(Lauritzl verschob die Seite UTM/VPN/IPSec-S2S Beispiele nach UTM/VPN/IPSec-S2S Beispiele v11.7) Markierung: Neue Weiterleitung |
KKeine Bearbeitungszusammenfassung |
||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
# | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{:UTM/VPN/IPSec-S2S Beispiele.lang}} | |||
</div>{{TOC2|toclevel=2}}{{Select_lang}}<div class="new_design"></div> | |||
{{Header|12.6.0| | |||
* {{#var:neu--rwi}} | |||
|[[UTM/VPN/IPSec-S2S_Beispiele_v12.5 | 12.5]] | |||
[[UTM/VPN/IPSec-S2S_Beispiele_v11.7 | 11.7]] | |||
[[UTM/VPN/IPSec-S2S_Beispiele_v11.6 | 11.6]] | |||
|{{Menu-UTM|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}} }} | |||
}} | |||
---- | |||
== {{#var:Einleitung}} == | |||
<div class="Einrücken"> | |||
{{#var:Einleitung--desc}} | |||
</div> | |||
== {{#var:Single-Path mit öffentlichen IP-Adressen}} == | |||
<div class="Einrücken"> | |||
[[Datei:IPSec_single_oNat.png|600px|center]] | |||
{{#var:Single-Path mit öffentlichen IP-Adressen--desc}} | |||
<br clear=all></div> | |||
=== {{#var:Zentrale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Bild|{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}} | |||
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}} | |||
<br clear=all> | |||
{{Bild|{{#var:Single path öffentlich DR Zentrale--Bild}}|class=Bild-t}} | |||
{{#var:Single path öffentlich DR Zentrale--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="15" | {{Bild|{{#var:Singlepath öffentlich IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:Local Gateway ID--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:Lokale Authentifizierungsmethode--desc}} | |||
|- | |||
| {{b|Pre-Shared Key:}} || {{#var:Pre-Shared Key--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Startverhalten--desc}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
=== {{#var:Filiale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Bild|{{#var:Single path öffentlich filiale--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}} | |||
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}} | |||
<br clear=all> | |||
{{Bild|{{#var:Single path öffentlich DR Zentrale--Bild}}|class=Bild-t}} | |||
{{#var:Single path öffentlich DR Zentrale--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="15" | {{Bild|{{#var:Single path öffentlich filiale ipsec--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:Local Gateway ID--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:Lokale Authentifizierungsmethode--desc}} | |||
|- | |||
| {{b|Pre-Shared Key:}} || {{#var:Pre-Shared Key--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Startverhalten--desc}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
== {{#var:Single-Path mit einer genatteten Seite}} == | |||
<div class="Einrücken"> | |||
[[Datei:IPSec_single_eNat.png|600px|center]] | |||
{{#var:Single-Path mit einer genatteten Seite--desc}} | |||
<br clear=all></div> | |||
=== {{#var:Zentrale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Bild|{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}} | |||
{{#var:Single path öffentlich Zentrale Netzwerkvorgaben--desc}} | |||
<br clear=all> | |||
{{Bild|{{#var:Single path öffentlich DR Zentrale--Bild}}|class=Bild-t}} | |||
{{#var:Single path öffentlich DR Zentrale--desc}} | |||
<br clear=all></div> | |||
==== {{#var:RSA-Schlüssel}} ==== | |||
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:RSA-Schlüssel Übersicht--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path genattet IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:Local Gateway ID--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:RSA auswählen}} | |||
|- | |||
| {{b|{{#var:Lokaler RSA Schlüssel}}:}} || {{#var:Lokaler RSA Schlüssel--desc}} | |||
|- | |||
| {{b|{{#var:RSA Schlüssel der Gegenstelle}}:}} || {{#var:RSA Schlüssel der Gegenstelle--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Incoming auswählen}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
=== {{#var:Filiale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Gallery3| {{#var:Single path genattet filiale--Bild}} | {{#var:Single path genattet filiale--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
| {{#var:Single path genattet DR filiale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
|Abb=true|i=2}} | |||
</div> | |||
==== {{#var:RSA-Schlüssel}} ==== | |||
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:RSA-Schlüssel Übersicht--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path genattet IPSec filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetzwerk Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:RSA auswählen}} | |||
