INSYS MoRoS Benutzerhandbuch Seite 68

Funktionen MoRoS Modem 2.1 PRO
Um die Verschlüsselungs- und Hash-Algorithmen für die IPsec-Verbindung zu
definieren, wählen Sie diese aus den Dropdown-Listen „Schlüsselparameter
IPsec" aus.
Um die maximale Anzahl an Verbindungsversuchen einzugeben, ab deren
Überschreiten die Gegenstelle als nicht erreichbar gilt, geben Sie diese in das
Feld „Maximale Verbindungsversuche" ein. Eine Eingabe von „0" bedeutet
hier eine unendliche Anzahl an Versuchen.
Um die empfangenen Pakete mit der lokalen IP-Adresse des MoRoS Modem
2.1 PRO zu maskieren, aktivieren Sie die Checkbox „Pakete durch den Tunnel
maskieren". Der Empfänger des Paketes sieht dann als Absender die lokale IP-
Adresse des MoRoS Modem 2.1 PRO und nicht die des eigentlichen Absenders
aus dem lokalen Netz der Gegenstelle.
Um das NAT-Traversal zu konfigurieren, verwenden Sie die Dropdwon-Liste
„NAT-Traversal" zur Auswahl der entsprechenden Option. Wenn Sie „aktivie-
ren" (Standardeinstellung) wählen, werden, falls ein NAT-Router erkannt wird,
alle ESP-Pakete zusätzlich in ein UDP-Paket verpackt und über den UDP-Port
4500 versendet. Wenn Sie „erzwingen" wählen, wird dieses Verhalten ohne
Kontrolle auf einen NAT-Router erzwungen (dabei muss auch die Gegenstelle
NAT-Traversal aktiviert haben). Wenn Sie „deaktivieren" wählen, wird eine
UDP-Datenkapselung verhindert, was im Betrieb mit einem NAT-Router zu
Problemen führen kann.
Um das Intervall der Keep-Alive-Pakete zu konfigurieren, die gesendet wer-
den, wenn NAT-Traversal verwendet wird, geben Sie die Zeit in Sekunden in
das Feld „Keep-Alive Intervall" ein. Dadurch kann verhindert werden, dass z.B.
eine Stateful Firewall die Verbindung nach zu langer Inaktivität blockiert.
Um die Dead-Peer-Detection zu konfigurieren, geben Sie das Intervall, in dem
Anfragen an die Gegenstelle gesendet werden, in Sekunden in das Feld „Inter-
vall Dead-Peer-Detection" und die maximale Zeit, in der diese Anfragen be-
antwortet werden müssen, in Sekunden in das Feld „Timeout Dead-Peer-
Detection" ein. Das Verhalten bei einer als abgebrochen erkannten Verbin-
dung, wählen Sie in der Dropdown-Liste „Aktion bei Verbindungsabbruch".
Wählen Sie hier „restart" (Standardeinstellung) wird die Verbindung neu ge-
startet, bei „clear" abgebaut und bei „hold" gehalten.
Um die Perfect-Forward-Secrecy zu aktivieren, aktivieren Sie die Checkbox
„Perfect-Forward-Secrecy aktivieren". Damit kann verhindert werden, dass
aus einer gehackten Verschlüsselung der nächste Schlüssel schneller heraus-
gefunden werden kann. Beide Gegenstellen müssen in dieser Einstellung
übereinstimmen, damit die Verbindung aufgebaut werden kann.
Um das Intervall für die Schlüsselerneuerung zu konfigurieren, geben Sie den
Wert in Sekunden in das Feld „Intervall bis zur Schlüsselerneuerung" ein. Der
Mindestwert ist 3600 Sekunden (1 Stunde). Durch die regelmäßige Erneue-
rung der verwendeten Schlüssel kann die Sicherheit der IPsec-Verbindung
über einen längeren Zeitraum gewährleistet werden.
Um zusätzlich einen Ping per ICMP-Protokoll an eine IP-Adresse zu senden,
geben Sie diese Adresse, die sich im lokalen Subnetz der Gegenstelle befinden
muss, in das Feld „Zusätzlicher ICMP-Ping an" ein. Ist der Ping nicht erfolg-
reich, wird ein eventuell bestehender Tunnel abgebaut und ein neuer Tunnel
aufgebaut. Das Ping-Intervall beträgt 15 Minuten.
68