Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. Funkwerk Anleitungen
  4. Router
  5. bintec R4100
  6. Benutzerhandbuch

Funkwerk bintec R4100 Benutzerhandbuch

Ip-router mit ipsec
Vorschau ausblenden Andere Handbücher für bintec R4100:
Inhaltsverzeichnis

Werbung

Quicklinks

Diese Anleitung herunterladen
Benutzerhandbuch
bintec R4100 / R4300
IPSec
©
Copyright
17. Juli 2006 Funkwerk Enterprise Communications GmbH
Version 1.0

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für Funkwerk bintec R4100

Inhaltszusammenfassung für Funkwerk bintec R4100

  • Seite 1 Benutzerhandbuch bintec R4100 / R4300 IPSec © Copyright 17. Juli 2006 Funkwerk Enterprise Communications GmbH Version 1.0...
  • Seite 2 Haftung Der Inhalt dieses Handbuchs wurde mit größter Sorgfalt erarbeitet. Die Angaben in diesem Handbuch gelten jedoch nicht als Zusicherung von Eigenschaften Ihres Produkts. Funkwerk Enterprise Commu- nications GmbH haftet nur im Umfang ihrer Verkaufs- und Lieferbedingungen und übernimmt keine Gewähr für technische Ungenauigkeiten und/oder Auslassungen.

  • Seite 3: Inhaltsverzeichnis

    Menü IPSEC ..........3 Untermenü...
  • Seite 4 Zertifikat-Untermenüs ......... . .95 7.2.1 Zertifikatimport .

  • Seite 5: Menü Ipsec

    “Untermenü Wizard” auf Seite 109.) Nach Beenden und Verlassen des IPSec Wizards, wird das IPSec Hauptmenü geöffnet. Es wird wie folgt angezeigt: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC]: IPSec Configuration - Main Menu MyGateway Enable IPSec : yes Pre IPSec Rules >...
  • Seite 6 Menü IPSEC Im Feld E im IPS Hauptmenü können Sie direkt aus zwei Optio- NABLE nen wählen. Dieses Feld enthält die folgenden Werte: NABLE Wert Bedeutung no (Defaultwert) IPSec ist nicht aktiviert unabhängig von jegli- cher Konfiguration. IPSec ist aktiviert. Durch die Grundkonfiguration mit dem IPSec Wizard wird IPSec aktiviert.

  • Seite 7: Untermenü Pre Ipsec Rules

    Im ersten Fenster des P Menüs sind alle bereits erstellten Regeln auf- gelistet: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PRE IPSEC TRAFFIC]: IPSec Configuration - MyGateway Configure Traffic List Highlight an entry and type ’i’ to insert new entry below, ’u’/’d’...
  • Seite 8 Untermenü Pre IPSec Rules Feld Wert ➤➤ Zeigt die Länge der Netzmaske an (falls die Regel für ein Netzwerk definiert wurde) oder die Anzahl der aufeinanderfolgenden IP- Adressen, falls die Regel für einen IP- Adressbereich erstellt wurde. Somit steht M32 für eine 32 Bit Netzmaske (255.255.255.255, d.

  • Seite 9: Das Untermenü Append/Edit

    APPEND/EDIT hinzugefügt oder bearbeitet. In beiden Fällen wird das folgende Menüfenster geöffnet (wenn Sie einen bestehenden Eintrag bearbeiten, wer- den die bestehenden Werte dieses Eintrags angezeigt): R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PRE IPSEC TRAFFIC][ADD]: Traffic Entry (*NEW*) MyGateway Description:...
  • Seite 10 Untermenü Pre IPSec Rules Feld Wert Local: Type Geben Sie die lokalen Adressdaten ein. Mögliche Werte siehe Tabelle “Local/Remote: Type” auf Seite Remote: Type Geben Sie die entfernten Adressdaten ein. Die Optionen stimmen größtenteils mit den Optio- nen im Feld L überein, mit einer OCAL Ausnahme: Die Option own gibt es nicht und...
  • Seite 11 Untermenü Pre IPSec Rules Wert Notwendige Einstellungen net (Defaultwert) Definieren Sie die IP-Adresse des Netzwerks und die entsprechende Netzmaske, auf die diese Regel angewendet werden soll. Die Eingabeaufforderung für die Netzmaske erscheint automatisch wenn Sie net auswäh- len. Sie ist von der IP-Adresse durch einen "/" abgetrennt.
  • Seite 12 Untermenü Pre IPSec Rules Wert Notwendige Einstellungen peer Nur für R EMOTE Auch wenn dieser Eintrag hier ausgewählt wer- den kann, ist er dennoch nicht anwendbar auf Pre IPSec Regeln. Er ist anwendbar für die Peer Konfiguration (siehe “Untermenü Traffic List Settings”...

  • Seite 13: Untermenü Configure Peers

    Im Folgenden wird das Untermenü C beschrieben. ONFIGURE EERS R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PEERS]: IPsec Configuration - MyGateway Configure Peer List Highlight an entry and type 'I' to insert new entry below, 'U'/'D' to move up/down, 'M' to monitor, 'PSCEAFT' to change sorting.
  • Seite 14 Untermenü Configure Peers R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PEERS][MONITOR]: IPsec Configuration - MyGateway Monitor Peer Description: Peer_1 Admin Status: Oper Status: dormant Local Address: Remote Address: SAs Phase 1> Phase 2> Messages > EXIT ACTION: reset START Das Menü enthält folgende Felder:...
  • Seite 15 Untermenü Configure Peers Feld Beschreibung SAs Phase 1 Hier wird die Zahl der aktiven und der insge- samt vorhandenen Phase-1-SAs des ausge- wählten Peers angezeigt (<established>/<total>). Durch Markieren von P 1 und Drücken der HASE Eingabetaste wird das gleiche Überwachungs- ➜...
  • Seite 16 Configure Peers Das Menü IPS APPEND/EDIT zum Erstellen/Bearbei- ONFIGURE EERS APPEND/EDIT ten eines Peers (=IPSec-Gegenstelle) sieht folgendermaßen aus: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PEERS][ADD]:Configure Peer MyGateway Description: Admin Status: Peer Address: Peer IDs: Pre Shared Key: IPSec Callback >...
  • Seite 17 Untermenü Configure Peers Es enthält folgende Felder: Feld Wert Description Hier geben Sie eine Beschreibung des Peers ein, die diesen eindeutig erkennen lässt. Die maximale Länge des Eintrags beträgt 255 Zei- chen. Admin Status Hier wählen Sie den Zustand aus, in den Sie den Peer nach dem Speichern der Peer-Konfi- guration versetzen wollen.
  • Seite 18 Untermenü Configure Peers Feld Wert Peer IDs Hier geben Sie die ID des Peers ein. Die Ein- gabe kann in bestimmten Konfigurationen ent- fallen. Die maximale Länge des Eintrags beträgt 255 Zeichen. Mögliche Zeichen: Adres- sen im Format für IP Adressen, X.500-Adres- sen, Key-IDs oder Email-Adressen;...
  • Seite 19 Untermenü Configure Peers Feld Wert Virtual Interface Hier legen Sie fest, ob eine Traffic List (=Defini- tion der Bereiche des Datenverkehrs und der darauf jeweils anzuwendenden Filterregel) defi- niert oder der Peer als virtuelles Interface addressiert wird. Zur Verfügung stehen: ■...