|- | |||
| {{b|{{#var:Lokaler RSA Schlüssel}}:}} || {{#var:Lokaler RSA Schlüssel--desc}} | |||
|- | |||
| {{b|{{#var:RSA Schlüssel der Gegenstelle}}:}} || {{#var:RSA Schlüssel der Gegenstelle--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Startverhalten--desc}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
== {{#var:Single-Path beidseitig genattet}} == | |||
<div class="Einrücken"> | |||
[[Datei:IPSec_single_bNat.png|600px|center]] | |||
{{#var:Single-Path beidseitig genattet--desc}} | |||
<br clear=all></div> | |||
=== {{#var:Zentrale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Gallery3| {{#var:Single path beidseitig genattet Zentrale--Bild}} | {{#var:Single path beidseitig genattet Zentrale--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
| {{#var:Single path beidseitig genattet DR Zentrale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
|Abb=true|i=2}} | |||
</div> | |||
==== {{#var:RSA-Schlüssel}} ==== | |||
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:RSA-Schlüssel Übersicht--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetwerk Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:RSA auswählen}} | |||
|- | |||
| {{b|{{#var:Lokaler RSA Schlüssel}}:}} || {{#var:Lokaler RSA Schlüssel--desc}} | |||
|- | |||
| {{b|{{#var:RSA Schlüssel der Gegenstelle}}:}} || {{#var:RSA Schlüssel der Gegenstelle--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Startverhalten--desc}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
=== {{#var:Filiale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Gallery3| {{#var:Single path genattet filiale--Bild}} | {{#var:Single path beidseitig genattet Filiale Netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
| {{#var:Single path genattet DR filiale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
|Abb=true|i=2}} | |||
</div> | |||
==== {{#var:RSA-Schlüssel}} ==== | |||
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:RSA-Schlüssel Übersicht--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path beidseitig genattet IPSec filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetwerk Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:RSA auswählen}} | |||
|- | |||
| {{b|{{#var:Lokaler RSA Schlüssel}}:}} || {{#var:Lokaler RSA Schlüssel--desc}} | |||
|- | |||
| {{b|{{#var:RSA Schlüssel der Gegenstelle}}:}} || {{#var:RSA Schlüssel der Gegenstelle--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Incoming auswählen}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
== {{#var:Multipath mit öffentlichen IP-Adressen}} == | |||
<div class="Einrücken"> | |||
[[Datei:IPSec_multi_oNat.png|600px|center]] | |||
{{#var:Multipath mit öffentlichen IP-Adressen--desc}} | |||
<br clear=all></div> | |||
=== {{#var:Zentrale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Bild|{{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}} | |||
{{#var:Multipath öffentlich zentrale netzwerkvorgaben--desc}} | |||
<br clear=all> | |||
{{Bild|{{#var:Multipath öffentlich zentrale DR--Bild}}|class=Bild-t}} | |||
{{#var:Multipath öffentlich zentrale DR--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="17" | {{Bild|{{#var:Multipath öffentlich IPSec zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:Local Gateway ID--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:Lokale Authentifizierungsmethode--desc}} | |||
|- | |||
| {{b|Pre-Shared Key:}} || {{#var:Pre-Shared Key--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Startverhalten--desc}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
=== {{#var:Filiale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Gallery3| {{#var:Single path öffentlich filiale--Bild}} | {{#var:Multipath öffentlich Filiale Netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
| {{#var:Single path öffentlich DR Zentrale--Bild}} | {{#var:Single path öffentlich DR Zentrale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
|Abb=true|i=2}} | |||
</div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Multipath öffentlich IPSec Filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:Local Gateway ID--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:Lokale Authentifizierungsmethode--desc}} | |||
|- | |||
| {{b|Pre-Shared Key:}} || {{#var:Pre-Shared Key--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Startverhalten--desc}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
== {{#var:Multipath mit einer genatteten Seite}} == | |||
[[Datei:IPSec_multi_eNat.png|600px|center]] | |||
<div class="Einrücken"> | |||
{{#var:Multipath mit einer genatteten Seite--desc}} | |||
<br clear=all></div> | |||
