Entfernte Gateways

Auf der Registerkarte Site-to-Site-VPN > IPsec > Entfernte Gateways können Sie die entfernten Gateways (engl. remote gateways) für Ihre Site-to-Site-VPN-Tunnel definieren. Diese Remote-Netzwerk-Definitionen stehen dann für die Konfiguration der IPsec-Verbindungen auf der Registerkarte IPsec > Verbindungen zur Verfügung.

Um ein entferntes Gateway hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Entfernte Gateways auf Neues entferntes Gateway.

    Das Dialogfeld Entferntes Gateway hinzufügen wird geöffnet.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für das entfernte Gateway ein.

    Gateway-Typ: Wählen Sie den Gateway-Typ aus. Die folgenden Typen sind verfügbar:

    • Verbindung initiieren: Wählen Sie diesen Typ aus, wenn der entfernte Endpoint eine statische IP-Adresse besitzt, sodass das Gateway eine Verbindung zum entfernten Gateway initiieren kann. Wenn Sie diese Option gewählt haben, geben Sie im Feld Gateway das entfernte Gateway an. Beachten Sie, dass Sie diesen Typ auch wählen können, wenn das entfernte Gateway über DynDNS aufgelöst werden kann.
    • Nur antworten: Wählen Sie diesen Typ aus, wenn die IP-Adresse des entfernten Endpoints unbekannt ist oder nicht über DynDNS aufgelöst werden kann. Das Gateway ist nicht in der Lage, eine Verbindung zu dem entfernten Gateway aufzubauen und wartet deshalb auf eingehende Verbindungen, auf die es lediglich antworten muss.

    Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode für diese Definition des entfernten Gateways aus. Die folgenden Typen sind verfügbar:

    • Verteilter Schlüssel: Authentifizierung mit Verteilten Schlüsseln (PSK, engl. Preshared Keys) verwendet geheime Kennwörter als Schlüssel. Diese Kennwörter müssen an die Endpunkte verteilt werden, bevor eine Verbindung aufgebaut wird. Wenn ein neuer VPNClosed-Tunnel aufgebaut ist, überprüft jede Seite, ob die andere Seite das geheime Kennwort kennt. Die Sicherheit der PSKs hängt von der Qualität der verwendeten Kennwörter ab: Normale Wörter und Ausdrücke fallen schnell Wörterbuchangriffen zum Opfer. Permanente oder längerfristige IPsec-Verbindungen sollten stattdessen Zertifikate verwenden.
    • RSA-Schlüssel: Authentifizierung mit RSAClosed-Schlüsseln ist technisch ausgefeilter. Bei dieser Methode erzeugt jede Seite der Verbindung ein Schlüsselpaar, das aus einem öffentlichen (engl. public key) und einem privaten Schlüssel (engl. private key) besteht. Der private Schlüssel wird zur Verschlüsselung und Authentifizierung während des Schlüsselaustauschs benötigt. Beide Endpoints einer IPsecClosed-VPNClosed-Verbindung benötigen bei dieser Authentifizierungsmethode ihr eigenes Schlüsselpaar. Kopieren Sie den öffentlichen RSA-Schlüssel der Gegenstelle (Site-to-Site-VPN > IPsec > Lokaler RSA-Schlüssel) in das Feld Öffentlicher Schlüssel auf dem lokalen System und andersherum. Geben Sie darüber hinaus die VPN-ID-Typen und die VPN-IDs an, die zu den entsprechenden RSA-Schlüsseln gehören.
    • Lokales X.509-Zertifikat: Das X.509-Zertifikat basiert ähnlich wie die Authentifizierung mit RSA-Schlüsseln auf öffentlichen Schlüsseln und privaten Schlüsseln. Ein X.509-Zertifikat enthält den öffentlichen Schlüssel zusammen mit zusätzlichen Informationen über den Besitzer des Schlüssels. Solche Zertifikate sind von einer CA (Zertifizierungsstelle, engl. Certificate Authority) signiert und ausgestellt, der der Besitzer vertraut. Während des Schlüsselaustauschs werden die Zertifikate ausgetauscht und mit Hilfe lokal gespeicherter CA-Zertifikate authentifiziert. Wählen Sie diese Authentifizierungsmethode aus, wenn das X.509-Zertifikat des entfernten VPN-Gateways auf dem lokalen System gespeichert ist.
    • Entferntes X.509-Zertifikat: Wählen Sie diese Authentifizierungsmethode aus, wenn das X.509-Zertifikat des entfernten VPN-Gateways nicht auf dem lokalen System gespeichert ist. In diesem Fall müssen Sie den VPN-ID-Typ und die VPN-ID des Zertifikats angeben, das auf dem entfernten VPN-Gateway genutzt wird, d. h. das Zertifikat, das im Bereich Lokales X.509-Zertifikat auf der Registerkarte Site-to-Site-VPN > IPsec > Erweitert ausgewählt ist.

