Lauritzl: Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/VPN/IPSec-S2E}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | IPSec - End to Site / Roadwarrior | IPSec - End to Site / Roadwarrior }} {{var | head | Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior | Configuration of an End-to-Site-connection with IPSec for roadwarrior }} {{var | Changelog | Changel…“

2022-11-24T12:58:16Z

Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/VPN/IPSec-S2E}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}}  {{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | IPSec - End to Site / Roadwarrior | IPSec - End to Site / Roadwarrior }} {{var | head | Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior | Configuration of an End-to-Site-connection with IPSec for roadwarrior }} {{var | Changelog | Changel…“

Neue Seite

{{Archivhinweis|UTM/VPN/IPSec-S2E}}
{{Set_lang}}

{{#vardefine:headerIcon|spicon-utm}}


{{Lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| IPSec - End to Site / Roadwarrior
| IPSec - End to Site / Roadwarrior }}
{{var | head
| Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior
| Configuration of an End-to-Site-connection with IPSec for roadwarrior }}
{{var | Changelog
| Changelog
| Changelog }}
{{var | Designanpassung
| Designanpassung
| Design adaptation }}
{{var | Einleitung
| Einleitung
| Introduction }}
{{var | Einleitung--desc
| Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden. <br>In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.<br>Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.
| A roadwarrior connection connects individual hosts to the local network. This allows, for example, a field service employee to connect to the network of the headquarters. <br>This step-by-step guide shows how to configure an end-to-site connection. The selected connection type is native IPSec with IKEv1.<br>For native IPSec connections with IKEv1 the client needs a separate program. }}
{{var | Konfiguration
| Konfiguration einer nativen IPSec Verbindung
| Configuration of a native IPSec connection }}
{{var | Konfiguration--desc
| Neue Verbindungen werden im Menü {{Menu|VPN|IPSec|Verbindungen| IPSec Verbindung hinzufügen|+|mit=true}} hinzugefügt.
| New connections can be added in the menu {{Menu|VPN|IPSec|Connections| Add IPSec Connection|+|mit=true}} }}
{{var | Einrichtungsassistent
| Einrichtungsassistent
| Wizard }}
{{var | Schritt
| Schritt
| Step }}
{{var | Verbindungstyp
| Verbindungstyp
| Connection Type }}
{{var | Schritt1--Auswahl
| Auswahl des Verbindungs-Typs
| Selection of the connection type }}
{{var | Schritt1--val
| Es stehen folgende Verbindungen zur Verfügung:
| The following connections are available: }}
{{var | Schritt1--desc
| Für die Konfiguration einer E2S / End-to-Site-Verbindung wird '''Roadwarrior''' ausgewählt.
| For the configuration of an E2S / End-to-Site-connection ''' roadwarrior''' is to be selected. }}
{{var | Schritt1--bild
| UTMv11.8.8_IPSEC_Assitent1.png
| UTMv11.8.8_IPSEC_Assitent1-en.png }}
{{var | Einrichtungsschritt
| Einrichtungsschritt
| Wizard step }}
{{var | Allgemein
| Allgemein
| General }}
{{var | Schritt2--Name--desc
| Name für die Verbindung
| Name for the connection }}
{{var | Schritt2--bild
| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent2.png
| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent2-en.png }}
{{var | Schritt2--verbindungstyp--cap
| Verbindungstyp:
| Connection Type: }}
{{var | Schritt2--mögliche-verbindungstypen
| Mögliche Verbindungstypen:
| Possible connection types: }}
{{var | Schritt2--Verbindungstyp--Hinweis
| Bitte beachten, welcher Typ vom Betriebssystem [[UTM/VPN/Übersicht#Roadwarrior_oder_End_to_Site_VPN_Verbindungen | unterstützt wird. ]]
