Inhaltsverzeichnis
Werbung
ISAKMP-SA Modus
ISAKMP-SA-
Lebensdauer
IPSec-SA
Lebensdauer
NAT-T
Aktiviere
Dead Peer Detection
DPD - Verzögerung
(Sekunden)
TAINY xMOD
Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verfahren
zur Aushandlung der ISAKMP-SA verwendet werden soll. Zur Auswahl
stehen:
Main mode
Agressive mode
Hinweis:
Bei Verwendung des Authentifizierungsverfahren Pre-Shared Key muss im
Roadwarrior-Modus der Agressive mode eingestellt werden.
Die Schlüssel einer IPsec-Verbindung werden in bestimmten Abständen
erneuert, um den Aufwand eines Angriffs auf eine IPsec-Verbindung zu
erhöhen.
Legen Sie die Lebensdauer der für die ISAKMP-SA und IPSec-SA
vereinbarten Schlüssel fest (in Sekunden).
Die Lebensdauer kann für ISAKMP-SA und IPSec-SA unterschiedlich
festgelegt werden.
Eventuell befindet sich zwischen dem TAINY xMOD-V2-IO und den VPN-
Gateway des gegenüberliegenden Netzes ein NAT-Router. Nicht alle NAT-
Router lassen IPsec-Datenpakete passieren. Daher ist es eventuell
erforderlich die IPsec-Datenpakete in UPD-Pakete einzukapseln, so dass sie
den NAT-Router passieren können.
An:
Wird vom TAINY xMOD-V2-IO ein NAT-Router erkannt, der die
IPsec-Datenpakete nicht passieren lässt, startet automatisch
die UDP-Kapselung.
Erzwingen: Bei Aushandlung der Verbindungsparameter der VPN-
Verbindung wird darauf bestanden, dass während der
Verbindung die Datenpakete gekapselt übertragen werden.
Aus:
Die NAT-T-Funktion ist ausgeschaltet
Wenn die Gegenstelle das Dead Peer Detection (DPD) Protokoll unterstützt,
können die jeweiligen Partner erkennen, ob die IPsec-Verbindung noch
gültig ist oder nicht und evtl. neu aufgebaut werden muss. Ohne DPD muss
je nach Konfiguration bis zum Ablauf der SA-Lebensdauer gewartet oder
die Verbindung manuell neu initiiert werden. Um zu prüfen, ob die IPsec-
Verbindung noch gültig ist sendet die Dead Peer Detection selber DPD-
Anfragen zur Gegenstelle. Gibt es keine Antwort, wird die IPsec-Verbindung
nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen
angesehen.
Warnung
Durch das Versenden der DPD-Anfragen sowie durch die Nutzung von NAT-
T steigt die Anzahl der über die Datenfunkdienst-Verbindung (HSDPA,
UMTS, EGPRS, GPRS) gesendeten und empfangenen Daten. Abhängig
von den gewählten Einstellungen kann das zusätzliche Datenaufkommen 5
MByte im Monat und mehr betragen. Dies kann zu erhöhten Kosten führen.
Ja
Die Dead Peer Detection ist eingeschaltet. Das TAINY xMOD-
V2-IO erkennt unabhängig von der Übertragung von Nutzdaten
einen Verlust der Verbindung und wartet in diesem Fall auf den
Neuaufbau der Verbindung durch die Gegenstellen.
Nein
Die Dead Peer Detection ist ausgeschaltet
Zeitspanne in Sekunden, nach welcher DPD-Anfragen gesendet werden
sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist.
VPN-Verbindungen
Seite 63 von 113
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
