Konfiguration eines einzelnen Client-zu-Gateway Virtual Private Network (VPN) auf den VPN-Routern der Serien RV320 und RV325

Download-Optionen

  • PDF     (4.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (3.9 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:13. Dezember 2018
Dokument-ID:SMB4288

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Ziel

In diesem Dokument wird erläutert, wie Sie ein einzelnes Client-to-Gateway Virtual Private Network (VPN) auf VPN-Routern der Serie RV32x konfigurieren.

Einführung

Ein VPN ist ein privates Netzwerk, das verwendet wird, um einen Remote-Benutzer virtuell über ein öffentliches Netzwerk zu verbinden. Ein VPN-Typ ist ein Client-to-Gateway-VPN. Ein Client-to-Gateway-VPN ist eine Verbindung zwischen einem Remote-Benutzer und dem Netzwerk. Der Client wird auf dem Gerät des Benutzers mit VPN-Clientsoftware konfiguriert. Sie ermöglicht Benutzern die sichere Remote-Verbindung mit einem Netzwerk.

Anwendbare Geräte

  • RV320 Dual-WAN VPN-Router
  • RV325 Dual-WAN-VPN-Router mit Gigabit

Softwareversion

  • V1.1.0.09

VPN-Konfiguration für Einzelclient an Gateway

Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie VPN > Client to Gateway aus. Die Seite Client to Gateway wird geöffnet:

Schritt 2: Klicken Sie auf das Optionsfeld Tunnel, um einen Tunnel für das VPN zwischen Client und Gateway hinzuzufügen.

Neuen Tunnel hinzufügen

Hinweis: Tunnel No (Tunnelnr): Stellt die Nummer des Tunnels dar. Diese Nummer wird automatisch generiert.

Schritt 1: Geben Sie den Namen des Tunnels in das Feld Tunnelname ein.

Schritt 2: Wählen Sie aus der Dropdown-Liste Interface (Schnittstelle) die Schnittstelle aus, über die der Remote-Client auf das VPN zugreift.

Schritt 3: Wählen Sie in der Dropdown-Liste Keying Mode den entsprechenden Modus für die Schlüsselverwaltung aus, um die Sicherheit sicherzustellen. Der Standardmodus ist IKE mit vorinstalliertem Schlüssel.


Die Optionen sind wie folgt definiert:

  • Manual (Manuell) - Benutzerdefinierter Sicherheitsmodus zum Erstellen eines neuen Sicherheitsschlüssels allein und ohne Verhandlung mit dem Schlüssel. Sie eignet sich am besten für die Fehlerbehebung oder in einer kleinen statischen Umgebung.
  • IKE mit vorinstalliertem Schlüssel - Das IKE-Protokoll (Internet Key Exchange) wird verwendet, um automatisch einen vorinstallierten Schlüssel zu generieren und auszutauschen, um eine authentifizierte Kommunikation für den Tunnel herzustellen.
  • IKE mit Zertifikat - Das IKE-Protokoll (Internet Key Exchange) mit Zertifikat ist eine sicherere Methode zum automatischen Generieren und Austausch von vorinstallierten Schlüsseln, um eine sicherere Kommunikation für den Tunnel zu ermöglichen.

Schritt 4: Aktivieren Sie das Kontrollkästchen Aktivieren, um das VPN zwischen Client und Gateway zu aktivieren. Es ist standardmäßig aktiviert.

Schritt 5: Wenn Sie die Einstellungen speichern möchten, scrollen Sie nach unten, und klicken Sie auf Speichern, um die Einstellungen zu speichern.

Lokale Gruppeneinrichtung

Lokale Gruppeneinrichtung mit manueller oder IKE mit vorinstalliertem Schlüssel

Hinweis: Führen Sie die folgenden Schritte aus, wenn Sie in der Dropdown-Liste Keying Mode in Schritt 3 des Abschnitts Add a New Tunnel (Neuen Tunnel hinzufügen) die Option Manual (Manuell) oder IKE mit vorinstalliertem Schlüssel ausgewählt haben.