    VPN-ID-Typ: Abhängig von der ausgewählten Authentifizierungsmethode müssen Sie einen VPN-ID-Typ und eine VPN-ID angeben. Die hier angegebene VPN-ID muss mit dem Wert auf der Gegenstelle übereinstimmen. Angenommen, Sie verwenden zwei UTM-Appliances, um einen Site-to-Site-VPN-Tunnel aufzubauen. Wenn Sie dann als Authentifizierungsmethode RSA-Schlüssel auf dem lokalen System auswählen, müssen der VPN-ID-Typ und die VPN-ID mit dem übereinstimmen, was auf der Registerkarte Site-to-Site-VPN > IPsec > Lokaler RSA-Schlüssel der Gegenstelle konfiguriert ist. Sie können zwischen den folgenden VPN-ID-Typen wählen:

    • IP-Adresse
    • Hostname
    • E-Mail-Adresse
    • Distinguished name: Nur bei der Authentifizierungsmethode Entferntes X.509-Zertifikat verfügbar.
    • Any: Standard beim Gateway-Typ Nur antworten.

    Entfernte Netzwerke: Wählen Sie die entfernten Netzwerke aus, die über das entfernte Gateway erreichbar sein sollen.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Nehmen Sie gegebenenfalls erweiterte Einstellungen vor.

    Die folgenden erweiterten Einstellungen sollten Sie nur vornehmen, wenn Ihnen die Auswirkungen bekannt sind:

    Pfad-MTU-Ermittlung unterstützen: PMTU (Path Maximum Transmission Unit) bezeichnet die Größe der übermittelten Datenpakete. Die gesendeten IP-Datenpakete sollten so groß sein, dass sie gerade noch ohne Fragmentierung entlang der Strecke zum Ziel transportiert werden können. Zu große Datenpakete werden von den Routern auf der Strecke verworfen, wenn diese Pakete ohne Fragmentierung nicht weitergeleitet werden können. An die Absender werden dann ICMP-Pakete mit der Nachricht ICMP Destination Unreachable (dt. ICMP-Ziel nicht erreichbar) sowie einem Code gesendet, der „Fragmentierung benötigt und DF gesetzt“ bedeutet. Aufgrund dieser Nachricht setzt der Quellhost seinen angenommenen PMTU-Wert für die Strecke herab.
    Wenn Sie diese Option aktivieren, aktiviert die UTM PMTU, wenn dies auf Serverseite aktiviert ist.

    Überlastkontrolle (ECN) unterstützen: ECN (Explicit Congestion Notification) ist eine Erweiterung des Internetprotokolls und ermöglicht End-to-End-Benachrichtigungen über Netzwerküberlastungen, ohne dass Pakete verworfen werden. Wählen Sie diese Option, wenn Sie ECN-Daten aus dem ursprünglichen IP-Paket-Header in den IPsec-Paket-Header kopieren möchten. Beachten Sie, dass der entfernte Endpoint ECN ebenso unterstützen muss wie das zugrunde liegende Netzwerk und die beteiligten Router.

    XAUTH-Client-Modus aktivieren: XAUTH ist eine Erweiterung von IPsec-IKEClosed, um Benutzer über Benutzername und Kennwort auf einem VPN-Gateway zu authentifizieren. Um XAUTH für die Authentifizierung auf diesem entfernten Gateway zu verwenden, wählen Sie die Option aus und geben Sie den Benutzernamen und das Kennwort (zweimal) an, das vom entfernten Gateway erwartet wird.

  4. Klicken Sie auf Speichern.

    Die Gateway-Definition wird in der Liste Entfernte Gateways angezeigt.

Um eine Definition eines entfernten Gateways zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.