Dieses Menü steht nicht auf dem FL MGUARD BLADE -Controller zur Verfügung.

Optionen

Erlaube Paketweiter­leitung zwischen VPN-Verbindungen

Bei deaktivierter Funktion (werkseitige Voreinstellung): VPN-Verbindungen existieren für sich separat. Es finden keine Paketweiterleitungen zwischen den konfigurierten VPN-Verbindungen statt.

Bei aktivierter Funktion: „Hub and Spoke“-Feature einge­schaltet: Der mGuard  als Zentrale unterhält VPN-Verbindun­gen zu mehreren Zweigstellen, die dann auch untereinander kommunizieren können.

Bei Aufbau solch einer sternförmigen Topologie von VPN-Ver­bindungen können Gegenstellen des mGuard s auch unterei­nander Daten austauschen. In diesem Fall ist zu empfehlen, dass der lokale mGuard  für die Authentifizierung möglicher Gegenstellen CA-Zertifikate heranzieht (siehe „Authentifizie­rung“ auf Seite 358).

Bei „Hub and Spoke“ wird 1:1-NAT der Gegenstelle nicht un­terstützt.

Archiviere Diagnose­meldungen zu VPN-Verbindungen

Bei deaktivierter Funktion (Standard)

Falls beim Aufbau von VPN-Verbindungen Fehler auftreten, kann das Logging des mGuard s herangezogen und anhand entsprechender Einträge die Fehlerquelle ausfindig gemacht werden (Siehe Menüpunk   Logging >> Logs ansehen  ). Diese Möglichkeit zur Fehlerdiagnose ist standardmäßig gegeben. Wenn sie ausreichend ist, können Sie die Funktion an dieser Stelle deaktivieren.

Bei aktivierter Funktion

Wird die Möglichkeit zur Diagnose von VPN-Verbindungspro­blemen anhand des Loggings des mGuard s als zu unprak­tisch oder unzureichend empfunden, wählen Sie diese Op­tion. Das ist möglicherweise der Fall, wenn folgende Bedingungen vorliegen:

–In bestimmten Anwendungsumgebungen, z. B. wenn der mGuard  per Maschinensteuerung über den CMD-Kon­takt „bedient“ wird (nur bei FL MGUARD RS4000/RS2000 , TC MGUARD RS4000/RS2000 3G , TC MGUARD RS4000/RS2000 4G , FL MGUARD RS4004/RS2005   und beim FL MGUARD RS , FL MGUARD GT/GT  ), steht die Mög­lichkeit, dass ein Anwender über die Web-basierte Be­dienoberfläche des mGuard s die Logdatei des mGuard s einsieht, vielleicht gar nicht zur Verfügung.

–Bei dezentralem Einsatz kann es vorkommen, dass eine Diagnose eines VPN-Verbindungsfehlers erst möglich ist, nachdem der mGuard  vorübergehend von seiner Strom­quelle getrennt worden ist - was zum Löschen aller Log­einträge führt.

–Die relevanten Logeinträge des mGuard s, die Aufschluss geben könnten, sind eventuell gelöscht, weil der mGuard  aufgrund seines endlichen Speicherplatzes ältere Log­einträge regelmäßig löscht.

–Wird ein mGuard  als zentrale VPN-Gegenstelle einge­setzt, z. B. in einer Fernwartungszentrale als Gateway für die VPN-Verbindungen vieler Maschinen, werden die Meldungen zu Aktivitäten der verschiedenen VPN-Ver­bindungen im selben Datenstrom protokolliert. Das da­durch entstehende Volumen des Logging macht es zeitaufwendig, die für einen Fehler relevanten Informatio­nen zu finden.

Nach Einschalten der Archivierung werden relevante Logein­träge über die Vorgänge beim Aufbau von VPN-Verbindungen im nicht flüchtigen Speicher des mGuard s archiviert, wenn die Verbindungsaufbauten wie folgt veranlasst werden:

–über den CMD-Kontakt oder

–über SMS oder

–über die Icon „Starten“ auf der Web-Oberfläche oder

–über das CGI-Interface nph-vpn.cgi per Kommando „syn­up“ (siehe Application Note: „How to use the CGI Inter­face“). (Application Notes stehen im Download-Bereich von  phoenixcontact.net/products bereit.)

–Archivierte Logeinträge überleben einen Neustart. Sie können als Bestandteil des Support-Snapshots (Menü­punkt   Hardware   heruntergeladen werden. Der Support Ihrer Bezugsquelle erhält durch solch einen Snapshot er­weiterte Möglichkeiten, effizienter nach Problemursa­chen zu suchen und diese zu finden, als ohne die Archivierung möglich wäre.

Archiviere Diagnose­meldungen nur bei Fehlverhalten

(Nur wenn Archivierung akti­viert ist)

Sollen nach Einschalten der Archivierung nur solche Logein­träge archiviert werden, die bei fehlgeschlagenen Verbin­dungsaufbauversuchen erzeugt werden, aktivieren Sie die Funktion.

Bei deaktivierter Funktion werden alle Logeinträge archiviert.

TCP-Kapselung kann nur eingesetzt werden, wenn auf beiden Seiten des VPN-Tunnels ein mGuard  (ab Version 6.1) eingesetzt wird. Die Funktion „Path Finder“ kann ab Version 8.3 eingesetzt werden und funktioniert ebenfalls mit dem mGuard Secure VPN Client .

TCP-Kapselung sollte nur eingesetzt werden, wenn es erforderlich ist. Denn durch die be­trächtliche Vergrößerung des Datenpaket-Overheads und durch entsprechend verlän­gerte Verarbeitungszeiten werden Verbindungen erheblich langsamer.

Wenn beim mGuard  unter Menüpunkt   Netzwerk >> Proxy-Einstellungen   festgelegt ist, dass ein Proxy für HTTP und HTTPS benutzt wird, dann wird dieser auch für VPN-Verbin­dungen verwendet, bei denen TCP-Kapselung eingesetzt wird.

TCP-Kapselung unterstützt die Authentifizierungsverfahren Basic Authentification und NTLM gegenüber dem Proxy. Die Funktion „Path Finder“ unterstützt zusätzlich das Au­thentifizierungsverfahren „Digest“.

Damit die TCP-Kapselung durch einen HTTP-Proxy hindurch funktioniert, muss einer­seits der Proxy explizit in den Proxy-Einstellungen (Menüpunkt   Netzwerk >> Proxy-Ein­stellungen  ) benannt werden (darf also kein transparenter Proxy sein) und andererseits muss dieser Proxy die HTTP-Methode CONNECT verstehen und erlauben.

Um die Funktion „Path Finder“ zum Aufbau einer VPN-Verbindung mit einem mGuard Secure VPN Client  zu benutzen, muss die Funktion auf beiden Seiten der Ver­bindung (Server und Client) aktiviert werden.

TCP-Kapselung funktioniert nicht in Verbindung mit einer Authentifizierung über Pre-Sha­red Key (PSK).

TCP-Kapselung funktioniert nur, wenn eine der beiden Seiten auf Verbindungen wartet (Verbindungsinitiierung: Warte) und als Adresse des VPN-Gateways der Gegen­stelle „%any“ angegeben ist.

TCP-Kapselung

Horche auf einge­hende VPN-Verbin­dungen, die eingekapselt sind

Standardeinstellung: Deaktiviert

Nur bei Einsatz der Funktion TCP-Kapselung diese Funktion aktivieren. Nur dann kann der mGuard  Verbindungsaufbauten mit eingekapselten Paketen annehmen.

Auf welchen Schnittstellen gehorcht werden muss, ermittelt der mGuard  aus den Einstellungen der aktiven VPN-Verbin­dungen, die „%any“ als Gegenstelle konfiguriert haben. Die Einstellung unter „Interface, welches bei der Einstellung %any für das Gateway benutzt wird“ ist ausschlaggebend.

TCP-Port, auf dem zu horchen ist

(Bei TCP-Kapselung)

Standard: 8080

Nummer des TCP-Ports, über den die zu empfangenen einge­kapselten Datenpakete eingehen. Die hier angegebene Port-Nummer muss mit der Port-Nummer übereinstimmen, die beim mGuard  der Gegenstelle als TCP-Port des Servers, welcher die gekapselte Verbindung annimmt, festgelegt ist (Menüpunkt   IPsec VPN >> Verbindungen  , Editieren, Re­gisterkarte Allgemein).

Es gelten folgende Einschränkung:

Der Port, auf dem zu horchen ist, darf nicht identisch sein

–mit einem Port, der für Fernzugriff benutzt wird (SSH, HT­TPS oder SEC-Stick),

–mit dem Port, auf dem bei aktivierter Funktion Path Finder gehorcht wird.

Server-ID (0-63)

(Bei TCP-Kapselung)

Der Standardwert 0 muss normalerweise nicht geändert wer­den. Die Nummern dienen zur Unterscheidung unterschiedli­cher Zentralen.

