Als erstes müssen Sie dafür sorgen, daß jede Seite über einen eigenen Schlüssel verfügt und die Gegenseite den öffentlichen Schlüssel oder das Zertifikat der Gegenseite hat. Es empfiehlt sich, auf jedem System einen eigenen Schlüssel nur für VPNs anzulegen, da Sie dann (im Gegensatz zu Schlüsseln für SSL) 2048 Bit Schlüssellänge verwenden können.
Wenn Sie auf dem Intranator mehrere VPNs einrichten, müssen Sie nicht für jede Verbindung extra einen eigenen Schlüssel anlegen: Sie können einen eigenen Schlüssel für alle VPNs verwenden. Nur von jeder der Gegenstellen benötigen Sie natürlich den öffentlichen Schlüssel.
Weitere Details zur Schlüsselverwaltung finden Sie im 18. Kapitel, „Schlüsselmanagement“.
Im Menü Dienste > VPN > Verbindungen können Sie VPN-Verbindungen im Intranator konfigurieren.
Auf der ersten Seite stellen Sie die Gegenstelle ein. Die Gegenstelle ist die offizielle IP, unter der der Intranator das IPSec-Gateway auf der anderen Seite der Verbindung erreichen kann. Verwechseln Sie diese nicht mit der IP, die die Gegenseite in ihrem eigenen Netz hat (typischerweise aus einem privaten Netzbereich).
Hat die Gegenseite eine feste IP, ist es vorteilhaft diese IP einzutragen und nicht den DNS-Namen der evtl. auch noch vorhanden ist. Ist die Gegenseite vom Intranator aus nicht erreichbar oder hat keinen DynDNS-Namen (z.B. weil Sie in einem UMTS-Netz liegt und dort hinter NAT nicht erreichbar ist), können Sie als Typ "Dynamische IP (Road Warrior)" eintragen. Diese Einstellung ist aber eher für einzelne Clients und nicht so sehr für dauerhaft aktive Verbindungen zwischen Netzen gedacht.
Über das Verschlüsselungsprofil können die verwendeten Verschlüsselungalgorithmen ausgewählt werden; zu Details siehe Abschnitt 17.5, „Algorithmen“. Wichtig ist vor allem, daß die Einstellung für PFS (Perfect Forward Secrecy) auf beiden Seiten identisch ist.
Über die Kapselung wird kontrolliert, wie die Pakete für den VPN-Tunnel eingepackt werden. Bei ESP wird die Verschlüsselung und Authentifizierung in eine Hülle eingepackt. Bei ESP+AH werden Verschlüsselung und Authentifizierung separat vorgenommen. ESP+AH kann nicht durch NAT geleitet werden, daher hat sich ESP durchgesetzt. Diese Einstellung muß auf beiden Seiten der Verbindung identisch sein.
Auf der Seite "Tunnel" wird konfiguiert, welche Netze durch diese VPN-Verbindung miteinander verbunden werden und welche Rechte für Firewall, Proxy etc. dem Netz auf Gegenseite eingeräumt werden.
Über den Punkt wird das zu verbindende Netz auf Seite des Intranators gewählt. Wählen Sie bei der Option eines der direkt an den Intranator angeschlossenen oder gerouteten Netze aus.
Wählen Sie bei den Typ und tragen Sie IP und Netzmaske des Netzes hinter dem IPSec Gateway auf der Gegenseite aus.
Die Rechte gelten für Zugriffe aus dem VPN Netz und haben die selbe Funktion wie bei anderen Optionen auch (beschrieben in Abschnitt 3.2, „Zugriffsrechte eines Netzwerkobjekts“).
Wählen Sie den eigenen und den Schlüssel der Gegenseite aus.
Wir raten aus den in Abschnitt 17.6, „Einschränkungen“genannten Gründen davon ab, Verbindungen per Pre-Shared Key (PSK) zu authentifizieren. Sollten Sie es dennoch verwenden wollen, müssen Sie zusätzlich zu dem gemeinsamen Schlüssel die IPSec IDs der beiden Seiten wählen. Haben beide Seiten feste IPs, können Sie die IPs direkt als IPSec IDs verwenden. Bei dynamischen IPs empfiehlt es sich, Email-Adressen als IPSec IDs einzutragen.