Wissensdatenbank
IPSec Verbindungseinstellungen
Gepostet von Emil Sichelstiel

Um ein IPSec VPN aufzubauen, müssen Verbindungseinstellungen konfiguriert werden. Diese sog. Proposals müssen zueinander passen und auf beiden Seiten des IPSec Tunnels auf der Firewall konfiguriert werden. Diese steuern bspw. den Verschlüsselungsalgorhythmus, die Schlüssellänge und das Hashverfahren, um nur die wichtigsten zu nennen.

Bestehen besondere Wünsche oder ist ein Gerät in den Auswahlmöglichkeiten beschränkt, hat man natürlich die Möglichkeit hier besondere Einstellungen zu machen. Falls keine Vorliebe besteht, so schlagen wir die folgenden Proposals vor.

Allgemein

sitetosite.wegscheider.cloud
IKEv1
Main Mode
PSK (bis zu 128 Zeichen sind möglich)

Phase 1 (IKE)

Identifier auf Wegscheider Seite ist der FQDN
Identifier auf Kundenseite ist die WAN IP Adresse
AES256
SHA256
DH14 (2048 Bit)
86400 Sekunden (24 Stunden)
NAT-T inaktiv

Phase 2 (Quick Mode)

AES256
SHA256
PFS14 (2048 Bit)
28800 Sekunden (8 Stunden)
10.20.0.0 / 255.255.0.0

IdleTimout (deaktivieren)
DeadPeerDetection (nutzen falls verfügbar)
Tunnel nach einer gewissen Datenmenge trennen (deaktivieren)

Umgekehrt benötigen wir noch Ihre WAN IP Adresse der IPSec Gegenstelle, die direkt am WAN hängt als auch das interne LAN IP Subnetz.

FritzBox

Falls Sie eine Fritz Box nutzen, können oben genannte Werte nicht benutzt werden. Die Fritz Box kann nur mit bestimmten Verbindungseinstellungen umgehen. In dem Falle bereiten wir eine eine Konfigurationsdatei für Ihre Fritz Box vor, die dann nur noch bei Ihnen eingespielt werden muss. Hierfür benötigen wir Ihre WAN IP Adresse als auch Ihr LAN IP Subnetz.

LAN IP Subnetz

Für die Einrichtung eines IPSec VPNs wird zwischen beiden Teilnehmern ein eindeutiges IP Subnetz benötigt. Die Einrichtung eines VPNs eines bereits benutzten, identischem IP Subnetzes ist nicht möglich. Es gibt Router die das Problem lösen, indem noch einmal in ein anderes Subnetz "genattet" wird, das kann aber lange nicht jedes Modell. Unter Umständen muss also das lokale IP Subnetz auf Ihrer Seite auf ein, noch auf unserer Seite unbenutztes Subnetz, umkonfiguriert werden.

Sollte dies nicht möglich sein, kann man die Anbindung auch über ein Remotedesktop Gateway realisieren. Dies geht allerdings mit Nachteilen in der Druckeranbindung mit einher. Komplexe Seitensteuerungen, welche bspw. das Papier aus verschiedenen Schächten ziehen, sind dann nicht mehr möglich. Sprechen Sie uns in dem Falle an.

(0 Stimme(n))
Hilfreich
Nicht hilfreich

Kommentare (0)
SupportCenter der wegscheider office solution GmbH