Eine andere Nummer muss nur in folgendem Fall verwendet werden: Ein mGuard , vorgeschaltet einer Maschine, muss zu zwei oder mehreren verschiedenen Wartungszentralen und deren mGuard s Verbindungen mit eingeschalteter TCP-Kap­selung aufnehmen.

Aktiviere Path Finder für mGuard Secure VPN Client 

Standardeinstellung: Deaktiviert 

Nur wenn der mGuard  eine VPN-Verbindung von einem mGuard Secure VPN Client  annehmen soll, der sich hinter einem Proxy-Server oder einer Firewall befindet, diese Funk­tion aktivieren.

Die Funktion „Path Finder“ muss ebenfalls im mGuard Secure VPN Client  aktiviert sein.

TCP-Port, auf dem zu horchen ist

(Bei Path Finder)

Standard: 443

Nummer des TCP-Ports, über den die zu empfangenen einge­kapselten Datenpakete eingehen.

Die hier angegebene Port-Nummer muss mit der Port-Num­mer übereinstimmen, die bei dem VPN-Client der Gegenstelle als TCP-Port des Servers, welcher die gekapselte Verbin­dung annimmt, festgelegt ist.

Der mGuard Secure VPN Client   verwendet als Ziel-Port immer Port 443. Nur für die Fälle, in denen der Port von einer Firewall zwischen dem mGuard Secure VPN Client  und dem mGuard  umgeschrieben wird, müsste der Port im mGuard  ge­ändert werden.

Es gilt folgende Einschränkung:

Der Port, auf dem zu horchen ist, darf nicht identisch sein

–mit einem Port, der für Fernzugriffe benutzt wird (SSH, HTTPS oder SEC-Stick),

–mit dem Port, auf dem bei aktivierter Funktion TCP-Kap­selung gehorcht wird.

IP-Fragmentierung

IKE-Fragmentierung

UDP-Pakete können insbesondere dann übergroß werden, wenn bei Aufbau einer IPsec-Verbindung die Verbindung zwi­schen den beteiligten Geräten per IKE ausgehandelt wird und dabei Zertifikate ausgetauscht werden. Es gibt Router, die nicht in der Lage sind, große UDP-Pakete weiterzuleiten, wenn diese auf dem Übertragungsweg (z. B. per DSL in 1500 Bytes große Stücke) fragmentiert worden sind. Man­ches defekte Gerät leitet dann nur das erste Fragment weiter, so dass dann die Verbindung fehlschlägt.

Wenn zwei mGuard s miteinander kommunizieren, kann von vornherein dafür gesorgt werden, dass nur kleine UDP-Pakete ausgesandt werden. Damit wird verhindert, dass die Pakete unterwegs fragmentiert und damit möglicherweise von eini­gen Routern nicht korrekt weitergeleitet werden.

Wenn Sie diese Option nutzen wollen, aktivieren Sie die Funk­tion.

MTU für IPsec (Vorein­stellung ist 16260)

Die Option zur Vermeidung übergroßer IKE-Datenpakete, die von defekten Routern auf dem Übertragungsweg nicht korrekt weitergeleitet werden könnten, gibt es auch für IPsec-Daten­pakete.

Um unter der oft durch DSL gesetzten Obergrenze von 1500 Bytes zu bleiben, wird ein Wert von 1414 (Bytes) empfohlen, so dass auch für zusätzliche Header genügend Platz bleibt.

Wenn Sie diese Option nutzen wollen, legen Sie einen niedri­geren Wert als die Voreinstellung fest.

DynDNS-Überwachung

Hostnamen von VPN-Gegenstellen überwa­chen

Wenn der mGuard  die Adresse einer VPN-Gegenstelle als Hostname hat (siehe „VPN-Verbindung / VPN-Verbindungs­tunnel neu definieren“ auf Seite 338) und dieser Hostname bei einem DynDNS-Service registriert ist, dann kann der mGuard  regelmäßig überprüfen, ob beim betreffenden DynDNS eine Änderung erfolgt ist. Falls ja, wird die VPN-Verbindung zu der neuen IP-Adresse aufgebaut.

Abfrageintervall

Standard: 300 Sekunden

ACHTUNG: Verwenden Sie sichere Verschlüsselungs- und Hash-Algorithmen (siehe „Verwendung sicherer Verschlüsselungs- und Hash-Algorithmen“ auf Seite 21).

Lizenzstatus

Lizenzierte Gegenstel­len (IPsec)

Anzahl der Gegenstellen, die aktuell eine VPN-Verbindung über das IPsec-Protokoll aufgebaut haben.

Lizenzierte Gegenstel­len (OpenVPN)

Anzahl der Gegenstellen, zu denen aktuell eine VPN-Verbin­dung über das OpenVPN-Protokoll aufgebaut ist.

Verbindungen

Initialer Modus

Deaktiviert / Gestoppt / Gestartet

Die Einstellung „Deaktiviert“ deaktiviert die VPN-Verbindung permanent; sie kann weder gestartet noch gestoppt werden.

Die Einstellungen „Gestartet“ und „Gestoppt“ bestimmen den Zustand der VPN-Verbindung nach einem Neustart/Boo­ten des mGuard s (z. B. nach einer Unterbrechung der Strom­versorgung).

VPN-Verbindungen, die nicht deaktiviert sind, können über Icons in der Web-Oberfläche, SMS, Schalter, Taster, Daten­verkehr oder das Skript nph-vpn.cgi gestartet oder gestoppt werden.

Zustand

Zeigt den aktuellen Aktivierungszustand der IPsec-VPN-Ver­bindung.

ISAKMP-SA

Zeigt an, ob die entsprechende ISAKMP-SA aufgebaut wurde oder nicht.

IPsec-SA

Zeigt an, wie viele der konfigurierten Tunnel aufgebaut sind. Die Anzahl der aufgebauten Tunnel kann höher als die Anzahl der konfigurierten Tunnel sein, wenn die Funktion „Tunnel-Gruppe“ genutzt wird.

Name

Name der VPN-Verbindung

Die Verwendung des Kommandozeilen-Tools wget funktioniert nur im Zusammenspiel mit mGuard -Firmwareversionen < 8.4.0. Ab mGuard -Firmwareversion 8.4.0 kann das Kommandozeilen-Tool curl verwendet werden (Parameter und Optionen abweichend!).
Beispiel: curl --insecure "https://admin:mGuard@192.168.1.1/nph-vpn.cgi?name=Athen&cmd=up“

Das Admin-Passwort und der Name, auf den sich eine Aktion bezieht, dürfen ausschließ­lich folgende Zeichen enthalten:

–Buchstaben: A – Z, a – z

–Ziffern: 0 – 9

–Zeichen: - . _ ~

Andere Sonderzeichen, z. B. das Leerzeichen oder das Fragezeichen, müssen entspre­chend codiert werden (siehe „Codierung von Sonderzeichen (URL encoding)“ auf Seite 475).

unknown

Eine VPN-Verbindung mit dem Namen existiert nicht.

void

Die Verbindung ist aufgrund eines Fehlers inaktiv, zum Beispiel weil das ex­terne Netzwerk gestört ist oder weil der Hostname der Gegenstelle nicht in eine IP-Adresse aufgelöst werden konnte (DNS).

Die Antwort "void" wird von der CGI-Schnittstelle auch herausgegeben, ohne dass ein Fehler vorliegt. Zum Beispiel, wenn die VPN-Verbindung entspre­chend der Konfiguration deaktiviert ist (Spalte auf Nein) und nicht vorüber­gehend mit Hilfe der CGI-Schnittstelle oder des CMD-Kontaktes freigeschal­tet worden ist.

ready

Die Verbindung ist bereit, selbst Tunnel aufzubauen oder hereinkommende Anfragen zum Tunnelaufbau zu erlauben.

active

Zu der Verbindung ist mindestens ein Tunnel auch wirklich aufgebaut.

Optionen

Ein beschreibender Name für die Verbin­dung

Sie können die Verbindung frei benennen bzw. umbenennen. Werden weiter unten unter    mehrere Verbindungstunnel defi­niert, benennt dieser Name das gesamte Set der VPN-Verbin­dungstunnel, die unter diesem Namen zusammengefasst sind.

Gemeinsamkeiten bei VPN-Verbindungstunneln:

–gleiches Authentifizierungsverfahren, festgelegt auf der Registerkarte Authentifizierung (siehe „Authentifizierung“ auf Seite 358)

–gleiche Firewall-Einstellungen

–gleiche Einstellung der IKE-Optionen.

Initialer Modus

Deaktiviert / Gestoppt / Gestartet

Die Einstellung „Deaktiviert“ deaktiviert die VPN-Verbindung permanent; sie kann weder gestartet noch gestoppt werden.

Die Einstellungen „Gestartet“ und „Gestoppt“ bestimmen den Status der VPN-Verbindung nach einem Neustart/Booten des mGuard s (z. B. nach einer Unterbrechung der Stromver­sorgung).

