Unter
können Sie eine IPsec-Verbindung hinzufügen, oder eine vorhandene Verbindung bearbeiten.Im Bearbeitungsfenster Verbindung können Sie die folgenden Elemente konfigurieren:
Eingabefeld | Beschreibung |
---|---|
I/0 | Ein Schiebeschalter gibt an, ob die IPSec-Verbindung derzeit aktiv (I) oder inaktiv (0) ist. Mit einem Klick auf den Schiebeschalter können Sie den Status der Verbindung ändern. Eine neue Verbindung ist standardmäßig aktiviert. |
Name | Geben Sie einen eindeutigen Namen für die Verbindung ein. Dieser muss aus einem bis 63 alphanumerischen Zeichen und Unterstrichen bestehen. |
Vorlage | Wählen Sie optional eine der vordefinierten Vorlagen aus. Alle Einstellungen werden entsprechend der gesetzten Werte aus der Vorlage verwendet. Werte die nicht in der Vorlage gesetzt wurden, werden zurückgesetzt. Daher kann die Vorlage "(empty)" verwendet werden, um alle Werte zurückzusetzen. |
Sicherheits-Profil | Wählen Sie eines der vordefinierten Sicherheitsprofile aus. |
Im Tab Verbindung können Sie die folgenden Felder konfigurieren:
Eingabefeld | Beschreibung |
---|---|
Verbindung | Eine Netzwerk- oder Internet-Verbindung kann gewählt werden, deren IP-Adressen für die IPsec-Verbindung verwendet werden soll. |
Listening-IP-Adressem | Alternativ zur Verbindung können auch benutzerdefinierte IP-Adressen eingetragen werden. Klicken Sie rechts auf , um Ihren Eintrag zur Liste hinzuzufügen. Sind hier IP-Adressen gesetzt, so wird die Einstellung Verbindung ignoriert. Werden weder Verbindung noch Listening-IP-Adressen gesetzt, dann verwendet der IPsec-Dienst automatisch eine der konfigurierten IP-Adressen aller Verbindungen. |
Remote Gateways | Diese Adresse bzw. Liste von Adressen ist für die Option Verbindung aufbauen notwendig, um die Adresse der Gegenstelle zu bestimmen. |
Verbindung aufbauen | Von der Firewall wird eine Verbindung zur im Feld Remote Gateway angegebenen Adresse aufgebaut. |
NAT-T erzwingen | Normalerweise wird NAT-T automatisch gesetzt, wenn die Verbindung es erfordert. Wenn dieser Automatismus nicht greift, dann kann über diese Option NAT-T für den Aufbau einer Verbindung erzwungen werden. |
Im Tab Tunnel können Sie die folgenden Felder konfigurieren:
Eingabefeld | Beschreibung |
---|---|
Lokale Netzwerke | Lokale Netzwerke, die mit der Gegenstelle verbunden werden sollen. Klicken Sie rechts auf , um Ihren Eintrag zur Liste hinzuzufügen. |
Remote Netzwerke |
Remote-Netzwerke, die mit den lokalen Netzwerken verbunden werden sollen. Klicken Sie rechts auf , um Ihren
Eintrag zur Liste hinzuzufügen.
Wichtig: Es werden alle konfigurierten lokalen mit allen konfigurierten entfernten (Remote)
Netzwerken verbunden. Bei IKEv1-Verbindungen und IKEv2-Verbindungen mit aktivierter Option
IKEv2-Kompatibilitätsmodus ist die maximale Anzahl an Kombinationen auf 25
begrenzt, bei IKEv2 mit inaktiver Option IKEv2-Kompatibilitätsmodus gibt es keine
Begrenzung.
|
Virtueller IP-Pool | Der Gegenstelle wird eine IP-Adresse aus dem konfigurierten IP-Pool zugewiesen. |
Virtuelle IP |
Weisen Sie der Gegenstelle eine bestimmte IP-Adresse zu.
Wichtig: Die Optionen Remote-Netzwerke, Virtueller
IP-Pool und Virtuelle IP sollten nicht zusammen verwendet
werden
|
IKEv2-Kompatibilitätsmodus | Anstatt alle konfigurierten lokalen und entfernten Netze durch einen einzigen Tunnel zu schicken wird wie bei IKEv1 für jede Verbindung zwischen zwei Netzen ein einzelner Tunnel angelegt. Diese Option ist nur für IKEv2-Verbindungen gültig. |
Im Tab Authentifizierung können Sie die folgenden Felder konfigurieren:
Eingabefeld | Beschreibung |
---|---|
Authentifizierungstyp |
Geben Sie den Authentifizierungstyp an. Mögliche Werte:
|
PSK (Preshared Key) | Nur bei Authentifizierungstyp PSK (Preshared Key) – Geben Sie das zu verwendende Passwort an. |
Lokales Zertifikat | Das Zertifikat der Firewall zur Authentifizierung. Dieses muss einen Private Key beinhalten. |
Lokaler Identifier |
Ist dieses Feld leer, wird bei PSK-Authentifizierung automatisch die ausgehende IP-Adresse der Firewall
verwendet und bei Zertifikat-Authentifizierung der Distinguished Name (DN) des ausgewählten lokalen
Zertifikats.
