Auf der Registerkarte Site-to-Site-VPN > IPsec > Verbindungen können Sie IPsec
-Verbindungen anlegen und bearbeiten.
Um eine IPsec-Verbindung zu erstellen, gehen Sie folgendermaßen vor:
-
Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec-Verbindung.
Das Dialogfeld IPsec-Verbindung hinzufügen wird geöffnet.
-
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für diese Verbindung ein.
Entferntes Gateway: Wählen Sie eine Gateway-Definition für das entfernte Gateway. Entfernte Gateways werden auf der Registerkarte Site-to-Site-VPN > IPsec > Entfernte Gateways definiert.
Lokale Schnittstelle: Wählen Sie den Namen der Schnittstelle aus, die als lokaler Endpunkt für den IPsec-Tunnel dienen soll.
Richtlinie: Wählen Sie die IPsec-Richtlinie für diese IPsec-Verbindung aus. IPsec-Richtlinien können auf der Registerkarte Site-to-Site-VPN > IPsec > Richtlinien definiert werden.
Lokale Netzwerke: Wählen Sie die lokalen Netzwerke aus, die über den VPN-Tunnel erreichbar sein sollen, oder fügen Sie sie hinzu. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.
Automatische Firewallregeln: Wählen Sie diese Option, um automatisch Firewallregeln hinzuzufügen, die Datenverkehr für diese Verbindung zulassen. Die Regeln werden hinzugefügt, sobald die Verbindung aktiviert wird und sie werden entfernt, wenn die Verbindung deaktiviert wird. Wenn Sie eine striktere IPsec-Verbindung wünschen, deaktivieren Sie die Option Automatische Firewallregeln und verwenden Sie stattdessen IPsec-Objekte im Firewallregelwerk.
Striktes Routing: Wenn diese Funktion eingeschaltet ist, erfolgt das VPN-Routing nicht nur anhand der Zieladresse, sondern anhand von Quell- und Zieladresse. Auf diese Weise werden nur Datenpakete durch den VPN-Tunnel geleitet, die mit der Tunneldefinition exakt übereinstimmen. Als Folge davon können Sie kein SNAT
verwenden, um Netzwerke oder Hosts zum VPN-Tunnel hinzuzufügen, die nicht von vornherein Teil der Tunneldefinition sind. Andererseits können Sie, wenn striktes Routing ausgeschaltet ist, keine gemischte unverschlüsselte/verschlüsselte Konfiguration für dasselbe Netzwerk je nach Quelladresse haben.Tunnel an lokale Schnittstelle binden: Standardmäßig ist diese Option deaktiviert und der gesamte Verkehr aus den gewählten lokalen Netzwerken in die festgelegten entfernten Netzwerke wird immer durch diesen IPsec-Tunnel geschickt. Mehrere identische Tunnel auf verschiedenen Schnittstellen sind nicht möglich, da sich der IPsec-Verkehr nicht unterscheiden lässt. Ist die Option jedoch aktiv, wird die hier definierte IPsec-Auswahl an die gewählte lokale Schnittstelle gebunden. Auf diese Weise ist es möglich, beispielsweise IPsec-Richtlinien mit statischen Routen zu umgehen oder redundante IPsec-Tunnel über verschiedene Uplinks zu definieren und dann den Verkehr mit Hilfe von Multipathregeln über die verfügbaren Schnittstellen und ihre IPsec-Tunnel auszugleichen. Mögliche Anwendungsfälle sind beispielsweise:
- Umgehen von IPsec-Richtlinien für lokale Hosts, die zu dem entfernten Netzwerk gehören, mit Hilfe von statischen Routen.
- Ausgleichen von Verkehr auf Layer 3 und Layer 4 mit Multipathregeln über mehrere IPsec-Tunnel oder MPLS-Links mit automatischem Failover.
Hinweis – Diese Option kann nicht zusammen mit einer Schnittstellengruppe verwendet werden.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
-
Klicken Sie auf Speichern.
Die neue Verbindung wird in der IPsec-Liste Verbindungen angezeigt.
Um eine Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
Live-Protokoll öffnen: Das IPsec-VPN-Live-Protokoll dient zur Überwachung der aufgebauten IPsec-Verbindungen. Klicken Sie auf die Schaltfläche, um das Live-Protokoll in einem neuen Fenster zu öffnen.