Dr. Neuhaus TAINY EMOD-V2-IO Anwenderhandbuch Seite 66

VPN-Verbindungen
Remote-ID
Lokale ID
Auf Verbindung durch
die Gegenstelle warten
Seite 66 von 113
CA-Zertifikat Der Austausch der öffentlichen Schlüssel zwischen dem
TAINY xMOD-V2-IO und dem VPN-Gateway der
Gegenstelle erfolgt über die Datenverbindung beim
Aufbau der VPN-Verbindung. Ein manueller Austausch
von Schlüsseldateien entfällt.
Pre-Shared Secret Key (PSK)
Dieses Verfahren wird vor allem durch ältere IPsec Implementierungen
unterstützt. Dabei erfolgt die Authentifikation mit einer zuvor verabredeten
Zeichenfolge. Um eine hohe Sicherheit zu erzielen, sollte die Zeichenfolge
aus ca. 30 nach dem Zufallsprinzip ausgewählten Klein- und
Großbuchstaben sowie Ziffern bestehen.
Folgende Zeichen sind erlaubt:
! $ % & ' ( ) * + , . / 0 1 2 3 4 5 6 7 8 9 : ; < = > ? @ A B C D E F G H I J K L
M N O P Q R S T U V W X Y Z [ \ ] ^ ` a b c d e f g h I j k l m n o p q r s t u v
w x y z { | } #
Die Eingabe erfolgt verdeckt.
Die Lokale ID und die Remote-ID werden vom IPsec genutzt, um beim
Aufbau der VPN-Verbindung die Gegenstellen eindeutig zu identifizieren.
Bei Authentifizierung mit X.509-Zertifikat oder CA-Zertifikat:
Beläßt man die Werkseinstellung NONE, so werden als Lokale ID und
Remote-ID automatisch die Distinguished Names aus dem eigenen
Zertifikat und aus dem von der Gegenstelle übermittelten Zertifikat
übernommen und verwendet.
Ändert man manuell den Eintrag für die Lokale ID oder die Remote-ID,
so müssen die korrespondierenden Einträge der Gegenstelle
angepasst werden. Die eigene Lokale ID muss mit der Remote-ID der
Gegenstelle übereinstimmen und umgekehrt. Die Einträge für Lokale
oder Remote-ID müssen im ASN.1-Format erfolgen, z.B.
"C=XY/O=XY Org/CN=xy.org.org"
Bei Authentifizierung mit Pre-Shared Secret Key (PSK):
Beläßt man die Werkseinstellung NONE, so werden automatisch als
Lokale ID die eigene IP-Adresse und als Remote-ID die IP-Adresse
der Gegenstelle übernommen.
Ändert man manuell den Eintrag für die Lokale ID oder für die
Remote-ID, so müssen die Einträge das Format eines Hostnames
(z.B. RemoteStation.de) oder das Format einer E-Mail-Adresse
(remote@station.de) haben. Die eigene Lokale ID muss mit der
Remote-ID der Gegenstelle übereinstimmen und umgekehrt.
Hinweis:
Wenn bei Pre-Shared Secret Key (PSK) nicht die IP-Adresse als Remote-ID
verwendet wird, muss als ISAKMP-SA-Modus der Agressive mode
eingestellt werden.
Ja Das TAINY xMOD-V2-IO wartet darauf, dass das VPN-
Gateway des gegenüberliegenden Netzes den Aufbau der
VPN-Verbindung einleitet.
Nein Das TAINY xMOD-V2-IO leitet den Verbindungsaufbau ein.
TAINY xMOD