  • Seite 20: Untermenü Ipsec Callback

    Die weitere Konfiguration erfolgt im Menü IPS ONFIGURE EERS APPEND/EDIT. Dort findet sich das Untermenü ISDN C ALLBACK R4100 Setup Tool Funkwerk Enterprise Communication GmbH [IPSEC][PEERS][EDIT][CALLBACK]: ISDN Callback Peer (*NEW*) MyGateway ISDN Callback: both Incoming ISDN Number: Outgoing ISDN Number:...
  • Seite 21 Untermenü Configure Peers Das Menü enthält folgende Felder: Feld Wert ISDN Callback Hier wählen Sie den Callback-Modus aus. Zu den verfügbaren Optionen, siehe Tabelle “ISDN Callback” auf Seite Incoming ISDN Number Nur für ISDN C = passive oder both. ALLBACK Hier geben Sie die ISDN-Nummer an, von der aus das entfernte Gateway das lokale Gateway ruft (Calling Party Number).
  • Seite 22 Untermenü Configure Peers Das Feld ISDN C kann folgende Werte annehmen: ALLBACK Wert Bedeutung disabled (Defaultwert) Der ISDN-Callback ist deaktiviert. Das lokale Gateway reagiert weder auf eingehende ISDN- Rufe noch initiiert es ISDN-Rufe zum entfernten Gateway. passive Das lokale Gateway reagiert lediglich auf ein- gehende ISDN-Rufe und initiiert ggf.

  • Seite 23: Übermittlung Der Ip-Adresse Über Isdn

    Sie eine kostenfreie Zusatzlizenz erwerben. Hinweis Die Lizenzdaten der Zusatzlizenzen erhalten Sie über die Online-Lizenzie- rungs-Seiten im Support-Bereich auf www.funkwerk-ec.com. Bitte folgen Sie den Anweisungen der Online-Lizenzierung. Vor Systemsoftware Release 7.1.4 unterstützte der IPSec ISDN Callback einen Tunnelaufbau nur dann, wenn die aktuelle IP-Adresse des Initiators auf indirek- tem Wege (z.
  • Seite 24 Untermenü Configure Peers ➤➤ übertragen werden oder im B-Kanal, wobei der Ruf von der Gegenstelle angenommen werden muss und daher Kosten verursacht. Wenn ein Peer, dessen IP-Adresse dynamisch zugewiesen worden ist, einen anderen Peer zum Aufbau eines IPSec-Tunnels veranlassen will, so kann er seine eigene IP-Adresse gemäß...
  • Seite 25 IP A ISDN der Wert yes gewählt, ändert sich RANSFER OWN DDRESS OVER das Menü folgendermaßen (der Screenshot enthält Beispielwerte): R4100 Setup Tool Funkwerk Enterprise Communication GmbH [IPSEC][PEERS][EDIT][CALLBACK]: ISDN Callback Peer (*NEW*) MyGateway ISDN Callback: both Incoming ISDN Number:1234 Outgoing ISDN Number:01234...
  • Seite 26 Untermenü Configure Peers Es enthält nun die folgenden Felder: Feld Wert Transfer own IP Address Hier wählen Sie aus, ob für den IPSec-Callback over ISDN die IP-Adresse des eigenen Gateways über ISDN übertragen werden soll. Mögliche Werte: ■ yes - Die IP-Adresse wird gemäß den Ein- stellungen in den folgenden Feldern über- tragen.
  • Seite 27 Untermenü Configure Peers Feld Wert Mode Nur sichtbar, wenn T IP A RANSFER OWN DDRESS ISDN = yes. OVER Hier wählen Sie aus, in welchem Modus das Gateway versucht, seine IP-Adresse an den Peer zu übertragen. Mögliche Werte: ■ autodetect best possible mode (D or B channel) - (Defaultwert) Das Gateway be- stimmt automatisch den günstigsten Mo- dus.
  • Seite 28 Untermenü Configure Peers Feld Wert D-Channel Mode Nur sichtbar, wenn M = use specific D channel mode oder try specific D channel mode, fall back on B. Hier wählen Sie aus, in welchem D-Kanal- Modus das Gateway versucht, die IP-Adresse zu übertragen.

  • Seite 29: Untermenü Peer Specific Settings

    ONFIGURE EERS EER SPECIFIC ETTINGS hält die Optionen zur Anpassung der IKE- und IPSec-Einstellungen für den Peer: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PEERS][EDIT][SPECIAL]: Special Settings (*NEW*) MyGateway Special settings for p1 IKE (Phase 1) Profile: default edit >...
  • Seite 30 Untermenü Configure Peers Special Peer Type Das Menü enthält weiterhin folgende Felder: Feld Wert Special Peer Type Hier definieren Sie, ob Sie einen speziellen Peertyp verwenden. Mögliche Werte: ■ none (Defaultwert): Es wird kein spezieller Peertyp verwendet. ■ Dynamic Client: Mehrere Clients können sich mit der gleichen Peer-Konfiguration gleichzeitig verbinden.
  • Seite 31 Untermenü Configure Peers – bei V no die Traffic Liste des dynamischen Peers ko- IRTUAL NTERFACE piert und die IP-Adresse des Clients in R eingetragen. EMOTE Bei der Verwendung des S = Dynamic Client, müssen Sie Fol- PECIAL gendes beachten: ■...

  • Seite 32: Untermenü Ike (Phase 1) Profile

    EER SPECIFIC ➜ ➜ IKE (P 1) P ADD/EDIT zugänglich: ETTINGS HASE ROFILE EDIT R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PEERS][ADD][SPECIAL][PHASE1][ADD] MyGateway Description (Idx 0) : Proposal none/default Lifetime Policy Use default lifetime settings Group default Authentication Method :...

