Hilfe - VPN Auto Policy

In diesem Bildschirm können Sie eine "Auto VPN Policy" (automatische Richtlinie für Virtual Private Networks) erstellen und bearbeiten .

Eine "Auto VPN Policy" arbeitet mit dem IKE (Internet Key Protocol) um Parameter für IPsec SA (Security Association) auszutauschen und zu übertragen. Aufgrund dieser Übertragung ist es nicht für alle Einstellungen auf diesem VPN Gateway notwendig mit den Einstellungen am Fern-VPN-Endpunkt überein zu stimmen. Es wird angezeigt wo Einstellungen übereinstimmen müssen.

Allgemein
Policy Name (Richtlinienname) Tragen Sie einen eindeutigen Namen ein, um diese Richtlinie zu kennzeichnen. Dieser Name wird nicht an den Fern-VPN-Endpunkt übermittelt. Er dient nur Ihnen als Hilfe zur Verwaltung der Richtlinien.
Remote VPN Endpoint (Fern-VPN-Endpunkt) Wenn der ferne Endpunkt eine dynamische IP-Adresse hat, wählen Sie "Dynamic IP address". Die Eingabe von Adressdaten ist nicht erforderlich.
Andernfalls wählen Sie gewünschte Option ("IP address" oder "Domain Name") und tragen die Adresse des Fern-VPN-Endpunktes ein, mit dem Sie verbinden möchten.

Hinweis: Der Fern-VPN-Endpunkt muss die Adresse des VPN-Gateways als seinen Fern-VPN-Endpunkt eingetragen haben.

NETBIOS Enable (NETBIOS freigeben) Setzen Sie einen Haken, wenn Sie möchten, dass NETBIOS-Verkehr über den VPN-Kanal gesendet wird. Das NETBIOS-Protokoll wird von Microsoft Networking verwendet.

Lokales LAN
Local LAN (Lokales LAN) Es wird ermittelt welche PC´s in Ihrem LAN durch diese Richtlinie abgedeckt werden. Für jede Auswahl müssen Daten wie folgt zur Verfügung gestellt werden:
  • Single address (Einzeladresse)
    Tragen Sie eine IP-Adresse in das Feld "IP address" ein. Üblicherweise wird diese Einstellung benutzt, wenn Sie einen einzelnen Server in Ihrem LAN für mehrere Fern-Benutzer verfügbar machen wollen.
  • Subnet address (Subnetzadresse)
    Tragen Sie eine IP-Adresse in das Feld "IP address" und die gewünschte Netzwerkmaske in das Feld "Subnet Mask" ein.

Hinweis: Der Fern-VPN-Endpunkt muss diese IP-Adressen als seine Fern-Adressen eingetragen haben.

Fern-LAN
Remote LAN (Fern-LAN) Es wird ermittelt welche PC´s im Fern-LAN durch diese Richtlinie abgedeckt werden. Für jede Auswahl müssen Daten wie folgt zur Verfügung gestellt werden:
  • Single PC - no subnet (Einzel PC - kein Subnetz)
    Wählen Sie diese Option, wenn kein LAN (nur ein einzelner PC) am fernen Endpunkt ist. Wenn diese Option gewählt wird, sind keine zusätzlichen Daten erforderlich.
  • Single address (Einzeladresse)
    Tragen Sie eine IP-Adresse in das Feld "IP address" ein. Es muss eine Adresse im Fern-LAN sein. Üblicherweise wird diese Einstellung benutzt, wenn Sie auf einen Server im Fern-LAN zugreifen möchten.
  • Subnet address (Subnetzadresse)
    Tragen Sie eine IP-Adresse in das Feld "IP address" und die gewünschte Netzwerkmaske in das Feld "Subnet Mask" ein.

Hinweis: Der Fern-VPN-Endpunkt muss diese IP-Adressen als seine lokalen Adressen eingetragen haben.