| Please note which type is [[UTM/VPN/Übersicht#Roadwarrior_oder_End_to_Site_VPN_Verbindungen | supported ]] by the operating system }}
{{var | Schritt2--authentifizierungsmethode
| Authentifizierungsmethode:
| Authentication method: }}
{{var | Schritt2--authentifizierungsmethode--desc
| Alternativ:
* {{Button| X.509 Zertifikat}}
* {{Button| RSA}} (Nicht bei IKEv2 !)
| Alternatively:
* {{Button| X.509 Certificate}}
* {{Button| RSA}} (Not with IKEv2 !) }}
{{var | Schritt2--psk--cap
| Pre-Shared Key:
| Pre-Shared Key: }}
{{var | Schritt2--psk--desc
| Ein beliebiger PSK. Mit der Schaltfläche {{Button||renew}} wird ein sehr starker Schlüssel erzeugt.
| Any PSK. With the button {{Button||renew}} a very strong key is generated. }}
{{var | Schritt2--x509--cap
| X.509 Zertifikat:
| X.509 Certificate: }}
{{var | Schritt2--x509--val
| Server-Zertifikat
| Server Certificate }}
{{var | Schritt2--x509--desc
| Auswahl eines Zertifikates
| Selection of a certificate }}
{{var | Lokal
| Lokal
| Local }}
{{var | Schritt3--gatewayID--desc
| Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
| The gateway ID is included in the authentication. This can be an IP address, a host name or an interface. }}
{{var | Schritt3--bildd
| UTMv11.8.8_IPSEC_Assitent3.png
| UTMv11.8.8_IPSEC_Assitent3-en.png }}
{{var | Schritt3--Netzwerk--cap
| Netzwerk freigeben:
| Share networks: }}
{{var | Schritt3--Netzwerk--desc
| Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll
| The local network to be connected via the VPN connection }}
{{var | Gegenstelle
| Gegenstelle
| Remote }}
{{var | oder
| oder
| or }}
{{var | Schritt4--gatewayID--val
| Mein_Roadwarrior
| My_Roadwarrior }}
{{var | Schritt4--gatewayID--desc
| Wird mehr als '''eine''' IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft.
| If more than '''one''' IPSec connection is established, a unique ID should be entered here. The password of incoming connections is validated against the ID of the IPSec connection. }}
{{var | Schritt4--gatewayID--info
| Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.
| If no IP address is specified as ID, further settings must be made for site-to-site connections. }}
{{var | Schritt4--gatewayID--bild
| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent4.png
| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent4-en.png }}
{{var | Schritt4--IPadresse--cap
| IP-Adresse(n):
| IP Address(es): }}
{{var | Schritt4--IPadresse--desc
| Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird.
| Additional IP address for the roadwarrior with which the IPSec connection is established. }}
{{var | Schritt4--IPadresse--hinweis | Sollen viele Roadwarrior den gleichen Tunnel verwenden, kann später in {{Button|Phase 2|w}} {{Reiter| Subnetze}} eine Netzwerkadresse konfiguriert werden. | If many Roadwarriors should use the same tunnel, a network address can be configured later in {{Button|Phase 2|w}} / {{Reiter|Subnets}}. }}
{{var | Schritt4--IPadresse--phase2
| de=Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet {{Button||w}} und für das {{b|Remote-Netzwerk}} der Wert {{ic|192.168.222.0/24}} eingetragen.
| For this example, after the wizard has finished, the ip-address just dedicated is edited {{Button||w}} and for the {{b|Remote network}} the value {{ic|192.168.222.0/24}} is entered. }}
{{var | wizard-beenden
| Beenden des Einrichtungsassistenten mit {{Button| Fertig }}
| Exit the setup wizard with {{Button|Finish}} }}
{{var | Regelwerk
| Regelwerk
| Set of rules }}
{{var | Regelwerk--desc
| Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.
| To grant access to the internal network, the connection must be allowed. }}
{{var | Implizite Regeln
| Implizite Regeln
| Implied rules }}
{{var | Implizite Regeln--hinweis
