Phoenix Contact TC ROUTER 3002T-4G Anwenderhandbuch Seite 77

VPN, IPsec, Connections, IKE, Edit [...]
107025_de_04
DH/PFS group
Rekey
Dead peer detection
DPD delay
DPD timeout
Konfigurieren über Web-based Management
Schlüsselaustauschverfahren, definiert in RFC 3526 – More
Modular Exponential (MODP) Diffie-Hellman groups for
Internet Key Exchange (IKE)
Perfect Forward Secrecy (PFS): Verfahren zur zusätzlichen
Steigerung der Sicherheit bei der Datenübertragung. Bei
IPsec werden in bestimmten Intervallen die Schlüssel für den
Datenaustausch erneuert. Mit PFS werden dabei mit der
Gegenstelle neue Zufallszahlen ausgehandelt, anstatt sie aus
zuvor verabredeten Zufallszahlen abzuleiten.
5/modp1536 – 2/modp1024
Grundsätzlich gilt Folgendes: Je mehr Bits ein Verschlüsse-
lungsalgorithmus hat (angegeben durch die angefügte Zahl),
desto sicherer ist er. Der Verschlüsselungsvorgang ist umso
zeitaufwändiger, je länger der Schlüssel ist.
Der Router darf eine Anfrage zum erneuten Schlüsselaus-
tausch an die Gegenstelle senden. Die Gegenstelle muss die-
ses unterstützen.
Wenn die Gegenstelle das Dead-Peer-Detection-Protokoll
(DPD) unterstützt, können die jeweiligen Partner erkennen, ob
die IPsec-Verbindung noch gültig ist oder evtl. neu aufgebaut
werden muss.
Verhalten beim Abbruch der IPsec-Verbindung:
– Off: Kein DPD
– On: DPD aktiviert
– im Modus „Restart" bei VPN Initiate
– im Modus „Clear" bei VPN Accept
Verzögerung bis zur nächsten Anfrage nach einem Lebens-
zeichen
Zeitspanne in Sekunden, nach der DPD-Keep-Alive-Anfragen
gesendet werden sollen. Diese Anfragen testen, ob die Ge-
genstelle noch verfügbar ist.
Voreinstellung: 30 Sekunden
Zeitspanne, nach der die Verbindung zur Gegenstelle für tot
erklärt werden soll, wenn auf die Keep-Alive-Anfragen keine
Antwort erfolgte.
Voreinstellung: 120 Sekunden.
77 / 156
PHOENIX CONTACT