Wechseln zu:Navigation, Suche
Wiki
K (Weiterleitung auf UTM/VPN/IPSec-S2S Beispiele v11.7 entfernt)
Markierung: Weiterleitung entfernt
KKeine Bearbeitungszusammenfassung
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 4: Zeile 4:
{{:UTM/VPN/IPSec-S2S Beispiele.lang}}
{{:UTM/VPN/IPSec-S2S Beispiele.lang}}


{{var | neu--Layoutanpassung
| Layoutanpassung und aktualisierte Screenshots
| Layout adjustments and updated screen shots }}


</div>{{TOC2|toclevel=2}}<!--{{Select_lang}}-->
</div>{{TOC2|toclevel=2}}{{Select_lang}}<div class="new_design"></div>
{{Header|05.2023|
{{Header|12.6.0|
* {{#var:neu--Layoutanpassung}}
* {{#var:neu--rwi}}
|[[UTM/VPN/IPSec-S2S_Beispiele_v11.7 | 11.7]]
|[[UTM/VPN/IPSec-S2S_Beispiele_v12.5 | 12.5]]
[[UTM/VPN/IPSec-S2S_Beispiele_v11.7 | 11.7]]
[[UTM/VPN/IPSec-S2S_Beispiele_v11.6 | 11.6]]
[[UTM/VPN/IPSec-S2S_Beispiele_v11.6 | 11.6]]
|{{Menu|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}} }}
|{{Menu-UTM|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}} }}
}}
}}
----
----
Zeile 35: Zeile 33:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--Bild}} }}
{{Bild|{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}}
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}}
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}}
<br clear=all>
<br clear=all>


{{pt3|{{#var:Single path öffentlich DR Zentrale--Bild}} }}
{{Bild|{{#var:Single path öffentlich DR Zentrale--Bild}}|class=Bild-t}}
{{#var:Single path öffentlich DR Zentrale--desc}}
{{#var:Single path öffentlich DR Zentrale--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 52: Zeile 50:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="16" | {{Bild|{{#var:Singlepath öffentlich IPSec Zentrale--Bild}} }}
| class="Bild" rowspan="15" | {{Bild|{{#var:Singlepath öffentlich IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 79: Zeile 77:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 92: Zeile 87:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path öffentlich filiale--Bild}} }}
{{Bild|{{#var:Single path öffentlich filiale--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}}
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}}
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}}
<br clear=all>
<br clear=all>


{{pt3|{{#var:Single path öffentlich DR Zentrale--Bild}} }}
{{Bild|{{#var:Single path öffentlich DR Zentrale--Bild}}|class=Bild-t}}
{{#var:Single path öffentlich DR Zentrale--desc}}
{{#var:Single path öffentlich DR Zentrale--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 109: Zeile 104:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path öffentlich filiale ipsec--Bild}} }}
| class="Bild" rowspan="15" | {{Bild|{{#var:Single path öffentlich filiale ipsec--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 136: Zeile 131:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 156: Zeile 148:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--Bild}} }}
{{Bild|{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}}
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}}
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}}
<br clear=all>
<br clear=all>


{{pt3|{{#var:Single path öffentlich DR Zentrale--Bild}} }}
{{Bild|{{#var:Single path öffentlich DR Zentrale--Bild}}|class=Bild-t}}
{{#var:Single path öffentlich DR Zentrale--desc}}
{{#var:Single path öffentlich DR Zentrale--desc}}
<br clear=all></div>
<br clear=all></div>
Zeile 166: Zeile 158:


==== {{#var:RSA-Schlüssel}} ====
==== {{#var:RSA-Schlüssel}} ====
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}}
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:RSA-Schlüssel Übersicht--Bild}} }}
{{#var:RSA-Schlüssel Übersicht--desc}}
{{#var:RSA-Schlüssel Übersicht--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 180: Zeile 172:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Single path genattet IPSec Zentrale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path genattet IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 209: Zeile 201:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 222: Zeile 211:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path genattet filiale--Bild}} }}
{{Gallery3| {{#var:Single path genattet filiale--Bild}} | {{#var:Single path genattet filiale--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
{{#var:Single path genattet filiale--desc}}
          | {{#var:Single path genattet DR filiale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
<br clear=all>
|Abb=true|i=2}}
 
