IKEv2 / IKEv2 mit LANconfig konfigurieren
Übergeordnetes Thema: IKEv2 mit LANconfig konfigurieren

Verschlüsselung

In dieser Tabelle konfigurieren Sie die Verschlüsselungsparameter. Es existiert ein Standardeintrag "DEFAULT" mit gängigen Einstellungen.

Eine Mehrfachauswahl der Parameter ist möglich. Diese Parameterlisten propagiert das Gerät im IKE-Protokoll und in CHILD-SAs. Beide VPN-Partner verständigen sich anschließend auf einen Algorithmus der propagierten Listen. Beim Aufbau der ersten IKE-SA einigen sich die VPN-Partner auf die höchste der gegenseitig propagierten DH-Gruppen. Diese DH-Gruppe nutzen die VPN-Partner, wenn sie die IKE-SAs erneuern oder wenn sie CHILD-SAs erzeugen oder erneuern (bei aktiviertem PFS).

Die Verbindung zwischen den VPN-Partnern kommt zustande, wenn es in der Menge der konfigurierten Verschlüsselungsparameter Gemeinsamkeiten gibt. Stimmen die Parameter in keinem Fall überein, findet keine Verbindung statt.





Name
Enthält den eindeutigen Namen dieses Eintrages. Diesen Namen ordnen Sie den Verbindungen in der Verbindungs-Liste im Feld "Verschlüsselung" zu.
Erlaubte DH-Gruppen
Enthält die Auswahl der Diffie-Hellman-Gruppen, auf deren Basis die VPN-Partner einen Schlüssel für den Datenaustausch erstellen. Je höher die gewählte DH-Gruppe, desto komplexer ist der erzeugte Schlüssel. Aktuell werden folgende Gruppen unterstützt:
  • DH-2 (1024-Bit Modulus)
  • DH-5 (1536-Bit Modulus)
  • DH-14 (2048-Bit Modulus)
  • DH-15 (3072-Bit Modulus)
  • DH-16 (4096-Bit Modulus)
  • DH-19 (256-bit random ECP group)
  • DH-20 (384-bit random ECP group)
  • DH-21 (521-bit random ECP group)
  • DH-28 (brainpoolP256r1)
  • DH-29 (brainpoolP384r1)
  • DH-30 (brainpoolP512r1)
  • DH-31 (Curve25519)
  • DH-32 (Curve448)
PFS
Gibt an, ob Perfect Forward Secrecy (PFS) aktiviert ist.
Verschlüsselungsliste
Gibt an, welche Verschlüsselungsalgorithmen aktiviert sind. Folgende Verschlüsselungsalgorithmen stehen zur Auswahl:
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES
  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
  • Chacha20-Poly1305 ChaCha20 Datenstromverschlüsselung zusammen mit dem Poly1305 Authentifikator, siehe RFC 7634.
    Wichtig: Bitte beachten Sie, dass ChaCha20-Poly1305 derzeit nicht durch Hardware beschleunigt wird und daher nicht für VPN-Szenarien empfohlen wird, in denen eine hohe Verschlüsselungsleistung benötigt wird.
Hash-Liste
Gibt an, welche Hash-Algorithmen aktiviert sind. Folgende Hash-Algorithmen stehen zur Auswahl:
  • SHA1
  • SHA-256
  • SHA-384
  • SHA-512
  • MD5
Übergeordnetes Thema: IKEv2 mit LANconfig konfigurieren

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo