Wissensdatenbank: Cloud
IPSec Verbindungseinstellungen (KB1808031)
Gepostet von Emil Sichelstiel, Last modified by Emil Sichelstiel Vom 02 07 2019 08:37
Um ein IPSec VPN aufzubauen, müssen Verbindungseinstellungen konfiguriert werden. Diese sog. Proposals müssen zueinander passen und auf beiden Seiten des IPSec Tunnels auf der Firewall konfiguriert werden. Diese steuern bspw. den Verschlüsselungsalgorhythmus, die Schlüssellänge und das Hashverfahren, um nur die wichtigsten zu nennen.

Bestehen besondere Wünsche oder ist ein Gerät in den Auswahlmöglichkeiten beschränkt, hat man natürlich die Möglichkeit hier besondere Einstellungen zu machen. Falls keine Vorliebe besteht, so schlagen wir diese Proposals vor:

Allgemein

217.89.175.222
IP ist der Identifier
IKEv1
Main Mode
PSK (bis zu 128 Zeichen incl. Sonderzeichen sind möglich)

Phase 1 (IKE)

AES256
SHA256
DH14
86400 Sekunden (24 Stunden)
NAT-T inaktiv

Phase 2 (Quick Mode)

AES256
SHA256
PFS14
28800 Sekunden (8 Stunden)
10.20.0.0 / 255.255.0.0

IdleTimout (deaktivieren)
DeadPeerDetection (nutzen falls verfügbar)
Tunnel nach einer gewissen Datenmenge trennen (deaktivieren)

Umgekehrt benötigen wir noch Ihre WAN IP Adresse der IPSec Gegenstelle, die direkt am WAN hängt als auch das interne LAN IP Subnetz.

FritzBox

Falls Sie eine Fritz Box nutzen, können oben genannte Werte nicht benutzt werden. Die Fritz Box kann nur mit bestimmten Verbindungseinstellungen umgehen. In dem Falle bereiten wir eine eine Konfigurationsdatei für Ihre Fritz Box vor, die dann nur noch bei Ihnen eingespielt werden muss. Hierfür benötigen wir Ihre WAN IP Adresse als auch Ihr LAN IP Subnetz.

LAN IP Subnetz

Für die Einrichtung eines IPSec VPNs wird zwischen beiden Teilnehmern ein eindeutiges IP Subnetz benötigt. Die Einrichtung eines VPNs eines bereits benutzten, identischem IP Subnetzes ist nicht möglich. Es gibt Router die das Problem lösen, indem noch einmal in ein anderes Subnetz "genattet" wird, das kann aber lange nicht jedes Modell. Unter Umständen muss also das lokale IP Subnetz auf Ihrer Seite auf ein, noch auf unserer Seite unbenutztes Subnetz, umkonfiguriert werden.

Sollte dies nicht möglich sein, kann man die Anbindung auch über ein Remotedesktop Gateway realisieren. Dies geht allerdings mit Nachteilen in der Druckeranbindung mit einher. Komplexe Seitensteuerungen, welche bspw. das Papier aus verschiedenen Schächten ziehen, sind dann nicht mehr möglich. Sprechen Sie uns in dem Falle an.
(0 Stimme(n))
Hilfreich
Nicht hilfreich

Kommentare (0)
SupportCenter der wegscheider office solution GmbH