Support-Portal
keyboard_arrow_right keyboard_arrow_left

IPsec-Richtlinien

Internet-Protocol-Security-(IPsec)-Richtlinien legen eine Reihe von Verschlüsselungs- und Authentifizierungseinstellungen für einen Internet Key Exchange (IKE, Internet-Schlüsselaustausch) fest.

Sie können Richtlinien verwenden, wenn Sie IPsec- oder L2TP-Verbindungen einrichten. Die Standardauswahl an Richtlinien unterstützt einige üblicherweise verwendete VPN-Einsatzszenarien.

  • Um einer Richtlinie zu duplizieren, klicken Sie auf Duplizieren Schaltfläche „Duplizieren“.
Tipp Hardwarebeschleunigung ist für IPsec-VPN-Verbindungen bei den Gerätemodellen XG 125 Rev. 3, XG 135 Rev. 3 und XG 750 verfügbar. Sie standardmäßig aktiviert. Um sie auszuschalten, gehen Sie zur Kommandozeilenkonsole.

Allgemeine Einstellungen

Schlüsselaustausch
Internet Key Exchange (IKE) Version, die verwendet soll. IKEv2 erfordert weniger Bandbreite als IKEv1 und hat integrierte EAP-Authentifizierung und NAT-Traversal, neben weiteren Verbesserungen.
Authentifizierungsmethode
Modus, der für den Austausch von Authentifizierungsinformationen (Phase 1) verwendet wird.
Schlüsselaushandlungsversuche
Maximale Anzahl an Schlüsselaushandlungsversuchen.
Schlüsselerneuerung zulassen
Lassen Sie zu, dass die Aushandlung automatisch von jeder Gegenstelle eingeleitet werden kann, bevor der aktuelle Schlüssel verfällt.
Daten in komprimierten Format übergeben
Daten in komprimiertem Format übergeben, um dadurch den Durchsatz zu erhöhen.
SHA-2 mit 96-Bit-Verkürzung
Nur für IKEv1. Aktivieren Sie SHA2 mit 96-Bit-Verkürzung.

Phase 1

Schlüssel-Lebensdauer
Lebensdauer des Schlüssels in Sekunden.
Zeit bis zur Schlüsselerneuerung
Zeit in Sekunden der verbleibenden Schlüssel-Lebensdauer nach der die Schlüsselerneuerung erneut durchgeführt werden sollte.
Zeit zufällig variieren um
Faktor, um den die Schlüsselerneuerungszeit in zufälliger Weise variiert.
DH-Gruppe
Diffie–Hellman -Gruppe, die für die Verschlüsselung verwendet werden soll.
Algorithmus-Kombinationen
Kombination von Verschlüsselungs- und Authentifizierungsalgorithmen, die verwendet werden sollen, um die Integrität des Datenaustauschs sicherzustellen.

Phase 2

PFS-Gruppe
Perfect Forward Secrecy Gruppe (Diffie–Hellman-Gruppe), die verwendet werden soll, um einen neuen Schlüsselaustausch für jeden Phase-2-Tunnel zu erzwingen.
Schlüssel-Lebensdauer
Lebensdauer des Schlüssels in Sekunden.
Algorithmus-Kombinationen
Kombination von Verschlüsselungs- und Authentifizierungsalgorithmen, die verwendet werden sollen, um die Integrität des Datenaustauschs sicherzustellen.

Dead Peer Detection

Dead Peer Detection
Im festgelegten Intervall überprüfen, ob die Gegenstelle aktiv ist.
Gegenstelle überprüfen alle
Intervall in Sekunden zu dem der Peer geprüft wird.
Auf Antwort warten bis zu
Zeit in Sekunden, die auf die Rückmeldung des Peers gewartet wird.
Wenn Peer unerreichbar
Maßnahme, die durchgeführt werden soll, wenn festgestellt wird, dass die Gegenstelle inaktiv ist.