Inhaltsverzeichnis
Werbung
bintec elmeg GmbH
Feld
Erreichbarkeitsprüfung
PMTU propagieren
14.1.4 XAUTH-Profile
Im Menü XAUTH-Profile wird eine Liste aller XAuth-Profile angezeigt.
Extended Authentication für IPSec (XAuth) ist eine zusätzliche Authentifizierungsmethode für Benutzer
eines IPSec-Tunnels.
Das Gateway kann bei Nutzung von XAuth zwei verschiedene Rollen übernehmen, es kann als Server
oder als Client dienen:
• Das Gateway fordert als Server einen Berechtigungsnachweis an.
• Das Gateway weist als Client seine Berechtigung nach.
Im Server-Modus können sich mehrere Benutzer über XAuth authentifizieren, z. B. Nutzer von Apple
iPhones. Die Berechtigung wird entweder anhand einer Liste oder über einen RADIUS Server geprüft.
Bei Verwendung eines Einmalpassworts (One Time Password, OTP) kann die Passwortüberprüfung von
einem Token-Server übernommen werden (z. B. beim Produkt SecOVID von Kobil), der hinter dem RA-
DIUS-Server installiert ist. Wenn über IPSec eine Firmenzentrale mit mehreren Filialen verbunden ist,
können mehrere Peers konfiguriert werden. Je nach Zuordnung verschiedener Profile kann ein be-
stimmter Benutzer den IPSec-Tunnel über verschiedene Peers nutzen. Das ist zum Beispiel nützlich,
wenn ein Angestellter abwechselnd in verschiedenen Filialen arbeitet, jeder Peer eine Filiale repräsen-
tiert und der Angestellte jeweils vor Ort Zugriff auf den Tunnel haben will.
Nachdem IPSec IKE (Phase 1) erfolgreich beendet ist und bevor IKE (Phase 2) beginnt, wird XAuth rea-
lisiert.
Wenn XAuth zusammen mit dem IKE-Konfigurationsmodus verwendet wird, werden zuerst die Transak-
tionen für XAuth und dann diejenigen für den IKE-Konfigurationsmodus durchgeführt.
Digitalisierungsbox Standard
Beschreibung
Wählen Sie, ob und in welcher Weise IPSec Heartbeats verwendet wer-
den.
Um feststellen zu können, ob eine Security Association (SA) noch gültig
ist oder nicht, ist ein IPSec-Heartbeat implementiert worden. Dieser sen-
det bzw. empfängt je nach Konfiguration alle 5 Sekunden Signale, bei de-
ren Ausbleiben die SA nach 20 Sekunden als ungültig verworfen werden
sollen.
Mögliche Werte:
•
nung, ob die Gegenstelle eine Digitalisierungsbox ist. Wenn ja, wird
sierungsbox) oder
box) gesetzt.
•
: Ihr Gerät sendet und erwartet keinen Heartbeat. Wenn Sie
Geräte anderer Hersteller verwenden, setzen Sie diese Option.
•
vom Peer, sendet selbst aber keinen.
•
vom Peer, sendet aber einen.
•
beat vom Peer und sendet selbst einen.
Wählen Sie aus, ob während der Phase 2 die PMTU (Path Maximum
Transfer Unit) propagiert werden soll.
Mit
wird die Funktion aktiv.
Standardmäßig ist die Funktion aktiv.
(Standardwert): Automatische Erken-
(bei Gegenstelle mit Digitali-
(bei Gegenstelle ohne Digitalisierungs-
: Ihr Gerät erwartet einen Heartbeat
: Ihr Gerät erwartet keinen Heartbeat
: Ihr Gerät erwartet einen Heart-
14 VPN
205
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
