Inhaltsverzeichnis
Werbung
18 VPN
Feld
IPSec-Callback
Um Hosts, die nicht über feste IP-Adressen verfügen, eine sichere Verbindung über das Internet zu er-
möglichen, unterstützen Digitalisierungsbox-Geräte den DynDNS-Dienst. Dieser Dienst ermöglicht die
Identifikation eines Peers anhand eines durch DNS auflösbaren Host-Namens. Die Konfiguration der IP-
Adresse des Peers ist nicht notwendig.
Der DynDNS-Dienst signalisiert aber nicht, ob ein Peer wirklich online ist, und kann einen Peer nicht
veranlassen, eine Internetverbindung aufzubauen, um einen IPSec-Tunnel über das Internet zu ermögli-
chen. Diese Möglichkeit wird mit IPSec-Callback geschaffen: Mithilfe eines direkten ISDN-Rufs bei ei-
nem Peer kann diesem signalisiert werden, dass man online ist und den Aufbau eines IPSec-Tunnels
über das Internet erwartet. Sollte der gerufene Peer derzeit keine Verbindung zum Internet haben, wird
er durch den ISDN-Ruf veranlasst, eine Verbindung aufzubauen. Dieser ISDN-Ruf verursacht (je nach
Einsatzland) keine Kosten, da der ISDN-Ruf von Ihrem Gerät nicht angenommen werden muss. Die
Identifikation des Anrufers durch dessen ISDN-Rufnummer genügt als Information, um einen Tunnelauf-
bau zu initiieren.
Um diesen Dienst einzurichten, muss zunächst auf der passiven Seite im Menü Physikalische Schnitt-
stellen->ISDN-Ports->MSN-Konfiguration->Neu eine Rufnummer für den IPSec-Callback konfiguriert
werden. Dazu steht für das Feld Dienst der Wert
auf dieser Nummer eingehende Rufe an den IPSec-Dienst geleitet werden.
Bei aktivem Callback wird, sobald ein IPSec-Tunnel benötigt wird, der Peer durch einen ISDN-Ruf ver-
anlasst, diesen zu initiieren. Bei passivem Callback wird immer dann ein Tunnelaufbau zum Peer initi-
iert, wenn ein ISDN-Ruf auf der entsprechenden Nummer (MSN im Menü Physikalische
Schnittstellen->ISDN-Ports->MSN-Konfiguration->Neu für Dienst
wird sichergestellt, dass beide Peers erreichbar sind und die Verbindung über das Internet zustande
kommen kann. Es wird lediglich dann kein Callback ausgeführt, wenn bereits SAs (Security Associati-
ons) vorhanden sind, der Tunnel zum Peer also bereits besteht.
Übermittlung der IP-Adresse über ISDN
Mittels der Übertragung der IP-Adresse eines Geräts über ISDN (im D-Kanal und/oder im B-Kanal) eröff-
nen sich neue Möglichkeiten zur Konfiguration von IPSec-VPNs. Einschränkungen, die bei der IPSec-
Konfiguration mit dynamischen IP-Adressen auftreten, können so umgangen werden.
212
Beschreibung
Mögliche Werte:
•
Peer.
•
wenn der Status der Verbindung zum IPSec Peer
ARP-Request, der Verbindungsaufbau erfolgt erst, wenn jemand tat-
sächlich die Route nutzen will.
•
Status der Verbindung zum IPSec-Peer
bereits eine Verbindung zum IPSec Peer besteht.
Hinweis
Wenn ein Tunnel zu einem Peer aufgebaut werden soll, wird vom IPSec-Daemon zu-
nächst die Schnittstelle aktiviert, über die der Tunnel realisiert werden soll. Sofern auf dem
lokalen Gerät IPSec mit DynDNS konfiguriert ist, wird die eigene IP-Adresse propagiert
und erst dann der ISDN-Ruf an das entfernte Gerät abgesetzt. Auf diese Art ist sicherge-
stellt, dass das entfernte Gerät das lokale auch tatsächlich erreichen kann, wenn es den
Tunnelaufbau initiiert.
(Standardwert): Deaktiviert Proxy-ARP für diesen IPSec-
: Ihr Gerät beantwortet einen ARP-Request nur,
(ruhend) ist. Bei
beantwortet Ihr Gerät lediglich den
: Ihr Gerät beantwortet einen ARP-Request nur, wenn der
zur Verfügung. Dieser Eintrag sorgt dafür, dass
(aktiv) oder
(aktiv) ist, wenn also
) eingeht. Auf diese Weise
Digitalisierungsbox Smart
bintec elmeg GmbH
Werbung
Inhaltsverzeichnis