=== {{#var:Zentrale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Bild|{{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}}|||{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}} | |||
{{#var:Multipath öffentlich zentrale netzwerkvorgaben--desc}} | |||
<br clear=all> | |||
{{Bild|{{#var:Multipath öffentlich zentrale DR--Bild}}|class=Bild-t}} | |||
{{#var:Multipath öffentlich zentrale DR--desc}} | |||
<br clear=all></div> | |||
==== {{#var:RSA-Schlüssel}} ==== | |||
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:RSA-Schlüssel Übersicht--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetwerk Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:RSA auswählen}} | |||
|- | |||
| {{b|{{#var:Lokaler RSA Schlüssel}}:}} || {{#var:Lokaler RSA Schlüssel--desc}} | |||
|- | |||
| {{b|{{#var:RSA Schlüssel der Gegenstelle}}:}} || {{#var:RSA Schlüssel der Gegenstelle--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Startverhalten--desc}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
=== {{#var:Filiale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Gallery3| {{#var:Single path genattet filiale--Bild}} | {{#var:Multipath genattet filiale netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
| {{#var:Single path genattet DR filiale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
|Abb=true|i=2}} | |||
</div> | |||
==== {{#var:RSA-Schlüssel}} ==== | |||
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:RSA-Schlüssel Übersicht--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Multipath genattet IPSec filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetwerk Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:RSA auswählen}} | |||
|- | |||
| {{b|{{#var:Lokaler RSA Schlüssel}}:}} || {{#var:Lokaler RSA Schlüssel--desc}} | |||
|- | |||
| {{b|{{#var:RSA Schlüssel der Gegenstelle}}:}} || {{#var:RSA Schlüssel der Gegenstelle--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Incoming auswählen}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
== {{#var:Multipath beidseitig genattet}} == | |||
[[Datei:IPSec_multi_bNat.png|600px|center]] | |||
<div class="Einrücken"> | |||
{{#var:Multipath beidseitig genattet--desc}} | |||
<br clear=all></div> | |||
=== {{#var:Zentrale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Gallery3| {{#var:Multipath öffentlich zentrale netzwerkvorgaben--Bild}} | {{#var:Multipath beidseitig zentrale netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
| {{#var:Multipath öffentlich zentrale DR--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
|Abb=true|i=2}} | |||
</div> | |||
==== {{#var:RSA-Schlüssel}} ==== | |||
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:RSA-Schlüssel Übersicht--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Single path beidseitig genattet IPSec Zentrale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetwerk Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:RSA auswählen}} | |||
|- | |||
| {{b|{{#var:Lokaler RSA Schlüssel}}:}} || {{#var:Lokaler RSA Schlüssel--desc}} | |||
|- | |||
| {{b|{{#var:RSA Schlüssel der Gegenstelle}}:}} || {{#var:RSA Schlüssel der Gegenstelle--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Startverhalten--desc}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
=== {{#var:Filiale}} === | |||
==== {{#var:Netzwerkvorgaben}} ==== | |||
<div class="Einrücken"> | |||
{{Gallery3| {{#var:Single path genattet filiale--Bild}} | {{#var:Multipath beidseitig filiale netzwerkvorgaben--desc}} | Abb1-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
| {{#var:Single path genattet DR filiale--Bild}} | {{#var:Single path genattet DR filiale--desc}} | Abb2-header={{Dialog-header|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
|Abb=true|i=2}} | |||
</div> | |||
==== {{#var:RSA-Schlüssel}} ==== | |||
{{Bild|{{#var:RSA-Schlüssel Übersicht--Bild}}|||{{#var:Schlüssel}}|{{#var:Authentifizierung}}|class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:RSA-Schlüssel Übersicht--desc}} | |||
<br clear=all></div> | |||
==== IPSec Phase 1 ==== | |||
<div class="Einrücken"> | |||
{{#var:IPSec Phase 1--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
| {{b|Name:}} || {{#var:Name--desc}} | |||
| class="Bild" rowspan="16" | {{Bild|{{#var:Multipath beidseitig IPSec filiale--Bild}}|||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-save|icon2=fa-close}} | |||
|- | |||
| {{b|IKE Version:}} || {{#var:IKE Version--desc}} | |||
|- | |||
| {{b|Local Gateway:}} || {{#var:Local Gateway--desc}} | |||
|- | |||
| {{b|Local Gateway ID:}} || {{#var:ADSL Transfernetwerk Local Gateway--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway:}} || {{#var:ADSL Transfernetwerk Remote Host--desc}} | |||