</div>
{{pt3|{{#var:Single path genattet DR filiale--Bild}} }}
{{#var:Single path genattet DR filiale--desc}}
<br clear=all></div>




==== {{#var:RSA-Schlüssel}} ====
==== {{#var:RSA-Schlüssel}} ====
{{pt3|{{#var:RSA-Schlüssel Übersicht--Bild}} }}
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}}
<div class="Einrücken">
{{#var:RSA-Schlüssel Übersicht--desc}}
{{#var:RSA-Schlüssel Übersicht--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 245: Zeile 232:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Single path genattet IPSec filiale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path genattet IPSec filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 253: Zeile 240:
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}}
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}}
|-
|-
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetwerk Remote Host--desc}}
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetzwerk Remote Host--desc}}
|-
|-
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}}
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}}
Zeile 274: Zeile 261:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 294: Zeile 278:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path beidseitig genattet Zentrale--Bild}} }}
{{Gallery3| {{#var:Single path beidseitig genattet Zentrale--Bild}} | {{#var:Single path beidseitig genattet Zentrale--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
{{#var:Single path beidseitig genattet Zentrale--desc}}
| {{#var:Single path beidseitig genattet DR Zentrale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
<br clear=all>
|Abb=true|i=2}}
 
</div>
{{pt3|{{#var:Single path beidseitig genattet DR Zentrale--Bild}} }}
{{#var:Single path genattet DR filiale--desc}}
<br clear=all></div>




==== {{#var:RSA-Schlüssel}} ====
==== {{#var:RSA-Schlüssel}} ====
{{pt3|{{#var:RSA-Schlüssel Übersicht--Bild}} }}
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}}
<div class="Einrücken">
{{#var:RSA-Schlüssel Übersicht--desc}}
{{#var:RSA-Schlüssel Übersicht--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 317: Zeile 299:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 346: Zeile 328:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 359: Zeile 338:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path genattet filiale--Bild}} }}
{{Gallery3| {{#var:Single path genattet filiale--Bild}} | {{#var:Single path beidseitig genattet Filiale Netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
{{#var:Single path beidseitig genattet Filiale Netzwerkvorgaben--desc}}
| {{#var:Single path genattet DR filiale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
<br clear=all>
|Abb=true|i=2}}
 
</div>
{{pt3|{{#var:Single path genattet DR filiale--Bild}} }}
{{#var:Single path genattet DR filiale--desc}}
<br clear=all></div>




==== {{#var:RSA-Schlüssel}} ====
==== {{#var:RSA-Schlüssel}} ====
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}}
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:RSA-Schlüssel Übersicht--Bild}} }}
{{#var:RSA-Schlüssel Übersicht--desc}}
{{#var:RSA-Schlüssel Übersicht--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 383: Zeile 359:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Single path beidseitig genattet IPSec filiale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path beidseitig genattet IPSec filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 412: Zeile 388:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 432: Zeile 405:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}} }}
{{Bild|{{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}}
{{#var:Multipath öffentlich zentrale netzwerkvorgaben--desc}}
{{#var:Multipath öffentlich zentrale netzwerkvorgaben--desc}}
<br clear=all>
<br clear=all>


{{pt3|{{#var:Multipath öffentlich zentrale DR--Bild}} }}
{{Bild|{{#var:Multipath öffentlich zentrale DR--Bild}}|class=Bild-t}}
{{#var:Multipath öffentlich zentrale DR--desc}}
{{#var:Multipath öffentlich zentrale DR--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 449: Zeile 422:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Multipath öffentlich IPSec zentrale--Bild}} }}
| class="Bild" rowspan="17" | {{Bild|{{#var:Multipath öffentlich IPSec zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 476: Zeile 449:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 489: Zeile 459:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path öffentlich filiale--Bild}} }}
{{Gallery3| {{#var:Single path öffentlich filiale--Bild}} | {{#var:Multipath öffentlich Filiale Netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
{{#var:Multipath öffentlich Filiale Netzwerkvorgaben--desc}}
| {{#var:Single path öffentlich DR Zentrale--Bild}} | {{#var:Single path öffentlich DR Zentrale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
<br clear=all>
|Abb=true|i=2}}
</div>