VPN-Verbindungen, die nicht deaktiviert sind, können über Icons in der Web-Oberfläche, SMS, Schalter, Taster, Daten­verkehr oder das Skript nph-vpn.cgi gestartet oder gestoppt werden.

Adresse des VPN-Gateways der Gegen­stelle

Eine IP-Adresse, ein Hostname oder %any für beliebige, mehrere Gegenstellen oder Gegenstellen hinter einem NAT-Router

%any kann nur zusammen mit dem Authentisierungsverfahren über X.509-Zertifikate verwendet werden.

Wenn die Gegenstelle mit Hilfe von lokal hinterlegten CA-Zertifikaten authentifiziert wer­den soll, kann die Adresse des VPN-Gateway der Gegenstelle konkret (durch IP-Adresse oder Hostname) oder durch %any angegeben werden. Wird sie durch eine konkrete Ad­resse angegeben (und nicht durch „%any“), dann muss ein VPN-Identifier (siehe „VPN-Identifier“ auf Seite 361) spezifiziert werden.

Wenn sich die Gegenstelle hinter einem NAT-Gateway befindet, muss %any gewählt werden. Ansonsten wird das Aushandeln weiterer Verbindungsschlüssel nach der ersten Kontaktaufnahme fehlschlagen.

Bei Einsatz von TCP-Kapselung (siehe „TCP-Kapselung“ auf Seite 331): Es muss eine feste IP-Adresse oder ein Hostname angegeben werden, wenn dieser mGuard  die VPN-Verbindung initiieren und den VPN-Datenverkehr einkapseln soll.

Ist dieser mGuard  einer Wartungszentrale vorgeschaltet, zu der mehrere entfernte mGuard s VPN-Verbindungen herstellen und eingekapselte Datenpakete senden, muss das VPN-Gateway der Gegenstelle mit %any angegeben werden.

Optionen

Adresse des VPN-Gateways der Gegen­stelle

IP-Adresse, Hostname oder '%any' für beliebige IP-Adressen, mehrere Gegenstellen oder Gegenstellen hinter einem NAT-Router.

Interface, das bei der Einstellung %any für das Gateway benutzt wird

(Wenn bei „Adresse des VPN-Gateways der Gegenstelle“ %any angegeben wurde)

Intern, Extern, Extern 2, Einwahl, DMZ, Implizit ausge­wählt durch die rechts angegebene IP-Adresse

Extern 2 und Einwahl nur bei Geräten mit serieller Schnitt­stelle, siehe „Netzwerk >> Interfaces“ auf Seite 137.

Die Auswahl von Intern ist im Stealth-Modus nicht erlaubt.

Die Einstellung des Interfaces wird nur beachtet, wenn als Ad­resse des VPN-Gateways der Gegenstelle „%any“ eingetra­gen ist. In diesem Fall wird hier das Interface des mGuard s eingestellt, über das er Anfragen zum Aufbau dieser VPN-Ver­bindung beantwortet und erlaubt.

Bei allen Stealth-Modi gilt, wenn Extern ausgewählt ist, kann die VPN-Verbindung sowohl über den LAN- als auch den WAN-Port aufgebaut werden.

Die Einstellung des Interfaces ermöglicht es für VPN-Gegen­stellen ohne bekannte IP-Adresse die verschlüsselte Kommu­nikation über ein konkretes Interface zu führen. Falls eine IP-Adresse oder ein Hostname für die Gegenstelle angegeben sind, wird die Zuordnung zu einem Interface implizit daraus er­mittelt.

Über Auswahl von Intern kann der mGuard  im Router-Modus als „Einbein-Router“ eingesetzt werden, weil dann der ent­schlüsselte wie auch der verschlüsselte VPN-Verkehr dieser VPN-Verbindung über das interne Interface geführt wird.

IKE- und IPsec-Datenverkehr ist immer nur über die primäre IP-Adresse der jeweils zugeordneten Schnittstelle möglich. Dies gilt auch für VPN-Verbindungen mit konkreter Gegen­stelle.

Die Auswahl von DMZ ist nur im Router-Modus möglich. Hier­bei können VPN-Verbindungen zu Hosts in der DMZ aufge­baut werden sowie IP-Pakete aus der DMZ in eine VPN-Ver­bindung geroutet werden.

Implizit ausgewählt durch die unten angegebene IP-Ad­resse: Hierbei wird statt eines dedizierten Interface eine IP-Ad­resse verwendet.

IP-Adresse, die bei der Einstellung %any für das Gateway benutzt wird

IP-Adresse, die bei der Einstellung %any für das Gateway be­nutzt wird.

Verbindungs­initiierung

Initiiere / Initiiere bei Datenverkehr / Warte

Initiiere

In diesem Fall initiiert der mGuard  die Verbindung zur Gegen­stelle. Im Feld Adresse des VPN-Gateways der Gegenstelle (s. o.) muss die feste IP-Adresse der Gegenstelle oder deren Name eingetragen sein.

Initiiere bei Datenverkehr

Die Verbindung wird automatisch initiiert, wenn der mGuard  bemerkt, dass die Verbindung genutzt werden soll.

(Ist bei jeder Betriebsart des mGuard s (Stealth, Router usw.) wählbar.)

Warte

In diesem Fall ist der mGuard  bereit, die Verbindung anzuneh­men, die eine entfernte Gegenstelle aktiv zum mGuard  initiiert und aufbaut.

Schaltender Service Eingang/CMD

(Nur verfügbar beim TC MGUARD RS4000/RS2000 3G , TC MGUARD RS4000/RS2000 4G , FL MGUARD RS4000/RS2000 , FL MGUARD GT/GT , FL MGUARD RS4004/RS2005 , FL MGUARD RS .)

Kein / Service-Eingang CMD 1-3

Die VPN-Verbindung kann über einen angeschlossenen Tas­ter/Schalter geschaltet werden.

Der Taster/Schalter muss an einen der Servicekontakte (CMD 1-3) angeschlossen sein.

Invertierte Logik ver­wenden

Kehrt das Verhalten des angeschlossenen Schalters um.

Wenn der schaltende Service-Eingang als Ein-/Aus-Schalter konfiguriert ist, kann er z. B. eine VPN-Verbindung ein- und gleichzeitig eine andere, die invertierte Logik verwendet, aus­schalten.

Timeout zur Deaktivie­rung

Zeit, nach der die VPN-Verbindung gestoppt wird, wenn sie über SMS, Schalter, Taster, nph-vpn.cgi oder die Web-Ober­fläche gestartet worden ist. Der Timeout startet beim Über­gang in den Zustand „Gestartet“.

Die Verbindung verbleibt nach Ablauf des Timeouts in dem Zustand „Gestoppt“, bis sie erneut gestartet wird.

Ausnahme „Initiierung durch Datenverkehr“

Eine durch Datenverkehr initiierte (aufgebaute) Verbindung wird nach Ablauf des Timeouts abgebaut, verbleibt aber in dem Zustand „Gestartet“. Der Timeout startet erst, wenn kein Datenverkehr mehr stattfindet.

Die Verbindung wird bei erneut auftretendem Datenverkehr wieder aufgebaut.

Zeit in Stunden, Minuten und/oder Sekunden (0:00:00 bis 720:00:00, etwa 1 Monate). Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen.

Bei 0 ist diese Einstellung abgeschaltet.

Token für SMS-Steue­rung

(Nur verfügbar beim TC MGUARD RS4000/RS2000 3G , TC MGUARD RS4000/RS2000 4G .)

Eingehende SMS können dazu benutzt werden, VPN-Verbin­dungen zu initiieren (start) oder zu beenden (stop). Die SMS muss das Kommando „vpn/start“ bzw. „vpn/stop“ gefolgt von dem Token enthalten.

Kapsele den VPN-Datenverkehr in TCP ein

Nein / TCP-Kapselung / Path Finder (Standard: Nein)

Bei Anwendung der Funktion TCP-Kapselung (siehe „TCP-Kapselung“ auf Seite 331) diesen Schalter nur dann auf TCP-Kapselung setzen, wenn der mGuard  bei der von ihm initiier­ten VPN-Verbindung den von ihm ausgehenden Datenver­kehr einkapseln soll. In diesem Fall muss auch die Nummer des Ports angegeben werden, über den die Gegenstelle die eingekapselten Datenpakete empfängt.

TPC-Kapselung kann ebenfalls mit der Funktion „Path Fin­der“ (siehe „TCP-Kapselung mit aktivierter Funktion „Path Fin­der““ auf Seite 332) verwendet werden. In diesem Fall den Schalter nur dann auf Path Finder setzen, wenn die Gegen­stelle die Funktion „Path Finder“ ebenfalls unterstützt. An­schließend muss auch die Nummer des Ports angegeben werden, über den die Gegenstelle die eingekapselten Daten­pakete empfängt.

Bei TCP-Kapselung / Path Finder wird der mGuard  nicht ver­suchen, die VPN-Verbindung über die Standard IKE-Ver­schlüsselung (UDP-Port 500 und 4500) herzustellen, sondern sie immer über das TCP-Protokoll verschicken.

