicht aktiv. Klicken, um die Verbindung zu aktivieren.
Failover-Gruppe
Connection Failover
Connection Failover ist eine Funktion, mit welcher Sie für VPN-Datenverkehr eine automatische Backup-Verbindung und für eine IPsec-Verbindung eine VPN-Konnektivität bereitstellen können, die „Immer AN“ ist. Wenn die primäre Verbindung ausfällt, übernimmt die nachfolgende Verbindung in der Gruppe, ohne dass eine manuelle Intervention nötig ist, so dass der Datenverkehr weiter fließen kann. Der gesamte Prozess ist für den Benutzer transparent.
Connection Failback
Bei einem Verbindungsausfall prüft die Appliance alle 60 Sekunden den Zustand der primären Verbindung. Wenn die primäre Verbindung ohne Eingriff durch den Administrator wiederhergestellt wird, erfolgt ein Failback der sekundären Verbindung auf die primäre Verbindung.
Connection Failover-Gruppe
Eine VPN-Gruppe ist eine Gruppe von IPsec-Verbindungen. Die Sicherheitsparameter für Phase 1 und Phase 2 der einzelnen Verbindungen einer Gruppe können mit Ausnahme der IP-Adresse des entfernten Gateways unterschiedlich oder identisch sein. Die Reihenfolge der Verbindungen in der Gruppe legt fest, welche Priorität die einzelnen Verbindungen im Fall eines Failover haben. Das Failover zur nächsten Verbindung findet nicht statt, wenn die Gruppe manuell deaktiviert wird.
Die Failover-Gruppe, welcher die Verbindung angehört, muss aktiviert werden, bevor sie bei Failover berücksichtigt wird. Das Failover zur nächsten Verbindung findet nicht statt, wenn die Gruppe manuell getrennt wird.
Wenn die primäre Verbindung ausfällt, übernimmt die nachfolgende aktive Verbindung in der Gruppe, ohne dass eine manuelle Intervention nötig ist, so dass der Datenverkehr weiter fließen kann. Wenn zum Beispiel die Verbindung über die 4. Verbindung in der Gruppe hergestellt wurde und diese ausfällt, übernimmt die 5. Verbindung. Sobald die 4. Verbindung wiederhergestellt ist, findet ein Failback der 5. Verbindung auf die 4. Verbindung statt.
Die Appliance betrachtet eine Site-to-Site- und Host-to-Host-Verbindung als fehlgeschlagen, wenn der entfernte Peer nicht antwortet.
Verbindungen, die nicht der Verbindungsgruppe angehören, nehmen am Failover-/Failback-Prozess nicht teil, und solche Verbindungen werden nicht automatisch wiederhergestellt, wenn sie ausfallen.
Um Connection Failover zu konfigurieren, müssen Sie:
Verbindungen erstellen.
Eine Failover-Gruppe erstellen. Eine Failover-Gruppe ist der Zusammenschluss aller Verbindungen, die im Fall eines Failover verwendet werden sollen. Die Reihenfolge der Verbindungen in der Gruppe legt fest, welche Priorität die einzelnen Verbindungen im Fall eines Failover haben.
Eine Failover-Bedingung festlegen.
Voraussetzungen
Pakete des in der Failover-Bedingung angegebenen Protokolls müssen vom lokalen Server an den entfernten Server zugelassen sein und die Antwort muss auf dem lokalen und entfernten Server erfolgen können.
Eine Verbindung kann nur einer Gruppe angehören
Die Verbindung muss AKTIV sein, um bei einem Failover berücksichtigt zu werden
Ablauf
1. Sobald die Verbindung als Mitglied der Gruppe hinzugefügt wurde, wird DPD auf „Deaktivieren“, die Schlüsselaushandlungsversuche auf „3“ und die Aktion bei VPN-Neustart auf „Deaktivieren“ gesetzt.
2. Sobald die Verbindung aus der Gruppe entfernt wird, werden die ursprünglichen Richtlinien- und Verbindungskonfigurationen berücksichtigt.
3. Wenn die Verbindung zum Zeitpunkt, an dem sie der Failover-Gruppe hinzugefügt wurde, bereits besteht, wird sie getrennt.
