Auf diesem Bildschirm können Sie eine „automatische“ VPN-Richtlinie festlegen oder bearbeiten.
Eine „automatische“ VPN-Richtlinie nutzt zum Austauschen und Abstimmen von Parametern für die SA (Security Association) des IPsec-Protokolls das IKE-Protokoll (Internet Key Exchange). Aufgrund dieser Abstimmung brauchen nicht alle Einstellungen des VPN-Gateways mit den Einstellungen des Remote-VPN-Endpunkts übereinzustimmen. Wenn eine Übereinstimmung erforderlich ist, wird dies gekennzeichnet.
Über diese Einstellungen wird die Richtlinie ermittelt und ihre Hauptmerkmale werden festgelegt.
Geben Sie zur Kennzeichnung der Richtlinie einen eindeutigen Namen ein. Dieser Name wird nicht an den Remote-VPN-Endpunkt übermittelt. Er dient lediglich zur Verwaltung der Richtlinien.
Wenn der Remote-Endpunkt über eine dynamische IP-Adresse verfügt, wählen Sie Dynamische IP-Adresse. Im Feld Adressangaben ist keine Eingabe erforderlich.
Ansonsten wählen Sie Feste IP-Adresse oder Fully Qualified Domain Name und geben die Adresse bzw. den Namen des Remote-VPN-Endpunkts ein, zu dem Sie eine Verbindung herstellen möchten.
Hinweis: Als Remote-VPN-Endpunkt muss die Adresse des aktuellen VPN-Gateways angegeben werden.
Aktivieren Sie diese Option, wenn eine Verbindung offen bleiben oder nach einer Trennung schnellstmöglich wiederhergestellt werden soll.
Die IP-Adresse, an die ein Ping-Paket gesendet werden soll, muss dem Remote-Endpunkt zugeordnet sein. Es kann entweder die WAN- oder die LAN-Adresse verwendet werden, wobei die LAN-Adresse vorzuziehen ist. Zur Erzeugung von Datenverkehr im VPN-Tunnel wird ein Ping-Paket an die entsprechende IP-Adresse gesendet.
Hier legen Sie den Gültigkeitsbereich der Richtlinie im LAN fest. Für die Bereiche im Dropdown-Menü sind die folgenden Daten einzugeben:
Bei diesen IP-Adressen handelt es sich um die Remote-Adressen für den Remote-VPN-Endpunkt.
Hier legen Sie den Gültigkeitsbereich der Richtlinie im LAN fest. Für die Bereiche im Dropdown-Menü sind die folgenden Daten einzugeben:
Bei diesen IP-Adressen handelt es sich um die lokalen Adressen für den Remote-VPN-Endpunkt.
Richtung: Diese Einstellung wird verwendet, wenn ermittelt werden soll, ob die IKE-Richtlinie mit dem aktuellen Datenverkehr übereinstimmt. Wählen Sie die gewünschte Option.
Austauschmodus:
Zurzeit wird nur der Hauptmodus unterstützt. Der Remote-VPN-Endpunkt muss daher auf diesen Modus eingestellt sein.
Diffie-Hellman-Gruppe: Beim Diffie-Hellman-Algorithmus handelt es sich um ein Verfahren zum Schlüsselaustausch. Mit dieser Einstellung wird die beim Schlüsselaustausch verwendete Bitgröße festgelegt. Der hier angegebene Wert muss mit dem Wert für das Remote-VPN-Gateway übereinstimmen.
Lokaler Kennungstyp:
Wählen Sie die gewünschte Option, die den Einstellungen des Remote-Kennungstyps (siehe unten) am Remote-VPN-Endpunkt entsprechen.
Lokale Kennungsdaten:
Geben Sie in dieses Feld die Daten zur entsprechenden Auswahl an. (Für die Option WAN-IP-Adresse ist keine Eingabe erforderlich.)
Remote-Kennungstyp:
Wählen Sie die gewünschte Option, die den Einstellungen des lokalen Kennungstyps (siehe oben) am Remote-VPN-Endpunkt entsprechen.
Remote-Kennungsdaten:
Geben Sie in dieses Feld die Daten zur entsprechenden Auswahl an. (Für die Option IP-Adresse brauchen Sie hier nichts einzugeben.)
Verschlüsselungsalgorithmus: Der für IKE und IPSec zu verwendende Verschlüsselungsalgorithmus. Diese Einstellung muss mit der Einstellung für das Remote-VPN-Gateway übereinstimmen.
Authentifizierungsalgorithmus: Der für IKE und IPSec zu verwendende Authentifizierungsalgorithmus. Diese Einstellung muss mit der Einstellung für das Remote-VPN-Gateway übereinstimmen.
Pre-shared Key: Der hier eingegebene Schlüssel muss mit dem Schlüssel des Remote-VPN-Gateways übereinstimmen.
Hier geben Sie die Zeitdauer bis zum Ablauf der Security Association (Sicherheitsvereinbarung) ein. (Sie wird bei Bedarf automatisch wiederhergestellt.) Eine kurze Zeitdauer (bzw. kleine Datenmenge) erhöht zwar die Sicherheit, verringert jedoch die Leistung. Übliche Werte für die SA-Lebensdauer liegen über einer Stunde (3600 Sekunden). Diese Einstellung gilt für Security Associations von IKE- sowie IPSec-Protokollen.
Durch Aktivieren dieser Option wird die Sicherheit durch regelmäßigen Schlüsselaustausch erhöht. Sollte ein Schlüssel geknackt werden, wird das Knacken der folgenden Schlüssel dadurch nicht vereinfacht. (Jeder Schlüssel wird unabhängig vom vorherigen Schlüssel generiert.)
Diese Einstellung gilt für Security Associations von IKE- sowie IPSec-Protokollen. Beim Anpassen der entsprechenden Einstellung des Remote-Endpunkts müssen Sie u. U. die verwendete Schlüsselgruppe angeben. Bei diesem Gerät handelt es sich dabei um die unter den IKE-Einstellungen festgelegte Diffie-Hellman-Gruppe.