Einstellung der Verbindungsinitiierung bei Verwendung von TCP-Kapselung / Path Finder.

–Wenn der mGuard  eine VPN-Verbindung zu einer War­tungszentrale aufbauen und den Datenverkehr dorthin einkapseln soll:

–Es muss „Initiiere“ oder „Initiiere bei Datenverkehr“ festgelegt werden.

–Wenn der mGuard  bei einer Wartungszentrale installiert ist, zu der mGuard s eine VPN-Verbindung aufbauen:

–Es muss „Warte“ festgelegt werden.

TCP-Port des Servers, welcher die gekap­selte Verbindung annimmt

(Nur sichtbar, wenn „Kapsele den VPN-Datenverkehr in TCP ein“ auf TCP-Kapselung oder Path Finder steht.)

Standard: 8080

Nummer des Ports, über den die Gegenstelle die eingekap­selten Datenpakete empfängt. Die hier angegebene Port-Nummer muss mit der Port-Nummer übereinstimmen, die beim mGuard  der Gegenstelle als TCP-Port, auf dem zu hor­chen ist festgelegt ist (Menüpunkt IPsec VPN >> Global >> Optionen).

Mode Configuration

Der mGuard  unterstützt die Authentifizierungsmethode „Extended Authentication“ (XAuth) und die häufig erforderliche Protokollerweiterung „Mode Config“ inklusive „Split Tunneling“ als Server und als Client (u. a. iOS- und Android-Unterstützung). Netzwerkein­stellungen, DNS- und WINS-Konfigurationen werden dem IPsec-Client vom IPsec-Server mitgeteilt.

Mode Configuration

Aus / Server / Client (Standard: Aus)

Um als Server oder Client über eine IPsec-VPN-Verbindun­gen mit Gegenstellen zu kommunizieren, die „XAuth“ und „Mode Config“ benötigen, wählen Sie „Server“ oder „Client“ aus.

Aus: Kein „Mode Config“ verwenden.

Server: Der Gegenstelle die IPsec-Netzwerkkonfiguration mitteilen.

Client: Die von der Gegenstelle mitgeteilte IPsec-Netzwerk­konfiguration übernehmen und anwenden.

Einstellungen als Server

Ermöglicht Clients, die „XAuth“ und „Mode Config“ benötigen (z. B. Apple iPad), eine IPsec-VPN-Verbindung zum mGuard  aufzubauen. Die benötigten Werte zur Konfigura­tion der Verbindung (lokales und entferntes Netz) erhalten die Remote-Clients vom mGuard .

Lokal

Fest / Aus der unten stehenden Tabelle

Fest: Das lokale Netz auf der Server-Seite wird manuell fest eingestellt und muss auf der Client-Seite (beim Remote-Cli­ent) ebenfalls manuell eingestellt werden.

Aus der unten stehenden Tabelle: Das oder die lokalen Netze der Server-Seite werden dem Remote-Client über die Split-Tunneling-Erweiterung mitgeteilt.

Eingabe in CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Lokales IP-Netzwerk

(Wenn „Fest “ ausgewählt wurde)

Lokales Netzwerk auf der Server-Seite in CIDR-Schreib­weise.

Netzwerke

(Wenn „Aus der unten stehen­den Tabelle“ ausgewählt wurde)

Lokale Netzwerke auf der Server-Seite in CIDR-Schreib­weise.

Gegenstelle

Aus dem unten stehenden Pool / Aus der unten stehen­den Tabelle

Aus dem unten stehenden Pool

Der Server wählt dynamisch IP-Netzwerke für die Gegenstelle aus dem angegebenen Pool, entsprechend der ausgewählten Abschnittsgröße.

Aus der unten stehenden Tabelle

(Diese Funktion kann nur verwendet werden, wenn auf der Gegenstelle ein mGuard  eingesetzt wird.)

Die IP-Netzwerke der Gegenstelle werden dem Remote-Cli­ent über die Split-Tunneling-Erweiterung mitgeteilt.

IP-Netzwerk-Pool der Gegenstelle

(Wenn „Aus diesem Pool“ aus­gewählt wurde)

Netzwerk-Pool, aus dem IP-Netzwerke für die Gegenstelle ausgewählt werden, in CIDR-Schreibweise.

Abschnittsgröße (Netzwerkgröße zwi­schen 0 und 32)

(Wenn „Aus diesem Pool“ aus­gewählt wurde)

Abschnittsgröße, die die Größe der IP-Netzwerke bestimmt, die aus dem Netzwerk-Pool für die Gegenstelle entnommen werden können.

Netzwerke

(Wenn „Aus der unten stehen­den Tabelle“ ausgewählt wurde)

IP-Netzwerke für die Gegenstelle in CIDR-Schreibweise.

1. und 2. DNS-Server für die Gegenstelle

Adresse eines DNS-Servers, die der Gegenstelle mitgeteilt wird. Die Einstellung 0.0.0.0 bedeutet „keine Adresse“.

1. und 2. WINS-Server für die Gegenstelle

Adresse eines WINS-Servers, die der Gegenstelle mitgeteilt wird. Die Einstellung 0.0.0.0 bedeutet „keine Adresse“.

Einstellungen als Client

Ermöglicht dem mGuard , eine IPsec-VPN-Verbindung zu Servern aufzubauen, die „XAuth“ und „Mode Config“ benötigen. Die benötigten Werte (IP-Adresse/IP-Netzwerk) zur Konfiguration der Verbindung (lokales und entferntes Netz) erhält der mGuard  optio­nal vom Remote-Server der Gegenstelle.

Lokales NAT

(Nicht aktiv im Stealth-Modus „Automatisch“ und „Statisch“)

Kein NAT / Maskieren

Kein NAT

Vom Server ausgewählte lokale IP-Adressen können den Tunnel nutzen.

Maskieren

Der mGuard  kann sein lokales Netz maskieren. Dazu muss das lokale Netz in CIDR-Schreibweise (siehe „CIDR (Class­less Inter-Domain Routing)“ auf Seite 30) angegeben werden.

Lokales IP-Netzwerk

IP-Netzwerk am lokalen Interface des Clients, das maskiert wird.

Gegenstelle

Fest / Vom Server

Fest: Das lokale Netz auf der Client-Seite wird manuell fest eingestellt und muss auf der Server-Seite (beim Remote-Ser­ver) ebenfalls manuell eingestellt werden.

Vom Server: Das oder die Remote-Netzwerke der Server-Seite werden dem lokalen Client über die Split-Tunneling-Er­weiterung mitgeteilt.

Verwendet der Remote-Server kein „Split Tunneling“, wird 0.0.0.0/0 verwendet.

IP-Netzwerk der Gegenstelle

(Wenn „Fest“ ausgewählt wurde)

Das Netzwerk des Remote-Servers in CIDR-Schreibweise.

XAuth-Login

Manche Remote-Server benötigen zur Authentifizierung des Clients einen XAuth-Benutzernamen (Login) und ein XAuth-Passwort.

XAuth-Passwort

Zugehöriges XAuth-Passwort

Transport- und Tunnelein­stellungen

Aktiv

Legen Sie fest, ob der Verbindungstunnel aktiv sein soll oder nicht.

Kommentar

Frei einzugebender kommentierender Text. Kann leer blei­ben.

Typ

Es stehen zur Auswahl:

–Tunnel (Netz ↔ Netz)

–Transport (Host ↔ Host)

Tunnel (Netz ↔ Netz)

Dieser Verbindungstyp eignet sich in jedem Fall und ist der si­cherste. In diesem Modus werden die zu übertragenen IP-Datagramme vollkommen verschlüsselt und mit einem neuen Header versehen zum VPN-Gateway der Gegenstelle, dem „Tunnelende“, gesendet. Dort werden die übertragenen Datagramme entschlüsselt und aus ihnen die ursprünglichen Datagramme wiederhergestellt. Diese werden dann zum Ziel­rechner weitergeleitet.

Transport (Host ↔ Host)

Bei diesem Verbindungstyp werden nur die Daten der IP-Pa­kete verschlüsselt. Die IP-Header-Informationen bleiben un­verschlüsselt.

Bei Wechsel auf Transport werden die nachfolgenden Felder (bis auf Protokoll) ausgeblendet, weil diese Parameter entfal­len.

Lokal

(Bei Verbindungstyp „Tunnel“)

Unter Lokal und Gegenstelle definieren Sie die Netzwerkbe­reiche für beide Tunnelenden.

Lokal: Hier geben Sie die Adresse des Netzes oder Compu­ters an, das/der lokal am mGuard  angeschlossen ist.

Gegenstelle

(Bei Verbindungstyp „Tunnel“ (Netz ↔ Netz))

Gegenstelle: Hier geben Sie die Adresse des Netzes oder Computers an, das/der sich hinter dem Remote-VPN-Gate­way befindet.

Lokales NAT

(Bei Verbindungstyp „Tunnel“)

Kein NAT / 1:1-NAT / Maskieren

Es können die IP-Adressen von Geräten umgeschrieben wer­den, die sich am jeweiligen Ende des VPN-Tunnels befinden.

Kein NAT: Es wird kein NAT vorgenommen.

Bei 1:1-NAT werden die IP-Adressen von Geräten am lokalen Ende des Tunnels so ausgetauscht, dass jede einzelne gegen eine bestimmte andere umgeschrieben wird.

Beim Maskieren werden die IP-Adressen von Geräten am lo­kalen Ende des Tunnels gegen eine für alle Geräte identische IP-Adresse ausgetauscht.

Remote-NAT

(Bei Verbindungstyp „Tunnel“)

Kein NAT / 1:1-NAT / Maskieren

Kein NAT: Es wird kein NAT vorgenommen.

Bei 1:1-NAT werden die IP-Adressen von Geräten der Ge­genstelle des Tunnels so ausgetauscht, dass jede einzelne gegen eine bestimmte andere umgeschrieben wird.

Beim Maskieren werden die IP-Adressen von Geräten der Gegenstelle gegen eine für alle Geräte identische IP-Adresse ausgetauscht.

Um weitere Einstellungen vorzunehmen, klicken Sie auf das Icon Zeile bearbeiten. Es öffnet sich das Fenster „IPsec VPN >> Verbindungen >> Transport- und Tunneleinstel­lungen >> Allgemein“.

Transport- und Tunneleinstellungen (Editieren)

Optionen

Aktiv

Legen Sie fest, ob der Verbindungstunnel aktiv sein soll oder nicht.

Kommentar

Frei einzugebender kommentierender Text. Kann leer blei­ben.

Typ

Es stehen zur Auswahl:

–Tunnel (Netz ↔ Netz)

–Transport (Host ↔ Host)

Tunnel (Netz ↔ Netz)

Dieser Verbindungstyp eignet sich in jedem Fall und ist der si­cherste. In diesem Modus werden die zu übertragenen IP-Datagramme vollkommen verschlüsselt und mit einem neuen Header versehen zum VPN-Gateway der Gegenstelle, dem „Tunnelende“, gesendet. Dort werden die übertragenen Datagramme entschlüsselt und aus ihnen die ursprünglichen Datagramme wiederhergestellt. Diese werden dann zum Ziel­rechner weitergeleitet.

Transport (Host ↔ Host)

Bei diesem Verbindungstyp werden nur die Daten der IP-Pa­kete verschlüsselt. Die IP-Header-Informationen bleiben un­verschlüsselt.

Bei Wechsel auf Transport werden die nachfolgenden Felder (bis auf Protokoll) ausgeblendet, weil diese Parameter entfal­len.

Lokal

(Bei Verbindungstyp „Tunnel“)

Unter Lokal und Gegenstelle definieren Sie die Netzwerkbe­reiche für beide Tunnelenden.

Lokal: Hier geben Sie die Adresse des Netzes oder Compu­ters an, das/der lokal am mGuard  angeschlossen ist.

Gegenstelle

(Bei Verbindungstyp „Tunnel“)

Gegenstelle: Hier geben Sie die Adresse des Netzes oder Computers an, das/der sich hinter dem Remote-VPN-Gate­way befindet.

Lokales NAT

Lokales NAT für IPsec-Tunnelverbindungen

(Bei Verbindungstyp „Tunnel“)

Kein NAT / 1:1-NAT / Maskieren

Es können die IP-Adressen von Geräten umgeschrieben wer­den, die sich am jeweiligen Ende des VPN-Tunnels befinden.

Kein NAT: Es wird kein NAT vorgenommen.

Bei 1:1-NAT werden die IP-Adressen von Geräten am lokalen Ende des Tunnels so ausgetauscht, dass jede einzelne gegen eine bestimmte andere umgeschrieben wird.

Beim Maskieren werden die IP-Adressen von Geräten am lo­kalen Ende des Tunnels gegen eine für alle Geräte identische IP-Adresse ausgetauscht.

Wenn lokale Geräte Datenpakete senden, kommen nur sol­che in Betracht,

–die der mGuard  tatsächlich verschlüsselt (vom mGuard  werden nur Pakete durch den VPN-Tunnel weitergeleitet, wenn sie aus einer vertrauenswürdigen Quelle stammen).

–die ihren Ursprung in einer Quelladresse innerhalb des Netzwerkes haben, das hier definiert wird.

–deren Zieladresse im Netzwerk der Gegenstelle liegt, wenn dort kein 1:1-NAT für die Gegenstelle eingestellt ist.

Die Datenpakete von lokalen Geräten bekommen eine Quel­ladresse entsprechend der eingestellten Adresse unter Lokal zugewiesen und werden durch den VPN-Tunnel gesendet.

Sie können für lokale Geräte 1:1-NAT-Regeln für jeden VPN-Tunnel festlegen. So kann ein IP-Bereich, der über eine weites Netzwerk verstreut ist, gesammelt und durch einen schmalen Tunnel geschickt werden.

Reales Netzwerk

Konfiguriert die „von IP“-Adresse für 1:1-NAT.

Virtuelles Netzwerk

Konfiguriert die umgeschriebene IP-Adresse für 1:1-NAT.

Netzmaske

Die Netzmaske als Wert zwischen 1 und 32 für die reale und virtuelle Netzwerkadresse (siehe auch „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Kommentar

Kann mit kommentierendem Text gefüllt werden.

Interne Netzwerkad­resse für lokales Maskieren

(Bei Auswahl „Maskieren“)

Wenn lokale Geräte Datenpakete senden, kommen nur sol­che in Betracht,

–die der mGuard  tatsächlich verschlüsselt (vom mGuard  werden nur Pakete durch den VPN-Tunnel weitergeleitet, wenn sie aus einer vertrauenswürdigen Quelle stammen).

–die ihren Ursprung in einer Quelladresse innerhalb des Netzwerkes haben, das hier definiert wird.

–deren Zieladresse im Netzwerk Gegenstelle liegt, wenn kein 1:1-NAT für das Gegenstelle-NAT eingestellt ist.

In dieser Einstellung ist als VPN-Netzwerk nur eine IP-Ad­resse (Subnetzmaske /32) zugelassen. Das zu maskierende Netzwerk wird auf diese IP-Adresse umgeschrieben.

Danach werden die Datenpakete durch den VPN-Tunnel ge­sendet. Das Maskieren ändert die Quelladresse (und den Quell-Port). Die ursprünglichen Adressen werden in einem Eintrag der Conntrack-Tabelle aufgezeichnet.

Antwort-Pakete, die durch den VPN-Tunnel empfangen wer­den und zu einem Eintrag der Conntrack-Tabelle passen, be­kommen ihre Zieladresse (und ihren Ziel-Port) zurückge­schrieben.

Remote-NAT

Remote-NAT für IPsec-Tunnelverbindungen

(Bei Verbindungstyp „Tunnel“)

Kein NAT / 1:1-NAT / Maskieren

Es können die IP-Adressen von Geräten umgeschrieben wer­den, die sich am jeweiligen Ende des VPN-Tunnels befinden.

Bei Remote-1:1-NAT werden die IP-Adressen von Geräten der Gegenstelle des Tunnels so ausgetauscht, dass jede ein­zelne gegen eine bestimmte andere umgeschrieben wird.

Beim Maskieren des Netzwerks der Gegenstelle werden die IP-Adressen von Geräten der Gegenstelle gegen eine für alle Geräte identische IP-Adresse ausgetauscht.

Netzwerkadresse für 1:1-NAT im Remote-Netz

(Bei Auswahl „1:1-NAT“)

Wenn lokale Geräte Datenpakete senden, kommen nur sol­che in Betracht,

–die der mGuard  tatsächlich verschlüsselt (vom mGuard  werden nur Pakete durch den VPN-Tunnel weitergeleitet, wenn sie aus einer vertrauenswürdigen Quelle stammen).

–deren Quelladresse innerhalb des Netzwerkes liegt, das hier unter Lokal definiert wird.

Die Datenpakete bekommen eine Zieladresse aus dem Netz­werk, das unter Gegenstelle eingestellt ist. Wenn nötig, wird auch die Quelladresse ersetzt (siehe Lokal). Danach werden die Datenpakete durch den VPN-Tunnel gesendet.

Interne IP-Adresse zur Maskierung des Remote-Netzwerks

(Bei Auswahl „Maskieren“)

In dieser Einstellung ist als VPN-Netzwerk nur eine IP-Ad­resse (Subnetzmaske /32) zugelassen. Das zu maskierende Netzwerk wird auf diese IP-Adresse umgeschrieben.

Danach werden die Datenpakete durch den VPN-Tunnel ge­sendet. Das Maskieren ändert die Quelladresse (und den Quell-Port). Die ursprünglichen Adressen werden in einem Eintrag der Conntrack-Tabelle aufgezeichnet.

Antwort-Pakete, die durch den VPN-Tunnel empfangen wer­den und zu einem Eintrag der Conntrack-Tabelle passen, be­kommen ihre Zieladresse (und ihren Ziel-Port) zurückge­schrieben.

