Inhaltsverzeichnis
Werbung
20 VPN
Feld
Zusätzlicher Filter des
IPv4-Datenverkehrs
Felder im Menü IPv6-Schnittstellenrouten
Feld
Sicherheitsrichtlinie
Lokales IPv6-Netzwerk
Entferntes IPv6-Netzwerk
Zusätzlicher Filter des Datenverkehrs
Digitalisierungsbox unterstützt zwei verschiedene Methoden zum Aufbau von IPSec-Verbindungen:
• eine Richtlinien-basierte Methode und
• eine Routing-basierte Methode.
Die Richtlinien-basierte Methode nutzt Filter für den Datenverkehr zur Aushandlung der IPSec-Pha-
se-2-SAs. Damit ist eine sehr "feinkörnige" Filterung der IP-Pakete bis auf Protokoll- und Portebene
möglich.
Die Routing-basierte Methode bietet gegenüber der Richtlinien-basierte Methode verschiedene Vorteile,
wie z. B. NAT/PAT innerhalb eines Tunnels, IPSec in Verbindung mit Routing-Protokollen und Realisie-
rung von VPN-Backup-Szenarien. Bei der Routing-basierten Methode werden zur Aushandlung der IP-
Sec-Phase-2-SAs die konfigurierten oder dynamisch gelernten Routen genutzt. Diese Methode verein-
facht zwar viele Konfigurationen, gleichzeitig kann es aber zu Problemen wegen konkurrierender Routen
oder wegen der "gröberen" Filterung des Datenverkehrs kommen.
Der Parameter Zusätzlicher Filter des IPv4-Datenverkehrs behebt dieses Problem. Sie können "fei-
ner" filtern, d.h. Sie können z. B. die Quell-IP-Adresse oder den Quell-Port angeben. Ist ein Zusätzli-
cher Filter des IPv4-Datenverkehrs konfiguriert, so wird er zur Aushandlung der IPSec-Phase-2-SAs
herangezogen, die Route bestimmt nur noch, welcher Datenverkehr geroutet werden soll.
296
Beschreibung
Nur für IKE (Internet Key Exchange) =
Legen Sie mithilfe von Hinzufügen einen neuen Filter an.
Beschreibung
Wählen Sie, mit welcher Sicherheitseinstellung die Schnittstelle betrieben
werden soll.
Mögliche Werte:
•
durchgelassen, die einer Verbindung zugeordnet werden können, die
aus einer vertrauenwürdigen Zone aufgebaut wurde.
Wir empfehlen Ihnen, diese Einstellung zu verwenden, wenn Sie IPv6
außerhalb Ihres LAN verwenden wollen.
•
(Standardwert): Es werden alle IP-Pakete durch-
gelassen, außer denen, die explizit verboten sind.
Wir empfehlen Ihnen, diese Einstellung zu verwenden, wenn Sie IPv6
in Ihrem LAN verwenden wollen.
Ausnahmen für die gewählte Einstellung können Sie im Menü
auf Seite 316 konfigurieren.
Wählen Sie ein Netzwerk aus. Sie können unter den Link-Präfixen wäh-
len, die unter LAN->IP-Konfiguration->Schnittstellen->Neu angelegt
sind.
Geben Sie die Lokale IPv6-Adresse mit der entsprechenden Präfixlänge
ein. Dieser Präfix muss mit :: enden. Standardmäßig ist eine Präfixlänge
von /64 vorgegeben.
Fügen Sie mit Hinzufügen einen neuen Präfix hinzu. Geben Sie die
Adresse der Tunnelgegenstelle ein. Standardmäßig ist eine Länge von
und eine Priorität von
vorgegeben. Je niederiger der Wert der Prio-
rität ist, desto höhere Priorität besitzt die Route.
: Es werden nur diejenigen IP-Pakete
bintec elmeg GmbH
Firewall
Digitalisierungsbox Premium
Werbung
Inhaltsverzeichnis