  • Seite 33: Definitionen

    Untermenü Configure Peers Feld Wert Block Time Hier legen Sie fest, wie lange ein Peer für Tun- nelaufbauten blockiert wird, nachdem ein Phase-1-Tunnelaufbau fehlgeschlagen ist. Dies betrifft nur lokal initiierte Aufbauversuche. Zur Verfügung stehen Werte von -1 bis 86400 (Sekunden), der Wert -1 (Defaultwert) bedeutet die Übernahme des Wertes im Defaultprofil, der Wert 0, dass der Peer in keinem Fall blockiert wird.
  • Seite 34 Untermenü Configure Peers In den folgenden beiden Tabellen sind die verfügbaren Verschlüsselungs- und Message Hash-Algorithmen aufgelistet: Algorithmus Beschreibung Rijndael Rijndael wurde aufgrund seines schnellen Schlüsselaufbaus, der geringen Speicheranfor- derungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES ernannt ➤➤...
  • Seite 35 Untermenü Configure Peers Algorithmus Beschreibung ➤➤ SHA1 SHA1 ist ein Hash Algorithmus, der von (Secure Hash der NSA (United States National Security Asso- Algorithm #1) ciation) entwickelt wurde. Er wird als sicher ein- gestuft, ist aber langsamer als MD5. Wird mit 96 Bit Digest Length für IPSec verwendet.
  • Seite 36 Untermenü Configure Peers Im Untermenü V erhalten Sie eine Übersicht über die Proposals, ROPOSALS ROPOSALS die vom IPSec-Wizard erstellt wurden: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PEERS][EDIT]...[IKE PROPOSALS]: IKE Proposals MyGateway Description Protocol Lifetime Blowfish/MD5 default blowfish md5 900s/0KB (def)
  • Seite 37 Falls nicht der voreingestellt Wert verwendet werden soll, stehen weitere Optio- nen zur Verfügung. Die Menümaske sieht dann z.B. für L IFETIME OLICY Propose this lifetime, accept and use all proposals folgendermaßen aus: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [PEERS][ADD][SPECIAL][PHASE1][ADD] MyGateway Description (Idx 0) Proposal none/default...
  • Seite 38 Untermenü Configure Peers Folgende Optionen stehen zur Verfügung: Feld Wert Lifetime Policy Hier legen Sie fest, wie die Lebensdauer (Life- time) festgelegt wird, die ablaufen darf, bevor die Phase-1-SAs erneuert werden müssen. Mögliche Werte: ■ Use default lifetime settings (Defaultwert): Es werden Lifetime-Policy und Lifetime- Werte aus dem globalen Profil verwendet.
  • Seite 39 Untermenü Configure Peers Feld Wert ■ Lifetime Policy (Forts.) Propose this lifetime, accept and use all proposals: Vorgeschlagen wird, die Schlüs- sel zu erneuern, wenn entweder der in angegebene Wert abgelaufen ist ECONDS oder der in KB angegebene Wert verar- YTES beitet wurde, je nachdem, welches Ereignis zuerst eintritt.
  • Seite 40 Untermenü Configure Peers Feld Wert Seconds Nur für L = Propose this lifetime, IFETIME OLICY accept and use all proposals oder Propose this lifetime, reject different proposals oder Use this lifetime, accept all proposals, notify Geben Sie die Lebensdauer für Phase-1- Schlüssel in Sekunden ein.
  • Seite 41 Untermenü Configure Peers Wert Bedeutung 2 (1024 bit MODP) Während der Diffie-Hellman-Schlüsselberech- nung wird die modulare Exponentiation mit 1024 Bit genutzt, um das Verschlüsselungs- material zu erzeugen. 5 (1536 bit MODP) Während der Diffie-Hellman-Schlüsselberech- nung wird die modulare Exponentiation mit 1536 Bit genutzt, um das Verschlüsselungs- material zu erzeugen.
  • Seite 42 Untermenü Configure Peers Wert Bedeutung RSA Encryption Mit RSA-Verschlüsselung werden als erwei- terte Sicherheit zusätzlich die ID-Nutzdaten verschlüsselt. default Das Gateway verwendet die Einstellungen des (Defaultvalue) Default-Profils. Tabelle 3-12: P 1: A HASE UTHENTICATION ETHOD Phase 1: Mode Das Mode-Feld zeigt den momentan konfigurierten Phase-1-Modus an und er- möglicht Ihnen, die Einstellungen zu verändern: Wert Bedeutung...
  • Seite 43 Untermenü Configure Peers Wert Bedeutung aggressive-only Das Gateway akzeptiert bei der Aushandlung ausschließlich den Aggressive Mode. Schlägt der Peer einen anderen Modus vor, scheitert die Aushandlung. 3-13: P 1: M ABELLE HASE Phase 1: Alive Check In der Kommunikation zweier IPSec-Peers kann es dazu kommen, dass einer der beiden z.
  • Seite 44 Untermenü Configure Peers ■ default (Defaultwert) - Das Gateway verwendet die Einstellung des Default- Profils. Heartbeats werden für Phase 1 und Phase 2 getrennt konfiguriert. Wenn Inter- operabilität mit älterer Software zu gewährleisten ist, müssen die Werte für Pha- se 1 und Phase 2 identisch konfiguriert werden. Dead Peer Detection Zunehmend hat sich nun Dead Peer Detection (=DPD nach RFC 3706) eta- bliert, das die Initiative zum Aktivieren der Erreichbarkeitsprüfung vollständig...
  • Seite 45 Untermenü Configure Peers Phase 1: Local ID Das ist die ID, die Sie Ihrem Gateway zuweisen. Falls Sie dieses Feld leer las- sen, übernimmt das Gateway eine der Einstellungen aus dem Default-Profil. Diese sind: ■ Bei Authentifizierung mit Preshared Keys: die lokale ID aus dem Default- Profil.
  • Seite 46 Untermenü Configure Peers Phase 1: NAT Traversal NAT Traversal (NAT-T) ermöglicht es, IPSec-Tunnel auch über ein oder meh- rere Gateways zu öffnen, auf denen Network Address Translation (NAT) akti- viert ist. Ohne NAT-T kann es zwischen IPSec und NAT zu Inkompatibilitäten kommen (siehe RFC 3715, Abschnitt 2).

  • Seite 47: Untermenü Ipsec (Phase 2) Profile

    ONFIGURE EERS ➜ ➜ 2) P ADD/EDIT: PECIFIC ETTINGS HASE ROFILE EDIT R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PEERS][ADD][SPECIAL][PHASE2][ADD] MyGateway Description (Idx 0) : Proposal default Lifetime Policy Use default lifetime settings Use PFS default Alive Check default Propagate PMTU default View Proposals >...
  • Seite 48 Untermenü Configure Peers Das Menü enthält folgende Felder: Feld Wert Description (Idx 0) Hier geben Sie eine Beschreibung ein, die das Profil eindeutig erkennen lässt. Die maximale Länge des Eintrags beträgt 255 Zeichen. Proposal Informationen zu diesen Parametern finden Sie “Definitionen”...

  • Seite 49: Definitionen

    Untermenü Configure Peers Feld Wert ■ Alive Check (Forts.) Heartbeats (expect only) - Das Gateway er- wartet einen Heartbeat vom Peer, sendet selbst aber keinen. ■ Heartbeats (send and expect) - Das Gate- way erwartet einen Heartbeat vom Peer und sendet selbst einen. Heartbeats werden für Phase 1 und Phase 2 getrennt konfiguriert.
  • Seite 50 Untermenü Configure Peers Phase 2: Proposal Dieses Feld ermöglicht Ihnen, jede Kombination aus IPSec-Protokoll, ➤➤ Verschlüsselungsalgorithmus und/oder Message-Hash-Algorithmus zu wählen. In den folgenden Tabellen sind die Elemente dieser potentiellen Kom- binationen aufgeführt: IPSec-Protokoll Beschreibung ➤➤ ESP (Encapsulated Secu- bietet Nutzdatenverschlüsselung rity Payload) sowie Authentifizierung.
  • Seite 51 Untermenü Configure Peers rend der SA-Aushandlung alle Proposals akzeptiert, unabhängig davon, ob die- se die Nutzung von IPComP vorschlagen oder nicht. Falls der lokale Rechner die Aushandlung initiiert, schlägt er die Nutzung von IPComP als Vorzugs-Pro- posal vor, erlaubt jedoch dem antwortenden Rechner, ein Proposal ohne IP- ComP zu wählen.
  • Seite 52 Untermenü Configure Peers Algorithmen Beschreibung NULL Der NULL-"Algorithmus" nimmt keine Ver- schlüsselung der IP-Pakete vor, ist jedoch not- wendig, falls IP-Pakete eine Authentifizierung durch das ESP-Protokoll ohne Verschlüsselung benötigen. Tabelle 3-17: P 2: Verschlüsselungsalgorithmen HASE Dies sind die verfügbaren Hash-Algorithmen: Algorithmen Beschreibung Beschreibungen der Message-Hash-Algorith-...

  • Seite 53: Untermenü Select Different Traffic List

    Untermenü Configure Peers Beispielwerte Bedeutung 10 (ESP(NULL, SHA1)) IP-Pakete werden unter Anwendung des ESP- Protokolls verarbeitet; die NULL-Verschlüsse- lung und SHA 1 werden zur Erzeugung des Message Hash genutzt. 16 (AH(none, MD5)) IP-Pakete werden unter Anwendung des AH- Protokolls, ohne Verschlüsselung und mit MD5 als Message Hash-Algorithmus verarbeitet.

  • Seite 54: Untermenü Traffic List Settings

    Das Menüfenster, welches sich öffnet, sieht in beiden Fällen folgendermaßen aus (falls Sie einen vorhandenen Eintrag ändern, werden die Werte für diesen Eintrag angezeigt): R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PEERS][ADD][TRAFFIC][ADD]: Traffic Entry (*NEW*) MyGateway Description: Protocol:...
  • Seite 55 Untermenü Configure Peers Feld Wert Protocol Hier können Sie definieren, ob die Regel nur für Pakete mit einem bestimmten Protokoll gelten soll. Sie haben die Wahl zwischen der Festlegung eines Protokolls und der Option dont-verify, letzteres bedeutet, dass das Protokoll nicht als Filterkriterium herangezogen wird.
  • Seite 56 Untermenü Configure Peers Local/Remote: Type Im Feld L gibt es folgende Optionen, welche bestimmte Ein- OCAL EMOTE stellungen in den mit ihnen verbundenen Zusatzfeldern für IP, Netzmaske und Port erfordern: Wert Bedeutung ➤➤ host Geben Sie die IP-Adresse eines einzel- nen Rechners ein, der unter diese Regel (Rule) fallen soll.
  • Seite 57 Untermenü Configure Peers Wert Bedeutung dhcp Nur für R EMOTE Das entfernte Gateway bezieht seine IP-Konfi- ➤➤ guration per DHCP. Nur für L OCAL Falls Sie diese Option wählen, wird automa- tisch angenommen, dass die dynamische IP- Adresse des Gateways (sofern anwendbar) unter diese Regel fällt.

  • Seite 58: Untermenü Interface Ip Settings

    Untermenü Configure Peers Untermenü Interface IP Settings ➜ Dieses Menü wird sichtbar, wenn Sie im Menü IPS ONFIGURE EERS ➜ APPEN/EDIT für das Feld V yes ausgewählt haben. Es IRTUAL NTERFACE ermöglicht die Konfiguration der IP-Parameter des virtuellen Interfaces. Die Einstellungen für das virtuelle IPSec-Interface werden in den Menüs B ASIC IP-S und A...

  • Seite 59: Untermenü Post Ipsec Rules

    Untermenü Post IPSec Rules Untermenü Post IPSec Rules Im Folgenden wird das Untermenü P beschrieben. ULES Genauso, wie Sie Pre IPSec Rules konfigurieren müssen, die für den gesamten Datenverkehr gelten, bevor IPSec-SAs angewandt werden, müssen Sie Post IPSec Rules konfigurieren. Diese werden angewandt, nachdem ein Paket die Peer Traffic Lists passiert hat, d.h.

  • Seite 60: Untermenü Append/Edit

    APPEND/EDIT entweder hinzugefügt oder bearbeitet. In beiden Fällen sieht das Menüfenster, welches sich öffnet, folgendermaßen aus (falls Sie einen vor- handenen Eintrag bearbeiten, werden die Werte für diesen Eintrag angezeigt): R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][POST IPSEC TRAFFIC][ADD]: Traffic Entry (*NEW*) MyGateway Description:...
  • Seite 61 Untermenü Post IPSec Rules Feld Wert Local: Type Geben Sie die lokalen Adresseinstellungen ein. Einzelheiten dazu finden Sie in Tabelle “Local/Remote: Type” auf Seite Remote: Type Geben Sie die Adresseinstellungen der fernen Gegenstelle ein. Einzelheiten dazu finden Sie in Tabelle “Local/Remote: Type” auf Seite Action Hier können Sie zwischen zwei Optionen wäh- len:...
  • Seite 62 Untermenü Post IPSec Rules Wert Bedeutung ➤➤ Geben Sie die IP-Adresse eines Netzes und die dazugehörige Netzmaske ein, die unter diese Regel fallen sollen. Die Eingabeaufforderung für die ➤➤ Netzmaske erscheint automatisch, wenn Sie net wählen. Sie wird von der Eingabeauffor- derung für die IP-Adresse durch das Zeichen "/"...
  • Seite 63 Untermenü Post IPSec Rules Wert Bedeutung own/peer Falls Sie diese Option wählen, wird automa- tisch angenommen, dass die dynamische IP- Adresse des Gateways (sofern anwendbar) unter diese Regel fällt. In diesem Fall sind keine weiteren Einstellungen notwendig. Obwohl dieser Eintrag hier gewählt werden kann, hat er für die Post IPSec Rules keine Funktion.
  • Seite 64 Untermenü Post IPSec Rules bintec Benutzerhandbuch IPSec...

  • Seite 65: Untermenü Ike (Phase 1) Defaults

    Das Menü zur Konfiguration eines globalen Phase-1-Profils ist über das Menü ➜ ➜ IKE (P 1) D ADD/EDIT zugänglich: HASE EFAULTS EDIT R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PHASE1][ADD] MyGateway Description (Idx 0) : Proposal none/default Lifetime Policy use default Group default...

  • Seite 66: Definitionen

    Untermenü IKE (Phase 1) Defaults Feld Wert Proposal Informationen zu diesen Parametern: Lifetime Policy siehe “Definitionen” auf Seite 64 Group Authentication Method Mode Alive Check Block Time Hier legen Sie fest, wie lange ein Peer für Tun- nelaufbauten blockiert wird, nachdem ein Phase-1-Tunnelaufbau fehlgeschlagen ist.
  • Seite 67 Untermenü IKE (Phase 1) Defaults wählen. Die Kombination von sechs Verschlüsselungsalgorithmen und vier Message Hash-Algorithmen ergibt 24 mögliche Werte in diesem Feld. In den folgenden beiden Tabellen sind die verfügbaren Verschlüsselungs- und Message Hash-Algorithmen aufgelistet: Algorithmus Beschreibung Rijndael Rijndael wurde aufgrund seines schnellen Schlüsselaufbaus, der geringen Speicheranfor- derungen, der hohen Sicherheit gegen Angriffe und der allgemeinen Geschwindigkeit zum AES...
  • Seite 68 Untermenü IKE (Phase 1) Defaults ➤➤ Im Folgenden sind die verfügbaren Hash-Algorithmen aufgeführt: Algorithmus Beschreibung ➤➤ ist ein älterer Hash Algorithmus. Wird (Message Digest #5) mit 96 Bit Digest Length für IPSec verwendet. ➤➤ SHA1 SHA1 ist ein Hash Algorithmus, der von (Secure Hash der NSA (United States National Security Asso- Algorithm #1)
  • Seite 69 Untermenü IKE (Phase 1) Defaults Im Untermenü V erhalten Sie eine Übersicht über die Proposals, ROPOSALS ROPOSALS die vom IPSec-Wizard erstellt wurden: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PHASE1][ADD][IKE PROPOSALS]: IKE Proposals MyGateway Description Authmode Cipher Hash Lifetime Blowfish/MD5...
  • Seite 70 Falls nicht der voreingestellt Wert verwendet werden soll, stehen weitere Optio- nen zur Verfügung. Die Menümaske sieht dann z.B. für L IFETIME OLICY Propose this lifetime, accept and use all proposals folgendermaßen aus: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [PEERS][ADD][SPECIAL][PHASE1][ADD] MyGateway Description (Idx 0) Proposal none/default...
  • Seite 71 Untermenü IKE (Phase 1) Defaults Feld Wert ■ Lifetime Policy (Forts.) Propose this lifetime, accept and use all proposals: Vorgeschlagen wird, die Schlüs- sel zu erneuern, wenn entweder der in angegebene Wert abgelaufen ist ECONDS oder der in KB angegebene Wert verar- YTES beitet wurde, je nachdem, welches Ereignis zuerst eintritt.
  • Seite 72 Untermenü IKE (Phase 1) Defaults Feld Wert Seconds Nur für L = Propose this lifetime, IFETIME OLICY accept and use all proposals oder Propose this lifetime, reject different proposals oder Use this lifetime, accept all proposals, notify Geben Sie die Lebensdauer für Phase-1- Schlüssel in Sekunden ein.
  • Seite 73 Untermenü IKE (Phase 1) Defaults Wert Bedeutung 2 (1024 bit MODP) Während der Diffie-Hellman-Schlüsselberech- nung wird die modulare Exponentiation mit 1024 Bit genutzt, um das Verschlüsselungs- material zu erzeugen. 5 (1536 bit MODP) Während der Diffie-Hellman-Schlüsselberech- nung wird die modulare Exponentiation mit 1536 Bit genutzt, um das Verschlüsselungs- material zu erzeugen.
  • Seite 74 Untermenü IKE (Phase 1) Defaults Wert Bedeutung RSA Encryption Mit RSA-Verschlüsselung werden als erwei- terte Sicherheit zusätzlich die ID-Nutzdaten verschlüsselt. default Das Gateway verwendet die Einstellungen des (Defaultvalue) Default-Profils. Tabelle 5-6: 1: A HASE UTHENTICATION ETHOD Phase 1: Mode Das Mode-Feld zeigt den momentan konfigurierten Phase-1-Modus an und er- möglicht Ihnen, die Einstellungen zu verändern: Wert Bedeutung...
  • Seite 75 Untermenü IKE (Phase 1) Defaults Wert Bedeutung aggressive-only Das Gateway akzeptiert bei der Aushandlung ausschließlich den Aggressive Mode. Schlägt der Peer einen anderen Modus vor, scheitert die Aushandlung. 5-7: P 1: M ABELLE HASE Phase 1: Alive Check In der Kommunikation zweier IPSec-Peers kann es dazu kommen, dass einer der beiden z.
  • Seite 76 Untermenü IKE (Phase 1) Defaults ■ default (Defaultwert) - Das Gateway verwendet die Einstellung des Default- Profils. Heartbeats werden für Phase 1 und Phase 2 getrennt konfiguriert. Wenn Inter- operabilität mit älterer Software zu gewährleisten ist, müssen die Werte für Pha- se 1 und Phase 2 identisch konfiguriert werden.
  • Seite 77 Untermenü IKE (Phase 1) Defaults Phase 1: Local ID Das ist die ID, die Sie Ihrem Gateway zuweisen. Falls Sie dieses Feld leer las- sen, wählt das Gateway die Defaultwerte. Diese sind: ■ Bei Authentifizierung mit Preshared Keys: die lokale ID aus dem Default- Profil.
  • Seite 78 Untermenü IKE (Phase 1) Defaults Phase 1: NAT Traversal NAT Traversal (NAT-T) ermöglicht es, IPSec-Tunnel auch über ein oder meh- rere Gateways zu öffnen, auf denen Network Address Translation (NAT) akti- viert ist. Ohne NAT-T kann es zwischen IPSec und NAT zu Inkompatibilitäten kommen (siehe RFC 3715, Abschnitt 2).
  • Seite 79 ➜ ➜ Die Konfiguration erfolgt im Menü IPS 2) D HASE EFAULTS EDIT ADD/EDIT: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][PHASE2][ADD]: MyGateway Description (Idx 0) : Proposal 1 (ESP(Blowfish/MD5) no Co Lifetime Policy Use default lifetime settings Use PFS...
  • Seite 80 Untermenü IPSec (Phase 2) Defaults Feld Wert Proposal Informationen zu diesen Parametern finden Sie “Definitionen” auf Seite 80 Lifetime Policy Use PFS bintec Benutzerhandbuch IPSec...
  • Seite 81 Untermenü IPSec (Phase 2) Defaults Feld Wert Alive Check Hier wählen Sie, ob und in welcher Weise IPSec Heartbeats verwendet werden. Um feststellen zu können, ob eine Security Association (SA) noch gültig ist oder nicht, ist ein bintec IPSec-Heartbeat implementiert wor- den.

  • Seite 82: Definitionen

    Untermenü IPSec (Phase 2) Defaults Feld Wert Heartbeat (Forts.) Heartbeats werden für Phase 1 und Phase 2 getrennt konfiguriert. Wenn Interoperabilität mit älterer Software zu gewährleisten ist, müssen die Werte für Phase 1 und Phase 2 identisch konfiguriert werden. Propagate PMTU Hier wählen Sie aus, ob während der Phase 2 die PMTU (Path Maximum Transfer Unit) pro- pagiert werden soll oder nicht.
  • Seite 83 Untermenü IPSec (Phase 2) Defaults wählen. In den folgenden Tabellen sind die Elemente dieser potentiellen Kom- binationen aufgeführt: IPSec-Protokoll Beschreibung ➤➤ ESP (Encapsulated Secu- bietet Nutzdatenverschlüsselung rity Payload) sowie Authentifizierung. ➤➤ AH (Authentication Hea- bietet nur Authentifizierung, aber keine der) Nutzdatenverschlüsselung.
  • Seite 84 Untermenü IPSec (Phase 2) Defaults Sie können dieses Verhalten ändern, indem Sie ein IPSec Proposal wählen, der ➤➤ eine der folgenden Einstellungen für IPComP festlegt: IPComP-Option Beschreibung no Comp Ihr Gateway akzeptiert keine SAs, die die Nut- zung von IPComP festlegen. Falls der Peer so konfiguriert wurde, dass sein Gateway IPComP vorschlägt, dann schlägt die IPSec SA-Aus- handlung fehl und es wird keine Verbindung...
  • Seite 85 Untermenü IPSec (Phase 2) Defaults Dies sind die verfügbaren Hash-Algorithmen: Algorithmen Beschreibung Beschreibungen der Message-Hash-Algorith- men finden Sie in der Tabelle “IKE (Phase SHA1 1):Defaults: Message Hash-Algorithmen” auf Seite 66. NULL Falls der NULL-"Algorithmus" für die Authentifi- zierung angewandt wird, wird unter ESP kein Message Hash erzeugt und die Nutzdaten wer- den nur verschlüsselt.
  • Seite 86 Untermenü IPSec (Phase 2) Defaults Phase 2: Lifetime Informationen über die Lebensdauer des Proposals finden Sie unter “Phase 1: Lifetime Policy” auf Seite Use PFS Da PFS (Perfect Forward Secrecy) eine weitere Diffie-Hellman-Schlüsselbe- rechnung erfordert, um neues Verschlüsselungsmaterial zu erzeugen, müssen Sie die Exponentiations-Merkmale wählen.

  • Seite 87: Untermenü Certificate And Key Management

    ERTIFICATE AND ANAGEMENT zeigt Informationen über die auf Ihrem Gateway gespeicherten ANAGEMENT Schlüssel an: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][CERTMGMT][KEYS]: IPSec Configuration - MyGateway Configure Keys Highlight an entry and type ’e’ to generate a pkcs#10 certificate request...

  • Seite 88: Schlüsselerzeugung

    Wenn Sie einen neuen Schlüssel erzeugen möchten, können Sie dies im Menü ➜ ➜ CREATE vorneh- ERTIFICATE AND ANAGEMENT ANAGEMENT R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][CERTMGMT][KEYS][CREATE]: IPSec Configuration - MyGateway Create Keys Description: Algorithm: Key Size (Bits): 1024...

  • Seite 89: Zertifikatanforderung

    Untermenü Certificate and Key Management Feld Wert Key Size (Bits) Hier können Sie die Länge des zu erzeugenden Schlüssels auswählen. Mögliche Werte: 512, 768, 1024, 1536, 2048, 4096. Beachten Sie, dass ein Schlüssel mit der Länge 512 Bit als unsicher eingestuft werden könnte, während ein Schlüssel mit 4096 Bit nicht nur viel Zeit zur Erzeugung erfordert, son- dern während der IPSec-Verarbeitung einen...
  • Seite 90 Key to enroll: 1 (automatic key RSA 1024 (e 65537)) Method: SCEP CA Certificate: (download) Autosave: on CA Domain: cawindows Password: supersecret Subject Name: cn=filiale, ou=sales, o=funkwerk, c=DE Subject Alternative Names (optional): Type Value 192.168.1.254 MyGateway NONE State of Last Enrollment: none Server: http://scep.funkwerk.de:8080/scep/scep.dll...
  • Seite 91 Untermenü Certificate and Key Management Feld Wert Method Hier wählen Sie aus, auf welche Art Sie das Zertifikat beantragen wollen. Zur Verfügung stehen: ■ SCEP (Defaultwert) - Der Schlüssel wird mittels des Simple Certificate Enrollment Protocols bei einer CA beantragt. ■...
  • Seite 92 CA-Domain Nur für CA C = (download) ERTIFICATE Name des gewünschten CA-Zertifikates, z.B. cawindows. Die entsprechenden Daten erhalten Sie von Ihrem CA-Administrator. Subject Name Name (Distinguished Name) des Zertifikats im Format X.509, z.B. cn=filiale, ou=sales, o=funkwerk, c=DE bintec Benutzerhandbuch IPSec...
  • Seite 93 = SCEP oder Upload. ETHOD ■ für Upload: Auflösbarer Host-Name oder IP-Adresse des TFTP-Servers, an den die Zertifikatsanforderung (PKCS#10 Request) gesandt wird. ■ für SCEP: URL des SCEP-Servers, z.B. http://scep.funkwerk.de:8080/scep/scep.dll Die entsprechenden Daten erhalten Sie von Ihrem CA-Administrator. IPSec bintec Benutzerhandbuch...
  • Seite 94 Untermenü Certificate and Key Management Feld Wert Certname Nur für M = SCEP. ETHOD Der Name für das resultierende Zertifikat, unter dem es routerintern abgespeichert wird (plus Kennzeichnung für die Art des Zertifikats -ca, -rasign, -raencr, -user), z.B. filiale. Filename Nur für M = Upload.
  • Seite 95 Untermenü Certificate and Key Management Wert Bedeutung NONE Unter V wird nichts eingetragen. ALUE ➜ Tabelle 7-3: Auswahlmöglichkeiten von S UBJECT LTERNATIVE AMES Registration-Authority-Zertifikate im SCEP Bei der Verwendung von SCEP unterstützt Ihr Gateway auch separate Regi- stration-Authority-Zertifikate. Registration-Authority-Zertifikate werden von manchen Certificate Authorities (CAs) verwendet, um bestimmte Aufgaben (Signatur und Verschlüsselung) bei der SCEP Kommunikation mit separaten Schlüsseln abzuwickeln, und den Vor- gang ggf.

  • Seite 96: Beschreibung

    1 (keys/1) Method: SCEP CA-Certificate: 3 (cawindows-ca) Autosave: on RA-Certificate (Sign): 2 (cawindows-ras) Password: secret RA-Certificate (Encrypt): 1 (cawindows-rae) Subject Name: cn=filiale, ou=sales, o=funkwerk, c=DE Subject Alternative Names (optional): Type Value NONE NONE NONE State of Last Enrollment: none Server: http://scep.funkwerk.com:8080/scep/scep.dll...

  • Seite 97: Zertifikat-Untermenüs

    Untermenü Certificate and Key Management Feld Beschreibung RA-Certificate (Encrypt) Nur wenn (use RA-C ) nicht = ERTIFICATE CA cert). Wenn Sie ein eigenes Zertifikat zur Signierung der Kommunikation mit der RA verwenden, haben Sie hier die Möglichkeit, ein weiteres zur Verschlüsselung der Kommunikation auszu- wählen.
  • Seite 98 Untermenü Certificate and Key Management Das erste Menüfenster aller Zertifikat-Untermenüs sieht fast identisch aus: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][CERTMGMT][OWN]: IPSec Configuration - MyGateway Certificate Management Flags: 'O'= own cert, 'CA'= CA cert, 'N'= no CRLs, 'T'= cert forced trusted...

  • Seite 99: Zertifikatimport

    Untermenü Certificate and Key Management Sie können zwar den Inhalt des Zertifikats nicht verändern, jedoch an folgenden Daten Änderungen vornehmen: Feld Wert Description Hier wird die Beschreibung angezeigt, die Sie beim Import des Zertifikats eingegeben haben. Jetzt können Sie diese ändern. Type of Certificate Hier können Sie zwischen drei Arten von Zertifi- katen auswählen:...
  • Seite 100 Untermenü Certificate and Key Management Es sieht folgendermaßen aus (Beispiel aus O ERTIFICATES R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][CERTMGMT][OWN][GETCERT]: IPSec Configuration Get Certificate MyGateway Import a Certificate/CRL using: TFTP Type of certificate: Own Certificate Server: 192.168.1.10 Name: auto...
  • Seite 101 Untermenü Certificate and Key Management Feld Wert Server Nur für I /CRL MPORT A ERTIFICATE USING TFTP. Geben Sie den TFTP-Server an, von dem das Zertifikat heruntergeladen werden kann. Sie können entweder eine IP-Adresse oder einen auflösbaren Host-Namen eingeben. Name Geben Sie den Namen des Zertifikats ein, wel- ches heruntergeladen werden soll (falls Sie TFTP-Download gewählt haben) oder welches...
  • Seite 102 Der Import erfolgt im Menü zum Download eines Zertifikates, also IPS ➜ ➜ /CA/P ERTIFICATE ANAGEMENT ERTIFICATE DOWNLOAD: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][CERTMGMT][OWN][GETCERT]: IPsec Configuration Get Certificate MyGateway Import a Certificate/CRL using: TFTP Type of certificate: Own Certificate Server: 192.168.1.10 Name: mycert.p12...
  • Seite 103 Passwort stehen, so dass Sie es nur einmal eingeben müssen, sofern alle Passwörter indentisch sind). Danach wird das Zertifikat zur Kontrolle im Klartext angezeigt: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][CERTMGMT][OWN][GETCERT]: IPsec Configuration Review Certificate MyGateway Please Review retrieved Certificate: [mycert.p12]...

  • Seite 104: Untermenü Certificate Revocation Lists

    Seriennummer (Serial Number) der CRL ■ die NumC (das ist die Zahl der zurückgerufenen Zertifikate, die in der CRL enthalten sind). Das Menü sieht folgendermaßen aus: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][CERTMGMT][CRLS]: IPSec Configuration MyGateway - CRL Management Description Issuer...

  • Seite 105: Untermenü Certificate Servers

    Untermenü Certificate and Key Management möglicht, die Beschreibung der betroffenen CRL zu verändern. Es sieht z.B. so aus: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][CERTMGMT][CRLS][EDIT]: IPSec Configuration - MyGateway CRL Management Change Certificate Revocation List Attributes Description: ca1.crl.pem CRL Contents: CRL = IssuerName = <CN=Test CA 1, OU=Web test, O=SSH Comm...
  • Seite 106 Untermenü Certificate and Key Management Wenn Sie entweder einen Eintrag hervorheben und mit ENTER bestätigen oder die Option ADD wählen, gelangen Sie in das Menü ADD/EDIT. Hier können Sie entweder einen neuen Zertifikatserver eintragen, oder die Einstellungen von bereits vorhandenen verändern. Neben der Eingabe einer Beschreibung ) und der URL des Servers können Sie dem Server eine Präferenz ESCRIPTION ) zuweisen.

  • Seite 107: Untermenü Advanced Settings

    Seite mit älteren IPSec-Implementierungen arbeitet. Das Menü A sieht folgendermaßen aus: DVANCED ETTINGS R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][ADVANCED]: IPSec Configuration - Advanced Settings MyGateway Ignore Cert Req Payloads : Dont send Cert Req Payl. : Dont Send Cert Chains Dont send CRLs Dont send Key Hash Payl.
  • Seite 108 Untermenü Advanced Settings Feld Wert Dont send Cert Req Payl. Gibt an, ob während der IKE (Phase 1) Zertifi- katanforderungen gesandt werden sollen (no, Defaultwert) oder nicht (yes). Dont Send Cert Chains Gibt an, ob während IKE (Phase 1) komplette Zertifikatketten gesandt werden sollen (no, Defaultwert) oder nicht (yes).
  • Seite 109 Untermenü Advanced Settings Feld Wert Dont Send Initial Contact Gibt an, ob bei IKE (Phase 1) IKE Initial Con- tact-Meldungen auch dann gesandt werden sollen, wenn keine SAs mit einem Peer beste- hen (no, Defaultwert) oder nicht (yes). Sync SAs With Local Ifc Stellt sicher, dass alle SAs gelöscht werden, deren Datenverkehr über eine Schnittstelle geroutet wurde, an der sich der Status von up...
  • Seite 110 Untermenü Advanced Settings bintec Benutzerhandbuch IPSec...

  • Seite 111: Untermenü Wizard

    Profile für Phase 1 und Phase 2 nicht zur Verfügung. Wenn Sie das IPSec-Menü auswählen, startet automatisch der IPSec Wizard. Es öffnet sich folgendes Fenster: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][WIZARD]: IPsec Configuration - Wizard Menu MyGateway IPsec 1st step configurations wizard...
  • Seite 112 Untermenü Wizard werden Ihnen Informationen zu den Konfigurationsschritten im Fensterbereich unter der Überschrift Configuration History angezeigt: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC] [WIZARD]: IPsec Configuration - Wizard Menu MyGateway IPsec 1st step configurations wizard Configuration History: - for ESP: NULL Rijndael Twofish Blowfish CAST DES DES3...
  • Seite 113 Untermenü Wizard Wert Bedeutung skip Mit dieser Option können Sie einen Konfigurati- onsschritt überspringen, wenn dieser nicht not- wendig ist (zum Beispiel das Anfordern eines Zertifikates, wenn bereits eines vorhanden ist). abort Diese Option steht zur Verfügung, um einen notwendigen Konfigurationsschritt zu umge- hen.
  • Seite 114 Untermenü Wizard später im IPSec-Hauptmenü oder bei der Peer-Konfiguration bestimmen. Wäh- rend der Wizard-Konfiguration wird eine Default-Kombination ausgewählt. Schritt 3 Der Wizard fragt ab, welche Authentisierungsart (Authentication Method) ver- (Authentisierungsart wendet werden soll. Wenn Sie Pre Shared Keys verwenden, fahren Sie mit festlegen) Schritt 8 fort und erstellen einen Peer mit dem notwendigen Passwort (dem Preshared Key).
  • Seite 115 Untermenü Wizard siehe “Zertifikat-Untermenüs” auf Seite 95 Nach Eingabe der notwenigen Da- ten gelangen Sie in das Wizard-Menü zurück. Schritt 7 (CRL Server / Wenn sowohl Ihr Zertifikat als auch das der CA auf dem Gateway installiert Peer Certificate) sind, fordert der Wizard Sie auf, einen Server anzugeben, von dem Certificate Revocation Lists (CRLs) heruntergeladen werden können.
  • Seite 116 Untermenü Wizard bintec Benutzerhandbuch IPSec...