{{pt3|{{#var:Single path öffentlich DR Zentrale--Bild}} }}
<br clear=all></div>


 
==== IPSec Phase 1 ====
==== {{#var:IPSec Phase 1}} ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 505: Zeile 473:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Multipath öffentlich IPSec Filiale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Multipath öffentlich IPSec Filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 532: Zeile 500:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 552: Zeile 517:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}} }}
{{Bild|{{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}}
{{#var:Multipath öffentlich zentrale netzwerkvorgaben--desc}}
{{#var:Multipath öffentlich zentrale netzwerkvorgaben--desc}}
<br clear=all>
<br clear=all>


{{pt3|{{#var:Multipath öffentlich zentrale DR--Bild}} }}
{{Bild|{{#var:Multipath öffentlich zentrale DR--Bild}}|class=Bild-t}}
{{#var:Multipath öffentlich zentrale DR--desc}}
{{#var:Multipath öffentlich zentrale DR--desc}}
<br clear=all></div>
<br clear=all></div>
Zeile 562: Zeile 527:


==== {{#var:RSA-Schlüssel}} ====
==== {{#var:RSA-Schlüssel}} ====
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}}
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:RSA-Schlüssel Übersicht--Bild}} }}
{{#var:RSA-Schlüssel Übersicht--desc}}
{{#var:RSA-Schlüssel Übersicht--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 576: Zeile 541:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 605: Zeile 570:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 618: Zeile 580:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path genattet filiale--Bild}} }}
{{Gallery3| {{#var:Single path genattet filiale--Bild}} | {{#var:Multipath genattet filiale netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
{{#var:Multipath genattet filiale netzwerkvorgaben--desc}}
| {{#var:Single path genattet DR filiale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
<br clear=all>
|Abb=true|i=2}}
 
</div>
{{pt3|{{#var:Single path genattet DR filiale--Bild}} }}
{{#var:Single path genattet DR filiale--desc}}
<br clear=all></div>




==== {{#var:RSA-Schlüssel}} ====
==== {{#var:RSA-Schlüssel}} ====
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}}
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:RSA-Schlüssel Übersicht--Bild}} }}
{{#var:RSA-Schlüssel Übersicht--desc}}
{{#var:RSA-Schlüssel Übersicht--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 642: Zeile 601:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Multipath genattet IPSec filiale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Multipath genattet IPSec filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 671: Zeile 630:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 691: Zeile 647:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}} }}
{{Gallery3| {{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}} | {{#var:Multipath beidseitig zentrale netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
{{#var:Multipath beidseitig zentrale netzwerkvorgaben--desc}}
| {{#var:Multipath öffentlich zentrale DR--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
<br clear=all>
|Abb=true|i=2}}
 
</div>
{{pt3|{{#var:Multipath öffentlich zentrale DR--Bild}} }}
{{#var:Single path genattet DR filiale--desc}}
<br clear=all></div>




==== {{#var:RSA-Schlüssel}} ====
==== {{#var:RSA-Schlüssel}} ====
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}}
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:RSA-Schlüssel Übersicht--Bild}} }}
{{#var:RSA-Schlüssel Übersicht--desc}}
{{#var:RSA-Schlüssel Übersicht--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 715: Zeile 668:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 744: Zeile 697:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|}
|}
<br clear=all>




Zeile 757: Zeile 707:
==== {{#var:Netzwerkvorgaben}} ====
==== {{#var:Netzwerkvorgaben}} ====
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:Single path genattet filiale--Bild}} }}
{{Gallery3| {{#var:Single path genattet filiale--Bild}} | {{#var:Multipath beidseitig filiale netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
{{#var:Multipath beidseitig filiale netzwerkvorgaben--desc}}
| {{#var:Single path genattet DR filiale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}}
<br clear=all>
|Abb=true|i=2}}
 
