IPSec

Abb. 219: IPSec aktivieren

In diesem Menü werden die Grundeinstellungen für IPSec im TIME for kids Schulrouter Plus definiert.

1 Button: IPSec aktivieren
Durch einen Klick auf den Button IPSec aktivieren kann der IPSec Dienst an- und ausgeschaltet werden. Die IPSec Einstellungen können nur dann bearbeitet werden, wenn der Dienst vorher aktiviert wurde. 


IPSec Einstellungen

Abb. : IPSec Einstellungen konfigurieren

1 Virtueller IP-Pool
Hier wird der IP-Pool der virtuellen IP-Adressen festgelegt.

2 Verzögerung ping (in Sekunden)
Hier kann ein Wert in Sekunden festgelegt werden, mit dem ein Ping verzögert werden kann.

3 Timeout Intervall (in Sekunden) - nur IKEv1
Hier kann ein Wert in Sekunden festgelegt werden, der für das Timeout Intervall gelten soll.

4 Drop-Down-Liste: Zertifikat: Konfiguration
An dieser Stelle kann das zu verwendende Zertifikat spezifiziert und konfiguriert werden. Die Beschreibung der einzelnen Konfigurationsarten sind in den Abschnitten des Kapitels Zertifikate zu finden.

5 Link: Zertifikat herunterladen
Mit einem Klick auf den Link Zertifikat herunterladen kann das aktuelle Zertifikat heruntergeladen und lokal gespeichert werden.

6 Link: Debug Optionen
Durch einen Klick auf den Link Debug Optionen wird eine zusätzliche Konfigurationsebene ausgeklappt. Die Beschreibung der Debug Optionen befindet sich im nächsten Abschnitt - Debug Optionen -dieses Kapitels.

7 Button: Speichern
Ein Klick auf den Button SPEICHERN sichert die Änderungen.


Debug Optionen

Abb. : IPSec Debug Optionen


Verbindungen

Abb. : Übersicht aktueller IPSec Verbindungen

1 Link: Neue Verbindung hinzufügen
Durch einen Klick auf den Link Neue Verbindung hinzufügen kann eine neue IPSec Verbindung erstellt werden.
Die Beschreibung zum anlegen oder bearbeiten einer Verbindung erfolgt im Teilkapitel Neue Verbindung hinzufügen.

2 Spalte: Aktionen
In der Spalte Aktionen können durch einen Klick auf das entsprechende Symbol die folgenden Aktionen für eine bestehende IPSec Verbindung durchgeführt werden:

  • aktivieren :aktivieren: / :deaktiviert: deaktivieren

  • bearbeiten :bearbeiten:

  • Verbindung zurücksetzen (neu starten) :recon:

  • Details anzeigen (info)

  • löschen :delete:


Neue Verbindung hinzufügen

Abb. : Neue IPSec Verbindung hinzufügen

1 Textfeld: Name
Hier wird der Name für die IPSec Verbindung vergeben. Der Name sollte eindeutig und aussagekräftig sein, um bei mehr als einer IPSec Verbindung die Übersicht zu erhalten.

2 Textfeld: Anmerkung
Hier kann eine Anmerkung angegeben werden, um die Verbindung später in der Übersicht leichter identifizieren zu können.

3 Drop-Down-Liste Verbindungstyp
Hier muss der IPSec Verbindungstyp festgelegt werden.  Der Schulrouter Pus unterstützt für IPSec die folgenden Optionen:

  • Host-to-Net (roadwarrior)

    • Host zu Netz Zugriff. Clients können sich via IPSec mit dem Netzwerk des Schulrouter Plus verbinden.

  • Net-to-Net

    • Netz zu Netz Verbindung. Ein entferntes Netzwerk kann mit dem Netzwerk des Schulrouter Plus verbunden werden.

4 Drop-Down-Liste: Authentifizierungstyp
Hier kann der Authentifizierungstyp zur Sicherung der Verbindung angegeben werden. Mögliche Optionen sind:

  • Pasword (PSK)

  • Peer wurde durch IPV4_ADDR, FQDN, USER_FQDN oder DER_ASN1_DN im Remote ID Feld identifiziert

  • Ein vorhandenes Zertifikat verwenden

  • Erzeuge ein neues Zertifikat

  • Ein Zertifikat hochladen

  • Eine Zertifikatsanfrage hochladen

Hinweis
Mehr Informationen zur Verwendung von Zertifikaten wird im zugehörige Teilkapitel Zertifikate erläutert.


5 Textfeld: lokale ID
Hier kann eine lokale ID für die IPSec Verbindung angegeben werden.

6 Drop-Down-Liste: Schnittstelle
Hier wird festgelegt, für welche Schnittstelle bzw. Sicherheits-Zone die IPSec Verbindung gelten soll.

7 Textfeld: Lokale Subnetze
Hier werden zeilenweise die lokalen Subnetze angegeben, welche für die IPSec Verbindung gelten sollen.

8 Textfeld: entfernte ID
Hier kann die ID der Gegenstelle angegeben werden.

9 Textfeld Gegenstelle Host/IP
Hier wird die IP oder der Hostname der Gegenstelle angegeben.

10 Checkbox: Virtuelle IP / Textfeld: Remote Subnetz
An dieser Stelle muss unterschieden werden, welcher Verbindungstyp unter 3 ausgewählt wurde.

  • Verbindungstyp: Host zu Netz

    • Durch aktivieren der Checkbox Virtuelle IP kann festgelegt werden, ob eine virtuelle IP genutzt werden soll (gesetzt) oder nicht.

  • Verbindungstyp: Netz zu Netz

    • Im Textfeld Remote Subnetze können zeilenweise die Quell-Subnetze angegeben werden, welche für die IPSec Verbindung genutzt werden sollen. Die Eingabe wird im CIDR-Format erwartet.

11 Drop-Down-Liste: Aktion bei Dead Peer Erkennung
Hier wird festgelegt, wie die IPSec Verbindung bei Erkennung einer Dead Peer reagieren soll. Mögliche Optionen sind:

  • Neustart: Es wird versucht die Verbindung neu aufzubauen

  • Löschen: Bestehende Verbindung wird gelöscht

  • Halten: Es wird versucht die Verbindung zu halten

12 Link: Erweitert
Ein Klick auf den Link Erweitert öffnet die erweiterten Einstellungen für die IPSec Verbindung.

13 Checkbox: Aktiviert
Mit dieser Checkbox wird festgelegt, ob die Verbindung nach dem Speichern aktiviert sein soll (gesetzt) oder ob die Verbindung zur späteren Verwendung lediglich gespeichert, aber nicht aktiviert wird.

14 Button: Hinzufügen
Ein Klick auf den Button HINZUFÜGEN speichert die Einstellungen und erstellt eine neue IPSec Instanz.

Ein Klick auf den Link Abbrechen verwirft alle ungespeicherten Änderungen und schließt den Verbindungs-Assistenten.


Erweitert

Abb. : Erweiterte Einstellungen beim Erstellen einer neuen IPSec Verbindung

1 Mehrfachauswahl: IKE Verschlüsselung
Hier können die erlaubten IKE Verschlüsselungmechanismen angegeben werden, die für diese IPSec Verbindung genutzt werden sollen. Nach einem Klick in das Feld mit der Mehrfachauswahl, können die gewünschten Typen durch aktivieren der zugehörigen Checkbox aktiviert werden.

Mit Hilfe der beiden Links Check all und Uncheck all können alle Checkboxen gesetzt (Check all) oder gelöscht (Uncheck all) werden.

2 Mehrfachauswahl: IKE Integrität
Hier werden die Typen für die IKE Integrität festgelegt. Die Mehrfachauswahl erfolgt analog zu 1.

3 Mehrfachauswahl: IKE Gruppen Typ
Hier werden die IKE Gruppen Typen für die IPSec Verbindung ausgewählt.

4 Textfeld: IKE lifetime
Hier wird die IKE lifetime in Stunden angegeben. Eingabe erwartet ganze Zahl.

5 Drop-Down-Liste: IKE version
Über die Drop-Down-Liste wird hier die IKE Version ausgewählt.

6 Mehrfachauswahl: ESP Verschlüsselung
Hier können die erlaubten ESP Verschlüsselungmechanismen angegeben werden, die für diese IPSec Verbindung genutzt werden sollen.

7 Mehrfachauswahl: ESP Integrität
Hier werden die Typen für die ESP Integrität festgelegt.

8 Mehrfachauswahl: ESP Gruppen Typ
Hier werden die ESP Gruppen Typen für die IPSec Verbindung ausgewählt.

9 Textfeld: ESP lifetime
Hier wird die ESP lifetime in Stunden angegeben. Eingabe erwartet ganze Zahl.

10 Checkbox: Payloadkompression ausschalten
Wird diese Checkbox gesetzt, wird die Payloadkompression für diese IPSec Verbindung deaktiviert.