Hinzufügen einer IPsec-Host-to-Host-Verbindung

Auf dieser Seite ist beschrieben, wie Sie eine IPsec-Host-to-Host-Verbindung anlegen können.
1. Öffnen Sie Konfigurieren > VPN > IPsec-Verbindungen und klicken Sie Hinzufügen im Bereich IPsec-Verbindungen.
2. Legen Sie die Details für die Allgemeinen Einstellungen fest.
Name
Geben Sie einen eindeutigen Namen für die IPsec-Verbindung ein.
Beschreibung
Geben Sie eine Beschreibung für die IPsec-VPN-Verbindung ein.
Verbindungstyp
Wählen Sie Host-zu-Host.
Richtlinie
Wählen Sie die Richtlinie aus, die für die Verbindung verwendet werden soll.
Sie können eine neue Richtlinie hinzufügen, wenn Sie auf Neue erstellen klicken, oder auf der Seite Konfigurieren > VPN > IPsec-Profile.
Aktion bei VPN-Neustart
Wählen Sie die Aktion, die für die Verbindung in Kraft treten soll, wenn der VPN-Dienst oder die Appliance neu startet.
Verfügbare Optionen:
Nur antworten – Die Verbindung befindet sich in Bereitschaft, um auf eingehende Anfragen zu antworten.
Deaktivieren – Die Verbindung bleibt deaktiviert, bis der Benutzer sie aktiviert.
Beginnen – Aktiviert die Verbindung bei Start des Systems/Dienstes, so dass die Verbindung bei Bedarf aufgebaut werden kann.
3. Legen Sie die Details für die Authentifizierung-Einstellungen fest.
Authentifizierungsmethode
Wählen Sie den Authentifizierungstyp aus. Die Authentifizierung des Benutzers hängt vom Verbindungstyp ab.
Verfügbare Optionen:
Verteilter Schlüssel – Die Authentifizierung mit verteiltem Schlüssel ist ein Mechanismus, bei dem ein einziger Schlüssel für Verschlüsselung und Entschlüsselung verwendet wird. Beide Peers sollten den verteilten Schlüssel besitzen. Der entfernte Peer verwendet den verteilten Schlüssel für die Entschlüsselung. Bei Auswahl dieser Option muss der Benutzer folgende Daten eingeben:
Verteilter Schlüssel – Geben Sie den zu verwendenden verteilten Schlüssel ein. Der verteilte Schlüssel sollte aus mindestens 5 Zeichen bestehen.
Verteilten Schlüssel bestätigen – Geben Sie den verteilten Schlüssel zur Bestätigung erneut ein.
Dieser verteilte Schlüssel muss dem Peer am entfernten Ende mitgeteilt werden. Am entfernten Ende muss der Client diesen Schlüssel für die Authentifizierung angeben. Bei einem falsch verteilten Schlüssel kann der Benutzer die Verbindung nicht aufbauen.
Digitales Zertifikat – Die Authentifizierung mit digitalem Zertifikat ist ein Mechanismus, bei dem Sender und Empfänger ein von der Zertifizierungsstelle ausgestelltes digitales Zertifikat verwenden. Sowohl beim Sender als auch beim Empfänger muss die Zertifizierungsstelle des anderen installiert sein.
Lokales Zertifikat – Wählen Sie das lokale Zertifikat aus, das von der Appliance für die Authentifizierung verwendet werden soll.
Entferntes Zertifikat – Wählen Sie das entfernte Zertifikat aus, das von dem entfernten Peer für die Authentifizierung verwendet werden soll.
RSA-Schlüssel – Die Authentifizierung mit RSA-Schlüssel ist ein Mechanismus, bei dem zwei Schlüssel – lokaler und entfernter RSA-Schlüssel – für Verschlüsselung und Entschlüsselung verwendet werden.
Lokaler RSA-Schlüssel – Dieser ist nur dem Eigentümer bekannt und wird niemals über das Netzwerk übertragen. Zeigt den automatisch generierten Schlüssel an, der nicht geändert werden kann.
Entfernter RSA-Schlüssel – Dieser kann über die CLI-Konsole neu generiert werden. Nähere Informationen finden Sie im Konsolenhandbuch.
4. Legen Sie die Details für die Endpoints fest.
Lokal
Wählen Sie den lokalen WAN-Port aus der Liste aus.
Für WAN-Schnittstellen angelegte IP-Aliase werden zusammen mit den Standard-WAN-Schnittstellen aufgeführt.
Entfernt
Geben Sie eine IP-Adresse oder einen Domänennamen des entfernten Peers an.
Klicken Sie auf das Hinzufügen-Symbol neben dem Optionsfeld, um neue Endpoint-Paare hinzuzufügen, oder auf das Entfernen-Symbol , um die Endpoint-Paare zu entfernen.
Geben Sie für jedes neue Endpoint-Paar einen Failover-Gruppennamen ein und legen Sie die Failover-Bedingung fest.
5. Legen Sie die Details für die Netzwerk-Einstellungen fest.
Lokale ID (nur wenn als Authentifizierungsmethode Verteilter Schlüssel oder RSA -Schlüssel ausgewählt ist)
Wählen Sie einen ID-Typ aus den verfügbaren Optionen aus und legen Sie dafür einen Wert fest.
Verfügbare Optionen:
DNS
IP-Adresse
E-Mail
DER ASN1 DN (X.509)
* Bei Lokales Zertifikat werden die ID und deren Wert automatisch so wie im Zertifikat angegeben angezeigt.
NAT-Traversal zulassen
Aktivieren Sie NAT-Traversal, wenn zwischen Ihren VPN-Endpoints bereits ein NAT-Gerät vorhanden ist, d. h. wenn der entfernte Peer eine private/nicht-routingfähige IP-Adresse hat.
Es kann immer nur eine Verbindung hinter einer NAT-Box aufgebaut werden.
Entferntes LAN-Netzwerk (nur wenn NAT-Traversal zulassen aktiviert ist)
Wählen Sie aus der Liste der verfügbaren IP-Hosts die gewünschten IP-Hosts aus.
Sie können einen neuen IP-Host erstellen, indem Sie auf Neues Element hinzufügen klicken, oder auf der Seite System > Hosts und Dienste > IP-Host.
Entfernte ID (nur wenn als Authentifizierungsmethode Verteilter Schlüssel oder RSA -Schlüssel ausgewählt ist)
Wählen Sie einen ID-Typ aus den verfügbaren Optionen aus und legen Sie dafür einen Wert fest.
Verfügbare Optionen:
DNS
IP-Adresse
E-Mail
DER ASN1 DN (X.509)
* Bei Lokales Zertifikat werden die ID und deren Wert automatisch so wie im Zertifikat angegeben angezeigt.
6. Geben Sie Details zur Benutzerauthentifizierung an.
Benutzerauthentifizierungsmodus
Wählen Sie aus den verfügbaren Optionen aus, ob die Benutzerauthentifizierung zum Zeitpunkt der Herstellung der Verbindung erforderlich ist oder nicht.
Verfügbare Optionen:
Deaktiviert – Klicken Sie hier, wenn die Benutzerauthentifizierung nicht erforderlich ist.
Als Client aktivieren – Geben Sie bei der Aktivierung des Clients den Benutzernamen und das Kennwort ein.
Als Server aktivieren – Fügen Sie bei der Aktivierung als Server alle Benutzer hinzu, die sich verbinden dürfen.
7. Legen Sie die Details für Schnellmodus-Kennzeichner fest.
Protokoll
Wählen Sie alle Protokolle, die zur Aushandlung der Verbindungen zugelassen sein sollen.
Tunnel leitet nur die Daten weiter, die das angegebene Protokoll verwenden.
Verfügbare Optionen:
Alle
ICMP
UDP
TCP
Lokaler Port (nur wenn als Protokoll UDP oder TCP ausgewählt ist)
Geben Sie die Nummer des lokalen Ports an, die der lokale VPN-Peer verwendet, um TCP- oder UDP-Protokoll-bezogenen Datenverkehr abzuwickeln.
Zulässiger Bereich: 1 bis 65535
Um einen beliebigen Port auszuwählen, geben Sie * ein.
Entfernter Port (nur wenn als Protokoll UDP oder TCP ausgewählt ist)
Geben Sie die Nummer des entfernten Ports an, die der entfernte VPN-Peer verwendet, um TCP- oder UDP-Protokoll-bezogenen Datenverkehr abzuwickeln.
Zulässiger Bereich: 1 bis 65535
Um einen beliebigen Port auszuwählen, geben Sie * ein.
8. Legen Sie die Details für die Erweiterten Einstellungen fest.
Verbindung abbrechen, wenn Tunnel inaktiv ist
Aktivieren Sie diese Option, damit die Appliance eine inaktive VPN-Sitzung löschen kann, wenn das festgelegte Zeitlimit bei inaktiver Sitzung überschritten wird.
Zeitlimit bei inaktiver Sitzung (nur wenn Verbindung abbrechen, wenn Tunnel inaktiv ist aktiviert ist)
Geben Sie das Zeitlimit an, nach dem eine inaktive VPN-Sitzung von der Appliance gelöscht werden soll.
Zulässiger Bereich: 120 bis 999
9. Klicken Sie auf Speichern.