IKE
Direction (Ausrichtung) Diese Einstellung dient der Ermittlung ob die IKE Richtlinie mit dem aktuellen Datenverkehr übereinstimmt. Wählen Sie die gewünschte Option.
  • Responder only (nur Antwortende) - Eingehende Verbindungen sind zugelassen, aber ausgehende Verbindungen werden geblockt.
  • Initiator and Responder (Ausführender und Antwortender) - Sowohl eingehende als auch ausgehende Verbindungen sind zugelassen.
Exchange Mode (Wechsel Modus) IPSec bietet 2 Möglichkeiten - "Main Mode" (Hauptmodus) und "Aggressive Mode" (Aggressiver Modus).
Gegenwärtig wird nur der Hauptmodus unterstützt. Stellen Sie sicher, dass der Fern-VPN-Endpunkt auf "Main Mode" eingestellt ist.
Diffie-Hellman (DH) Group (DH-Gruppe) Der Diffie-Hellman Datenverschlüsselungsalgorithmus wird benutzt, wenn Schlüssel ausgetauscht werden. Die DH-Gruppeneinstellung legt die Bitgröße fest, die beim Austausch gebraucht wird. Dieser Wert muss mit dem am Fern-VPN-Gateway benutzten Wert übereinstimmen.
Local Identity Type (Lokaler Identitätstyp) Wählen Sie die gewünschte Option, um die "Remote Identity Type"-Einstellung am Fern-VPN-Endpunkt anzugleichen.
  • WAN IP Address - Ihre Internet IP-Adresse.
  • Fully Qualified Domain Name - Ihr Dömanenname.
  • Fully Qualified User Name - Ihr Name, E-mail Adresse oder andere ID.
Local Identity Data (Lokale Identitätsdaten) Tragen Sie die Daten für die oben stehende Auswahl ein. (Wenn "WAN IP Address" gewählt wird, ist keine Eingabe erforderlich.)
Remote Identity Type (Fern-Identitätstyp)
Wählen Sie die gewünschte Option, um die "Local Identity Type"-Einstellung am Fern-VPN-Endpunkt anzugleichen.
  • IP Address - Die Internet IP-Adresse des Fern-VPN-Endpunktes.
  • Fully Qualified Domain Name - Der Domänenname des Fern-VPN-Endpunktes.
  • Fully Qualified User Name - Der Name, E-mail Adresse oder andere ID des Fern-VPN-Endpunktes.
Remote Identity Data (Fern-Identitätsdaten) Tragen Sie die Daten für die oben stehende Auswahl ein. (Wenn "IP Address" gewählt wird, ist keine Eingabe erforderlich.)

SA Parameter
Encryption (Verschlüsselung) Der Verschlüsselungsalgorithmus, der für IKE und IPSec benutzt wird. Diese Einstellung muss mit der am Fern-VPN-Gateway benutzten Einstellung übereinstimmen.
Authentication (Authentifikation) Der Authentifizierungsalgorithmus, der für IKE und IPSec benutzt wird. Diese Einstellung muss mit der am Fern-VPN-Gateway benutzten Einstellung übereinstimmen.
Pre-shared Key (Gemeinsamer Schlüssel) Dieser Schlüssel muss sowohl hier als auch am Fern-VPN-Gateway eingetragen werden. Dieses Verfahren erfordert keine CA (Certificate Authority=Zertifizierungsstelle).
SA Life Time (SA Lebensdauer) Legt das Zeitintervall fest bevor die SA (Security Association=Sicherheitsverbindung) ausläuft. (Wird automatisch wieder eingeführt, falls nötig.) Obwohl die Nutzung einer kurzen Zeitspanne (oder Datenmengen) zu einer Erhöhung der Sicherheit führt, wird die Leistung vermindert. Gewöhnlich werden Zeitspannen von über einer Stunde (3600 Sekunden) für die SA Lebensdauer benutzt. Diese Einstellung gilt sowohl für IKE als auch IPSec SAs.
IPSec PFS (Perfect Forward Secrecy=Perfekte Weiterleitungsgeheimhaltung) Wenn aktiviert, ist die Sicherheit dadurch erhöht, indem gewährleistet wird, dass der Schlüssel in regelmäßigen Intervallen gewechselt wird. Auch wenn ein Schlüssel zerstört ist, sind nachfolgende Schlüssel nicht leichter zu knacken. (Jeder Schlüssel steht in keinem Verhältnis zum vorherigen Schlüssel.)

Diese Einstellung gilt sowohl für IKE als auch IPSec SAs. Wenn der Fern-Endpunkt zur Übereinstimmung dieser Einstellung konfiguriert wird, müssen Sie die benutzte "Key Group" genau benennen. Für dieses Gerät ist die "Key Group" dieselbe wie die "DH Group"-Einstellung im IKE-Abschnitt.