Schritt 1: Wählen Sie in der Dropdown-Liste Local Security Gateway (Lokales Sicherheitsgateway) die entsprechende Router-Identifizierungsmethode aus, um einen VPN-Tunnel einzurichten. 


Die Optionen sind wie folgt definiert:

  • IP Only (Nur IP): Der Zugriff auf den Tunnel ist nur über eine statische WAN-IP möglich. Sie können diese Option auswählen, wenn nur der Router über eine statische WAN-IP verfügt. Die statische WAN-IP-Adresse wird automatisch generiert.
  • IP + Domain Name (FQDN)-Authentifizierung - Der Zugriff auf den Tunnel ist über eine statische IP-Adresse und eine registrierte Domäne möglich. Wenn Sie diese Option wählen, geben Sie den Namen der registrierten Domäne in das Feld Domänenname ein. Die statische WAN-IP-Adresse wird automatisch generiert.
  • IP + E-Mail Addr. (USER FQDN) Authentifizierung - Der Zugriff auf den Tunnel ist über eine statische IP-Adresse und eine E-Mail-Adresse möglich. Wenn Sie diese Option wählen, geben Sie die E-Mail-Adresse in das Feld E-Mail-Adresse ein. Die statische WAN-IP-Adresse wird automatisch generiert.
  • Dynamic IP + Domain Name (FQDN) Authentication - Der Zugriff auf den Tunnel ist über eine dynamische IP-Adresse und eine registrierte Domäne möglich. Wenn Sie diese Option wählen, geben Sie den Namen der registrierten Domäne in das Feld Domänenname ein.
  • Dynamische IP- + E-Mail-Adresse (USER FQDN) Authentifizierung - Der Zugriff auf den Tunnel ist über eine dynamische IP-Adresse und eine E-Mail-Adresse möglich. Wenn Sie diese Option wählen, geben Sie die E-Mail-Adresse in das Feld E-Mail-Adresse ein.
  • IP-Adresse - Stellt die IP-Adresse der WAN-Schnittstelle dar. Es ist ein schreibgeschütztes Feld.

Schritt 2: Wählen Sie aus der Dropdown-Liste Local Security Group Type (Typ der lokalen Sicherheitsgruppe) den entsprechenden lokalen LAN-Benutzer oder eine Benutzergruppe aus, die auf den VPN-Tunnel zugreifen kann. Der Standardwert ist "Subnet".

  • IP - Nur ein bestimmtes LAN-Gerät kann auf den Tunnel zugreifen. Wenn Sie diese Option wählen, geben Sie die IP-Adresse des LAN-Geräts in das Feld IP-Adresse ein. Die Standard-IP-Adresse lautet 192.168.1.0.
  • Subnetz - Alle LAN-Geräte in einem bestimmten Subnetz können auf den Tunnel zugreifen. Wenn Sie diese Option wählen, geben Sie die IP-Adresse und die Subnetzmaske der LAN-Geräte in das Feld IP-Adresse und Subnetzmaske ein. Die Standardmaske ist 255.255.255.0.
  • IP Range (IP-Bereich) - Eine Reihe von LAN-Geräten kann auf den Tunnel zugreifen. Wenn Sie diese Option wählen, geben Sie die Start- und End-IP-Adresse in die Felder Start IP und End IP (Endadresse) ein. Der Standardbereich liegt zwischen 192.168.1.0 und 192.168.1.254.

Schritt 3: Wenn Sie die Einstellungen speichern möchten, scrollen Sie nach unten, und klicken Sie auf Speichern, um die Einstellungen zu speichern.

Lokale Gruppen-Einrichtung mit IKE mit Zertifikat für Tunnel-VPN

Hinweis: Führen Sie die folgenden Schritte aus, wenn Sie IKE mit Zertifikat aus der Dropdown-Liste Keying Mode in Schritt 3 des Abschnitts Add a New Tunnel (Neuen Tunnel hinzufügen) ausgewählt haben.

  • Lokaler Sicherheits-Gateway-Typ - Der Zugriff auf den Tunnel ist über IP mit einem Zertifikat möglich.
  • IP-Adresse - Stellt die IP-Adresse der WAN-Schnittstelle dar. Es ist ein schreibgeschütztes Feld.