</div>
{{pt3|{{#var:Single path genattet DR filiale--Bild}} }}
{{#var:Single path genattet DR filiale--desc}}
<br clear=all></div>




==== {{#var:RSA-Schlüssel}} ====
==== {{#var:RSA-Schlüssel}} ====
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}}
<div class="Einrücken">
<div class="Einrücken">
{{pt3|{{#var:RSA-Schlüssel Übersicht--Bild}} }}
{{#var:RSA-Schlüssel Übersicht--desc}}
{{#var:RSA-Schlüssel Übersicht--desc}}
<br clear=all></div>
<br clear=all></div>




==== {{#var:IPSec Phase 1}} ====
==== IPSec Phase 1 ====
<div class="Einrücken">
<div class="Einrücken">
{{#var:IPSec Phase 1--desc}}
{{#var:IPSec Phase 1--desc}}
Zeile 781: Zeile 728:
|-
|-
| {{b|Name:}} || {{#var:Name--desc}}
| {{b|Name:}} || {{#var:Name--desc}}
| class="Bild" rowspan="17" | {{Bild|{{#var:Multipath beidseitig IPSec filiale--Bild}} }}
| class="Bild" rowspan="16" | {{Bild|{{#var:Multipath beidseitig IPSec filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}}
|-
|-
| {{b|{{#var:IKE Version}}:}} || {{#var:IKE Version--desc}}
| {{b|IKE Version:}} || {{#var:IKE Version--desc}}
|-
|-
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}}
Zeile 810: Zeile 757:
|-
|-
| {{b|Compression:}} || {{#var:Compression--desc}}
| {{b|Compression:}} || {{#var:Compression--desc}}
|- class="Leerzeile"
| {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|

Aktuelle Version vom 18. Januar 2024, 11:40 Uhr






























De.png
En.png
Fr.png








Beispiele zur Konfiguration von IPSec-VPN Site to Site Verbindungen
Letzte Anpassung zur Version: 12.6.0
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.5 11.7 11.6

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Netzwerk Netzwerkkonfiguration


Einleitung

Bei einer IPSec Verbindung gibt es für jeden Netzaufbau empfohlene Konfigurationen, damit ein Tunnel aufgebaut werden kann.
Dabei wird unterschieden, ob die öffentliche IP auf der UTM liegt, oder ob die Verbindung "genattet" ist. Auch, ob es mehrere Internetleitungen gibt, spielt hierbei eine Rolle.


Single-Path mit öffentlichen IP-Adressen

IPSec single oNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.



Zentrale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path öffentlich Zentrale.png Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.

UTM v12.6.0 Netzwerkkonfiguration Default Route single path öffentlich Zentrale.png

Die Default-Route kann mit Klick auf Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche + Default-Route hinzufügen angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 single path öffentliche Zentrale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Remote Host/Gateway: Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle.
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: Es kann ein Pre-Shared Key, ein Zertifikat oder ein RSA-Schlüssel verwendet werden.
Pre-Shared Key: Schlüssel hier eintragen oder einen sehr starken Schlüssel erstellen lassen.
Startverhalten: Das Startverhalten Outgoing definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Filiale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path öffentlich Filiale.png Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.

UTM v12.6.0 Netzwerkkonfiguration Default Route single path öffentlich Zentrale.png

Die Default-Route kann mit Klick auf Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche + Default-Route hinzufügen angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 single path öffentliche Filiale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Remote Host/Gateway: Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle.
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: Es kann ein Pre-Shared Key, ein Zertifikat oder ein RSA-Schlüssel verwendet werden.
Pre-Shared Key: Schlüssel hier eintragen oder einen sehr starken Schlüssel erstellen lassen.
Startverhalten: Das Startverhalten Outgoing definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Single-Path mit einer genatteten Seite

IPSec single eNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist, aber nur auf einer Seite eine öffentliche IP-Adresse direkt an den UTM anliegt. Die andere steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.



