Vorlage:VPN IPSec

Aus Comtime Wiki
Zur Navigation springen Zur Suche springen

IPsec

Die VPN-Gegenstelle muss IPsec mit folgender Konfiguration unterstützen:

  • Authentifizierung über X.509-Zertifikate oder Preshared Secret Key (PSK)
  • ESP
  • Diffie-Hellman Gruppe 2 oder 5
  • 3DES oder AES encryption
  • MD5 oder SHA-1 Hash Algorithmen
  • Tunnel-Modus
  • Quick Mode
  • Main Mode
  • SA Lifetime (1 Sekunde bis 24 Stunden)

Connections

IPsec Connections

VPN >> IPsec >> Connections
Monitor DynDNS VPN-Gegenstelle hat keine feste IP und als Remote Host wird ein DynDNS-Name genutzt, so kann diese Funktion aktiviert werden, um die Verbindung zu überprüfen
Check Interval Prüfintervall in Sekunden
IKE Logging Level Einstellung des Logging Levels

0: Very basic auditing logs

1: Generic control flow with errors, a good default to see whats going on

2: More detailed debugging control flow

Enable VPN-Verbindung aktivieren (=Yes) oder deaktivieren (=No)
Name Name der VPN-Verbindung festlegen
Settings Einstellungen für IPsec
IKE Einstellungen für das Internet-Key-Exchange-Protokoll
Firewall Einstellungen für IPsec Firewall

Connections Settings

IPsec Connection Settings

VPN >> IPsec >> Connections >> Settings >> Edit
Name Name der VPN-Verbindung
VPN Aktivieren (=Enabled) oder Deaktivieren (=Disabled) der VPN-Verbindung
Adress Family Auto: Automatische Verbindung mit IPv4 oder IPv6 IP-Adresse

IPv4: Verbindung mit IPv4-Adresse

IPv6: Verbindung mit IPv6-Adresse

Authentication X.509 Remote Certificate - VPN-Teilnehmer haben einen privaten und einen öffentlichen Schlüssel (X.509-Zertifikat)

Preshared Secret Key - VPN-Teilnehmer besitzen einen privaten Schlüssel (ein gemeinsames Passwort)

Remote Certificate VPN-Gegenstellen Authentifizierung erfolgt über ein Zertifikat , (Gegenstellenzertifikat, .pem .cer .crt) das in dem Menü "IPsec Certificates" hochgeladen werden muss
Local Certificate Router Authentifizierung bei der VPN-Gegenstelle erfolgt über ein Zertifikat (Maschinenzertifikat, PKCS#12), das in dem Menü "IPsec Certificates" hochgeladen werden muss
Remote ID Leer: Kein Eintrag in der Zeile bedeutet, dass die Angaben aus dem Zertifikat gewählt werden

Subject: Eine IP-Adresse, E-Mail-Adresse oder ein Hostname (mit vorangestelltem @-Zeichen) bedeutet, dass diese Einträge auch im Zertifikat vorhanden sein sollten, damit sich der Router authentifizieren kann

Local ID Siehe Remote ID
Address Remote Network IP-Adresse/Subnetzmaske des Netzwerkes, zu dem eine VPN-Verbindung aufgebaut wird
Address Local Network IP-Adresse/Subnetzmaske des Netzwerkes, von dem eine VPN-Verbindung aufgebaut wird
Connection NAT Local 1:1 NAT: IP-Adresse vom lokalen Netzwerk, unter der das Netzwerk per 1:1 NAT aus dem Remote-Netz erreicht werden kann/soll
Remote Connection Accept: VPN-Verbindung wird von einer Gegenstelle aufgebaut und vom Router akzeptiert

Initiate: VPN-Verbindung geht vom Router aus

Initiate on SMS: VPN-Verbindung wird durch eine SMS gestartet

Initiate on Call: VPN-Verbindung wird durch einen Anruf gestartet

Initiate on XML: VPN-Verbindung wird über eine XML-Datei gestartet

Initiate on Input 1: Startet / Stoppt den VPN-Tunnel durch digitalen Eingang 1

Initiate on Input 2: Startet / Stoppt den VPN-Tunnel durch digitalen Eingang 2

Autoreset Kann bei "Initiate on SMS" und muss bei "Initiate on Call" festgelegt werden. Es wird ein Zeitraum festgelegt, nach wieviel Minuten die VPN-Verbindung per Autoreset gestoppt wird