4. Bei Rückstellung auf Werkseinstellungen wird die Failover-Konfiguration nicht beibehalten.
Im Abschnitt Failover-Gruppe wird eine Liste der erstellten Failover-Gruppen angezeigt. Sie können die Gruppen auf Basis des Gruppennamens filtern. Sie können eine neue Gruppe hinzufügen, eine Gruppe aktualisieren oder löschen. In der Liste wird zudem der Status der Gruppe angezeigt als: aktiv oder nicht aktiv.
Mit Hilfe des Menüs IPsec können Sie IPsec-Verbindungen und Failover-Gruppen erstellen und verwalten. Bei IP Security (IPsec) handelt es sich um eine Reihe von Protokollen, die für die... mehr erfahren »
Fenster schließen
IPsec-Verbindungen
Mit Hilfe des Menüs IPsec können Sie IPsec-Verbindungen und Failover-Gruppen erstellen und verwalten.
Bei IP Security (IPsec) handelt es sich um eine Reihe von Protokollen, die für die kryptographische Sicherung der Kommunikation auf der IP-Schicht (Schicht 3) entwickelt wurden.
IPsec-Protokolle:
Authentication Header (AH) – Zur Authentifizierung der Sender von Paketen und zur Sicherstellung der Unversehrtheit der Paketdaten. Das Authentication Header Protocol (AH) prüft die Echtheit und Integrität der Paketdaten. Zudem stellt es sicher, dass sich die IP-Adressen von Sender und Empfänger während der Übertragung nicht geändert haben. Die Pakete werden über Prüfsummen authentifiziert, die mit dem Verfahren Hash-based Message Authentication Code (HMAC) gemeinsam mit einem Schlüssel erstellt wurden.
Encapsulating Security Payload (ESP) – Zur Verschlüsselung des gesamten Pakets und zur Authentifizierung seines Inhalts. Zusätzlich zur Verschlüsselung bietet ESP die Möglichkeit, Sender zu authentifizieren und Paketinhalte zu prüfen.
Diese Seite verfügt über 2 Abschnitte:
IPsec-Verbindungen
Im Bereich IPsec-Verbindungen erscheint eine Liste aller IPsec-Verbindungen. Sie können die Liste nach Name, Gruppenname, Richtliniennamen, Verbindungstyp und Status der Verbindung filtern. Auf der Seite finden Sie zudem die Option, eine neue Verbindung hinzuzufügen, die Parameter der bestehenden Richtlinie zu aktualisieren oder eine Richtlinie zu löschen. Zusätzlich können Sie Verbindungen manuell oder mit Hilfe des Verbindungs-Assistenten erstellen. Im Fall einer Fernzugriffsverbindung exportieren Sie die Verbindungskonfiguration, indem Sie unter der Spalte „Verwalten“ auf das Symbol für Exportieren klicken.
* Die aktiven IPsec-Verbindungen können Sie auch auf der Seite System > Aktuelle Aktivität > IPsec-Verbindungen ansehen und verwalten.
Der Status jeder Verbindung wird folgendermaßen angezeigt:
Verbindungsstatus
Beschreibung
Aktiv
Verbindung
Die Verbindung ist aktiv, aber nicht verbunden. Klicken, um die Verbindung herzustellen.
Die Verbindung ist aktiv und verbunden. Klicken, um die Verbindung zu trennen. Wenn Sie sich abmelden, wird die Verbindung deaktiviert. Um die Verbindung wiederherzustellen, aktivieren Sie die Verbindung.
Die Verbindung ist aktiv, aber nur teilweise verbunden. Klicken, um die Verbindung zu trennen. Wenn für das LAN und/oder entfernte Netzwerk mehrere Subnetze konfiguriert werden, erstellt die Appliance für jedes Subnetz eine Sub-Verbindung. Diese Status weist darauf hin, dass eine der Sub-Verbindungen nicht aktiv ist.
Verbindung ist nicht aktiv. Klicken, um die Verbindung zu aktivieren.
Failover-Gruppe
Connection Failover
Connection Failover ist eine Funktion, mit welcher Sie für VPN-Datenverkehr eine automatische Backup-Verbindung und für eine IPsec-Verbindung eine VPN-Konnektivität bereitstellen können, die „Immer AN“ ist. Wenn die primäre Verbindung ausfällt, übernimmt die nachfolgende Verbindung in der Gruppe, ohne dass eine manuelle Intervention nötig ist, so dass der Datenverkehr weiter fließen kann. Der gesamte Prozess ist für den Benutzer transparent.