| Es ist möglich, aber '''nicht empfehlenswert''' dies mit impliziten Regeln unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic|VPN}} und Abschnitt {{ic|IPSec Traffic}} zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf '''allen''' Schnittstellen frei.
| It is possible, but '''not recommended''' to do this with implied rules in {{Menu| Firewall | Implied Rules }} section {{ic|VPN}} and section {{ic|IPSec Traffic}}. However, these implied rules enable the ports used for IPSec connections on '''all''' interfaces. }}
{{var | Screenshots
| Screenshots zeigen
| Show screenshots }}
{{var | ausblenden
| ausblenden
| hide }}
{{var | Implizite Regeln--bild1
| UTM_v11.8.8_Implizite-Regeln_IPSec.png
| UTM_v11.8.8_Implizite-Regeln_IPSec-en.png }}
{{var | Implizite Regeln--bild1--cap
| Implizite Regeln, Abschnitt VPN
| Implied rules, VPN section }}
{{var | Implizite Regeln--bild2
| UTM_v11.8.8_Implizite-Regeln_IPSec-Traffic.png
| UTM_v11.8.8_Implizite-Regeln_IPSec-Traffic-en.png }}
{{var | Implizite Regeln--bild2--cap
| Implizite Regeln, Abschnitt IPSec Traffic
| Implied rules, section IPSec Traffic }}
{{var | Netzwerkobjekt
| Netzwerkobjekt anlegen
| Creating a network object }}
{{var | Netzwerkobjekte
| Netzwerkobjekte
| Network objects }}
{{var | Netzwerkobjekte--hinzufügen
| Objekt hinzufügen
| Add object }}
{{var | Netzwerkobjekte--name--desc
| Name für das IPSec-Netzwerkobjekt
| Name for the IPSec network object }}
{{var | Netzwerkobjekte--bild
| UTM v11.8.8 Netzwerkobjekt IPSec-native.png
| UTM v11.8.8 Netzwerkobjekt IPSec-native-en.png }}
{{var | Netzwerkobjekte--bild--cap
| Netzwerkobjekt
| Network object }}
{{var | Netzwerkobjekte--typ
| Typ:
| Type: }}
{{var | Netzwerkobjekte----typ--val
| VPN-Netzwerk
| VPN network }}
{{var | Netzwerkobjekte--typ--desc
| zu wählender Typ
| type to be selected }}
{{var | Netzwerkobjekte--adresse
| Adresse:
| Address: }}
{{var | Netzwerkobjekte--adresse--desc
| Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im ''Installationsassistenten'' im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.<br>In diesem Beispiel also das Netzwerk 192.168.222.0/24.
| roadwarrior IP address or the roadwarrior pool entered in the ''Installation Wizard'' in step 4 (or subsequently adjusted in phase 2).<br> In this example the network 192.168.222.0/24. }}
{{var | Netzwerkobjekte--zone
| Zone:
| Zone: }}
{{var | Netzwerkobjekte--zone--desc
| zu wählende Zone
| zone to be selected }}
{{var | Netzwerkobjekte--gruppe
| Gruppe:
| Group: }}
{{var | Netzwerkobjekte--gruppe--desc
| Optional: Gruppe
| Optional: Group }}
{{var | regeln
| Portfilter Regeln
| Port filter rules }}
{{var | regeln--bild
| UTM_v11.8.8_Portfilter-Regel_IPSec-ikev1.png
| UTM_v11.8.8_Portfilter-Regel_IPSec-ikev1-en.png }}
{{var | regeln--bild--cap
| Portfilter-Regel mit Test-Ping auf die Schnittstelle der internen dmz1
| Port filter rule }}
{{var | regel1--desc
| Portfilter Regel anlegen unter {{Menu|Firewall|Portfilter|Portfilter|Rege lhinzufügen|+}}<br>Die erste Regel ermöglicht, daß der IPSec-Tunnel überhaupt aufgebaut wird.
| Add portfilter rule at {{Menu|Firewall|Portfilter|Portfilter|Add Rule|+}}<br>The first rule allows the IPSec tunnel to be built at all. }}
{{var | Quelle
| Quelle
| Source }}
{{var | regel1--quelle--desc
| Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
| Source from which access to the internal network is to be made. }}
{{var | Ziel
| Ziel
| Destination }}
{{var | regel1--ziel--desc
| Schnittstelle, auf der die Verbindung ankommt.
| Interface on which the connection is received. }}
{{var | Dienst
| Dienst
| Service }}
{{var | regel1--dienst--desc
| Vordefinierte Dienstgruppe für IPSec
| Predefined service group for IPSec }}
{{var | regel1--dienst--info
| Dienst / Protokoll, Port 
isakmp / udp 500 
nat-traversal / udp 4500 

