Support-Portal
keyboard_arrow_right keyboard_arrow_left

IPsec-Verbindung hinzufügen

Sie wollen eine VPN-Verbindung einer der folgenden Arten erstellen:
  • Fernzugriff
  • Standort-zu-Standort
  • Host-zu-Host
  • Tunnelschnittstelle
  1. Gehen Sie zu VPN > IPsec-Verbindungen und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Legen Sie allgemeine Einstellungen fest.
    OptionBezeichnung
    IP-Version IP-Version, die vom Tunnel unterstützt wird. Der Tunnel leitet nur die Daten weiter, welche die angegebene IP-Version verwenden.
    Verbindungstyp

    Fernzugriff: Stellt eine sichere Verbindung zwischen einzelnen Hosts und einem privaten Netzwerk über das Internet her. Sie Art der Verbindung wird gewöhnlich von Mitarbeitern verwendet, die von außerhalb der Firma auf das Firmennetzwerk zugreifen müssen. Um eine Fernzugriffsverbindung herzustellen, müssen Remote-Benutzer VPN-Clientsoftware besitzen.

    Standort-zu-Standort: Stellt eine sichere Verbindung zwischen einem ganzen Netzwerk (z.B. LAN oder WAN) und einem entfernten Netzwerk über das Internet her. Diese Art der Verbindung wird häufig verwendet, um Zweigstellen mit der Firmenzentrale zu verbinden.

    Host-zu-Host: Stellt eine sichere Verbindung zwischen zwei Hosts, z.B. einem Arbeitsplatzrechner zu einem anderen Arbeitsplatzrechner her.

    Tunnelschnittstelle: Verwenden Sie dies für routenbasiertes VPN. Erstellt eine Tunnelschnittstelle zwischen zwei Endpunkten. Sie können dann statisches oder dynamisches Routing mit dieser Schnittstelle verwenden. Der Schnittstellenname ist xfrm gefolgt von einer Nummer.
    Gateway-Typ

    Maßnahme, die durchgeführt werden soll, wenn der VPN-Dienst oder das VPN-Gerät neu starten.

    Deaktivieren: Hält die Verbindung deaktiviert, bis der Benutzer sie aktiviert.

    Nur antworten Hält die Verbindung in Bereitschaft, um auf eingehende Anfragen zu antworten.

    Die Verbindung initiieren: Stellt die Verbindung jedes Mal her, wenn VPN-Dienste oder die Appliance neu starten.
    Beim Speichern aktivieren Aktiviert die Verbindung, sobald Sie auf Speichern klicken.
    Firewallregel erstellen

    Erstellt automatisch eine Firewallregel für diese Verbindung.
    Anmerkung Wenn Sie das Kontrollkästchen aktivieren, wird automatisch eine entsprechende Firewallregel erstellt. Überprüfen Sie die Position der Regel in der Liste der Firewallregeln. Automatisch erstellte Firewallregeln, z.B. für E-Mail-MTA, IPsec-Verbindungen und Hotspots, werden an die Spitze der Firewallregelliste gesetzt und zuerst ausgewertet. Wenn sich die Übereinstimmungskriterien für die neuen und vorhandenen Regeln überschneiden, gelten die Richtlinien und Aktionen der neuen Regel, was zu unerwarteten Ergebnissen führt, wie z.B. der Nichtzustellung von E-Mails oder Tunneln, die nicht aufgebaut werden.
  4. Legen Sie Verschlüsselungseinstellungen fest.
    OptionBezeichnung
    Richtlinie IPsec-Profil, das für den Datenverkehr verwendet werden soll.
    Authentifizierung-Typ Authentifizierung, die für die Verbindung verwendet werden soll.

    Verteilter Schlüssel: Authentifiziert Endgeräte mithilfe des Schlüssels, den beide Endgeräte kennen.

    Digitales Zertifikat: Authentifiziert Endgeräte durch Austausch von Zertifikaten (entweder selbst-signierten oder von einer CA ausgestellten).

    RSA-Schlüssel: Authentifiziert Endgeräte mithilfe von RSA-Schlüsseln.
    Lokales Zertifikat Zertifikat, das für die Authentifizierung durch die Firewall verwendet werden soll.
    Entferntes Zertifikat Zertifikat, das von der entfernten Gegenstelle für die Authentifizierung verwendet werden soll.
    Anmerkung Verwenden Sie keine öffentliche CA als Remote-CA-Zertifikat für die Verschlüsselung. Dies stellt ein Sicherheitsrisiko für Ihre Verbindung dar, da unautorisierte Personen ein gültiges Zertifikat von dieser CA erlangen könnten.
  5. Legen Sie Einstellungen für das lokale Gateway fest.
    OptionBezeichnung
    Lausch-Schnittstelle Schnittstelle, die auf Verbindungsanfragen lauscht.
    Lokaler ID-Typ Bei verteilten Schlüsseln und RSA-Schlüsseln wählen Sie einen ID-Typ und geben Sie einen Wert für Lokale ID ein.
    Lokales Subnetz Lokale Netzwerke, für welche Sie Fernzugriff anbieten wollen.
  6. Legen Sie Einstellungen für das entfernte Gateway fest.
    OptionBezeichnung
    Gateway-Adresse IP-Adresse und Port des Remote-Gateways. (Um einen beliebigen Port festzulegen, geben Sie * ein.)
    Entfernter ID-Typ Bei verteilten Schlüsseln und RSA-Schlüsseln wählen Sie einen ID-Typ und geben Sie einen Wert für Entfernte ID ein.
    Entferntes Subnetz Remote-Netzwerke, auf die Sie Zugriff geben wollen.
  7. Optional Geben Sie Netzwerkadressübersetzung an.
    Verwenden Sie Netzwerkadressübersetzung (NAT), wenn Sie über ein Subnetz verfügen, das dem lokalen und dem Remote-Netzwerk gemeinsam ist. Adressen aus dem gemeinsamen Subnetz werden in Adressen aus dem lokalen Subnetz übersetzt, sodass der Datenverkehr aus dem gemeinsamen Netzwerk durch den VPN-Tunnel geroutet wird.
    • Übersetztes Subnetz: Zeigt die lokalen Subnetze an, die Sie oben angegeben haben.
    • Ursprüngliches Subnetz: Wählen Sie das Subnetz, das Ihrem lokalen und den entfernten Standorten gemeinsam ist. Dieses Subnetz muss unter Hosts und Dienste > IP-Host definiert werden.
  8. Legen Sie die erweiterten Einstellungen fest.
    OptionBezeichnung
    Benutzerauthentifizierungsmodus Authentifizierung von VPN-Clients wird von XAUTH erfordert.

    Keine: Authentifizierung nicht erforderlich.

    Als Client: Benutzername und Kennwort erforderlich für die Authentifizierung durch das Remote-Gateway.

    Als Server: Alle Benutzer, denen Zugriff gewährt werden soll.
    Verbindung trennen im Leerlauf Trennt inaktive Client-Verbindungen nach der angegebenen Zeit von der Sitzung.
    Zeitlimit bei inaktiver Sitzung Zeit in Sekunden, nach der inaktive Clients getrennt werden.
  9. Klicken Sie auf Speichern.