|
Erweiterte Authentifizierung |
Aktiviert die optionale Verwendung einer zusätzlichen Benutzer-Authentifizierung. Sobald Sie ein
Sicherheitsprofil ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung:
Anmerkung:
|
Remote Zertifikat | Nur bei Authentifizierungstyp "Zertifikat": Zertifikat der Gegenstelle. |
Certificate Authority | Nur bei Authentifizierungstyp "Certificate Authority": Eine CA, deren signierte Zertifikate für die Authentifizierung verwendet werden können. |
Remote Identifier |
Ist dieses Feld leer, wird bei PSK-Authentifizierung automatisch die IP-Adresse des Remote Gateways
verwendet, falls diese gesetzt wurde. Bei Zertifikat-Authentifizierung der Distinguished Name (DN) des
ausgewählten remote Zertifikats.
|
Im Tab Routing können Sie die folgenden Felder konfigurieren:
Eingabefeld | Beschreibung |
---|---|
Routen-basiertes IPsec | Diese Option erlaubt es, bei Aktivierung durch das ausschließlich manuelle Festlegen von Routing-Regeln und Routing-Tabellen (bzw. deren Einträgen), genau festzulegen, welcher Datenverkehr durch einen Tunnel geleitet werden soll. Das ist insbesondere dann hilfreich, wenn in der Verbindung verwendete Netze (lokale Netze oder remote Netze) sich auf unerwünschte Art mit weiteren auf dem Gerät definierten Netzen überschneiden. In den Dialogen zur Routing-Konfiguration (Routing-Regeln und -Tabellen) können an den Stellen, wo Quell- / Ziel-Interfaces ausgewählt werden können, nach Aktivierung dieser Option auch diejenigen IPSec-Verbindungen ausgewählt werden, für die Routen-basiertes IPsec aktiviert wurde. Zur einfacheren Unterscheidung von anderen Interfaces sind diese mit einem Vorhängeschloss markiert. |
Im Tab Traffic-Shaping können Sie die folgenden Felder konfigurieren:
Eingabefeld | Beschreibung |
---|---|
Traffic-Gruppe |
Wählen Sie optional den Namen einer Traffic-Gruppe aus. Dadurch werden die für diese Gruppe definierten
Regeln für den Datenverkehr auf dieser Verbindung angewendet. Siehe auch Traffic Shaping.
Anmerkung: Falls es sich um einen Routen-basierten IPsec-Tunnel handelt, kann der Datenverkehr innerhalb
eines Tunnels mit Hilfe einer eigenen Shaping-Konfiguration priorisiert werden.
|
DSCP ausgehend | Wählen Sie einen optionalen DSCP-Wert für ausgehenden Datenverkehr aus der Liste aus. Die Liste enthält die Bezeichnungen aus den relevanten RFCs (z. B. "CS0") und der Gruppe (z. B. "Standard"). Zusätzlich wird der Wert ebenfalls in seiner numerischen Repräsentation zu verschiedenen Basen (binär, hexadezimal und dezimal) angezeigt. Die Liste kann entsprechend dieser Darstellungen durchsucht werden, so dass Sie unabhängig von der individuell bevorzugten Darstellung schnell den gewünschten Wert finden. |
Die Schaltflächen rechts unten im Bearbeitungsfeld hängen davon ab, ob Sie eine neue VPN-IPsec-Verbindung hinzufügen oder eine bestehende Verbindung bearbeiten. Klicken Sie für eine neu konfigurierte Netzwerkverbindung auf Erstellen, um die Verbindung zur Liste der verfügbaren IPSec-Netzwerkverbindungen hinzuzufügen, oder auf Abbrechen, um die Erstellung einer neuen Netzwerkverbindung abzubrechen.
Wenn Sie Änderungen vorgenommen haben, können Sie diese mit den Schaltflächen unten rechts im Bearbeitungsfenster speichern (Speichern) oder verwerfen (Zurücksetzen). Andernfalls können Sie das Fenster schließen (Schließen).
Klicken Sie auf Aktivieren in der Symbolleiste oben im Desktop, um Ihre Konfigurationsänderungen zu übernehmen.