Protokoll esp
| Service / Protocol, Port 
isakmp / udp 500 
nat-traversal / udp 4500 

Protocol esp }}
{{var | regel2--desc
| Die zweite Regel erlaubt dem Roadwarrior den Zugriff auf die Schnittstelle der dmz.
| }}
{{var | regel2--quelle--desc
| Roadwarrior -Host oder -Netzwerk
| }}
{{var | regel2--ziel
| Schnittstelle, die vor dem Netz liegt, auf das zugegriffen werden soll.
| }}
{{var | regel2--dienst--desc
| Vordefinierte Dienstgruppe
| }}
{{var | regel3--desc
| Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
| A second rule allows the roadwarrior to access the desired network, host or network group. }}
{{var | regel3--quelle--desc
| Roadwarrior -Host oder -Netzwerk
| Roadwarrior host or network }}
{{var | regel3--ziel--desc
| Netzwerk, auf das zugegriffen werden soll.
| Network to be accessed. }}
{{var | regel3--dienst--desc
| Gewünschter Dienst oder Dienstgruppe
| Desired service or service group }}
{{var | verbindung-herstellen
| Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
| Now a connection with a roadwarrior can be established. }}
{{var | verbindung--parameter--desc
| Hierzu muss ggf. ein Client verwendet werden. {{Hinweis|!|g}} Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.
| A client may have to be used for this. {{Hinweis|!|g}} Care must be taken to ensure that the parameters on both sides are identical in all phases of the connection. }}
{{var | verbindung--parameter--val
| Notwendige Änderungen, bei Verwendung eines NCP-Clients:
* '''UTM'''
** Diffie-Hellman Group ''(Phase 1)''
** DH-Gruppe (PFS) ''(Phase 2)''<br>'''oder'''
* '''NCP-Client:'''
** IKE-DH-Gruppe
Bei Verwendung von '''IKEv1''' außerdem:
* '''NCP-Client:'''
** Austausch-Modus: ''Main Mode (IKEv1)''
| Necessary changes, when using an NCP client:
* '''UTM'''
** Diffie-Hellman Group ''(Phase 1)''
** DH-Group (PFS) ''(Phase 2)''<br>'''oder'''
* '''NCP-Client:'''
** IKE-DH-Group
Addtionally when using '''IKEv1''':
* '''NCP-Client:'''
** Exchange mode: ''Main Mode (IKEv1)'' }}
{{var | Verschlüsselung
| Verschlüsselung:
| Encryption: }}
{{var | Authentifizierung
| Authentifizierung:
| Authentication: }}
{{var | Schlüssel-Lebensdauer
| Schlüssel-Lebensdauer:
| Key lifetime: }}
{{var | Stunden
| Stunden
| hours }}
{{var | Neustart
| Neustart nach Abbruch:
| Restart on abort: }}
{{var | Austausch-Modus
| Austausch-Modus
| Exchange mode }}
{{var | nonkonfig
| nicht konfigurierbar
| not configurable }}
{{var | default-utm
| Default-Werte UTM
| Default values UTM }}
{{var | default-ncp
| Default-Werte NCP-Client
| Default values NCP client }}
{{var | Weitere Einstellungen
| Weitere Einstellungen
| }}
{{var | Weitere Einstellungen--desc
| Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:
| }}
{{var | neu--DPD
| [[#DPD | DPD Timeout und DPD Intervall]] lassen sich konfigurieren
| [[#DPD | DPD Timeout and DPD Interval]] can be configured }}
{{var |
|
| }}
{{var |
|
| }}
{{var |
|
| }}
IKE{{var |
|
| }}
{{var |
|
| }}

----
{{var |
|
| }}

</div>

</div>{{Select_lang}}{{TOC2}}
{{Header|12.2.3|
* {{#var:neu--DPD}}
|[[UTM/VPN/IPSec-S2E_v11.8 | 11.8]]
[[UTM/VPN/IPSec-S2E_v11.6 | 11.6.12]]
| / Menü {{Menu|VPN|IPSec|Verbindungen}} }}
<br>