|- | |||
| {{b|Remote Host/Gateway ID:}} || {{#var:Remote Host ID--desc}} | |||
|- | |||
| {{b|{{#var:Beliebige Remote-Adressen erlauben}}:}} || {{#var:Beliebige Remote-Adressen erlauben--desc}} | |||
|- | |||
| {{b|{{#var:Lokale Authentifizierungsmethode}}:}} || {{#var:RSA auswählen}} | |||
|- | |||
| {{b|{{#var:Lokaler RSA Schlüssel}}:}} || {{#var:Lokaler RSA Schlüssel--desc}} | |||
|- | |||
| {{b|{{#var:RSA Schlüssel der Gegenstelle}}:}} || {{#var:RSA Schlüssel der Gegenstelle--desc}} | |||
|- | |||
| {{b|{{#var:Startverhalten}}:}} || {{#var:Incoming auswählen}} | |||
|- | |||
| {{b|Dead Peer Detection:}} || {{#var:Dead Peer Detection--desc}} | |||
|- | |||
| {{b|DPD Timeout:}} || {{#var:DPD Timeout--desc}} | |||
|- | |||
| {{b|{{#var:DPD Intervall}}:}} || {{#var:DPD Intervall--desc}} | |||
|- | |||
| {{b|Compression:}} || {{#var:Compression--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|} | |||
<br clear=all> |
Aktuelle Version vom 18. Januar 2024, 12:40 Uhr
- Aktualisierung zum Redesign des Webinterfaces
Einleitung
Bei einer IPSec Verbindung gibt es für jeden Netzaufbau empfohlene Konfigurationen, damit ein Tunnel aufgebaut werden kann.
Dabei wird unterschieden, ob die öffentliche IP auf der UTM liegt, oder ob die Verbindung "genattet" ist. Auch, ob es mehrere Internetleitungen gibt, spielt hierbei eine Rolle.
Single-Path mit öffentlichen IP-Adressen
Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.
Zentrale
Netzwerkvorgaben
UTMbenutzer@firewall.name.fqdnNetzwerk
Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.
Die Default-Route kann mit Klick auf Routing Schaltfläche angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.
Bereich
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Filiale
Netzwerkvorgaben
UTMbenutzer@firewall.name.fqdnNetzwerk
Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.
Die Default-Route kann mit Klick auf Routing Schaltfläche angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.
Bereich
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Single-Path mit einer genatteten Seite
Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist, aber nur auf einer Seite eine öffentliche IP-Adresse direkt an den UTM anliegt. Die andere steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.
Zentrale
Netzwerkvorgaben
UTMbenutzer@firewall.name.fqdnNetzwerk
Für den Anschluss eines Modems an der UTM wird eine PPPoE-Schnittstelle und eine Default-Route über diese Schnittstelle eingerichtet.
In unserem Fall ist es die erste PPPoE-Schnittstelle, die dann die Bezeichnung wan0 erhält.
Die Default-Route kann mit Klick auf Routing Schaltfläche angelegt werden, wobei die zuvor angelegte PPPoE-Schnittstelle als Gateway ausgewählt wird.
Bereich
RSA-Schlüssel
UTMbenutzer@firewall.name.fqdnAuthentifizierung
Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Schaltfläche (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Filiale
Netzwerkvorgaben
RSA-Schlüssel
UTMbenutzer@firewall.name.fqdnAuthentifizierung
Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Schaltfläche (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Single-Path beidseitig genattet
Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn an beiden Seiten der Verbindung jeweils nur eine Internetleitung vorhanden ist und beide Seiten der Verbindung hinter einem Router stehen, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dies ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.
Diese Konfiguration wird von Securepoint nicht empfohlen, da sie in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wird für dieses Szenario eine OpenVPN Site to Site Verbindung.
Zentrale
Netzwerkvorgaben
RSA-Schlüssel
UTMbenutzer@firewall.name.fqdnAuthentifizierung
Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Schaltfläche (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Filiale
Netzwerkvorgaben
RSA-Schlüssel
UTMbenutzer@firewall.name.fqdnAuthentifizierung
Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Schaltfläche (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Multipath mit öffentlichen IP-Adressen
Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und auf beiden Seiten öffentliche IP-Adressen direkt an den UTM anliegen. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle ein ADSL-Modem angeschlossen ist.
Zentrale
Netzwerkvorgaben
UTMbenutzer@firewall.name.fqdnNetzwerk
In diesem Szenario hat die Zentrale mehrere Anschlüsse zum Internet.
Hier soll die IPSec-VPN Verbindung über einen Internetzugang mit direkt angeschlossenem DSL-Modem aufgebaut werden. In diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.
