Inhaltsverzeichnis
Werbung
EBW-E100
Funktionen
Um die Gegenstelle festzulegen, zu der der Tunnel aufgebaut werden
soll, geben Sie in das Feld „IP-Adresse oder Domainname der
Gegenstelle" entweder die IP-Adresse oder den Domainname der
Gegenstelle ein. Wird keine Gegenstelle angegeben, werden eingehende
Verbindungsanfragen von allen Gegenstellen akzeptiert, aber es kann
keine Verbindung initiiert werden. In diesem Fall muss die „Aktion bei
Verbindungsabbruch" der Dead-Peer-Detection auf „hold" gestellt
werden, da bei einem Abbruch der bestehenden Verbindung sonst keine
neu eingehende Verbindungsanfrage mehr angenommen werden kann.
Um ein zu tunnelndes Netzwerk hinter dem Switch des EBW-E100 zu
definieren, kann dieses Netzwerk mit passender Netzmaske in das Feld
„Eigenes lokales Subnetz" eingegeben werden. Dieses muss nicht das
wirkliche lokale Subnetz sein, sondern kann auch hinter weiteren
Gateways liegen. In solch einem Fall muss darauf geachtet werden, dass
die benötigten Routing-Regeln korrekt angelegt werden. Wird dieses
Feld nicht ausgefüllt, wird automatisch das lokale Subnetz verwendet.
Um das lokale Subnetz hinter der Gegenstelle zu definieren, geben Sie
dieses Netzwerk mit passender Netzmaske in das Feld „Lokales Subnetz
der Gegenstelle" ein. Es werden nur die Daten in ESP-Pakete gepackt,
welche an dieses Netz adressiert sind.
Um die ID der Gegenstelle festzulegen, geben Sie diese in das Feld „ID
der Gegenstelle" ein. Standardmäßig wird die jeweilige IP-Adresse als ID
verwendet. Weicht die eigentliche IP-Adresse von der empfangenen ID
ab (z.B. durch dazwischen liegende NAT-Router) oder ist sie nicht
bekannt, kann die ID der Gegenstelle explizit angegeben werden (ein
selbstdefinierter String, der ein „@" beinhalten muss). Bei Verwendung
von Zertifikaten wird standardmäßig der DN (Distinguished Name) als ID
verwendet. Der Domainname der Gegenstelle kann ebenso als ID
verwendet werden, da er durch einen DNS-Lookup aufgelöst wird.
Um die eigene ID anzupassen, geben Sie diese in das Feld „Eigene ID"
ein. Dies ist nur nötig, wenn die standardmäßige ID nicht verwendet
werden kann oder soll.
Um den Authentifizierungs-Modus festzulegen, wählen Sie diesen in der
Dropdown-Liste „Authentifizierungs-Modus" aus. Der Main-Modus ist
sicherer, da alle Authentifizierungsdaten verschlüsselt übertragen
werden. Der Aggressive-Modus ist schneller, da er auf diese
Verschlüsselung verzichtet und die Authentifizierung über eine
Passphrase erfolgt.
Um die Verschlüsselungs- und Hash-Algorithmen sowie die Diffie-
Hellman-Gruppe für den IKE-Schlüsselaustausch zu definieren, wählen
Sie diese aus den Dropdown-Listen „Schlüsselparameter IKE" aus.
Um die Verschlüsselungs- und Hash-Algorithmen für die IPsec-
Verbindung zu definieren, wählen Sie diese aus den Dropdown-Listen
„Schlüsselparameter IPsec" aus.
61
Werbung
Inhaltsverzeichnis