=== {{#var: Einleitung| Einleitung }} ===
<div class="Einrücken">{{#var: Einleitung--desc}}</div>

=== {{#var: Konfiguration}} ===
<div class="Einrücken">{{#var: Konfiguration--desc}}</div>

==== {{#var: Einrichtungsassistent| Einrichtungsassistent }} ====
{| class="sptable2 pd5 zh1 Einrücken"
|- class="Leerzeile"
| class="Leerzeile" colspan="2" |
{{h5| {{#var:Verbindungstyp}} | {{#var: Schritt| Schritt }} 1 - {{#var: Verbindungstyp}} }}
|-
! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}
| class="Bild" rowspan="3" | {{Bild| {{#var: Schritt1--bild| UTMv11.8.8_IPSEC_Assitent1.png}} | {{#var: Einrichtungsschritt| Einrichtungsschritt }} 1 }}
|-
| {{#var: Schritt1--Auswahl| Auswahl des Verbindungs-Typs }}
| {{#var: Schritt1--val| es stehen folgende Verbindungen zur Verfügung: }}
* {{ic| '''Roadwarrior'''}}
* {{ic|Site to Site }}
| {{#var: Schritt1--desc| Für die Konfiguration einer Roadwarrior Verbindung wird eben diese ausgewählt. }}
|- class="Leerzeile"
| colspan="3" |
|-
| class="Leerzeile" colspan="3" |<br>
{{h5| {{#var:Allgemein}} | {{#var:Schritt}} 2 - {{#var:Allgemein }} }}
|-
| {{b| Name: }} || {{ic| IPSec Roadwarrior }} || {{#var: Schritt2--Name--desc| Name für die Verbindung}} || class="bild width-m" rowspan="5" | {{Bild| {{#var: Schritt2--bild| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent2.png }}  | {{#var:Einrichtungsschritt}} 2 }}
|-
| {{b| {{#var: Schritt2--verbindungstyp--cap| Verbindungstyp: }} }} || {{Button| IKEv1 - Native |dr|w=140px}} || {{cl|{{#var: Schritt2--mögliche-verbindungstypen|Mögliche Verbindungstypen: }} | {{Button| IKEv1 - L2TP|dr|w=140px}}<br>{{Button| IKEv1 - XAuth |dr|w=140px}}<br>{{Button| IKEv1 - Native |dr|w=140px}}<br>{{Button| IKEv2 - Native |dr|w=140px}} | w=130px}}<br>
{{#var: Schritt2--Verbindungstyp--Hinweis| Bitte beachten, welcher Typ vom Betriebssystem [[UTM/VPN/Übersicht#Roadwarrior_oder_End_to_Site_VPN_Verbindungen | unterstützt wird. ]] }}
|-
| {{b| {{#var: Schritt2--authentifizierungsmethode| Authentifizierungsmethode: }} }} || {{Button|PSK|blau}} || {{#var: Schritt2--authentifizierungsmethode--desc| Alternativ: <br>* {{Button| X.509 Zertifikat}} <br>* {{Button| RSA}} (Nicht bei IKEv2 !) }}
|-
| {{b| {{#var: Schritt2--psk--cap| Pre-Shared Key: }} }} || {{ic| 12345 }} || {{#var: Schritt2--psk--desc| Ein beiliebiger PSK. Mit der Schaltfläche {{Button|1=<span class="halflings halflings-key halflings-size-14"></span>}} wird ein sehr starker Schlüssel erzeugt. }}
|-
| {{b| {{#var: Schritt2--x509--cap| X.509 Zertifikat: }} }} || {{Button| {{#var: Schritt2--x509--val| Server-Zertifikat }} |dr}} || {{#var: Schritt2--x509--desc| Auswahl eines Zertifikates }}
|-
| class="Leerzeile" colspan="3" |<br>
{{h5| {{#var:Lokal}} | {{#var:Schritt}} 3 - {{#var: Lokal}} }}
|-
| {{b| Local Gateway ID: }} || {{ic| eth0 | dr }} || {{#var: Schritt3--gatewayID--desc| Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. }} || class="bild width-m" rowspan="3" | {{Bild| {{#var: Schritt3--bildd| UTMv11.8.8_IPSEC_Assitent3.png }} | {{#var:Einrichtungsschritt}} 3 }}
|-
| {{b| {{#var: Schritt3--Netzwerk--cap| Netzwerk freigeben: }} }} || {{ic| 192.168.122.0/24|dr}} || {{#var: Schritt3--Netzwerk--desc| Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll }}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" |<br>
{{h5| {{#var:Gegenstelle}} | {{#var:Schritt}} 4 - {{#var: Gegenstelle}} }}
|-
| {{b| Remote Gateway ID: }} || {{ic| 192.0.2.192 |dr}} <br><small>{{#var: oder| oder }}</small><br>{{ic| {{#var: Schritt4--gatewayID--val| Mein_Roadwarrior }} |dr}}|| {{Hinweis|!}} {{#var: Schritt4--gatewayID--desc| Wird mehr als '''eine''' IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. }} {{info|{{#var: Schritt4--gatewayID--info| Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen. }} }} || class="bild width-m" rowspan="3" | {{Bild| {{#var: Schritt4--gatewayID--bild| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent4.png }}  | {{#var:Einrichtungsschritt}} 4 }}
|-
|  {{b|{{#var: Schritt4--IPadresse--cap| IP-Adresse(n): }} }} || {{ic| 192.168.222.35 }} || {{#var: Schritt4--IPadresse--desc| IP-Adresse für den Roadwarrior. }}
<li class="list--element__alert list--element__hint">{{#var: Schritt4--IPadresse--hinweis| Sollen viele Roadwarrior den gleichen Tunnel verwenden, kann später in {{Button|Phase 2|w}} / {{Reiter| Subnetze}} eine Netzwerkadresse konfiguriert werden. }}<br>{{#var: Schritt4--IPadresse--phase2| Für dieses Beispiel wird das nach Beendigung des Assistenten das soeben angelegte Subnetz bearbeitet {{Button||w}} und für das {{b|Remote-Netzwerk}} der Wert {{ic|192.168.22.0/24}} eingebtragen. }}</li>
|-
| class=" Leerzeile" colspan="3" | {{#var: wizard-beenden| Beenden des Einrichtungsassistenten mit {{Button| Fertig }} }}
|-
| class="Leerzeile" colspan="3" | <br>
==== {{#var: Regelwerk| Regelwerk }} ====