Zentrale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path öffentlich Zentrale.png Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.

UTM v12.6.0 Netzwerkkonfiguration Default Route single path öffentlich Zentrale.png

Die Default-Route kann mit Klick auf Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche + Default-Route hinzufügen angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.



RSA-Schlüssel

Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Authentifizierung RSA Schlüssel.png

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 single path genattet Zentrale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Remote Host/Gateway: Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle.
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: RSA auswählen
Lokaler RSA Schlüssel: Zuvor angelegten Schlüssel wählen
RSA Schlüssel der Gegenstelle: RSA-Schlüssel auswählen
Startverhalten: Incoming auswählen
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Filiale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path genattet Filiale.png
Abb.1
In diesem Szenario ist die Seite der Filiale die Gegenstelle der IPSec-Verbindung, die durch einen ADSL-Router über das Transfernetz zusätzlich "genattet" werden muss.
Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration Default Route single path genattet Zentrale.png
Abb.2
In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.














RSA-Schlüssel

Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Authentifizierung RSA Schlüssel.png

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 single path genattet Filiale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Durch das Transfernetz zum ADSL Router liegt die öffentliche IP-Adresse nicht auf der Schnittstelle.
Remote Host/Gateway: Hier wird die öffentliche IP-Adresse der Zentrale eingetragen.
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: RSA auswählen
Lokaler RSA Schlüssel: Zuvor angelegten Schlüssel wählen
RSA Schlüssel der Gegenstelle: RSA-Schlüssel auswählen
Startverhalten: Das Startverhalten Outgoing definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Single-Path beidseitig genattet

IPSec single bNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und beide Seiten der Verbindung hinter einem Router stehen, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dies ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.

Diese Konfiguration wird von Securepoint nicht empfohlen, da sie in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wird für dieses Szenario eine OpenVPN Site to Site Verbindung.



Zentrale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path beidseitig genattet Zentrale.png
Abb.1
In diesem Szenario soll die Zentrale die IPSec-Verbindung über eine Internetleitung aufbauen, die durch einen ADSL-Router über das Transfernetz zusätzlich "genattet" werden muss. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration Default Route single path beidseitig genattet Zentrale.png
Abb.2
In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.














RSA-Schlüssel

Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Authentifizierung RSA Schlüssel.png

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 single path beidseitig genattet Zentrale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Durch das Transfernetz zum ADSL Router liegt die öffentliche IP-Adresse nicht auf der Schnittstelle.
Remote Host/Gateway:
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: RSA auswählen
Lokaler RSA Schlüssel: Zuvor angelegten Schlüssel wählen
RSA Schlüssel der Gegenstelle: RSA-Schlüssel auswählen
Startverhalten: Das Startverhalten Outgoing definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Filiale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path genattet Filiale.png
Abb.1
In diesem Szenario muss die Seite der Filiale, als IPSec-VPN Gegenstelle, durch einen ADSL Router über das Transfernetz ebenfalls "genattet" werden. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration Default Route single path genattet Zentrale.png
Abb.2
In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.














RSA-Schlüssel

Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Authentifizierung RSA Schlüssel.png

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 single path beidseitig genattet Filiale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Durch das Transfernetz zum ADSL Router liegt die öffentliche IP-Adresse nicht auf der Schnittstelle.
Remote Host/Gateway:
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: RSA auswählen
Lokaler RSA Schlüssel: Zuvor angelegten Schlüssel wählen
RSA Schlüssel der Gegenstelle: RSA-Schlüssel auswählen
Startverhalten: Incoming auswählen
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Multipath mit öffentlichen IP-Adressen

IPSec multi oNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und auf beiden Seiten öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.



Zentrale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration multipath öffentlich Zentrale.png In diesem Szenario hat die Zentrale mehrere Anschlüsse zum Internet.
Hier soll die IPSec-VPN Verbindung über einen Internetzugang mit direkt angeschlossenem DSL-Modem aufgebaut werden. In diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.
Wichtig ist an dieser Stelle auch, dass die VPN Zonen vpn-ipsec und firewall-vpn-ipsec auf der Schnittstelle liegen, über die die VPN-Verbindung erstellt werden soll.

