Version vom 22. Juli 2022, 19:37 Uhr von Lauritzl(Diskussion | Beiträge)(Die Seite wurde neu angelegt: „{{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{:UTM/VPN/IPSec-Phase1-2.lang}} </div><noinclude>__NOTOC__ {| class="sptable2 pd5 Einrücken zh1" </noincl…“)
Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Startverhalten
Outgoing
Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen.
Incoming
Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt.
Route
Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.
Ignore
Deaktiviert den Tunnel
Ein
Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
1
30 Sekunden
Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
Unter IKEv2 steht dieser Parameter nicht zur Verfügung. Hier werden die gleichen Werte verwendet, wie für normale Pakete.
DPD Intervall
10 Sekunden
Intervall der Überprüfung
Aus
Kompression wird nicht von allen Gegenstellen unterstützt
Reiter Einstellungen, die in der UTM und im Client identisch sein müssen:
Beschriftung
Default-Werte UTM
Default-Werte NCP-Client
[[Datei: ]]
Phase 1 IKEv
Verschlüsselung:
aes128
AES 128 Bit
Authentifizierung:
sha2_256
Hash: SHA2 256 Bit
Diffie-Hellman Group:
modp2048
IKE DH-Grupe: DH2 (modp1024)
Reiter Weitere Einstellungen:
Beschriftung
Wert
Beschreibung
Strict:
Aus
Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
Ein
Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
IKE Lifetime:
1 Stunde
Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
unbegrenzt (empfohlen)
Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
Reiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen:
Beschriftung
Default-Werte UTM
Default-Werte NCP-Client
[[Datei: ]]
Phase 2 / Abschnitt Allgemein mit
Verschlüsselung:
aes128
AES 128 Bit
Authentifizierung:
sha2_256
SHA2 256 Bit
DH-Gruppe (PFS):
modp2048
keine
Schlüssel-Lebensdauer
8 Stunden
Schlüssel Lebensdauer in Phase 2
Austausch-Modus
Main Mode (nicht konfigurierbar)
Agressive Mode (IKEv1)
Reiter Allgemein: Weitere Einstellungen
Beschriftung
Wert
Beschreibung
Aus
Subnetzkombinationen gruppieren: 2
Ein
Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
Subnetze
Reiter Subnetze2
Szenario: Alle Subnetze haben untereinander Zugriff
Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen.
Subnetzkombinationen gruppieren Aktiviert
root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
local: %any
remote: 192.0.2.192
local pre-shared key authentication:
id: 192.168.175.218
remote pre-shared key authentication:
id: 192.0.2.192
IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24 192.168.219.0/24
remote: 192.168.192.0/24 192.168.193.0/24
Subnetzkombinationen gruppieren Deaktiviert Aus root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
local: %any
remote: 192.0.2.192
local pre-shared key authentication:
id: 192.168.175.218
remote pre-shared key authentication:
id: 192.0.2.192
IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.192.0/24
IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.218.0/24
remote: 192.168.193.0/24
IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.219.0/24
remote: 192.168.192.0/24
IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
local: 192.168.219.0/24
remote: 192.168.193.0/24
Alle Subnetze haben untereinander Zugriff
Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen
Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppierennicht berücksichtigt!
Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
Portfilterregeln ermöglichen es, den Zugriff zu steuern.
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen.
Subnetzkombinationen gruppieren Aktiviert
root@firewall:~# swanctl --list-conns
IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s