Inhaltsverzeichnis
Werbung
dev_type
tun-device
tap-device
ifconfig
secret
key-direction
server
server_bridge
keepalive
Wieland Electric GmbH | BA001097 | 12/2022 (Rev. C)
Weboberfläche des Access-Points
Hier können Sie den Schnittstellentyp auf tun oder tap Einstellen oder
den Parameter entfernen.
• Vorteile: Weniger Traffic-Overhead, geringere Bandbreitenbelastung,
gute Skalierbarkeit
• Nachteil: Nur IP-Pakete, keine Broadcasts
• Vorteile: Verhält sich wie ein echter Netzwerkadapter, beliebe Netz-
werkprotokolle, Client transparent im Zielnetz, Broadcasts an Wake-
On-LAN
• Nachteile: Hoher Broadcast-Overhead am VPN-Tunnel und schlechte
Skalierbarkeit
Hier können Sie die tun/tap-Parameter einstellen. Der erste Parameter
ist die IP Adresse des lokalen VPN Endpunktes. Für Tun-Geräte im
Punkt-zu-Punkt Modus ist der zweiter Parameter die IP-Adresse des ent-
fernten VPN Endpunktes. Für tap-Geräte und Tun-Geräte, die mit --topo-
logy subnet verwendet werden, ist der zweite Parameter die Subnetz-
maske des virtuellen Netzwerksegments zu welchem man sich verbin-
den/welches man erstellen möchte.
Verschlüsselung mittels statischer Schlüssel (keine TLS (Transport Layer
Security))
Dieser Parameter wirkt sich auf die Optionen tls-auth und secret aus.
Der optionale Parameter key-direction ermöglicht das Benutzen von 4
unterschiedlichen Schlüsseln, sodass jeder Datenflussrichtung ein un-
terschiedliches Set an HMAC und cipher keys hat. Dies hat verschiedene
sicherheitstechnische Vorteile. Wird der key-direction Parameter ver-
wendet, sollten die Einstellung der Verbindung komplementär sein, also
bei dem einen Ende sollte die 0 eingestellt sein, bei dem Anderen die 1.
Wird der key-direction Parameter weggelassen werden 2 Schlüssel (ei-
ner für HMAC, der Andere für en-/decryption) bidirektional verwendet.
Das Verwenden des key-direction Parameters erfordert, dass die bei tls-
auth bzw. secret hochgeladenen Dateien einen 2048 Bit Schlüssel ent-
halten.
Hier können Sie die IP-Adressen für das Netzwerk und die Netzmaske für
den Servermodus angeben.
Wenn Sie ethernet bridging verwenden, dann benutzen Sie die Option
server-bridge anstelle von server. Hier können Sie 4 IP-Adressen eintra-
gen. Die Reihenfolge ist:
1. Lokale IP-Adresse
2. Lokale Netzmaske
3. und 4. bilden den VPN Client Adressenpool.
Ein Beispiel könnte sein: 192.168.8.4 255.255.255.0 192.168.8.128
192.168.8.254
keepalive ist eine Helfer-Direktive, um den Ausdruck von --ping und --
ping-restart (diese beiden finden Sie unter den Erweiterten Einstellungen
unter Vernetzung im Dropdownmenü neben Hinzufügen) in Servermo-
dus-Konfigurationen zu vereinfachen. Es reicht diese Werte auf Server-
seite zu setzen, da der Server die entsprechenden Werte an den Client
pusht. Falls beim Client Werte gesetzt wurden werden diese durch die
vom Server gepushten Werte überschrieben.
75
Werbung
Inhaltsverzeichnis