UTM v12.6.0 Netzwerkkonfiguration Default Route multipath öffentlich Zentrale.png

Da hier mehrere Internetverbindungen gleichzeitig genutzt werden, bestehen auch mehrere Standard Routen (Multipath-Routing), da es ansonsten Probleme mit den Paketfilterregeln geben wird.
Sollen unterschiedliche VPN-Verbindungen über unterschiedliche Internetverbindungen aufgebaut werden, müssen weitere VPN Zonen angelegt werden.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 multipath öffentlich Zentrale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Remote Host/Gateway: Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle.
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: Es kann ein Pre-Shared Key, ein Zertifikat oder ein RSA-Schlüssel verwendet werden.
Pre-Shared Key: Schlüssel hier eintragen oder einen sehr starken Schlüssel erstellen lassen.
Startverhalten: Das Startverhalten Outgoing definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Filiale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path öffentlich Filiale.png
Abb.1
Auch hier wurde ein Modem an der UTM angeschlossen, eine PPPoE Schnittstelle und eine Standard Route über diese Schnittstelle eingerichtet.
Auch in diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.
Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration Default Route single path öffentlich Zentrale.png
Abb.2
Die Default-Route kann mit Klick auf Netzwerk Netzwerkkonfiguration  Bereich Routing Schaltfläche + Default-Route hinzufügen angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.














IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 multipath öffentlich Filiale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Remote Host/Gateway: Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle.
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: Es kann ein Pre-Shared Key, ein Zertifikat oder ein RSA-Schlüssel verwendet werden.
Pre-Shared Key: Schlüssel hier eintragen oder einen sehr starken Schlüssel erstellen lassen.
Startverhalten: Das Startverhalten Outgoing definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Multipath mit einer genatteten Seite

IPSec multi eNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und dort öffentliche IP-Adressen direkt an den UTM anliegen. Die andere Seite steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.



Zentrale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration multipath öffentlich Zentrale.png In diesem Szenario hat die Zentrale mehrere Anschlüsse zum Internet.
Hier soll die IPSec-VPN Verbindung über einen Internetzugang mit direkt angeschlossenem DSL-Modem aufgebaut werden. In diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.
Wichtig ist an dieser Stelle auch, dass die VPN Zonen vpn-ipsec und firewall-vpn-ipsec auf der Schnittstelle liegen, über die die VPN-Verbindung erstellt werden soll.

UTM v12.6.0 Netzwerkkonfiguration Default Route multipath öffentlich Zentrale.png

Da hier mehrere Internetverbindungen gleichzeitig genutzt werden, bestehen auch mehrere Standard Routen (Multipath-Routing), da es ansonsten Probleme mit den Paketfilterregeln geben wird.
Sollen unterschiedliche VPN-Verbindungen über unterschiedliche Internetverbindungen aufgebaut werden, müssen weitere VPN Zonen angelegt werden.



RSA-Schlüssel

Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Authentifizierung RSA Schlüssel.png

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 single path beidseitig genattet Zentrale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Durch das Transfernetz zum ADSL Router liegt die öffentliche IP-Adresse nicht auf der Schnittstelle.
Remote Host/Gateway:
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: RSA auswählen
Lokaler RSA Schlüssel: Zuvor angelegten Schlüssel wählen
RSA Schlüssel der Gegenstelle: RSA-Schlüssel auswählen
Startverhalten: Das Startverhalten Outgoing definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Filiale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path genattet Filiale.png
Abb.1
In diesem Szenario ist die Filiale über einen ADSL Router mit dem Internet verbunden. Dadurch gibt es ein Transfernetz, in unserem Beispiel 192.168.2.0/24, über das zusätzlich "genattet" werden muss. Die Öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration Default Route single path genattet Zentrale.png
Abb.2
In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.