Wichtig ist an dieser Stelle auch, dass die VPN Zonen vpn-ipsec und firewall-vpn-ipsec auf der Schnittstelle liegen, über die die VPN-Verbindung erstellt werden soll.
Da hier mehrere Internetverbindungen gleichzeitig genutzt werden, bestehen auch mehrere Standard Routen (Multipath-Routing), da es ansonsten Probleme mit den Paketfilterregeln geben wird.
Sollen unterschiedliche VPN-Verbindungen über unterschiedliche Internetverbindungen aufgebaut werden, müssen weitere VPN Zonen angelegt werden.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Filiale
Netzwerkvorgaben
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Multipath mit einer genatteten Seite
Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und dort öffentliche IP-Adressen direkt an den UTM anliegen. Die andere Seite steht hinter einem Router, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dieses ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.
Zentrale
Netzwerkvorgaben
UTMbenutzer@firewall.name.fqdnNetzwerk
In diesem Szenario hat die Zentrale mehrere Anschlüsse zum Internet.
Hier soll die IPSec-VPN Verbindung über einen Internetzugang mit direkt angeschlossenem DSL-Modem aufgebaut werden. In diesem Fall ist es die erste PPPoE Schnittstelle, die dann die Bezeichnung wan0 erhält.
Wichtig ist an dieser Stelle auch, dass die VPN Zonen vpn-ipsec und firewall-vpn-ipsec auf der Schnittstelle liegen, über die die VPN-Verbindung erstellt werden soll.
Da hier mehrere Internetverbindungen gleichzeitig genutzt werden, bestehen auch mehrere Standard Routen (Multipath-Routing), da es ansonsten Probleme mit den Paketfilterregeln geben wird.
Sollen unterschiedliche VPN-Verbindungen über unterschiedliche Internetverbindungen aufgebaut werden, müssen weitere VPN Zonen angelegt werden.
RSA-Schlüssel
UTMbenutzer@firewall.name.fqdnAuthentifizierung
Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Schaltfläche (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Filiale
Netzwerkvorgaben
RSA-Schlüssel
UTMbenutzer@firewall.name.fqdnAuthentifizierung
Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Schaltfläche (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Multipath beidseitig genattet
Im folgenden wird erklärt, wie eine IPSec-VPN Konfiguration aussieht, wenn auf einer Seite mehrere Internetleitungen vorhanden sind und beide Seiten der Verbindung hinter einem Router stehen, welcher der UTM über ein Transfernetz den Internetzugang ermöglicht. Dies ist zum Beispiel der Fall, wenn an der externen Schnittstelle der UTM der ADSL-Router eines Internet-Providers angeschlossen ist.
Diese Konfiguration wird von Securepoint nicht empfohlen, da diese in der Regel instabil ist, wenn sie denn überhaupt aufgebaut wird. Empfohlen wir für dieses Szenario eine OpenVPN Site to Site Verbindung.
Zentrale
Netzwerkvorgaben
RSA-Schlüssel
UTMbenutzer@firewall.name.fqdnAuthentifizierung
Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Schaltfläche (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus:
Filiale
Netzwerkvorgaben
RSA-Schlüssel
UTMbenutzer@firewall.name.fqdnAuthentifizierung
Sobald eine IPSec-VPN-Verbindung auf mindestens einer Seite, zum Beispiel durch einen Router "genattet" wird, empfehlen wir, statt eines Pre-Shared Key die Verwendung von RSA-Schlüsseln.
Dadurch kann bei jeder weiteren VPN-Verbindung ein eigener Schlüssel und auch wieder die Gateway ID als zweites Authentifizierungsmerkmal verwendet werden.
Das Erstellen eines RSA-Schlüsselpaares erfolgt unter Schaltfläche (siehe auch RSA-Keys).
Dann muss noch der öffentliche Schlüssel der Zentrale im PEM, HEX oder Base64 Format exportiert und in die UTM der Filiale importiert werden. Der Öffentliche Schlüssel der Filiale wird ebenfalls exportiert und in die UTM der Zentrale importiert.
IPSec Phase 1
Mit Klick auf Verbindungen Schaltfläche kann eine IPSec-Verbindung hinzugefügt werden. Eine genau Anleitung dazu findet sich hier.
Wenn anschließend auf geklickt wird, sieht der Dialog wie folgt aus: