Die Verbindungs-Vorlagen können verwendet werden, um Werte für Verbindungen vorzudefinieren, die häufig verwendet werden. Alle Werte außer dem Vorlagen-Namen sind optional und füllen das entsprechende Feld einer auf Basis dieser Vorlage erstellten VPN-Verbindung aus.
Es sind verschiedene Vorlagen vordefiniert, wie z. B. die Vorlage "LANCOM Advanced VPN Client", um IPsec-Verbindungen mit diesem Client zu vereinfachen. Die Vorlage "(empty)" kann verwendet werden, falls die Werte einer vorhandenen Verbindungen gelöscht werden sollen.
Unter IPsec Verbindugs-Vorlage öffnen. Im Fenster IPsec Verbindungs-Vorlage können Sie die folgenden Informationen einsehen und konfigurieren:
können Sie das FensterEingabefeld | Beschreibung |
---|---|
Name | Geben Sie dieser Vorlage einen aussagekräftigen Namen. |
Sicherheits-Profil | Wählen Sie eines der vordefinierten Sicherheitsprofile aus. |
Im Tab Verbindung können Sie Vorgaben für die folgenden Felder einstellen:
Eingabefeld | Beschreibung |
---|---|
Verbindung | Eine Netzwerk- oder Internet-Verbindung kann gewählt werden, deren IP-Adressen für die IPsec-Verbindung verwendet werden soll. |
Listening-IP-Adressem | Alternativ zur Verbindung können auch benutzerdefinierte IP-Adressen eingetragen werden. Sind hier IP-Adressen gesetzt, so wird die Einstellung Verbindung ignoriert. Werden weder Verbindung noch Listening-IP-Adressen gesetzt, dann verwendet der IPsec-Dienst automatisch eine der konfigurierten IP-Adressen aller Verbindungen. |
Remote Gateways | Diese Adresse bzw. Liste von Adressen ist für die Option Verbindung aufbauen notwendig, um die Adresse der Gegenstelle zu bestimmen. |
Verbindung aufbauen | Von der Firewall wird eine Verbindung zur im Feld Remote Gateway angegebenen Adresse aufgebaut. |
NAT-T erzwingen | Normalerweise wird NAT-T automatisch gesetzt, wenn die Verbindung es erfordert. Wenn dieser Automatismus nicht greift, dann kann über diese Option NAT-T für den Aufbau einer Verbindung erzwungen werden. |
Im Tab Tunnel können Sie Vorgaben für die folgenden Felder einstellen:
Eingabefeld | Beschreibung |
---|---|
Lokale Netzwerke | Lokale Netzwerke, die mit der Gegenstelle verbunden werden sollen. |
Remote Netzwerke |
Remote-Netzwerke, die mit den lokalen Netzwerken verbunden werden sollen.
Wichtig: Es werden alle konfigurierten lokalen mit allen konfigurierten entfernten (Remote)
Netzwerken verbunden. Bei IKEv1-Verbindungen und IKEv2-Verbindungen mit aktivierter Option
IKEv2-Kompatibilitätsmodus ist die maximale Anzahl an Kombinationen auf 25
begrenzt, bei IKEv2 mit inaktiver Option IKEv2-Kompatibilitätsmodus gibt es keine
Begrenzung.
|
Virtueller IP-Pool | Der Gegenstelle wird eine IP-Adresse aus dem konfigurierten IP-Pool zugewiesen. |
IKEv2-Kompatibilitätsmodus | Anstatt alle konfigurierten lokalen und entfernten Netze durch einen einzigen Tunnel zu schicken wird wie bei IKEv1 für jede Verbindung zwischen zwei Netzen ein einzelner Tunnel angelegt. Diese Option ist nur für IKEv2-Verbindungen gültig. |
Im Tab Authentifizierung können Sie Vorgaben für die folgenden Felder einstellen:
Eingabefeld | Beschreibung |
---|---|
Authentifizierungstyp |
Geben Sie den Authentifizierungstyp an. Mögliche Werte:
|
PSK (Preshared Key) | Nur bei Authentifizierungstyp PSK (Preshared Key) – Geben Sie das zu verwendende Passwort an. |
Lokales Zertifikat | Das Zertifikat der Firewall zur Authentifizierung. Dieses muss einen Private Key beinhalten. |
Lokaler Identifier |
Ist diese Feld leer, wird bei PSK-Authentifizierung automatisch die ausgehende IP-Adresse der
Firewall verwendet und bei Zertifikat-Authentifizierung der Distinguished Name (DN) des ausgewählten lokalen
Zertifikats.
|
Erweiterte Authentifizierung |
Aktiviert die optionale Verwendung einer zusätzlichen Benutzer-Authentifizierung. Sobald Sie ein
Sicherheitsprofil ausgewählt haben, stehen Ihnen die folgenden Optionen zur Verfügung:
Anmerkung:
|
Remote Zertifikat | Nur bei Authentifizierungstyp "Zertifikat": Zertifikat der Gegenstelle. |
Certificate Authority | Nur bei Authentifizierungstyp "Certificate Authority": Eine CA, deren signierte Zertifikate für die Authentifizierung verwendet werden können. |
Remote Identifier |
Ist diese Feld leer, wird bei PSK-Authentifizierung automatisch die IP-Adresse des Remote Gateways verwendet,
falls diese gesetzt wurde. Bei Zertifikat-Authentifizierung der Distinguished Name (DN) des ausgewählten
remote Zertifikats.
|
Im Tab Traffic-Shaping können Sie die folgenden Felder konfigurieren:
Eingabefeld | Beschreibung |
---|---|
Traffic-Gruppe |
Wählen Sie optional den Namen einer Traffic-Gruppe aus. Dadurch werden die für diese Gruppe definierten
Regeln für den Datenverkehr auf dieser Verbindung angewendet. Siehe auch Traffic Shaping.
Anmerkung: Falls es sich um einen Routen-basierten IPsec-Tunnel handelt, kann der Datenverkehr innerhalb
eines Tunnels mit Hilfe einer eigenen Shaping-Konfiguration priorisiert werden.
|
DSCP ausgehend | Wählen Sie einen optionalen DSCP-Wert für ausgehenden Datenverkehr aus der Liste aus. Die Liste enthält die Bezeichnungen aus den relevanten RFCs (z. B. "CS0") und der Gruppe (z. B. "Standard"). Zusätzlich wird der Wert ebenfalls in seiner numerischen Repräsentation zu verschiedenen Basen (binär, hexadezimal und dezimal) angezeigt. Die Liste kann entsprechend dieser Darstellungen durchsucht werden, so dass Sie unabhängig von der individuell bevorzugten Darstellung schnell den gewünschten Wert finden. |
Klicken Sie auf Erstellen.
Der Dialog IPsec Verbindugs-Vorlage schließt sich. Die neue Vorlage wird zur Liste der verfügbaren Vorlagen in der Objektleiste hinzugefügt.