Protokoll

Protokoll

Alle bedeutet: TCP, UDP, ICMP und andere IP-Protokolle

Lokaler Port (nur bei TCP / UDP): Nummer des zu verwen­denden Ports.

Wählen Sie „%all“ für alle Ports, eine Nummer zwischen 1 und 65535 oder „%any“, um den Vorschlag dem Client zu überlas­sen.

Remote-Port (nur bei TCP / UDP): Nummer des zu verwen­denden Ports.

Wählen Sie „%all“ für alle Ports, eine Nummer zwischen 1 und 65535 oder „%any“, um den Vorschlag dem Client zu überlas­sen.

Dynamisches Routing

Füge Kernel-Route zum Remote-Netz hinzu, um die Weiter­verbreitung durch OSPF zu ermöglichen

(Nur wenn OSPF aktiviert ist)

Bei aktivierter Funktion wird eine Kernel-Route zum Remote-Netz (Gegenstelle) hinzugefügt, um die Weiterverbreitung durch OSPF zu ermöglichen.

Im Stealth-Modus kann eine Standard-Route über das VPN nicht verwendet werden.

Lokaler mGuard 

Entfernter mGuard   A

Lokal

Gegenstelle

Lokal

Gegenstelle

10.0.0.0/8

10.0.0.0/8

>

10.1.7.0/24

10.0.0.0/8

Entfernter mGuard   B

Lokal

Gegenstelle

>

10.3.9.0/24

10.0.0.0/8

usw.

Kann nur für VPN-Typ Tunnel verwendet werden.

Maskieren kann in folgenden Netzwerk-Modi verwendet werden: Router, PPPoE, PPTP, Modem, Eingebautes Modem, Eingebautes Mobilfunkmodem und Stealth (nur Stealth-Modus „Mehrere Clients“).

Modem / Eingebautes Modem / Eingebautes Mobilfunkmodem: Steht nicht bei allen mGuard -Modellen zur Verfü­gung (siehe „Netzwerk >> Interfaces“ auf Seite 137).

Für IP-Verbindungen, die durch eine VPN-Verbindung mit aktiviertem Maskieren vermit­telt werden, werden die Firewall-Regeln für ausgehende Daten in der VPN-Verbindung auf die originale Quelladresse der Verbindung angewendet.

Kann nur für VPN-Typ Tunnel verwendet werden.

Authentifizierung

Authentisierungs­verfahren

Es gibt 2 Möglichkeiten:

–X.509-Zertifikat (werkseitige Voreinstellung)

–Pre-Shared Key (PSK)

Je nachdem, welches Verfahren Sie auswählen, zeigt die Seite unterschiedliche Einstellmöglichkeiten.

Bei Authentisierungsverfahren X.509-Zertifikat

Dieses Verfahren wird von den meisten neueren IPsec-Imple­mentierungen unterstützt. (Dabei besitzt jeder VPN-Teilneh­mer einen privaten geheimen Schlüssel sowie einen öffentli­chen Schlüssel in Form eines X.509-Zertifikats, welches weitere Informationen über seinen Eigentümer und einer Be­glaubigungsstelle (Certification Autority, CA) enthält.)

Es muss Folgendes festgelegt werden:

–Wie sich der mGuard  bei der Gegenstelle authentisiert.

–Wie der mGuard  die entfernte Gegenstelle authentifiziert

....wie sich der mGuard  bei der Gegenstelle authentisiert.

Lokales X.509-Zertifi­kat

(Bei Authentisierungsverfahren „X.509-Zertifikat)

Legt fest, mit welchem Maschinenzertifikat sich der mGuard  bei der VPN-Gegenstelle ausweist.

In der Auswahlliste eines der Maschinenzertifikate auswäh­len.

Die Auswahlliste stellt die Maschinenzertifikate zur Wahl, die in den mGuard  unter Menüpunkt   Authentifizierung >> Zertifi­kate   geladen worden sind.

 ....wie der mGuard  die entfernte Gegenstelle authentifiziert

Nachfolgend wird festgelegt, wie der mGuard  die Authentizität der entfernten VPN-Ge­genstelle prüft.

Die Tabelle unten zeigt, welche Zertifikate dem mGuard  zur Authentifizierung der VPN-Gegenstelle zur Verfügung stehen müssen, wenn die VPN-Gegenstelle bei Verbindungs­aufnahme eines der folgenden Zertifikatstypen vorzeigt:

–ein von einer CA signiertes Maschinenzertifikat

–ein selbst signiertes Maschinenzertifikat

Remote CA-Zertifikat

Folgende Auswahlmöglichkeiten stehen zur Verfügung:

–Ausgestellt von einer vertrauenswürdigen CA

–Kein CA-Zertifikat, sonder das Gegenstellen-Zertifikat un­ten

–Name eines CA-Zertifikats, wenn verfügbar

Gegenstellen-Zertifi­kat

(Bei Authentifizierung mittels Gegenstellen-Zertifikat)

Sie können das Gegenstellen-Zertifikat hochladen. Das Zerti­fikat wird ausgewählt und in der Liste der Gegenstellen-Zerti­fikate gespeichert (siehe „Gegenstellen-Zertifikate“ auf Seite 267).

Die Gegenstelle zeigt vor:

Maschinenzertifikat von CA signiert

Maschinenzertifikat selbst signiert

Der mGuard  authentifi­ziert die Gegenstelle anhand von...

Gegenstellen-Zertifikat

oder, allen CA-Zertifikaten, die mit dem von der Gegen­stelle vorgezeigten Zertifikat die Kette bis zum Root-CA-Zertifikat bilden

Gegenstellen-Zertifikat

Ist unter Menüpunkt   Authentifizierung >> Zertifikate  , Zertifikatseinstellungen die Verwen­dung von Sperrlisten (= CRL-Prüfung) aktiviert, wird jedes von einer CA signierte Zertifi­kat, das VPN-Gegenstellen „vorzeigen“, auf Sperrung geprüft.

Eine bestehende VPN-Verbindung wird jedoch durch ein zurückgezogenes Zertifikat nicht umgehend beendet, wenn das CRL-Update während der bestehenden VPN-Ver­bindung erfolgt. Ein erneuter Schlüsselaustausch (rekeying) oder das erneute Starten der VPN-Verbindung ist dann jedoch nicht mehr möglich.

Es ist nicht möglich, ein Gegenstellen-Zertifikat zu referenzieren, das unter Menüpunkt   Authentifizierung >> Zertifikate   geladen ist.

Es ist nicht möglich, ein Gegenstellen-Zertifikat zu referenzieren, das unter Menüpunkt   Authentifizierung >> Zertifikate   geladen ist.

VPN-Identifier

Bei Authentisierungsverfahren CA-Zertifikat

Die nachfolgende Erklärung gilt, wenn die Authentifizierung der VPN-Gegenstelle anhand von CA-Zertifikaten erfolgt.

Über VPN-Identifier erkennen die VPN-Gateways, welche Konfigurationen zu der glei­chen VPN-Verbindung gehören.

Wenn der mGuard  CA-Zertifikate heranzieht, um eine VPN-Gegenstellen zu authentifizieren, ist es möglich den VPN-Identifier als Filter zu benutzen.

•Machen Sie dazu im Feld Gegenstelle den entsprechenden Eintrag.

Lokal

Standard: leeres Feld

Mit dem lokalen VPN-Identifier können Sie den Namen festle­gen, mit dem sich der mGuard  bei der Gegenstelle meldet (identifiziert). Er muss mit den Angaben aus dem Maschinen­zertifikat des mGuard s übereinstimmen.

Gültige Werte sind:

–Leer, also kein Eintrag (Voreinstellung). Dann wird der Subject-Eintrag (früher Distinguished Name) des Maschi­nenzertifikats verwendet.

–Der Subject-Eintrag im Maschinenzertifikat

–Einen der Subject Alternative Names, wenn die im Zertifi­kat aufgelistet sind. Wenn das Zertifikat Subject Alternati­ve Names enthält, werden diese unter „Gültige Werte sind:“ mit angegeben. Es können IP-Adressen, Hostna­men mit vorangestelltem @-Zeichen oder E-Mail-Adres­sen sein.

Gegenstelle

Legt fest, was im Maschinenzertifikat der VPN-Gegenstelle als Subject eingetragen sein muss, damit der mGuard  diese VPN-Gegenstelle als Kommunikationspartner akzeptiert.

Durch eine entsprechende Festlegung ist es möglich, VPN-Gegenstellen, die der mGuard  auf Grundlage von Zertifikats­prüfungen im Prinzip akzeptieren würde, wie folgt zu be­schränken bzw. freizugeben:

–   Beschränkung auf bestimmte Subjects (d. h. Maschinen) und/oder auf Subjects, die bestimmte Merkmale (Attribu­te) haben, oder

–   Freigabe für alle Subjects

(Siehe „Subject, Zertifikat“ auf Seite 469.)