Schritt 1: Wählen Sie das entsprechende lokale Zertifikat aus, um den Router in der Dropdown-Liste Lokales Zertifikat zu identifizieren. Klicken Sie auf Self-Generator, um das Zertifikat automatisch zu generieren, oder klicken Sie auf Zertifikat importieren, um ein neues Zertifikat zu importieren.

Hinweis:Weitere Informationen zum automatischen Generieren von Zertifikaten finden Sie unter Generate Certificates on RV320 Routers (Zertifikate generieren auf RV320-Routern). Informationen zum Importieren von Zertifikaten finden Sie unter Configure My Certificate on RV320 Routers.

Schritt 2: Wählen Sie aus der Dropdown-Liste Local Security Group Type (Typ der lokalen Sicherheitsgruppe) den entsprechenden Typ des lokalen LAN-Benutzers oder der Benutzergruppe aus, der auf den VPN-Tunnel zugreifen kann. Der Standardwert ist "Subnet".

  • IP - Nur ein bestimmtes LAN-Gerät kann auf den Tunnel zugreifen. Wenn Sie diese Option wählen, geben Sie die IP-Adresse des LAN-Geräts im Feld IP Address (IP-Adresse) ein. Die Standard-IP-Adresse lautet 192.168.1.0.
  • Subnetz - Alle LAN-Geräte in einem bestimmten Subnetz können auf den Tunnel zugreifen. Wenn Sie diese Option wählen, geben Sie die IP-Adresse und die Subnetzmaske der LAN-Geräte in das Feld IP Address (IP-Adresse) bzw. Subnet Mask (Subnetzmaske) ein. Die Standardmaske ist 255.255.255.0.
  • IP Range (IP-Bereich) - Eine Reihe von LAN-Geräten kann auf den Tunnel zugreifen. Wenn Sie diese Option wählen, geben Sie die Start- bzw. End IP-Adresse in die Felder Start IP bzw. End IP (IP starten und beenden) ein. Der Standardbereich liegt zwischen 192.168.1.0 und 192.168.1.254.

Schritt 3: Wenn Sie die Einstellungen speichern möchten, scrollen Sie nach unten, und klicken Sie auf Speichern, um die Einstellungen zu speichern.

Remote-Client-Setup

Remote-Client-Setup mit manueller oder IKE mit vorinstalliertem Schlüssel

Hinweis: Führen Sie die folgenden Schritte aus, wenn Sie in der Dropdown-Liste Keying Mode in Schritt 3 des Abschnitts Add a New Tunnel (Neuen Tunnel hinzufügen) die Option Manual (Manuell) oder IKE mit vorinstalliertem Schlüssel ausgewählt haben.

Schritt 1: Wählen Sie aus der Dropdown-Liste Remote Security Gateway die entsprechende Client-Identifizierungsmethode zum Einrichten eines VPN-Tunnels aus. Der Standardwert ist "Nur IP". 

  • IP Only (Nur IP): Der Zugriff auf den Tunnel ist nur über die statische WAN-IP des Clients möglich. Sie können diese Option nur auswählen, wenn Sie die statische WAN-IP oder den Domänennamen des Clients kennen. Wählen Sie entweder die IP-Adresse aus der Dropdown-Liste aus, und geben Sie die statische IP des Clients in das angrenzende Feld ein, oder wählen Sie IP by DNS Resolved aus der Dropdown-Liste aus, und geben Sie den Domänennamen der IP-Adresse in das angrenzende Feld ein. Über den lokalen DNS-Server der IP-Adresse kann der Router die IP-Adresse automatisch abrufen.

    • Hinweis: Wenn Sie in Schritt 3 im Abschnitt Add a New Tunnel Through Tunnel (Neuen Tunnel durch Tunnel hinzufügen) oder im Abschnitt Group VPN (Gruppen-VPN) die Option Manual (Manuell) aus der Dropdown-Liste auswählen, ist dies die einzige verfügbare Option.

