INSYS MLR 3G Benutzerhandbuch Seite 56

Funktionen MLR 3G
rer, da alle Authentifizierungsdaten verschlüsselt übertragen werden. Der Ag-
gressive-Modus ist schneller, da er auf diese Verschlüsselung verzichtet und
die Authentifizierung über eine Passphrase erfolgt.
Um die Verschlüsselungs- und Hash-Algorithmen sowie die Diffie-Hellman-
Gruppe für den IKE-Schlüsselaustausch zu definieren, wählen Sie diese aus
den Dropdown-Listen „Schlüsselparameter IKE" aus.
Um die Verschlüsselungs- und Hash-Algorithmen für die IPsec-Verbindung zu
definieren, wählen Sie diese aus den Dropdown-Listen „Schlüsselparameter
IPsec" aus.
Um die maximale Anzahl an Verbindungsversuchen einzugeben, ab deren
Überschreiten die Gegenstelle als nicht erreichbar gilt, geben Sie diese in das
Feld „Maximale Verbindungsversuche" ein. Eine Eingabe von „0" bedeutet
hier eine unendliche Anzahl an Versuchen.
Um die empfangenen Pakete mit der lokalen IP-Adresse des MLR 3G zu mas-
kieren, aktivieren Sie die Checkbox „Pakete durch den Tunnel maskieren". Der
Empfänger des Paketes sieht dann als Absender die lokale IP-Adresse des MLR
3G und nicht die des eigentlichen Absenders aus dem lokalen Netz der Gegen-
stelle.
Um das NAT-Traversal zu konfigurieren, verwenden Sie die Dropdwon-Liste
„NAT-Traversal" zur Auswahl der entsprechenden Option. Wenn Sie „aktivie-
ren" (Standardeinstellung) wählen, werden, falls ein NAT-Router erkannt wird,
alle ESP-Pakete zusätzlich in ein UDP-Paket verpackt und über den UDP-Port
4500 versendet. Wenn Sie „erzwingen" wählen, wird dieses Verhalten ohne
Kontrolle auf einen NAT-Router erzwungen (dabei muss auch die Gegenstelle
NAT-Traversal aktiviert haben). Wenn Sie „deaktivieren" wählen, wird eine
UDP-Datenkapselung verhindert, was im Betrieb mit einem NAT-Router zu
Problemen führen kann.
Um das Intervall der Keep-Alive-Pakete zu konfigurieren, die gesendet wer-
den, wenn NAT-Traversal verwendet wird, geben Sie die Zeit in Sekunden in
das Feld „Keep-Alive Intervall" ein. Dadurch kann verhindert werden, dass z.B.
eine Stateful Firewall die Verbindung nach zu langer Inaktivität blockiert.
Um die Dead-Peer-Detection zu konfigurieren, geben Sie das Intervall, in dem
Anfragen an die Gegenstelle gesendet werden, in Sekunden in das Feld „Inter-
vall Dead-Peer-Detection" und die maximale Zeit, in der diese Anfragen be-
antwortet werden müssen, in Sekunden in das Feld „Timeout Dead-Peer-
Detection" ein. Das Verhalten bei einer als abgebrochen erkannten Verbin-
dung, wählen Sie in der Dropdown-Liste „Aktion bei Verbindungsabbruch".
Wählen Sie hier „restart" (Standardeinstellung) wird die Verbindung neu ge-
startet, bei „clear" abgebaut und bei „hold" gehalten.
Um die Perfect-Forward-Secrecy zu aktivieren, aktivieren Sie die Checkbox
„Perfect-Forward-Secrecy aktivieren". Damit kann verhindert werden, dass
aus einer gehackten Verschlüsselung der nächste Schlüssel schneller heraus-
gefunden werden kann. Beide Gegenstellen müssen in dieser Einstellung
übereinstimmen, damit die Verbindung aufgebaut werden kann.
Um das Intervall für die Schlüsselerneuerung zu konfigurieren, geben Sie den
Wert in Sekunden in das Feld „Intervall bis zur Schlüsselerneuerung" ein. Der
Mindestwert ist 3600 Sekunden (1 Stunde). Durch die regelmäßige Erneue-
56