Bei der Einwahl von Rechnern mit wechselnden IP-Adressen ist zu Beginn der IKE-Verhandlung (Phase 1) die Identität der Gegenstelle noch nicht bekannt, zur Kommunikation werden Defaultwerte für IKE-Proposal-Listen und IKE-Proposal-Gruppen verwendet. Während der Verhandlung wird die Identität übermittelt, anhand derer die Parameter für die Phase 2 bestimmt werden können (IPSec-Proposal-Liste und PFS-Gruppe). Um diese Zuordnung zu ermöglichen, muss allerdings jeder einzelne Benutzer separat in der Konfiguration des VPN-Routers eingetragen werden.
Bei der zertifikatsbasierten Einwahl wird über das Zertifikat eine Identität übermittelt. Um nicht jeweils eigene Benutzereinträge in der Router-Konfiguration anlegen zu müssen, können für alle über Zertifikate identifizierbaren Benutzer gemeinsame Parameter für Phase 2 definiert werden. Bei dieser vereinfachten Einwahl muss der Benutzer nur über ein gültiges Zertifikat verfügen, das vom Herausgeber des im Gerät befindlichen Root-Zertifikats signiert ist. Darüber hinaus müssen die vom Client bei der Einwahl verwendeten Parameter mit den Defaultwerten des VPN-Routers übereinstimmen.
Zur Konfiguration der vereinfachten Einwahl wird diese Funktion aktiviert. Die Default-Parameter können bei Bedarf verändert werden.
Konfigurationstool | Aufruf |
---|---|
LANconfig | VPN / Allgemein und VPN / Allgemein / Defaults |
WEBconfig, Telnet | LCOS-Menübaum > Setup > VPN |