  • IP + Domain Name (FQDN)-Authentifizierung - Der Zugriff auf den Tunnel ist über eine statische IP-Adresse des Clients und eine registrierte Domäne möglich. Wenn Sie diese Option wählen, geben Sie den Namen der registrierten Domäne im Feld Domain Name (Domänenname) ein. Wählen Sie entweder die IP-Adresse aus der Dropdown-Liste aus, und geben Sie die statische IP des Clients in das angrenzende Feld ein, oder wählen Sie IP by DNS Resolved aus der Dropdown-Liste aus, und geben Sie den Domänennamen der IP-Adresse in das angrenzende Feld ein. Über den lokalen DNS-Server der IP-Adresse kann der Router die IP-Adresse automatisch abrufen.
  • IP + E-Mail Addr. (USER FQDN) Authentifizierung - Der Zugriff auf den Tunnel ist über eine statische IP-Adresse des Clients und eine E-Mail-Adresse möglich. Wenn Sie diese Option wählen, geben Sie die E-Mail-Adresse in das Feld E-Mail-Adresse ein. Wählen Sie entweder die IP-Adresse aus der Dropdown-Liste aus, und geben Sie die statische IP des Clients in das angrenzende Feld ein, oder wählen Sie IP by DNS Resolved aus der Dropdown-Liste aus, und geben Sie den Domänennamen der IP-Adresse in das angrenzende Feld ein. Über den lokalen DNS-Server der IP-Adresse kann der Router die IP-Adresse automatisch abrufen.
  • Dynamische IP + Domänenname (FQDN)-Authentifizierung - Der Zugriff auf den Tunnel ist über eine dynamische IP-Adresse des Clients und eine registrierte Domäne möglich. Wenn Sie diese Option wählen, geben Sie den Namen der registrierten Domäne im Feld Domain Name (Domänenname) ein.
  • Dynamische IP- + E-Mail-Adressierung (USER FQDN) Authentifizierung - Der Zugriff auf den Tunnel ist über eine dynamische IP-Adresse des Clients und eine E-Mail-Adresse möglich. Wenn Sie diese Option wählen, geben Sie die E-Mail-Adresse in das Feld E-Mail-Adresse ein.

Schritt 2: Wenn Sie die Einstellungen speichern möchten, scrollen Sie nach unten, und klicken Sie auf Speichern, um die Einstellungen zu speichern.

Remote-Gruppeneinrichtung mit IKE mit Zertifikat

Hinweis: Führen Sie die folgenden Schritte aus, wenn Sie IKE mit Zertifikat aus der Dropdown-Liste Keying Mode in Schritt 3 des Abschnitts Add a New Tunnel (Neuen Tunnel hinzufügen) ausgewählt haben.

  • Remote Security Gateway Type (Gateway-Typ für Remote-Sicherheit) - Die Client-Identifikation ist über IP mit einem Zertifikat zum Herstellen einer VPN-Verbindung möglich.

Schritt 1: Wählen Sie IP-Adresse oder IP by DNS Resolved aus der Dropdown-Liste aus.

  • IP-Adresse - Der Zugriff auf den Tunnel ist nur über die statische WAN-IP des Clients möglich. Sie können diese Option nur auswählen, wenn Sie die statische WAN-IP des Clients kennen. Geben Sie die statische IP des Clients in das Feld IP-Adresse ein.
  • IP By DNS Resolved (IP durch DNS aufgelöst): Dieser Befehl ist nützlich, wenn Sie die IP-Adresse des Clients nicht kennen, die Domäne dieser IP-Adresse jedoch kennen. Geben Sie den Domänennamen der IP-Adresse ein. Über den lokalen DNS-Server der IP-Adresse kann der Router die IP-Adresse automatisch abrufen.

Schritt 2: Wählen Sie das entsprechende Remote-Zertifikat aus der Dropdown-Liste Remote Certificate aus. Klicken Sie auf Remote-Zertifikat importieren, um ein neues Zertifikat zu importieren, oder auf CSR autorisieren, um ein Zertifikat mit einer digitalen Signierungsanfrage zu identifizieren.

