L2TP-Verbindung hinzufügen

Auf dieser Seite ist beschrieben, wie Sie eine L2TP-Verbindung anlegen können.
1. Gehen Sie zu Konfigurieren > VPN > L2TP (Fernzugriff) und klicken Sie auf Hinzufügen.
2. Legen Sie die Allgemeinen Einstellungen fest.
Name
Geben Sie einen eindeutigen Namen für die L2TP-Verbindung ein.
Beschreibung
Geben Sie eine Beschreibung der L2TP-Verbindung ein.
Richtlinie
Wählen Sie eine Richtlinie aus, die für die Verbindung verwendet werden soll.
Sie können per Klick auf Neue erstellen eine neue Richtlinie hinzufügen.
Aktion bei VPN-Neustart
Wählen Sie die Aktion, die für die Verbindung in Kraft treten soll, wenn der VPN-Dienst oder die Appliance neu startet.
Verfügbare Optionen:
Nur antworten – Die Verbindung befindet sich in Bereitschaft, um auf eingehende Anfragen zu antworten.
Deaktivieren – Die Verbindung bleibt deaktiviert, bis der Benutzer sie aktiviert.
3. Legen Sie die Details für die Authentifizierung-Einstellungen fest.
Authentifizierungsmethode
Wählen Sie den Authentifizierungstyp aus. Die Authentifizierung des Benutzers hängt vom Verbindungstyp ab.
Verfügbare Optionen:
Verteilter Schlüssel – Die Authentifizierung mit verteiltem Schlüssel ist ein Mechanismus, bei dem ein einziger Schlüssel für Verschlüsselung und Entschlüsselung verwendet wird. Beide Peers sollten den verteilten Schlüssel besitzen. Der entfernte Peer verwendet den verteilten Schlüssel für die Entschlüsselung. Bei Auswahl dieser Option muss der Benutzer folgende Daten eingeben:
Verteilter Schlüssel – Geben Sie den zu verwendenden verteilten Schlüssel ein. Der verteilte Schlüssel sollte aus mindestens 5 Zeichen bestehen.
Verteilten Schlüssel bestätigen – Geben Sie den verteilten Schlüssel zur Bestätigung erneut ein.
Dieser verteilte Schlüssel muss dem Peer am entfernten Ende mitgeteilt werden. Am entfernten Ende muss der Client diesen Schlüssel für die Authentifizierung angeben. Bei einem falsch verteilten Schlüssel kann der Benutzer die Verbindung nicht aufbauen.
Digitales Zertifikat – Die Authentifizierung mit digitalem Zertifikat ist ein Mechanismus, bei dem Sender und Empfänger ein von der Zertifizierungsstelle ausgestelltes digitales Zertifikat verwenden. Sowohl beim Absender als auch beim Empfänger muss die Zertifizierungsstelle des anderen installiert sein.
Lokales Zertifikat – Wählen Sie das lokale Zertifikat aus, das von der Appliance für die Authentifizierung verwendet werden soll.
Entferntes Zertifikat – Wählen Sie das entfernte Zertifikat aus, das von dem entfernten Peer für die Authentifizierung verwendet werden soll.
4. Legen Sie die Netzwerk-Einstellungen fest.
Lokaler WAN-Port
Geben Sie die Nummer des lokalen Ports an, die der lokale VPN-Peer verwendet, um TCP- oder UDP-Protokoll-bezogenen Datenverkehr abzuwickeln.
Zulässiger Bereich: 1 bis 65535
Um einen beliebigen Port auszuwählen, geben Sie * ein.
Lokale ID (nur wenn als Authentifizierungsmethode Verteilter Schlüssel ausgewählt ist)
Wählen Sie einen ID-Typ aus den verfügbaren Optionen aus und legen Sie dafür einen Wert fest.
Verfügbare Optionen:
DNS
IP-Adresse
E-Mail
DER ASN1 DN (X.509)
* DER ASN1 DN (X.509) kann nicht für die Authentifizierung mit Verteiltem Schlüssel verwendet werden.
Wenn Digitales Zertifikat ausgewählt ist, werden die ID und deren Wert automatisch so wie im Lokalen Zertifikat angegeben angezeigt.
5. Legen Sie die Einstellungen für das entfernte Netzwerk fest.
Entfernter Host
Geben Sie die IP-Adresse oder den Hostnamen des entfernten Endpunkts an. Geben Sie * für eine IP-Adresse an.
NAT-Traversal zulassen
Aktivieren Sie NAT-Traversal, wenn zwischen Ihren VPN-Endpoints bereits ein NAT-Gerät vorhanden ist, d. h. wenn der entfernte Peer eine private/nicht-routingfähige IP-Adresse hat.
Es kann immer nur eine Verbindung hinter einer NAT-Box aufgebaut werden.
Entferntes LAN-Netzwerk
Legen Sie eine IP-Adresse und Netzmaske für das entfernte Netzwerk fest, das sich mit dem Appliance-Server über einen VPN-Tunnel verbinden darf. Es können mehrere Subnetze angegeben werden. Wählen Sie aus der Liste der verfügbaren IP-Hosts in der Admin-Konsole die IP-Hosts aus.
Sie können auch einen neuen IP-Host hinzufügen, indem Sie auf Neue erstellen klicken oder unter System > Hosts und Dienste > IP-Host.
Entfernte ID
Wählen Sie einen ID-Typ aus den verfügbaren Optionen aus und legen Sie dafür einen Wert fest.
Verfügbare Optionen:
DNS
IP-Adresse
E-Mail
DER ASN1 DN (X.509)
* DER ASN1 DN (X.509) kann nicht für die Authentifizierung mit Verteiltem Schlüssel verwendet werden.
6. Legen Sie die Schnellmodus-Kennzeichner fest.
Lokaler Port
Geben Sie die Nummer des lokalen Ports an, die der lokale VPN-Peer verwendet, um TCP- oder UDP-Protokoll-bezogenen Datenverkehr abzuwickeln.
Standard: 1701
Zulässiger Bereich: 1 bis 65535
Um einen beliebigen Port auszuwählen, geben Sie * ein.
Entfernter Port
Geben Sie die Nummer des entfernten Ports an, die der entfernte VPN-Peer verwendet, um TCP- oder UDP-Protokoll-bezogenen Datenverkehr abzuwickeln.
Standard: *
Zulässiger Bereich: 1 bis 65535
Um einen beliebigen Port auszuwählen, geben Sie * ein.
7. Legen Sie die Erweiterten Einstellungen fest.
Verbindung abbrechen, wenn Tunnel inaktiv ist
Klicken Sie auf diese Option, damit die Appliance eine inaktive VPN-Sitzung löschen kann, wenn das festgelegte Zeitlimit bei inaktiver Sitzung überschritten wird.
Zeitlimit bei inaktiver Sitzung (nur wenn Verbindung abbrechen, wenn Tunnel inaktiv ist aktiviert ist)
Geben Sie das Zeitlimit an, nach dem eine inaktive VPN-Sitzung von der Appliance gelöscht werden soll.
Zulässiger Bereich: 120 bis 999 Sekunden.
8. Klicken Sie auf Speichern.