Inhaltsverzeichnis
Werbung
bintec elmeg GmbH
Vor Systemsoftware Release 7.1.4 unterstützte der IPSec ISDN Callback einen Tunnelaufbau nur dann,
wenn die aktuelle IP-Adresse des Auslösers auf indirektem Wege (z. B. über DynDNS) ermittelt werden
konnte. DynDNS hat aber gravierende Nachteile, wie z. B. die Latenzzeit, bis die IP-Adresse in der Da-
tenbank wirklich aktualisiert ist. Dadurch kann es dazu kommen, dass die über DynDNS propagierte IP-
Adresse nicht korrekt ist. Dieses Problem wird durch die Übertragung der IP-Adresse über ISDN umgan-
gen. Darüber hinaus ermöglicht es diese Art der Übermittlung dynamischer IP-Adressen, den sichereren
ID-Protect-Modus (Haupt Modus) für den Tunnelaufbau zu verwenden.
Funktionsweise: Um die eigene IP-Adresse an den Peer übermitteln zu können, stehen unterschiedliche
Modi zur Verfügung: Die Adresse kann im D-Kanal kostenfrei übertragen werden oder im B-Kanal, wo-
bei der Ruf von der Gegenstelle angenommen werden muss und daher Kosten verursacht. Wenn ein
Peer, dessen IP-Adresse dynamisch zugewiesen worden ist, einen anderen Peer zum Aufbau eines IP-
Sec-Tunnels veranlassen will, so kann er seine eigene IP-Adresse gemäß der in
IPSec Callback
den von allen Telefongesellschaften unterstützt. Sollte diesbezüglich Unsicherheit bestehen, kann mit-
tels der automatischen Auswahl durch das Gerät sichergestellt werden, dass alle zur Verfügung stehen-
den Möglichkeiten genutzt werden.
Die Übertragung der IP-Adresse und der Beginn der IKE-Phase-1-Aushandlung verlaufen in folgenden
Schritten:
(1) Peer A (der Auslöser des Callbacks) stellt eine Verbindung zum Internet her, um eine dynamische
IP-Adresse zugewiesen zu bekommen und um für Peer B über das Internet erreichbar zu sein.
(2) Ihr Gerät erstellt ein begrenzt gültiges Token und speichert es zusammen mit der aktuellen IP-
Adresse im zu Peer B gehörenden MIB-Eintrag.
(3) Ihr Gerät setzt den initialen ISDN-Ruf an Peer B ab. Dabei werden die IP-Adresse von Peer A so-
wie das Token gemäß der Callback-Konfiguration übermittelt.
(4) Peer B extrahiert die IP-Adresse von Peer A sowie das Token aus dem ISDN-Ruf und ordnet sie
Peer A aufgrund der konfigurierten Calling Party Number (der ISDN-Nummer, die Peer A verwen-
det, um den initialen Ruf an Peer B abzusetzen) zu.
(5) Der IPSec-Daemon auf Ihrem Gerät von Peer B kann die übermittelte IP-Adresse verwenden, um
eine Phase-1-Aushandlung mit Peer A zu initiieren. Dabei wird der Token in einem Teil des Pay-
load innerhalb der IKE-Aushandlung an Peer A zurückgesendet.
(6) Peer A ist nun in der Lage, das von Peer B zurückgesendete Token mit den Einträgen in der MIB
zu vergleichen und so den Peer zu identifizieren, auch ohne dessen IP-Adresse zu kennen.
Da Peer A und Peer B sich wechselseitig identifizieren können, können auch unter Verwendung von
Preshared Keys Aushandlungen im ID-Protect-Modus durchgeführt werden.
Digitalisierungsbox Smart
Hinweis
Um die Funktion IP-Adressübermittlung über ISDN nutzen zu können, müssen Sie eine
kostenfreie Zusatzlizenz erwerben.
Die Lizenzdaten der Zusatzlizenzen erhalten Sie über die Online-Lizenzierungs-Seiten im
Support-Bereich auf
www.bintec-elmeg.com
ne-Lizenzierung.
auf Seite 214 beschriebenen Einstellungen übertragen. Nicht alle Übertragungsmodi wer-
Hinweis
Damit Ihr Gerät die Informationen des gerufenen Peers über die IP-Adresse identifizieren
kann, sollte die Callback-Konfiguration auf den beteiligten Geräten analog vorgenommen
werden.
Folgende Rollenverteilungen sind möglich:
• Eine Seite übernimmt die aktive, die andere die passive Rolle.
• Beide Seiten können beide Rollen (Beide) übernehmen.
. Bitte folgen Sie den Anweisungen der Onli-
Felder im Menü IPv4
18 VPN
213
Werbung
Inhaltsverzeichnis