Hinweis: Weitere Informationen zum Importieren eines neuen Zertifikats finden Sie unter View/Add Trusted SSL Certificate auf RV320 Routern. Weitere Informationen zu autorisierten CSR-Zertifikaten finden Sie unter Certificate Signing Request (CSR) auf RV320 Routern.

Schritt 3: Wenn Sie die Einstellungen speichern möchten, scrollen Sie nach unten, und klicken Sie auf Speichern, um die Einstellungen zu speichern.

IPSec-Einrichtung

IPSec-Einrichtung mit manuellem Schlüssel

Hinweis: Führen Sie die folgenden Schritte aus, wenn Sie in der Dropdown-Liste Keying Mode in Schritt 3 des Abschnitts Add a New Tunnel (Neuen Tunnel hinzufügen) die Option Manual (Manuell) auswählen.

Schritt 1: Geben Sie den eindeutigen Hexadezimalwert für den eingehenden Security Parameter Index (SPI) im Feld Incoming SPI (Incoming SPI) ein. Der SPI wird im ESP-Header (Encapsulating Security Payload Protocol) übertragen, der zusammen die Sicherheitszuordnung (Security Association, SA) für das eingehende Paket bestimmt. Der Bereich liegt zwischen 100 und 100, der Standardwert ist 100.

Schritt 2: Geben Sie den eindeutigen Hexadezimalwert für den ausgehenden Security Parameter Index (SPI) im Feld Outgoing SPI (Ausgehender SPI) ein. Der SPI wird im ESP-Header (Encapsulating Security Payload Protocol) übertragen, der zusammen die Sicherheitszuordnung (Security Association, SA) für das ausgehende Paket bestimmt. Der Bereich liegt zwischen 100 und 100, der Standardwert ist 100.

Hinweis: Der eingehende SPI des angeschlossenen Geräts und der ausgehende SPI am anderen Ende des Tunnels sollten übereinstimmen, um einen Tunnel einzurichten.

Schritt 3: Wählen Sie die entsprechende Verschlüsselungsmethode aus der Dropdown-Liste Encryption aus. Die empfohlene Verschlüsselung ist 3DES. Der VPN-Tunnel muss für beide Enden dieselbe Verschlüsselungsmethode verwenden.

  • DES - Data Encryption Standard (DES) ist eine nicht so sichere, ältere, abwärtskompatible Verschlüsselungsmethode mit 56 Bit.
  • 3DES - Triple Data Encryption Standard (3DES) ist eine einfache 168-Bit-Verschlüsselungsmethode, mit der die Schlüsselgröße durch dreimal verschlüsselte Daten erhöht werden kann, was mehr Sicherheit bietet als DES.

Schritt 4: Wählen Sie die entsprechende Authentifizierungsmethode aus der Dropdown-Liste Authentication (Authentifizierung) aus. Die empfohlene Authentifizierung ist SHA1. Der VPN-Tunnel muss für beide Enden dieselbe Authentifizierungsmethode verwenden.

  • MD5 - Message Digest Algorithm-5 (MD5) stellt eine 32-stellige hexadezimale Hashfunktion dar, die die Daten durch die Berechnung der Prüfsumme vor böswilligen Angriffen schützt.
  • SHA1 - Secure Hash Algorithm Version 1 (SHA1) ist eine 160-Bit-Hash-Funktion, die sicherer ist als MD5.

Schritt 5: Geben Sie im Feld Verschlüsselungsschlüssel den Schlüssel zum Verschlüsseln und Entschlüsseln von Daten ein. Wenn Sie DES in Schritt 3 als Verschlüsselungsmethode ausgewählt haben, geben Sie einen 16-stelligen Hexadezimalwert ein. Wenn Sie in Schritt 3 3DES als Verschlüsselungsmethode auswählen, geben Sie einen Hexadezimalwert mit 40 Ziffern ein.

Schritt 6: Geben Sie im Feld Authentifizierungsschlüssel einen vorinstallierten Schlüssel zur Authentifizierung des Datenverkehrs ein. Wenn Sie in Schritt 4 MD5 als Authentifizierungsmethode auswählen, geben Sie einen 32-stelligen Hexadezimalwert ein. Wenn Sie in Schritt 4 SHA als Authentifizierungsmethode auswählen, geben Sie einen Hexadezimalwert mit 40 Ziffern ein. Der VPN-Tunnel muss für beide Enden denselben vorinstallierten Schlüssel verwenden.