{{#var: Regelwerk--desc| Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden. }}
|-
| class="Leerzeile" colspan="3" | {{h3|{{#var: Implizite Regeln| Implizite Regeln }}}}{{Hinweis|!! § <small>{{#var: Implizite Regeln--hinweis| Es ist möglich, aber '''nicht empfehlenswert''' dies mit impliziten Regeln unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic|VPN}} und Abschnitt {{ic|IPSec Traffic}} zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf '''allen''' Schnittstellen frei. }} |g|lh=1em}}</small>
| class="bild width-m" | {{Einblenden2 | {{#var: Screenshots| Screenshots zeigen }} | {{#var: ausblenden| ausblenden }} | dezent| true | {{Bild| {{#var: Implizite Regeln--bild1| UTM_v11.8.8_Implizite-Regeln_IPSec.png }} | {{#var: Implizite Regeln--bild1--cap| Implizite Regeln, Abschnitt VPN }} }}<br>{{Bild|{{#var: Implizite Regeln--bild2| UTM_v11.8.8_Implizite-Regeln_IPSec-Traffic.png }} | {{#var: Implizite Regeln--bild2--cap| Implizite Regeln, Abschnitt IPSec Traffic }} }} }}
|-
| class="Leerzeile" colspan="3" |
----
===== {{#var: Netzwerkobjekt| Netzwerkobjekt anlegen }} =====
{{Menu| Firewall | Portfilter | {{#var: Netzwerkobjekte| Netzwerkobjekte }} |{{#var:Netzwerkobjekte--hinzufügen| Objekt hinzufügen }} |+}}
|-
| {{b| Name:}} || {{ic| ngrp-IPSec-Roadwarrior }} || {{#var: Netzwerkobjekte--name--desc| Name für das IPSec-Netzwerkobjekt }} || class="bild width-m" rowspan="5" | {{Bild| {{#var: Netzwerkobjekte--bild| UTM v11.8.8 Netzwerkobjekt IPSec-native.png }} | {{#var: Netzwerkobjekte--bild--cap| Netzwerkobjekt }} }}
|-
| {{b| {{#var: Netzwerkobjekte--typ| Typ: }} }} || {{ic| {{#var: Netzwerkobjekte----typ--val| VPN-Netzwerk }} |dr}} || {{#var: Netzwerkobjekte--typ--desc| zu wählender Typ }}
|-
| {{b| {{#var: Netzwerkobjekte--adresse| Adresse: }} }} || {{ic| 192.168.222.0/24 }} || {{#var: Netzwerkobjekte--adresse--desc| Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im ''Installationsassistenten'' im Schritt 4 eingetragen wurde.<br>In diesem Beispiel also das Netzwerk 192.168.222.0/24. }}
|-
| {{b| {{#var: Netzwerkobjekte--zone| Zone: }} }} || {{ic| vpn-ipsec |dr}} || {{#var: Netzwerkobjekte--zone--desc| zu wählende Zone }}
|-
| {{b| {{#var: Netzwerkobjekte--gruppe| Gruppe: }} }} || {{ic| | dr}} || {{#var: Netzwerkobjekte--gruppe--desc| Optional: Gruppe }}
|-
| class="Leerzeile" colspan="3" |
|-
| class="Leerzeile" colspan="2" |
===== {{#var: regeln| Portfilter Regeln }} =====
| colspan="2" class="Bild" style="min-width: 69%;" | {{Bild| {{#var: regeln--bild| UTM_v11.8.8_Portfilter_IPSec.png }} | {{#var: regeln--bild--cap}} }}
|-
| class="Leerzeile" colspan="3"| {{#var: regel1--desc| Die erste Regel ermöglicht, das der IPSec-Tunnel überhaupt aufgebaut wird. }}
|-
| {{b| {{#var: Quelle}} }} || {{ic| internet|dr|icon=internet|class=available}} || {{#var: regel1--quelle--desc| Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll. }}
|-
| {{b| {{#var: Ziel}} }} || style="min-width:175px;" | {{ic| external-interface |dr|icon=interface|class=available}} || {{#var: regel1--ziel--desc| Schnittstelle, auf der die Verbindung ankommt. }}
|-
| {{b| {{#var: Dienst}} }} || {{ic| ipsec|dr|icon=dienste|class=available}} || {{#var: regel1--dienst--desc| Vordefinierte Dienstgruppe für IPSec }} {{Info| {{#var: regel1--dienst--info| Dienst / Protokoll, Port 
isakmp / udp 500 
nat-traversal / udp 4500 

