Tunnel - Standard

Top  Previous  Next

Auf der Registerkarte Standard werden die grundlegenden Einstellungen für einen IPSec Tunnel durchgeführt.

Folgende Einstellungen müssen vorgenommen werden:

 

Bezeichnung: Eine frei zu wählende Bezeichnung für den VPN-Tunnel
Status nach dem Start: Der Status des VPN-Tunnels nach dem Neustart des IPSec-Dienstes. Mögliche Werte sind:

deaktiviert: Der VPN-Tunnel steht nicht für einen Verbindungsaufbau zur Verfügung und ist deaktiviert

standby: Eine Verbindung nach außen oder von außen kann aufgebaut werden

gestartet: Der VPN-Tunnel wird sofort nach dem Start des IPSec-Dienstes aufgebaut, sofern sich die Gegenstelle auf standby oder gestartet befindet.

Lokale IP: Wählen Sie die lokale IP-Adresse für den VPN-Tunnel. Sie können zwischen den IP-Adressen der von Ihnen für IPSec  aktivieren Netzwerkschnittstellen bzw "Via Default Route" wählen.
Lokales Subnetz: Das lokale Subnetz, auf welches die Remotebenutzer der Gegenstelle Zugriff haben sollen.
Lokales Zertifikat: Wählen Sie jenes Zertifikat aus, welches für die Authentifizierung mit der Gegenstelle verwendet werden Soll. Sie können nur ein Zertifikat auswählen, für das es einen private Key gibt. Diese Einstellung benötigen Sie nur wenn Sie mit Zertifikaten authentifizieren wollen. Eine Authentifizierung mit Zertifikaten wird aus Sicherheitsgründen empfohlen.
IP oder FQDN Gegenstelle: Wenn der Tunnel zu einer bestimmten Gegenstelle aufgebaut werden soll, geben Sie hier die IP-Adresse oder den FQDN der Gegenstelle ein und aktivieren Sie die Option Host. Falls Sie mit mehreren Hosts Tunnels aufbauen wollen (Site-to-End VPN, Remote VPN) wählen Sie die Option Jede Gegenstelle aus. Die Angabe einer bestimmten IP-Adresse ist in diesem Fall nicht notwendig.
Subnetz Gegenstelle: Die Netzwerkadresse des Netzwerks, das sich hinter der Gegenstelle befindet. Die lokalen Benutzer erhalten in weiterer Folge Zugriff auf das angegebene Remote-Subnetz. Option "Spezialfall für Roadwarrior hinter NAT-Gateway: rightsubnetwithin": Wenn Sie einen Laptop hinter einem NAT-Gateway betreiben, dessen IP-Adresse sich ändert, können Sie hier im Feld "Subnetz Gegenstelle" 0.0.0.0/0 angeben und der Roadwarrior kann sich mit dem Subnetz hinter der Gibraltar Firewall verbinden.
Autorisierung: Die Art der zu verwendenden Autorisierungsmethode. Folgende Möglichkeiten stehen zur Verfügung:

Passwort: Die Autorisierung erfolgt anhand eines Passworts und wird auch noch "Shared Secret" genannt. Wählen Sie ein sicheres Passwort und geben Sie dieses auch bei der Konfiguration der Gegenstelle ein.

X509 Zertifikat: Die Autorisierung erfolgt anhand von Zertifikaten. Wählen Sie jenes Zertifikat aus, welches für die Autorisierung bei der Gegenstelle verwendet werden soll. Bevor Sie ein Zertifikat auswählen können, müssen Sie dieses mit der Zertifikatsverwaltung auf Gibraltar importieren.

Autorisiert von Zertifizierungsstelle: Die Autorisierung erfolgt durch eine zentrale Zertifizierungsstelle. Dabei werden die Zertifikate der Hosts von einer Zertifizierungsstelle signiert, welche die Authentizität der Hosts überprüft und garantiert.

Für L2TP verwenden: Aktivieren Sie diese Option, wenn der VPN-Tunnel für den Aufbau einer L2TP-Verbindung (Remote VPN) verwendet werden soll. Falls Sie diese Option aktivieren, dürfen Sie in beiden Subnetz-Textfeldern keine Einträge vornehmen. Zusätzlich sollten sie die Option "Autorisiert von Zertifizierungsstelle" auswählen, da Gibraltar in diesem Fall als Zertifizierungsstelle  die ordnungsgemäße Autorisierung der Clients sicherstellt.
Lokale ID: Wird teilweise zur Herstellung von VPN-Verbindungen zu Drittprodukten benötigt (left id)
Remote ID: Wird teilweise zur Herstellung von VPN-Verbindungen zu Drittprodukten benötigt (right id)
Nächste Router IP: Die IP-Adresse des nächsten Routers. Diese Option benötigen Sie wenn Sie z.B. über zwei Internetleitungen verfügen. Im Normalfall ermittelt Gibraltar die richtige IP automatisch.

 

ACHTUNG: Um den Datenverkehr über IPSec Tunnels zu erlauben, müssen Sie für die jeweiligen IPSec Interfaces (zB: eingehend "ipsec0" und ausgehend "int0") Filterregeln definieren.

 

WICHTIG: Falls Sie vorhaben, für Tunnel mit "Roadwarrior" (Gegenstellen ohne fixe IP-Adresse) keinen gemeinsamen Preshared key zu verwenden, so müssen Sie mit X509 Zertifikaten authentifizieren (empfohlen)!

 

ipsec_standard