Als Erstes müssen Sie dafür sorgen, dass jede Seite über einen eigenen Schlüssel verfügt und die Gegenseite den öffentlichen Schlüssel der Gegenseite hat. Es empfiehlt sich, auf jedem System einen eigenen Schlüssel nur für VPNs anzulegen.
Wenn Sie auf dem Intra2net System mehrere VPNs einrichten, müssen Sie nicht für jede Verbindung extra einen eigenen Schlüssel anlegen: Sie können einen eigenen Schlüssel für alle VPNs verwenden. Nur von jeder der Gegenstellen benötigen Sie natürlich den öffentlichen Schlüssel.
Weitere Details zur Schlüsselverwaltung finden Sie im 45. Kapitel, „Schlüsselmanagement“ und Abschnitt 47.2, „Vorbereiten der Konfiguration auf dem Intra2net System“.
Im Menü Dienste > VPN > Verbindungen können Sie VPN-Verbindungen im Intra2net System konfigurieren. Legen Sie eine neue Verbindung an und wählen den Typ "".
Auf der ersten Seite stellen Sie die Gegenstelle ein. Die Gegenstelle ist die offizielle, externe IP, unter der das Intra2net System das IPSec-Gateway auf der anderen Seite der Verbindung erreichen kann. Verwechseln Sie diese nicht mit der IP, die die Gegenseite in ihrem eigenen lokalen Netz hat (typischerweise aus einem privaten Netzbereich).
Hat die Gegenseite eine feste IP, können Sie entweder diese IP direkt eintragen oder einen DNS-Hostnamen innerhalb der Domain des Kunden einrichten und den verwenden. Der DNS-Hostname hat den Vorteil, dass er bei Änderungen am Internetzugang leicht zentral auf eine neue IP angepasst werden kann, während die IP auf allen Gegenstellen manuell angepasst werden muss.
Ist die Gegenseite vom Intra2net System aus nicht direkt erreichbar, z.B. weil sie hinter einem NAT-Router des dortigen Internetproviders liegt, können Sie als Typ "Dynamische IP (Road Warrior)" auswählen. Die Verbindung kann dann aber nur von der Gegenseite aus aufgebaut werden.
Über das Verschlüsselungsprofil können die verwendeten Verschlüsselungsalgorithmen ausgewählt werden; für Details siehe Abschnitt 44.8, „Algorithmen“.
Über die Kapselung wird kontrolliert, wie die Pakete für den VPN-Tunnel eingepackt werden. Bei ESP wird die Verschlüsselung und Authentifizierung in eine Hülle eingepackt. Bei ESP+AH werden Verschlüsselung und Authentifizierung separat vorgenommen. ESP+AH kann nicht durch NAT geleitet werden, daher hat sich ESP durchgesetzt. Diese Einstellung muss auf beiden Seiten der Verbindung identisch sein.
Beachten Sie auch die Einstellung der "". Prüfen Sie, ob die Gegenstelle IKEv2 unterstützt und wählen dann das empfohlene IKEv2. Ansonsten nehmen Sie IKEv1. Diese Einstellung muss auf beiden Seiten identisch konfiguriert sein und das gewählte Verschlüsselungsprofil muss zur IKE-Version passen.
Wählen Sie den eigenen und den Schlüssel der Gegenseite aus.
Eine Authentifizierung per Schlüssel/Zertifikat wird wegen der höheren Sicherheit eindeutig empfohlen.
Besteht die Gegenseite auf Nutzung von per Pre-Shared Key (PSK), müssen Sie zusätzlich zu dem gemeinsamen Schlüssel die IKE IDs der beiden Seiten wählen. Siehe Abschnitt 44.4, „IKE IDs“ für Details. Es wird ausdrücklich empfohlen immer den Typ ID_RFC822_ADDR / E-Mail zu verwenden. Denn anhand des enthaltenen "@"-Zeichens ist der Typ eindeutig zu erkennen. Außerdem gibt es keine Möglichkeit diese IDs der IP-Adresse der zugrundeliegenden Verbindung zuzuordnen und damit evtl. falsch zu interpretieren.
