Erweitert

Auf der Registerkarte Fernzugriff > IPsec > Erweitert können Sie die erweiterten Einstellungen für IPsecClosed-VPNClosed vornehmen. Abhängig von Ihrer bevorzugten Authentifizierungsmethode können Sie unter anderem das lokale Zertifikat (für X.509-Authentifizierung) und den lokalen RSAClosed-Schlüssel (für RSA-Authentifizierung) festlegen. Diese Einstellungen sollten nur von erfahrenen Benutzern durchgeführt werden.

Lokales X.509-Zertifikat

Bei der X.509-Authentifizierung werden Zertifikate verwendet, um die öffentlichen Schlüssel der VPN-Endpunkte zu überprüfen. Wenn Sie diese Authentifizierungsmethode verwenden wollen, müssen Sie im Abschnitt Lokales X.509-Zertifikat ein lokales Zertifikat aus der Auswahlliste wählen. Das ausgewählte Zertifikat bzw. der Schlüssel wird anschließend dafür genutzt, das Gateway gegenüber Gegenstellen zu authentifizieren, falls X.509-Authentifizierung ausgewählt ist.

Sie können nur Zertifikate auswählen, für die auch der zugehörige private Schlüssel vorhanden ist, andere Zertifikate sind in der Auswahlliste nicht verfügbar.

Wenn keine Zertifikate zur Auswahl angezeigt werden, müssen Sie zunächst eines im Menü Zertifikatverwaltung hinzufügen, entweder indem Sie ein neues erzeugen oder indem Sie eines über die Hochladen-Funktion importieren.

Nachdem Sie das Zertifikat ausgewählt haben, geben Sie das Kennwort ein, mit dem der private Schlüssel geschützt ist. Während des Speichervorgangs wird das Kennwort verifiziert und eine Fehlermeldung angezeigt, falls das Kennwort nicht zum verschlüsselten Schlüssel passt.

Sobald ein aktiver Schlüssel oder ein Zertifikat ausgewählt ist, wird er/es im Abschnitt Lokales X.509-Zertifikat angezeigt.

Einstellungen des verteilten Schlüssels

Wählen Sie den VPN-ID-Typ, der von den PSK-Verbindungen verwendet wird. Dies ist nützlich, wenn sich Ihr Client hinter einem NAT-Gateway befindet und der Peer keine VPN-ID annehmen kann. Wenn die VPN-ID leer ist, wird die IP-Adresse der Schnittstelle als VPN-Bezeichner verwendet.

Für IPsec-Verbindungen, die im Nur-Antworten-Modus (engl. respond-only) arbeiten, können Sie festlegen, dass mehrere verteilte Schlüssel (PSK, engl. preshared keys) für jede IPsec-Verbindung zugelassen sind.

Probing von verteilten Schlüsseln aktivieren: Markieren Sie das Auswahlkästchen, um die Funktion zu aktivieren. Diese Option betrifft L2TP-über-IPsec-, IPsec-Fernzugriff- und IPsec-Site-to-Site-Verbindungen.

Dead Peer Detection (DPD)

Dead Peer Detection verwenden: Die IPsec-Verbindung wird automatisch beendet, wenn das VPN-Gateway oder der Client auf der Gegenseite nicht erreichbar ist. Bei Verbindungen mit statischen Endpunkten wird der Tunnel nach einem Ausfall automatisch neu ausgehandelt. Für Verbindungen mit dynamischen Endpunkten wird für eine neue Aushandlung des Tunnels die Anfrage seitens der Gegenstelle benötigt. In der Regel ist diese Funktion betriebssicher und kann immer eingeschaltet bleiben. Die IPsec-Partner bestimmen automatisch, ob die Gegenstelle Dead Peer Detection unterstützt oder nicht, und verwenden den normalen Modus, falls nötig.

NAT-Traversal (NAT-T)

NAT-Traversal verwenden: Wählen Sie diese Option, um zu ermöglichen, dass IPsec-Verkehr Upstream-Systeme passieren kann, die Network Address Translation (NAT, dt. Netzwerkadressumsetzung) verwenden. Zusätzlich können Sie das Intervall für die Aufrechterhaltung (engl. keep-alive) für NAT-Traversal festlegen. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

CRL-Handhabung

Es sind Situationen denkbar, in denen ein Zertifikataussteller noch während der Gültigkeitsdauer eines Zertifikats die darin gegebene Bestätigung für ungültig erklären möchte, z.B. weil zwischenzeitlich bekannt wurde, dass das Zertifikat vom Zertifikatnehmer unter Angabe falscher Daten (Name usw.) erschlichen wurde oder weil der zum zertifizierten öffentlichen Schlüssel gehörende private Schlüssel einem Angreifer in die Hände gefallen ist. Zu diesem Zweck werden sogenannte Zertifikatsperrlisten (CRLs, engl. Certificate Revocation Lists) verwendet. Diese enthalten üblicherweise die Seriennummern derjenigen Zertifikate einer Zertifizierungsinstanz, die für ungültig erklärt werden und deren regulärer Gültigkeitszeitraum noch nicht abgelaufen ist.

Nach Ablauf dieses Zeitraums besitzt das Zertifikat in jedem Fall keine Gültigkeit mehr und muss daher auch nicht weiter auf der Zertifikatsperrliste geführt werden.

Automatische Abholung: Mit dieser Funktion wird die CRL automatisch über die URL abgeholt, die im Partnerzertifikat angegeben ist, via HTTP, anonymes FTP (Anonymous FTP) oder LDAP Version 3. Die CRL kann auf Anfrage heruntergeladen, abgespeichert und aktualisiert werden, sobald der Gültigkeitszeitraum abgelaufen ist. Wenn Sie diese Funktion nutzen (jedoch nicht über Port 80 oder 443), achten Sie darauf, dass die Firewallregeln so gesetzt sind, dass auf den CRL-Distributionsserver zugegriffen werden kann.

Strikte Richtlinie: Wenn Sie diese Option auswählen, werden alle Partnerzertifikate ohne eine zugehörige CRL zurückgewiesen.