Schritt 7: Wenn Sie die Einstellungen speichern möchten, scrollen Sie nach unten, und klicken Sie auf Speichern, um die Einstellungen zu speichern.

IPSec-Einrichtung mit IKE mit vorinstalliertem Schlüssel oder IKE mit Zertifikat

Hinweis: Führen Sie die folgenden Schritte aus, wenn Sie IKE mit vorinstalliertem Schlüssel oder IKE mit Zertifikat in der Dropdown-Liste Keying Mode in Schritt 3 des Abschnitts Add a New Tunnel (Neuen Tunnel hinzufügen) auswählen.

Schritt 1: Wählen Sie aus der Dropdown-Liste Phase 1 DH Group die entsprechende Phase 1 DH-Gruppe aus. Phase 1 dient zum Aufbau der Simplex, Logical Security Association (SA) zwischen den beiden Enden des Tunnels, um eine sichere authentische Kommunikation zu unterstützen. Diffie-Hellman (DH) ist ein kryptografisches Schlüsselaustauschprotokoll, das während der Phase-1-Verbindung verwendet wird, um geheime Schlüssel zur Authentifizierung der Kommunikation freizugeben. 

  • Gruppe 1 - 768 Bit - Stellt den niedrigsten Stärke-Schlüssel und die unsicherste Authentifizierungsgruppe dar. Die Berechnung der IKE-Schlüssel erfordert jedoch weniger Zeit. Es wird empfohlen, wenn die Netzwerkgeschwindigkeit niedrig ist.
  • Gruppe 2 - 1024 Bit - Stellt einen leistungsfähigeren Schlüssel und eine sicherere Authentifizierungsgruppe dar. Die IKE-Schlüssel müssen jedoch erst nach einiger Zeit berechnet werden.
  • Gruppe 5 - 1536 Bit - Stellt den höchsten Stärke-Schlüssel und die sicherste Authentifizierungsgruppe dar. Die Berechnung der IKE-Schlüssel erfordert mehr Zeit. Es wird empfohlen, wenn die Netzwerkgeschwindigkeit hoch ist.

Schritt 2: Wählen Sie aus der Dropdown-Liste Phase 1 Encryption die entsprechende Phase 1 Encryption aus, um den Schlüssel zu verschlüsseln. AES-256 wird empfohlen, da es sich um die sicherste Verschlüsselungsmethode handelt. Der VPN-Tunnel muss für beide Enden dieselbe Verschlüsselungsmethode verwenden.

  • DES - Data Encryption Standard (DES) ist eine 56-Bit-Verschlüsselungsmethode, die nicht sehr sicher ist.
  • 3DES - Triple Data Encryption Standard (3DES) ist eine einfache 168-Bit-Verschlüsselungsmethode, mit der die Schlüsselgröße durch dreimal verschlüsselte Daten erhöht werden kann, was mehr Sicherheit bietet als DES.
  • AES-128 - Advanced Encryption Standard (AES) ist eine 128-Bit-Verschlüsselungsmethode, die den Klartext durch 10 Wiederholungszyklen in einen verschlüsselten Text umwandelt.
  • AES-192 - Advanced Encryption Standard (AES) ist eine 192-Bit-Verschlüsselungsmethode, die den Klartext durch 12 Wiederholungszyklen in einen verschlüsselten Text umwandelt.
  • AES-256 - Advanced Encryption Standard (AES) ist eine 256-Bit-Verschlüsselungsmethode, die den Klartext durch 14 Wiederholungszyklen in einen verschlüsselten Text umwandelt.

Schritt 3: Wählen Sie die entsprechende Authentifizierungsmethode aus der Dropdown-Liste Phase 1 Authentication (Authentifizierung Phase 1) aus. Der VPN-Tunnel muss für beide Enden dieselbe Authentifizierungsmethode verwenden.