Freigabe für alle Subjects:

Wenn Sie das Feld Gegenstelle leer lassen, legen Sie fest, dass im Maschinenzertifikat, das die VPN-Gegenstelle vorzeigt, beliebige Subject-Einträge erlaubt sind. Dann ist es überflüssig, das im Zertifikat jeweils angegebene Subject zu kennen oder festzulegen.

Beschränkung auf bestimmte Subjects:

Im Zertifikat wird der Zertifikatsinhaber im Feld Subject angegeben, das sich aus mehre­ren Attributen zusammensetzt. Diese Attribute werden entweder als Object Identifier aus­gedrückt (z. B.: 132.3.7.32.1) oder, geläufiger, als Buchstabenkürzel mit einem entspre­chenden Wert.

Beispiel: CN=VPN-Endpunkt-01, O=Beispiel GmbH, C=DE

Sollen bestimmte Attribute des Subjects ganz bestimmte Werte haben, damit der mGuard  die VPN-Gegenstelle akzeptiert, muss dies entsprechend spezifiziert werden. Die Werte der anderen Attribute, die beliebig sein können, werden dann durch das Wildcard * (Sternchen) angegeben.

Beispiel: CN=*, O=Beispiel GmbH, C=DE (mit oder ohne Leerzeichen zwischen Attribu­ten)

Bei diesem Beispiel müsste im vorgezeigten Zertifikat im Subject das Attribut „O=Beispiel GmbH“ und das Attribut „C=DE“ stehen. Nur dann würde der mGuard  den Zertifikatsinha­ber (= Subject) als Kommunikationspartner akzeptieren. Die anderen Attribute könnten in den zu filternden Zertifikaten beliebige Werte haben.

Authentifizierung

Bei Authentisierungsverfahren Pre-Shared Key (PSK)

Dieses Verfahren wird vor allem durch ältere IPsec Implementierungen unterstützt. Dabei authentifizieren sich beide Seiten des VPNs über den gleichen PSK.

Um den verabredeten Schlüssel dem mGuard  zur Verfügung zu stellen, gehen Sie wie folgt vor:

•Tragen Sie ins Eingabefeld Pre-Shared Key (PSK) die verabredete Zeichenfolge ein.

ISAKMP-Modus

Main Mode (sicher)

Beim Main Mode handelt derjenige, der die Verbindung auf­nehmen will (Initiator) mit dem Antwortenden (Responder) eine ISAKMP-SA aus.

Wir empfehlen im Main Mode den Einsatz von Zertifikaten.

Aggressive Mode (unsicher)

Der Aggressive Mode ist nicht so streng verschlüsselt wie der Main Mode. Ein Grund für den Einsatz dieses Modus kann sein, dass die Adresse des Initiators dem Responder nicht von vornherein bekannt ist und beide Seiten Pre-shared Keys zur Authentifizierung einsetzen wollen. Ein anderer Grund kann sein, dass ein schnellerer Verbindungsaufbau ge­wünscht wird und die Richtlinien des Responders ausrei­chend bekannt sind, z. B. bei einem Mitarbeiter, der auf das Firmennetz zugreifen will.

Bedingung:

–Nicht zusammen mit der Redundanz-Funktion einsetz­bar.

–Zwischen Peers muss der gleiche Mode eingesetzt wer­den.

–Der Agressive Mode wird in Verbindung mit XAuth/Mode Config nicht unterstützt.

–Wenn zwei VPN-Clients hinter demselben NAT-Gateway die gleiche Verbindung zu einem VPN-Gateway aufbau­en, müssen sie den gleichen PSK verwenden.
VPN-Verbindungen im Aggressive Mode und mit PSK-Authentifizierung, die durch ein NAT-Gateway erfolgen sollen, müssen sowohl auf dem Client als auch auf dem Gateway eindeutige VPN-Identifier verwenden.

VPN Identifier

Über VPN Identifier erkennen die VPN-Gateways, welche Konfigurationen zu der glei­chen VPN-Verbindung gehören.

Bei PSK sind folgende Einträge gültig:

–leer (die IP-Adresse wird verwendet, dies ist die Voreinstellung)

–eine IP-Adresse

–ein Hostname mit voran gestelltem ’@’ Zeichen (z. B. „@vpn1138.example.com“)

–eine E-Mail Adresse (z. B. „piepiorra@example.com“)

Die VPN-Firewall ist werkseitig so voreingestellt, dass für diese VPN-Verbindung alles zu­gelassen ist.

Für jede einzelne VPN-Verbindung gelten aber unabhängig voneinander gleichwohl die erweiterten Firewall-Einstellungen, die weiter oben definiert und erläutert sind (siehe „Me­nü Netzwerksicherheit“ auf Seite 273, „Netzwerksicherheit >> Paketfilter“ auf Seite 273, „Erweitert“ auf Seite 293).

Wenn mehrere Firewall-Regeln gesetzt sind, werden diese in der Reihenfolge der Einträ­ge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann angewandt. Falls in der Regelliste weitere passende Regeln vorhanden sind, wer­den diese ignoriert.

Im Stealth-Modus ist in den Firewall-Regeln die vom Client wirklich verwendete IP-Adres­se zu verwenden oder aber auf 0.0.0.0/0 zu belassen, da nur ein Client durch den Tunnel angesprochen werden kann.

Ist auf der Registerkarte Global die Funktion Erlaube Paketweiterleitung zwischen VPN-Verbindungen aktiviert gesetzt, werden für die in den mGuard  eingehende Daten­pakete die Regeln unter Firewall eingehend angewendet und für die ausgehende Da­tenpakete die Regeln unter Firewall ausgehend.

Fallen die ausgehenden Datenpakete unter die selbe Verbindungsdefinition (bei einer de­finierten VPN-Verbindungsgruppe), werden die Firewall-Regeln für Eingehend und Aus­gehend der selben Verbindungsdefinition angewendet.

Gilt für die ausgehenden Datenpakete eine andere VPN-Verbindungsdefinition, werden die Firewall-Regeln für Ausgehend dieser anderen Verbindungsdefinition angewendet.

Wenn der mGuard  so konfiguriert wurde, dass er Pakete einer SSH-Verbindung weiter­leitet (z. B. durch das Erlauben einer SEC-Stick Hub & Spoke-Verbindung), dann werden vorhandene VPN-Firewall-Regeln nicht angewendet. Das bedeutet, dass zum Beispiel die Pakete einer SSH-Verbindung durch einen VPN-Tunnel geschickt werden, obwohl dessen Firewall-Regel dies verbietet.

Eingehend

Allgemeine Firewall- Einstellung

Alle eingehenden Verbindungen annehmen, die Datenpa­kete aller eingehenden Verbindungen werden angenommen.

Alle eingehenden Verbindungen verwerfen, die Datenpa­kete aller eingehenden Verbindungen werden verworfen.

Nur Ping zulassen, die Datenpakete aller eingehenden Ver­bindungen werden verworfen, mit Ausnahme der Ping-Pakete (ICMP).

Wende das unten angegebene Regelwerk an, blendet weitere Einstellmöglichkeiten ein.

Die folgenden Einstellungen sind nur sichtbar, wenn „Wende das unten angegebene Regelwerk an“ eingestellt ist.

Protokoll

Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto­kolle.

Von IP/Nach IP

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Bereich anzu­geben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Namen von IP-Gruppen, sofern definiert. Bei Angabe des Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 290).

Eingehend:

–Von IP:   die IP-Adresse im VPN-Tunnel

–Nach IP   die 1:1-NAT-Adresse bzw. die reale Ad­resse

Ausgehend:

–Von IP:   die 1:1-NAT-Adresse bzw. die reale Ad­resse

–Nach IP:   die IP-Adresse im VPN-Tunnel

Von Port / Nach Port

(Nur bei den Protokollen TCP und UDP)

any bezeichnet jeden beliebigen Port.

startport:endport (z. B. 110:120) bezeichnet einen Portbe­reich.

Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben (z. B. 110 für pop3 oder pop3 für 110).

Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 290).

Aktion

Annehmen bedeutet, die Datenpakete dürfen passieren.

Abweisen bedeutet, die Datenpakete werden zurückgewie­sen, so dass der Absender eine Information über die Zurück­weisung erhält. (Im Stealth-Modus hat Abweisen dieselbe Wirkung wie Verwerfen.)

Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verschluckt, so dass der Absender keine Informa­tion über deren Verbleib erhält.

Namen von Regelsätzen, sofern definiert. Bei Angabe eines Namens für Regelsätze treten die Firewall-Regeln in Kraft, die unter diesem Namen konfiguriert sind (siehe Registerkarte Regelsätze).

Namen von Modbus-TCP-Regelsätzen, sofern definiert. Bei der Auswahl eines Modbus-TCP-Regelsatzes treten die Firewall-Regeln in Kraft, die unter diesem Regelsatz konfigu­riert sind (siehe „Modbus TCP“ auf Seite 298).

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll – Funktion Log akti­vieren

–oder nicht – Funktion Log deaktivieren (werkseitige Vor­einstellung).