RSA-Schlüssel

Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Authentifizierung RSA Schlüssel.png

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 multipath genattet Filiale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Durch das Transfernetz zum ADSL Router liegt die öffentliche IP-Adresse nicht auf der Schnittstelle.
Remote Host/Gateway:
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: RSA auswählen
Lokaler RSA Schlüssel: Zuvor angelegten Schlüssel wählen
RSA Schlüssel der Gegenstelle: RSA-Schlüssel auswählen
Startverhalten: Incoming auswählen
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Multipath beidseitig genattet

IPSec multi bNat.png

Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und beide Seiten der Verbindung hinter einem Router stehen, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dies ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.
Diese Konfiguration wird von Securepoint nicht empfohlen, da diese in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wir für dieses Szenario eine OpenVPN Site to Site Verbindung.



Zentrale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration multipath öffentlich Zentrale.png
Abb.1
In diesem Szenario nehmen wir den Fall an, dass die Zentrale mehrere Anschlüsse zum Internet hat.
Hier soll die Zentrale die IPSec-Verbindung über eine Internetleitung aufbauen, die durch einen ADSL Router über das Transfernetz zusätzlich "genattet" werden muss. Die öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration Default Route multipath öffentlich Zentrale.png
Abb.2
In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.














RSA-Schlüssel

Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Authentifizierung RSA Schlüssel.png

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 single path beidseitig genattet Zentrale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Durch das Transfernetz zum ADSL Router liegt die öffentliche IP-Adresse nicht auf der Schnittstelle.
Remote Host/Gateway:
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: RSA auswählen
Lokaler RSA Schlüssel: Zuvor angelegten Schlüssel wählen
RSA Schlüssel der Gegenstelle: RSA-Schlüssel auswählen
Startverhalten: Das Startverhalten Outgoing definiert, dass diese Seite die Initiierung der Verbindung automatisch vornimmt.
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.


Filiale

Netzwerkvorgaben

Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration single path genattet Filiale.png
Abb.1
In diesem Szenario ist die Filiale ebenfalls über einen ADSL-Router mit dem Internet verbunden. Dadurch gibt es ein Transfernetz über das zusätzlich "genattet" werden muss. Die öffentliche IP-Adresse liegt also nicht direkt auf der externen Schnittstelle der UTM.
Netzwerkkonfiguration UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerkkonfiguration Default Route single path genattet Zentrale.png
Abb.2
In der Standard-Route wird die IP-Adresse des ADSL Router als Gateway eingetragen.














RSA-Schlüssel

Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v12.6.0 Authentifizierung RSA Schlüssel.png

Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Authentifizierung Schlüssel  Schaltfläche + Schlüssel hinzufügen (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.



IPSec Phase 1

Mit Klick auf VPN IPSec  Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf Phase 1 geklickt wird, sieht der Dialog wie folgt aus:

Name: Name der Verbindung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.0 IPSec Phase 1 multipath beidseitig genattet Filiale.png
IKE Version: IKE Version
Local Gateway: Lokales Gateway angeben
Local Gateway ID: Durch das Transfernetz zum ADSL Router liegt die öffentliche IP-Adresse nicht auf der Schnittstelle.
Remote Host/Gateway:
Remote Host/Gateway ID: ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge).
Beliebige Remote-Adressen erlauben: Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Lokale Authentifizierungsmethode: RSA auswählen
Lokaler RSA Schlüssel: Zuvor angelegten Schlüssel wählen
RSA Schlüssel der Gegenstelle: RSA-Schlüssel auswählen
Startverhalten: Incoming auswählen
Dead Peer Detection: Diese überprüft die Verbindung durch versenden sogenannter Keep Alive Pakete, auf die die Gegenstelle antworten muss. Tut sie dies nicht, wird die Verbindung abgebaut und wieder neu aufgebaut.
Wichtig ist, dass auch die Gegenstelle die Dead Peer Detection implementiert haben muss, ansonsten kann diese nicht verwendet werden.
DPD Timeout: Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird.
DPD Intervall: Intervall der Überprüfung
Compression: Kompression wird nicht von allen Gegenstellen unterstützt.