  • Seite 117: Untermenü Monitoring

    Untermenü Monitoring Untermenü Monitoring Im Folgenden wird das Menü M beschrieben. ONITORING ➜ Im Menü IPS gelangt man in folgende Untermenüs: ONITORING ■ LOBAL TATISTICS ■ IKE S ECURITY SSOCIATIONS ■ SA B UNDLES Hier können Sie sich die globalen IPSec-Statistiken, IKE Security Associations und IPSec Security Associations anzeigen lassen.
  • Seite 118 Untermenü Monitoring Das Menü sieht folgendermaßen aus (die hier aufgeführten Werte sind nur Bei- spiele): R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][MONITORING][STATS]: IPSec Monitoring - MyGateway Global Statistics Peers Dormant: 6 Blocked: 0 Phase 1: Phase 2: 10 Packets...
  • Seite 119 Untermenü Monitoring Feld Wert SAs Phase 2 Zeigt die Anzahl der aktiven Phase-2-SAs = established) zur Gesamtzahl der TATE Phase-2-SAs an. (Siehe “Untermenü IPSec SA Bundles” auf Seite 120.) Packets In/Out Hier wird die Anzahl der Pakete angezeigtun- tergliedert in die Art der Verarbeitung: ■...

  • Seite 120: Untermenü Ike Security Associations

    ) zeigt Statistiken über die IKE-Phase1-SAs an. ECURITY SSOCIATIONS Es sieht folgendermaßen aus (die aufgeführten Werte sind nur Beispiele): R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][MONITORING][IKE SAS]: IPSec Monitoring - MyGateway IKE SAs T: xch.-Type: B=Base I=Id-prot. O=auth-Only A=Aggressive A: Auth-Meth: P=P-S-Key D=DSA-sign.S=RSA-sign.
  • Seite 121 Untermenü Monitoring Feld Wert Remote IP Zeigt die offizielle IP-Adresse des entfernten Peers an. Local ID Zeigt die lokale ID an. Auch hier besteht die ID aus Angaben aus dem Zertifikat welches für die Authentifizierung benutzt wurde. TARSEH Zeigt die Kombination der im Hilfebereich des Menüfensters erläuterten Parameter an.

  • Seite 122: Untermenü Ipsec Sa Bundles

    EBUGGING ) zeigt die IPSec-Security Associations an, die in IPSec Phase 2 aus- UNDLES gehandelt wurden. Das Menü sieht folgendermaßen aus: R4100 Setup Tool Funkwerk Enterprise Communications GmbH [IPSEC][MONITORING][IPSEC BUNDLES]: IPSec Monitoring - MyGateway IPSec SA Bundles Local LPort Pto Remote RPort CEA In 192.168.1.0/24 0...
  • Seite 123 Untermenü Monitoring Feld Wert RPort Zeigt die entfernte Portnummer oder den Port- nummernbereich an, die/der von dieser SA geschützt wird. Zeigt an, welche IPSec-Protokolle für die SA verwendet werden: ■ C = IPComp ■ E = ESP ■ A = AH. Zeigt die Anzahl der über diese SA empfange- nen Bytes an.
  • Seite 124 Untermenü Monitoring bintec Benutzerhandbuch IPSec...

  • Seite 125: Index: Ipsec

    Index: IPSec Numerics 38, 70 1 (768 bit MODP) 39, 71 2 (1024 bit MODP) 32, 49, 65, 82 3DES 39, 71 5 (1536 bit MODP) abort ACTION 8, 53, 55, 59 Action 12, 15 Admin Status 40, 72 aggressive 41, 73 aggressive-only 48, 81...
  • Seite 126 clear config Cookies Size 43, 75 CRLs D-Channel Mode 42, 74 Dead Peer Detection 42, 74 Dead-Peer-Detection (DPD) 42, 74 Dead-Peer-Detection (DPD), Idle Mode 40, 72 default Der IPSec- Wizard Schritt für Schritt 32, 49, 65, 82 7, 12, 15, 52, 58, 63, 86, 96, 97 Description 30, 46, 77 Description (Idx 0)
  • Seite 127 30, 64 Group 41, 73 Heartbeats 8, 54, 59 host 40, 72 id_protect ID-Protect-Modus 40, 72 id-protect-only Ignore Cert Req Payloads IKE (Phase 1) Defaults Import a Certificate/CRL using Incoming ISDN Number Interface IP Settings Interoperabilitäts-Flags 48, 81 IPComP IPsec (Phase 2) Defaults 19, 20 ISDN Callback 38, 70...
  • Seite 128 Local/Remote 54, 59 Type LPort Max. Symmetric Key Length 50, 83 32, 66 MD5 (Message Digest #5) Messages Method 25, 30, 64 Mode MODP Name 44, 76 NAT Traversal Nat-Traversal Nat-Traversals 9, 54, 60 49, 82 no Comp NONE 50, 82, 83 NULL Oper Status Outgoing ISDN Number...
  • Seite 129 Peers Up Phase 1 41, 73 Alive Check 39, 71 Authentication Method 38, 70 Group Lifetime Policy 43, 75 Local Certificate 43, 75 Local ID 40, 72 Mode 31, 64 Proposal Phase 2 51, 84 Lifetime 48, 80 Proposal PKCS#12-Unterstützung Please enter certificate data Port Pre Shared Key...
  • Seite 130 32, 49, 65, 82 Rijndael 33, 66 RipeMD 160 RPort 40, 72 RSA Encryption RSA Public Exponent 39, 71 RSA Signatures 13, 116 SAs Phase 1 13, 117 SAs Phase 2 Schritt 1 (NAT-Einstellungen) Schritt 2 (Erstellung der Proposals) Schritt 3 (Authentisierungsart festlegen) Schritt 4 (Zertifikat beantragen) Schritt 5 (Eigenes Zertifikat) Schritt 6 (CA-Zertifikat)
  • Seite 131 Subject Name Subject Names Sync SAs With Local Ifc 118, 119 TARSEH 33, 66 Tiger 192 Traffic List Settings Transfer own IP Address over ISDN Trust ICMP Messages try specific D channel mode, fall back on B 32, 49, 65, 82 Twofish Type 97, 98...
  • Seite 132 bintec Benutzerhandbuch IPSec...

Diese Anleitung auch für:

Bintec r4300

Inhaltsverzeichnis