Eine IPsec-Richtlinie hinzufügen

  1. Gehen Sie zu VPN > IPsec-Richtlinien und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Legen Sie allgemeine Einstellungen fest.
    OptionBeschreibung
    Schlüsselaustausch Internet Key Exchange (IKE) Version, die verwendet soll. IKEv2 erfordert weniger Bandbreite als IKEv1 und hat integrierte EAP-Authentifizierung und NAT-Traversal, neben weiteren Verbesserungen.
    Authentifizierungsmethode Modus, der für den Austausch von Authentifizierungsinformationen (Phase 1) verwendet wird.

    Hauptmodus Führt den Diffie–Hellman Schlüsselaustausch in drei Zwei-Wege-Austauschvorgängen durch.

    Aggressiver Modus Führt den Diffie–Hellman Schlüsselaustausch mit drei Nachrichten durch. Ein Tunnel kann schneller eingerichtet werden, da während der Authentifizierung weniger Nachrichten ausgetauscht werden und zur Verschlüsselung der Authentifizierungsinformationen kein kryptografischer Algorithmus verwendet wird. Verwenden Sie diese Option, wenn die entfernte Gegenstelle dynamische IP-Adressen besitzt.

    Warnung: Der aggressive Modus ist unsicher und deshalb nicht empfehlenswert.
    Schlüsselaushandlungsversuche Maximale Anzahl an Schlüsselaushandlungsversuchen.
    Schlüsselerneuerung zulassen Aktivieren Sie die Schlüsselerneuerung, um die Aushandlung automatisch vor Schlüsselablauf zu starten. Die Aushandlung kann durch die lokale oder entfernte Gegenstelle eingeleitet werden. Je nach PFS-Einstellung wird für die Aushandlung derselbe Schlüssel verwendet oder ein neuer Schlüssel erzeugt. Konfigurieren Sie die Schlüssel-Lebensdauer (key life) für Phase 1 und 2, wenn die Option aktiviert ist.

    Deaktivieren, um den Aushandlungsprozess nur zu starten, wenn die Gegenstelle eine Schlüsselerneuerungsanfrage sendet. Falls die Gegenstelle so konfiguriert ist, dass sie nicht nach einer Schlüsselerneuerung für die Verbindung fragt, dann verwendet die Verbindung denselben Schlüssel, bis die Schlüssel-Lebensdauer abläuft. Dadurch wird die Verbindung unsicher, da kein neuer Schlüssel erzeugt wird. Das Ziel ist es, die Zeit zu begrenzen, in der ein Dritter, welcher Kontrolle über die Gegenstelle erlangt hat, die Sicherheitsbeziehungen ausnutzen kann.

    Daten in komprimierten Format übergeben Daten in komprimiertem Format übergeben, um dadurch den Durchsatz zu erhöhen.
    SHA-2 mit 96-Bit-Verkürzung Nur für IKEv1. Aktivieren Sie SHA2 mit 96-Bit-Verkürzung.
  4. Legen Sie die Phase-1-Einstellungen fest.
    OptionBeschreibung
    Schlüssel-Lebensdauer Lebensdauer des Schlüssels in Sekunden.
    Zeit bis zur Schlüsselerneuerung Zeit in Sekunden der verbleibenden Schlüssel-Lebensdauer nach der die Schlüsselerneuerung erneut durchgeführt werden sollte. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stunden beträgt und für die Schlüsselerneuerung ein Zeitrahmen von zehn Minuten zur Verfügung steht, beginnt der Aushandlungsprozess nach sieben Stunden und 50 Minuten.
    Zeit zufällig variieren um Faktor, um den die Schlüsselerneuerungszeit in zufälliger Weise variiert. Wenn die Schlüssel-Lebensdauer beispielsweise acht Stunden beträgt, die Schlüsselerneuerung zehn Minuten und die Varianz auf 20% eingestellt ist, beginnt die Aushandlung nach acht Minuten und endet bei zwölf Minuten.
    DH-Gruppe Diffie–Hellman-Gruppe, die für die Verschlüsselung verwendet werden soll. Die Gruppe gibt die für die Verschlüsselung verwendete Schlüssellänge vor.
    Hinweis: Die entfernte Gegenstelle muss dieselbe Gruppe verwenden.
    Algorithmus-Kombinationen Kombination von Verschlüsselungs- und Authentifizierungsalgorithmen, die verwendet werden sollen, um die Integrität des Datenaustauschs sicherzustellen.
    Hinweis: Die entfernte Gegenstelle muss mindestens eine der festgelegten Kombinationen verwenden.
  5. Legen Sie die Phase-2-Einstellungen fest.
    OptionBeschreibung
    PFS-Gruppe Perfect Forward Secrecy Gruppe (Diffie–Hellman-Gruppe), die verwendet werden soll, um einen neuen Schlüsselaustausch für jeden Phase-2-Tunnel zu erzwingen.
    Hinweis: Der Einsatz von PFS ist sicherer, dafür kann die Schlüsselerneuerung länger dauern. Nicht alle Hersteller unterstützen PDF. Überprüfen Sie Ihre Hardware-Spezifikationen bevor Sie eine Gruppe auswählen.
    Schlüssel-Lebensdauer Lebensdauer des Schlüssels in Sekunden. Die Schlüssel-Lebensdauer von Phase 2 muss kürzer sein als die von Phase 1.
    Algorithmus-Kombinationen Kombination von Verschlüsselungs- und Authentifizierungsalgorithmen, die verwendet werden sollen, um die Integrität des Datenaustauschs sicherzustellen.
    Hinweis: Die entfernte Gegenstelle muss mindestens eine der festgelegten Kombinationen verwenden.
  6. Legen Sie die Einstellungen für Dead Peer Detection fest.
    OptionBeschreibung
    Dead Peer Detection Im festgelegten Intervall überprüfen, ob die Gegenstelle aktiv ist. Bei Verbindungen mit statischen Endpunkten wird der Tunnel automatisch neu ausgehandelt. Verbindungen mit dynamischen Endpunkten erfordern von der Remote-Seite, den Tunnel neu auszuhandeln.
    Gegenstelle überprüfen alle Intervall in Sekunden, in dem die Gegenstelle geprüft wird.
    Auf Antwort warten bis zu Zeit in Sekunden, die auf die Rückmeldung der Gegenstelle gewartet wird. Wenn nicht innerhalb des festgelegten Intervalls eine Antwort empfangen wird, wird die Gegenstelle als inaktiv eingestuft.
    Maßnahme, wenn Gegenstelle unerreichbar Maßnahme, die durchgeführt werden soll, wenn festgestellt wird, dass die Gegenstelle inaktiv ist.
  7. Klicken Sie auf Speichern.