Protokoll esp }} }}
|- class="Leerzeile"
| colspan="3"| <br>{{#var: regel3--desc| Eine zweite Regel erlaubt dann dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe. }}
|-
| {{b| {{#var:Quelle}} }} || {{ic| IPSec Roadwarrior|dr|class=available|icon=vpn-network}} || {{#var: regel3--quelle--desc| Roadwarrior -Host oder -Netzwerk }}
|-
| {{b| {{#var:Ziel}} }} || {{ic| dmz1-network |dr|class=available|icon=net}} || {{#var: regel3--ziel--desc| Netzwerk, auf das zugegriffen werden soll. }}
|-
| {{b| {{#var:Dienst}} }} || {{ic| xyz|dr|class=available|icon=dienste}} || {{#var: regel3--dienst--desc| Gewünschter Dienst oder Dienstgruppe }}
|}

<div class="Einrücken">
<p>{{#var: verbindung-herstellen}}<br>
{{#var: verbindung--parameter--desc}}</p>
<p>{{#var: verbindung--parameter--val}}</p>
</div>

=== {{#var:Weitere Einstellungen}} ===
<div class="Einrücken">{{#var:Weitere Einstellungen--desc}}</div>
{| class="sptable2 pd5 Einrücken zh1"
{{:UTM/VPN/IPSec-Phase1-2_v12.2.3}}
|}

UTM/VPN/IPSec-S2E v12.2.3 - Versionsgeschichte