Auf der Registerkarte Site-to-Site-VPN > IPsec > Entfernte Gateways können Sie die entfernten Gateways (engl. remote gateways) für Ihre Site-to-Site-VPN-Tunnel definieren. Diese Remote-Netzwerk-Definitionen stehen dann für die Konfiguration der IPsec-Verbindungen auf der Registerkarte IPsec > Verbindungen zur Verfügung.
Um ein entferntes Gateway hinzuzufügen, gehen Sie folgendermaßen vor:
Klicken Sie auf der Registerkarte Entfernte Gateways auf Neues entferntes Gateway.
Das Dialogfeld Entferntes Gateway hinzufügen wird geöffnet.
Nehmen Sie die folgenden Einstellungen vor:
Name: Geben Sie einen aussagekräftigen Namen für das entfernte Gateway ein.
Gateway-Typ: Wählen Sie den Gateway-Typ aus. Die folgenden Typen sind verfügbar:
Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode für diese Definition des entfernten Gateways aus. Die folgenden Typen sind verfügbar:
VPN-ID-Typ: Abhängig von der ausgewählten Authentifizierungsmethode müssen Sie einen VPN-ID-Typ und eine VPN-ID angeben. Die hier angegebene VPN-ID muss mit dem Wert auf der Gegenstelle übereinstimmen. Angenommen, Sie verwenden zwei UTM-Appliances, um einen Site-to-Site-VPN-Tunnel aufzubauen. Wenn Sie dann als Authentifizierungsmethode RSA-Schlüssel auf dem lokalen System auswählen, müssen der VPN-ID-Typ und die VPN-ID mit dem übereinstimmen, was auf der Registerkarte Site-to-Site-VPN > IPsec > Lokaler RSA-Schlüssel der Gegenstelle konfiguriert ist. Sie können zwischen den folgenden VPN-ID-Typen wählen:
Entfernte Netzwerke: Wählen Sie die entfernten Netzwerke aus, die über das entfernte Gateway erreichbar sein sollen.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
Nehmen Sie gegebenenfalls erweiterte Einstellungen vor.
Die folgenden erweiterten Einstellungen sollten Sie nur vornehmen, wenn Ihnen die Auswirkungen bekannt sind:
Pfad-MTU-Ermittlung unterstützen: PMTU (Path Maximum Transmission Unit) bezeichnet die Größe der übermittelten Datenpakete. Die gesendeten IP-Datenpakete sollten so groß sein, dass sie gerade noch ohne Fragmentierung entlang der Strecke zum Ziel transportiert werden können. Zu große Datenpakete werden von den Routern auf der Strecke verworfen, wenn diese Pakete ohne Fragmentierung nicht weitergeleitet werden können. An die Absender werden dann ICMP-Pakete mit der Nachricht ICMP Destination Unreachable (dt. ICMP-Ziel nicht erreichbar) sowie einem Code gesendet, der „Fragmentierung benötigt und DF gesetzt“ bedeutet. Aufgrund dieser Nachricht setzt der Quellhost seinen angenommenen PMTU-Wert für die Strecke herab.
Wenn Sie diese Option aktivieren, aktiviert die UTM PMTU, wenn dies auf Serverseite aktiviert ist.
Überlastkontrolle (ECN) unterstützen: ECN (Explicit Congestion Notification) ist eine Erweiterung des Internetprotokolls und ermöglicht End-to-End-Benachrichtigungen über Netzwerküberlastungen, ohne dass Pakete verworfen werden. Wählen Sie diese Option, wenn Sie ECN-Daten aus dem ursprünglichen IP-Paket-Header in den IPsec-Paket-Header kopieren möchten. Beachten Sie, dass der entfernte Endpoint ECN ebenso unterstützen muss wie das zugrunde liegende Netzwerk und die beteiligten Router.
XAUTH-Client-Modus aktivieren: XAUTH ist eine Erweiterung von IPsec-IKE, um Benutzer über Benutzername und Kennwort auf einem VPN-Gateway zu authentifizieren. Um XAUTH für die Authentifizierung auf diesem entfernten Gateway zu verwenden, wählen Sie die Option aus und geben Sie den Benutzernamen und das Kennwort (zweimal) an, das vom entfernten Gateway erwartet wird.
Klicken Sie auf Speichern.
Die Gateway-Definition wird in der Liste Entfernte Gateways angezeigt.
Um eine Definition eines entfernten Gateways zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.