54.2. Konfiguration auf dem Intra2net System

54.2.1. Voraussetzungen

Als Erstes müssen Sie dafür sorgen, dass jede Seite über einen eigenen Schlüssel verfügt und die Gegenseite den öffentlichen Schlüssel der Gegenseite hat. Es empfiehlt sich, auf jedem System einen eigenen Schlüssel nur für VPNs anzulegen.

Wenn Sie auf dem Intra2net System mehrere VPNs einrichten, müssen Sie nicht für jede Verbindung extra einen eigenen Schlüssel anlegen: Sie können einen eigenen Schlüssel für alle VPNs verwenden. Nur von jeder der Gegenstellen benötigen Sie natürlich den öffentlichen Schlüssel.

Weitere Details zur Schlüsselverwaltung finden Sie im 45. Kapitel, „Schlüsselmanagement“.

54.2.2. Grundeinstellungen

Im Menü Dienste > VPN > Verbindungen können Sie VPN-Verbindungen im Intra2net System konfigurieren.

Auf der ersten Seite stellen Sie die Gegenstelle ein. Die Gegenstelle ist die offizielle IP, unter der das Intra2net System das IPSec-Gateway auf der anderen Seite der Verbindung erreichen kann. Verwechseln Sie diese nicht mit der IP, die die Gegenseite in ihrem eigenen Netz hat (typischerweise aus einem privaten Netzbereich).

Hat die Gegenseite eine feste IP, ist es vorteilhaft, diese IP einzutragen und nicht den DNS-Namen, der evtl. auch noch vorhanden ist. Ist die Gegenseite vom Intra2net System aus nicht erreichbar oder hat keinen DynDNS-Namen (z.B. weil Sie in einem UMTS-Netz liegt und dort hinter NAT nicht erreichbar ist), können Sie als Typ "Dynamische IP (Road Warrior)" eintragen. Diese Einstellung ist aber eher für einzelne Clients und nicht so sehr für dauerhaft aktive Verbindungen zwischen Netzen gedacht.

Über das Verschlüsselungsprofil können die verwendeten Verschlüsselungsalgorithmen ausgewählt werden; für Details siehe Abschnitt 44.5, „Algorithmen“. Wichtig ist vor allem, dass die Einstellung für PFS (Perfect Forward Secrecy) auf beiden Seiten identisch ist.

Über die Kapselung wird kontrolliert, wie die Pakete für den VPN-Tunnel eingepackt werden. Bei ESP wird die Verschlüsselung und Authentifizierung in eine Hülle eingepackt. Bei ESP+AH werden Verschlüsselung und Authentifizierung separat vorgenommen. ESP+AH kann nicht durch NAT geleitet werden, daher hat sich ESP durchgesetzt. Diese Einstellung muss auf beiden Seiten der Verbindung identisch sein.

54.2.3. Authentifizierung

Wählen Sie den eigenen und den Schlüssel der Gegenseite aus.

Wir raten aus den in Abschnitt 44.6, „Einschränkungen“ genannten Gründen davon ab, Verbindungen per Pre-Shared Key (PSK) zu authentifizieren. Sollten Sie es dennoch verwenden wollen, müssen Sie zusätzlich zu dem gemeinsamen Schlüssel die IPSec IDs der beiden Seiten wählen. Haben beide Seiten feste IPs, können Sie die IPs direkt als IPSec IDs verwenden. Bei dynamischen IPs empfiehlt es sich, E-Mail-Adressen als IPSec IDs einzutragen.

54.2.4. Tunnel konfigurieren

Auf der Seite "Tunnel" wird konfiguriert, welche Netze durch diese VPN-Verbindung miteinander verbunden werden.

Über den Punkt "Lokales Netz" wird das zu verbindende Netz auf Seite des Intra2net Systems gewählt. Wählen Sie bei der Option "Lokale Netze" eines der direkt an das Intra2net System angeschlossenen oder gerouteten Netze aus.

Wählen Sie bei "Netz auf Gegenseite" den Typ "Freies Netz" und tragen Sie IP und Netzmaske des Netzes hinter dem IPSec Gateway auf der Gegenseite ein.

Die Optionen zur Adressumschreibung (NAT) werden im 58. Kapitel, „Lösen von IP-Adresskonflikten in VPNs durch NAT“ erklärt.

54.2.5. Rechte

In diesem Menü werden die Rechte des VPN-Netzes auf der Gegenseite definiert. Dies betrifft alle Pakete, die aus diesem VPN-Netz kommen. Eine Beschreibung der Rechteoptionen finden Sie unter Abschnitt 9.3, „Zugriffsrechte eines Netzwerkobjekts“.

54.2.6. Aktivierung

In diesem Menü wird konfiguriert, wann die Verbindung aufgebaut und bestehende Sitzungen verlängert werden.

Beim passiven oder manuellen Start wartet das Intra2net System, bis entweder die Gegenseite die Verbindung aufbaut oder der Benutzer über die Hauptseite die Verbindung manuell aufbaut. Wird die Verbindung immer gestartet, versucht das Intra2net System kontinuierlich die Verbindung aufzubauen und offen zu halten.

Die Anzahl der Aufbauversuche betrifft nur den manuellen Aufbau über die Hauptseite. In Verbindung mit der Startvariante "Immer" hat diese Option keine Relevanz.

Die Lebensdauern für die beiden Phasen geben an, nach wie viel Minuten eine Verbindung wieder neu authentifiziert und neue Sitzungsschlüssel ausgehandelt werden. Die Zeit für Phase 1 sollte größer sein als die für Phase 2. Diese Werte müssen nicht mit den Einstellungen auf der Gegenseite übereinstimmen.

Ist bei "Offline-Erkennung" ein Wert eingetragen, sendet das Intra2net System mindestens so oft wie angegeben ein Paket an die Gegenseite. Kommt darauf mehrfach keine Antwort, wird die Verbindung getrennt und neu aufgebaut. Für diese Funktion wird die Dead-Peer-Detection (DPD) des IPSec-Standards verwendet.