Bei Verwendung von Pre-Shared-Key sollte dieser per Zufallsgenerator erzeugt werden und mindestens 32 volle Bytes lang sein. Dafür kann z.B. die Schaltfläche "" in der Oberfläche verwendet werden. Werden keine vollen Bytes, sondern nur ASCII-codierte verwendet, sollte der Schlüssel entsprechend länger sein. Jede Verbindung sollte einen eigenen, unterschiedlichen Pre-Shared-Key verwenden.
Zum Schutz vor Angriffen mit Quantencomputern sollte die Funktion "" genutzt werden. Diese ist nur bei IKEv2 verfügbar. Siehe Abschnitt 44.9.1, „Post-Quantum Pre-Shared Key (PPK)“ für Details. Diese Funktion muss auf beiden Seiten der Verbindung identisch konfiguriert sein.
Auf der Seite "Tunnel" wird konfiguriert, welche Netze durch diese VPN-Verbindung miteinander verbunden werden.
Über den Punkt "" wird das zu verbindende Netz auf Seite des Intra2net Systems gewählt. Wählen Sie bei der Option "" eines der direkt an das Intra2net System angeschlossenen oder gerouteten Netze aus.
Wählen Sie bei "" den Typ "" und tragen Sie IP und Netzmaske des Netzes hinter dem IPSec Gateway auf der Gegenseite ein.
Die Optionen zur Adressumschreibung (NAT) werden im 54. Kapitel, „Lösen von IP-Adresskonflikten in VPNs durch NAT“ erklärt.
In diesem Menü werden die Rechte des VPN-Netzes auf der Gegenseite definiert. Dies betrifft alle Pakete, die aus diesem VPN-Netz kommen. Eine Beschreibung der Rechteoptionen finden Sie unter Abschnitt 9.3, „Zugriffsrechte eines Netzwerkobjekts“.
In diesem Menü wird konfiguriert, wann die Verbindung aufgebaut und bestehende Sitzungen verlängert werden.
Beim passiven oder manuellen Start wartet das Intra2net System, bis entweder die Gegenseite die Verbindung aufbaut oder der Benutzer über die Hauptseite die Verbindung manuell aufbaut. Wird die Verbindung immer gestartet, versucht das Intra2net System kontinuierlich die Verbindung aufzubauen und offen zu halten.
Die Anzahl der Aufbauversuche betrifft nur den manuellen Aufbau über die Hauptseite. In Verbindung mit der Startvariante "" hat diese Option keine Relevanz.
Die Lebensdauern für die beiden Phasen, bzw. SA-Varianten bei IKEv2, geben an, nach wie viel Minuten eine Verbindung wieder neu authentifiziert und neue Sitzungsschlüssel ausgehandelt werden. Die Zeit für Phase 1 / IKE_SA sollte größer sein als die für Phase 2 / CHILD_SA. Diese Werte müssen nicht mit den Einstellungen auf der Gegenseite übereinstimmen.
Ist bei "" ein Wert eingetragen, sendet das Intra2net System mindestens so oft wie angegeben ein Paket an die Gegenseite. Kommt darauf mehrfach keine Antwort, wird die Verbindung getrennt und neu aufgebaut. Für diese Funktion wird die Dead-Peer-Detection (DPD) des IKE-Standards verwendet.
Die MOBIKE-Funktion erlaubt der Gegenseite das Ändern ihrer externen IP-Adresse im laufenden Betrieb. Dies ist vor allem für VPN-Clients relevant.
Die Option "" empfiehlt sich bei Netz-zu-Netz Verbindungen in den meisten Fällen deaktiviert zu lassen, also Rekeying zu nutzen. Denn bei der neuen Authentifizierung kann es, abhängig von der IKE-Implementation auf der Gegenseite, zu einer kurzen Verbindungsunterbrechung bei der regelmäßigen neuen Authentifizierung kommen. Siehe Abschnitt 44.7.3.3, „Neu Authentifizieren vs. Rekeying“ für Details.