  • MD5 - Message Digest Algorithm-5 (MD5) stellt eine 32-stellige hexadezimale Hashfunktion dar, die die Daten durch die Berechnung der Prüfsumme vor böswilligen Angriffen schützt.
  • SHA1 - Secure Hash Algorithm Version 1 (SHA1) ist eine 160-Bit-Hash-Funktion, die sicherer ist als MD5.

Schritt 4: Geben Sie die Zeitdauer in Sekunden ein. In Phase 1 bleibt der VPN-Tunnel im Feld SA Lifetime (SA-Lebensdauer der Phase 1) aktiv.  Die Standardzeit ist 28.800 Sekunden.

Schritt 5: Aktivieren Sie das Kontrollkästchen Perfect Forward Secrecy (Perfekte Weiterleitungsgeheimnis), um die Schlüssel besser zu schützen. Mit dieser Option kann ein neuer Schlüssel generiert werden, wenn ein Schlüssel beschädigt ist. Die verschlüsselten Daten werden nur über den angegriffenen Schlüssel kompromittiert. So wird die Kommunikation sicherer und authentifizierter, da andere Schlüssel gesichert werden, wenn ein Schlüssel beschädigt ist. Dies ist eine empfohlene Maßnahme, da sie mehr Sicherheit bietet.

Schritt 6: Wählen Sie aus der Dropdown-Liste Phase 2 DH Group die entsprechende Phase 2 DH-Gruppe aus. Phase 1 dient zum Aufbau der Simplex, Logical Security Association (SA) zwischen den beiden Enden des Tunnels, um eine sichere authentifizierte Kommunikation zu unterstützen. Diffie-Hellman (DH) ist ein kryptografisches Schlüsselaustauschprotokoll, das während der Phase-1-Verbindung verwendet wird, um geheime Schlüssel zur Authentifizierung der Kommunikation freizugeben.

  • Gruppe 1 - 768 Bit - Stellt den niedrigsten Stärke-Schlüssel und die unsicherste Authentifizierungsgruppe dar. Die Berechnung der IKE-Schlüssel erfordert jedoch weniger Zeit. Es wird empfohlen, wenn die Netzwerkgeschwindigkeit niedrig ist.
  • Gruppe 2 - 1024 Bit - Stellt einen leistungsfähigeren Schlüssel und eine sicherere Authentifizierungsgruppe dar. Die IKE-Schlüssel müssen jedoch erst nach einiger Zeit berechnet werden.
  • Gruppe 5 - 1536 Bit - Stellt den höchsten Stärke-Schlüssel und die sicherste Authentifizierungsgruppe dar. Die Berechnung der IKE-Schlüssel erfordert mehr Zeit. Es wird empfohlen, wenn die Netzwerkgeschwindigkeit hoch ist.

Schritt 7: Wählen Sie aus der Dropdown-Liste Phase 2 Encryption die entsprechende Phase 2-Verschlüsselung aus, um den Schlüssel zu verschlüsseln. AES-256 wird empfohlen, da es sich um die sicherste Verschlüsselungsmethode handelt. Der VPN-Tunnel muss für beide Enden dieselbe Verschlüsselungsmethode verwenden.

  • DES - Data Encryption Standard (DES) ist eine 56-Bit-Verschlüsselungsmethode, die nicht sehr sicher ist.
  • 3DES - Triple Data Encryption Standard (3DES) ist eine einfache 168-Bit-Verschlüsselungsmethode, mit der die Schlüsselgröße durch dreimal verschlüsselte Daten erhöht werden kann, was mehr Sicherheit bietet als DES.
  • AES-128 - Advanced Encryption Standard (AES) ist eine 128-Bit-Verschlüsselungsmethode, die den Klartext durch 10-fache Wiederholungen in einen verschlüsselten Text umwandelt.
  • AES-192 - Advanced Encryption Standard (AES) ist eine 192-Bit-Verschlüsselungsmethode, die den Klartext durch 12-fache Wiederholungen in einen verschlüsselten Text umwandelt.
  • AES-256 - Advanced Encryption Standard (AES) ist eine 256-Bit-Verschlüsselungsmethode, die den Klartext durch 14-fache Wiederholungen in einen verschlüsselten Text umwandelt.