Connection IKE

IPsec IKE

VPN >> IPsec >> Connections >> IKE >> Edit
Name Name der VPN-Verbindung
IKE Protocol IKEv1 only: nur IKEv1

IKEv2 only nur IKEv2

Initiate IKEv2: Initiate

Phase 1 ISAKMP SA Schlüsselaustausch
ISAKMP SA Encryption Verschlüsselungsalgorithmus-Auswahl
ISAKMP SA Hash Hash-Algorithmus-Auswahl
ISAKMP SA Lifetime Lebensdauer des ISAKMP SA Schlüssels. Standardeinstellung 3600 Sekunden (1 Stunde) max. Einstellwert 86400 Sekunden (24 Stunden)
Phase 2 IPsec SA Datenaustausch
Ipsec SA Encryption siehe ISAKMP SA Encryption
Ipsec SA Hash siehe ISAKMP SA Hash
Ipsec Lifetime Lebensdauer des Ipsec SA Schlüssels. Standardeinstellung 28800 Sekunden (8 Stunden) max. Einstellwert 86400 Sekunden (24 Stunden)
Perfect Forward Secrecy (PFS) Aktivieren (=Yes) oder Deaktivieren (=No) der PFS Funktion
DH/PFS Group Im Ipsec werden beim Datenaustausch in bestimmten Intervallen die Schlüssel erneuert. Mit PFS werden hierbei mit der Gegenstelle im Schlüsselaustauschverfahren neue Zufallszahlen ausgehandelt

Auswahl des Verfahrens

Rekey Unter Rekeying versteht man das erneute Aushandeln einer abgelaufenen und damit nicht mehr gültigen

Sicherheitsbeziehung. Dies bezieht sich sowohl auf IKE-SAs als auch auf SAs für IPsec.

No: aktivieren

Yes: nicht aktivieren

Dead Peer Detection Unterstützt die Gegenstelle ein solches Protokoll, so kann überprüft werden, ob die Verbindung "tot" ist oder nicht. Die Verbindung wird versucht neu aufzubauen

No: Keine Dead Peer Detection

Yes: Bei VPN Initiate wird versucht, neuzustarten "Restart. Bei VPN Accept wird die Verbindung geschlossen "Clear"

DPD Delay (sec.) Zeitintervall in Sekunden, in dem die Peer-Verbindung überprüft wird
DPD Timeout (sec.) Zeitspanne nach der die Verbindung zur Gegenstelle für nicht aktiv erklärt werden soll

Defaultwert: 120 Sekunden

Maximum: 86400 Sekunden (24 Stunden)

Certificates

Mit einem Zertifikat, das in den Router geladen werden kann, authentifiziert sich der Router bei der Gegenstelle.

IPsec Certificates

VPN >> IPsec >> Certificates
Load Remote Certificate Hochladen von Zertifikaten, mit denen eine Authentifizierung für den Router bei der VPN-Gegenstelle erfolgen kann
Load Own PKCS#12 Certificate Hochladen eines Zertifikats (Providervorgabe)
Password Passwort für das PKCS#12 Zertifikat / das Passwort wird beim Export vergeben
Remote Certificates Tabellarische Übersicht aller "Remote Certificates" / mit "Delete" wird ein Zertifikat gelöscht
Own Certificates Tabellarische Übersicht aller "Own Certificates" / mit "Delete" wird ein Zertifikate gelöscht

Firewall

SNMP Firewall

VPN >> IPsec >> Firewall
Incoming Packets (Policy: Accept)
From IP IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action Accept: Datenpakete werden angenommen

Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden

Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung

Comment Kommentar
Log Yes: Aktivierung der Regel wird protokolliert

No: Aktivierung der Regel wird nicht protokolliert