Hinweise zu IPSec-Verbindungen mit Fremdprodukten: Unterschied zwischen den Versionen
Aus bintec elmeg Support-Wiki / FAQ
K (Mafra verschob die Seite IPSec Hinweise nach Hinweise zu IPSec-Verbindungen mit Fremdprodukten: besser) |
|
(kein Unterschied)
|
Aktuelle Version vom 8. April 2016, 14:22 Uhr
Hinweise zu IPSec-Verbindungen mit Fremdprodukten - Konfiguration: GUI (Weboberfläche)
Diese FAQ gibt Hinweise zu IPSec-Verbindungen von bintec Routern zu Fremdprodukten. Als Beispiel wurde ein bintec RS353jw mit Release 9.1 Rev. 12 (Patch 4) verwendet. Andere bintec Router mit vergleichbaren Softwareversionen sind identisch bzw. analog zu konfigurieren. Die Konfiguration des bintec Routers erfolgt mittels GUI.
Hinweis 1: NAT Konfiguration
Bitte prüfen Sie in der NAT-Konfiguration, ob es folgenden NAT-Eintrag gibt, ggf. neu hinzufügen:
IKE basiert auf UDP und nutzt standardmäßig den Port 500 als Quell- und Ziel-Port. Einige Fremdprodukte akzeptieren daher nur diesen UDP-Port für eingehende IPSec-Verbindungen.
Hinweis 2: IPSec Phase-1-Profil
Bitte prüfen Sie im verwendeten IPSec Phase-1-Profil, ob eine Verschlüsselung mit fester Schlüssellänge ausgewählt ist und der Parameter "Erreichbarkeitsprüfung" auf "Automatische Erkennung" eingestellt ist, ggf. anpassen:
Für einige Fremdprodukte muss die Schlüssellänge fest eingestellt sein. Mit der Einstellung der "Erreichbarkeitsprüfung" auf "Automatische Erkennung" unterstützen wir die DPD-Funktion bei der IKE-Aushandlung und zur Erkennung, ob die IPSec-Verbindung noch besteht.
Hinweis 3: IPSec Phase-2-Profil
Bitte prüfen Sie im verwendeten IPSec Phase-2-Profil, ob eine Verschlüsselung mit fester Schlüssellänge ausgewählt ist, der Parameter "Lebensdauer" auf 100% gesetzt ist, der Parameter "IP-Komprimierung" nicht aktiviert ist und der Parameter "Erreichbarkeitsprüfung" inaktiv gesetzt ist, ggf. anpassen:
Für einige Fremdprodukte muss die Schlüssellänge fest eingestellt sein und die Lebensdauer der "IPSec-SAs" auf beiden Endpunkten der IPSec-Verbindung identisch sein, damit das IPSec-Rekeying problemlos funktionieren kann. Die Erreichbarkeitsprüfung "Heartbeats (send and expect)" ist proprietär und nur zwischen 2 bintec Routern möglich.
rh