Connection Failback
Bei einem Verbindungsausfall prüft die Appliance alle 60 Sekunden den Zustand der primären Verbindung. Wenn die primäre Verbindung ohne Eingriff durch den Administrator wiederhergestellt wird, erfolgt ein Failback der sekundären Verbindung auf die primäre Verbindung.
Connection Failover-Gruppe
Eine VPN-Gruppe ist eine Gruppe von IPsec-Verbindungen. Die Sicherheitsparameter für Phase 1 und Phase 2 der einzelnen Verbindungen einer Gruppe können mit Ausnahme der IP-Adresse des entfernten Gateways unterschiedlich oder identisch sein. Die Reihenfolge der Verbindungen in der Gruppe legt fest, welche Priorität die einzelnen Verbindungen im Fall eines Failover haben. Das Failover zur nächsten Verbindung findet nicht statt, wenn die Gruppe manuell deaktiviert wird.
Die Failover-Gruppe, welcher die Verbindung angehört, muss aktiviert werden, bevor sie bei Failover berücksichtigt wird. Das Failover zur nächsten Verbindung findet nicht statt, wenn die Gruppe manuell getrennt wird.
Wenn die primäre Verbindung ausfällt, übernimmt die nachfolgende aktive Verbindung in der Gruppe, ohne dass eine manuelle Intervention nötig ist, so dass der Datenverkehr weiter fließen kann. Wenn zum Beispiel die Verbindung über die 4. Verbindung in der Gruppe hergestellt wurde und diese ausfällt, übernimmt die 5. Verbindung. Sobald die 4. Verbindung wiederhergestellt ist, findet ein Failback der 5. Verbindung auf die 4. Verbindung statt.
Die Appliance betrachtet eine Site-to-Site- und Host-to-Host-Verbindung als fehlgeschlagen, wenn der entfernte Peer nicht antwortet.
Verbindungen, die nicht der Verbindungsgruppe angehören, nehmen am Failover-/Failback-Prozess nicht teil, und solche Verbindungen werden nicht automatisch wiederhergestellt, wenn sie ausfallen.
Um Connection Failover zu konfigurieren, müssen Sie:
Verbindungen erstellen.
Eine Failover-Gruppe erstellen. Eine Failover-Gruppe ist der Zusammenschluss aller Verbindungen, die im Fall eines Failover verwendet werden sollen. Die Reihenfolge der Verbindungen in der Gruppe legt fest, welche Priorität die einzelnen Verbindungen im Fall eines Failover haben.
Eine Failover-Bedingung festlegen.
Voraussetzungen
Pakete des in der Failover-Bedingung angegebenen Protokolls müssen vom lokalen Server an den entfernten Server zugelassen sein und die Antwort muss auf dem lokalen und entfernten Server erfolgen können.
Eine Verbindung kann nur einer Gruppe angehören
Die Verbindung muss AKTIV sein, um bei einem Failover berücksichtigt zu werden
Ablauf
1. Sobald die Verbindung als Mitglied der Gruppe hinzugefügt wurde, wird DPD auf „Deaktivieren“, die Schlüsselaushandlungsversuche auf „3“ und die Aktion bei VPN-Neustart auf „Deaktivieren“ gesetzt.
2. Sobald die Verbindung aus der Gruppe entfernt wird, werden die ursprünglichen Richtlinien- und Verbindungskonfigurationen berücksichtigt.
3. Wenn die Verbindung zum Zeitpunkt, an dem sie der Failover-Gruppe hinzugefügt wurde, bereits besteht, wird sie getrennt.
4. Bei Rückstellung auf Werkseinstellungen wird die Failover-Konfiguration nicht beibehalten.
Im Abschnitt Failover-Gruppe wird eine Liste der erstellten Failover-Gruppen angezeigt. Sie können die Gruppen auf Basis des Gruppennamens filtern. Sie können eine neue Gruppe hinzufügen, eine Gruppe aktualisieren oder löschen. In der Liste wird zudem der Status der Gruppe angezeigt als: aktiv oder nicht aktiv.