Log-Einträge für unbe­kannte Verbindungs­versuche

Bei aktivierter Funktion werden alle Verbindungsversuche protokolliert, die nicht von den voranstehenden Regeln erfasst werden.

Ausgehend

Die Erklärung unter „Eingehend“ gilt auch für „Ausgehend“.

ISAKMP-SA (Schlüssel­austausch)

Algorithmen

(Diese Präferenzliste beginnt mit dem bevorzugtesten Algorithmenpaar.)

Verschlüsselung

DES, 3DES, AES-128, AES-192, AES-256 (Standard)

Grundsätzlich gilt Folgendes: Je länger die Schlüssellänge (in Bits) ist, die ein Verschlüsselungsalgorithmus verwendet (an­gegeben durch die angefügte Zahl), desto sicherer ist er.

Der Verschlüsselungsvorgang ist umso zeitaufwändiger, je länger der Schlüssel ist. Dieser Gesichtspunkt spielt für den mGuard  keine Rolle, weil er mit Hardware-basierter Ver­schlüsselungstechnik arbeitet. Jedoch könnte dieser Aspekt für die Gegenstelle eine Rolle spielen.

Der zur Auswahl stehende mit „Null“ bezeichnete Algorithmus beinhaltet keinerlei Verschlüsselung.

Prüfsumme

MD5, SHA1, SHA-256 (Standard), SHA-512

Lassen Sie die Einstellung auf Alle Algorithmen stehen. Dann spielt es keine Rolle, ob die Gegenstelle mit MD5, SHA-1, SHA-256, SHA-384 oder SHA-512 arbeitet.

Diffie-Hellman

Das Schlüsselaustausch-Verfahren Diffie-Hellmann ist nicht für alle Algorithmen verfügbar. Sie können hier die Bit-Tiefe der Verschlüsselung einstellen.

IPsec-SA (Datenaustausch)

Im Unterschied zu ISAKMP-SA (Schlüsselaustausch) (s. o.) wird hier das Verfahren für den Datenaustausch festgelegt. Es kann sich von denen des Schlüsselaustausches un­terscheiden, muss aber nicht.

Algorithmen

Siehe oben: ISAKMP-SA (Schlüsselaustausch).

Perfect Forward Secrecy (PFS)

Verfahren zur zusätzlichen Steigerung der Sicherheit bei der Datenübertragung. Bei IPsec werden in bestimmten Interval­len die Schlüssel für den Datenaustausch erneuert.

Mit PFS werden dabei mit der Gegenstelle neue Zufallszahlen ausgehandelt, anstatt sie aus zuvor verabredeten Zufallszah­len abzuleiten.

Die Gegenstelle muss den gleichen Eintrag haben. Wir emp­fehlen aus Sicherheitsgründen die Aktivierung.

Lebensdauer und Grenzen

Die Schlüssel einer IPsec-Verbindung werden in bestimmten Abständen erneuert, um die Kosten eines Angriffs auf eine IPsec-Verbindung zu erhöhen.

ISAKMP-SA-Lebens­dauer

Lebensdauer der für die ISAKMP-SA vereinbarten Schlüssel in Sekunden (hh:mm:ss). Werkseinstellung: 3600 Sekunden (1 Stunde). Das erlaubte Maximum sind 86400 Sekunden (24 Stunden).

IPsec-SA-Lebens­dauer

Lebensdauer der für die IPsec-SA vereinbarten Schlüssel in Sekunden (hh:mm:ss).

Werkseinstellung: 28800 Sekunden (8 Stunden). Das er­laubte Maximum sind 86400 Sekunden (24 Stunden).

IPsec-SA-Volumen­grenze

0 bis 2147483647 Bytes

Der Wert 0 bedeutet, dass es keine Volumengrenze für die IPsec-SAs dieser VPN-Verbindung gibt.

Alle anderen Werte geben die Anzahl an Bytes an, die maxi­mal von IPsec-SA für diese VPN-Verbindung verschlüsselt werden (Hard Limit).

Re-Key-Margin bzgl. der Lebensdauer

Gilt für ISAKMP-SAs und IPsec-SAs

Minimale Zeitspanne vor Ablauf der alten Schlüssel, innerhalb der ein neuer Schlüssel erzeugt werden soll. Werkseinstel­lung: 540 Sekunden (9 Minuten).

Re-Key-Margin bzgl. der Volumengrenze

Gilt nur für IPsec-SAs

Der Wert 0 bedeutet, dass die Volumengrenze nicht ange­wendet wird.

Sie müssen 0 einstellen, wenn der unter IPsec-SA-Volumen­grenze eingestellte Wert 0 ist.

Wenn ein Wert über 0 eintragen wird, dann wird eine neue Grenze aus zwei Werten errechnet. Und zwar wird von dem unter IPsec-SA-Volumengrenze angegebenen Wert (dem Hard Limit) die hier angegebene Byteanzahl abgezogen.

Der so errechnete Wert wird als Soft Limit bezeichnet. Er gibt die Anzahl an Bytes an, die verschlüsselt worden sein müs­sen, damit ein neuer Schlüssel für die IPsec SA ausgehandelt wird.

Wenn außerdem ein Re-Key-Fuzz (s. u.) über 0 eingetragen ist, wird ein zusätzlicher Betrag abgezogen. Dieser Betrag ist ein Prozentsatz des Re-Key-Margins. Die Höhe dieses Pro­zentsatzes wird unter Re-Key-Fuzz angegeben.

Der Re-Key-Margin-Wert muss unter dem des Hard Limits lie­gen. Er muss sogar deutlich darunter liegen, wenn zusätzlich ein Re-Key-Fuzz addiert wird.

Wenn die IPsec-SA-Lebensdauer vorher erreicht wird, dann wird das Soft Limit ignoriert.

Re-Key-Fuzz

Maximum in Prozent, um das Re-Key-Margin zufällig vergrö­ßert werden soll. Dies dient dazu, den Schlüsselaustausch auf Maschinen mit vielen VPN-Verbindungen zeitversetzt stattfin­den zu lassen. Werkseinstellung: 100 Prozent.

Keying-Versuche

Anzahl der Versuche, die unternommen werden sollen, neue Schlüssel mit der Gegenstelle zu vereinbaren.

Der Wert 0 bedeutet bei Verbindungen, die der mGuard  initi­ieren soll, unendlich viele Versuche, ansonsten 5 Versuche.

Dead Peer Detection

Wenn die Gegenstelle das Dead Peer Detection (DPD) Protokoll unterstützt, können die jeweiligen Partner erkennen, ob die IPsec-Verbindung noch aktiv ist oder nicht und evtl. neu aufgebaut werden muss.

Verzögerung bis zur nächsten Anfrage nach einem Lebens­zeichen

Zeitspanne in Sekunden, nach welcher DPD Keep Alive An­fragen gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist.

Werkseinstellung: 30 Sekunden (0:00:30).

Zeitüberschreitung bei Ausbleiben des Lebenszeichens, nach welcher die Gegen­stelle für tot befunden wird

Zeitspanne in Sekunden, nach der die Verbindung zur Gegen­stelle für tot erklärt werden soll, wenn auf die Keep Alive An­fragen keine Antwort erfolgte.

Werkseinstellung: 120 Sekunden (0:02:00).

Diese Einstellungen gelten nicht im Stealth-Modus.

Unter Windows 7 ist die Verwendung des MD5-Algorithmus nicht möglich. Der MD5-Al­gorithmus muss durch SHA-1 ersetzt werden.

Einstellungen

Starte L2TP-Server für IPsec/L2TP

Wollen Sie IPsec/L2TP-Verbindungen ermöglichen, aktivie­ren Sie die Funktion.

Über IPsec können dann zum mGuard  L2TP-Verbindungen aufgebaut werden, über welche den Clients dynamisch IP-Ad­ressen innerhalb des VPNs zugeteilt werden.

Lokale IP-Adresse für L2TP-Verbindungen

Nach dem obigen Screenshot teilt der mGuard  der Gegen­stelle mit, er habe die Adresse 10.106.106.1.

Beginn / Ende des Remote-IP-Adressbe­reichs

Nach dem obigen Screenshot teilt der mGuard  der Gegen­stelle eine IP-Adresse zwischen 10.106.106.2 und 10.106.106.254 mit.

Status

Informiert über den L2TP-Status, wenn dieser als Verbin­dungstyp gewählt ist.

ISAKMP SA

Lokal

–lokale IP-Adresse

–lokaler Port

–ID = Subject eines X.509-Zertifikats

Zustand, Lebensdauer und Verschlüsse­lungsalgorithmus der Verbindung (Fett = ak­tiv)

Gegenstelle

–Remote-IP-Adresse

–lokaler Port

–ID = Subject eines X.509-Zertifikats

IPsec SA

–Name der Verbindung

–lokale Netze...Remo­te-Netze

Zustand, Lebensdauer und Verschlüsse­lungsalgorithmus der Verbindung (Fett = ak­tiv)