Schritt 8: Wählen Sie die entsprechende Authentifizierungsmethode aus der Dropdown-Liste Phase-2-Authentifizierung aus. Der VPN-Tunnel muss für beide Enden dieselbe Authentifizierungsmethode verwenden.

  • MD5 - Message Digest Algorithm-5 (MD5) stellt eine 32-stellige hexadezimale Hashfunktion dar, die die Daten durch die Berechnung der Prüfsumme vor böswilligen Angriffen schützt.
  • SHA1 - Secure Hash Algorithm Version 1 (SHA1) ist eine 160-Bit-Hash-Funktion, die sicherer ist als MD5.
  • Null - Es wird keine Authentifizierungsmethode verwendet.

Schritt 9: Geben Sie die Zeitdauer in Sekunden ein. In Phase 2 bleibt der VPN-Tunnel im Feld "Phase 2 SA Lifetime" aktiv.  Die Standardzeit ist 3600 Sekunden.

Schritt 10: Aktivieren Sie das Kontrollkästchen Minimale Komplexität des vorinstallierten Schlüssels, wenn Sie die Kraftanzeige für den vorinstallierten Schlüssel aktivieren möchten.

Schritt 11: Geben Sie einen Schlüssel ein, der zuvor von den IKE-Peers im Feld Vorinstallierter Schlüssel gemeinsam genutzt wird. Bis zu 30 alphanumerische Zeichen können als vorinstallierter Schlüssel verwendet werden. Der VPN-Tunnel muss für beide Enden denselben vorinstallierten Schlüssel verwenden.

Hinweis: Es wird dringend empfohlen, den vorinstallierten Schlüssel zwischen den IKE-Peers häufig zu ändern, damit das VPN sicher bleibt.

  • Preshared Key Strength Meter - Zeigt die Stärke des vorinstallierten Schlüssels durch farbige Striche an. Rot bedeutet schwache Stärke, Gelb bedeutet akzeptable Stärke und Grün bedeutet starke Stärke. Wenn Sie das Kontrollkästchen Minimale Komplexität des vorinstallierten Schlüssels in Schritt 10 des Abschnitts "IPSec-Einrichtung" aktivieren, wird nur die Feststelltaste angezeigt.

Hinweis: Wenn Sie IKE mit vorinstalliertem Schlüssel aus der Dropdown-Liste Keying Mode in Schritt 3 für den Abschnitt Add a New Tunnel (Neuen Tunnel hinzufügen) auswählen, können Sie nur Schritt 10, Schritt 11 konfigurieren und die vorinstallierte Schlüsselstärke-Messanzeige anzeigen.

Schritt 12: Wenn Sie die Einstellungen speichern möchten, scrollen Sie nach unten, und klicken Sie auf Speichern, um die Einstellungen zu speichern.

Erweitertes Setup mit IKE mit vorinstalliertem Schlüssel oder IKE mit Zertifikat

Erweiterte Einstellungen sind nur für IKE mit vorinstalliertem Schlüssel und IKE mit Zertifizierungsschlüssel möglich. Die manuelle Tasteneinstellung hat keine erweiterten Einstellungen.

Schritt 1: Klicken Sie auf Erweitert, um die erweiterten Einstellungen für IKE mit vorinstalliertem Schlüssel abzurufen.

Schritt 2: Aktivieren Sie das Kontrollkästchen Aggressive Mode (Aggressiver Modus), wenn die Netzwerkgeschwindigkeit niedrig ist. Die IDs der Endpunkte des Tunnels werden während der SA-Verbindung in Klartext getauscht, was weniger Zeit für den Austausch, aber weniger Sicherheit erfordert.

Schritt 3: Aktivieren Sie das Kontrollkästchen Compress (Support IP Payload Compression Protocol (IPComp)), wenn Sie die Größe des IP-Datagramms komprimieren möchten. IPComp ist ein IP-Komprimierungsprotokoll, das verwendet wird, um die Größe des IP-Datagramms zu komprimieren, wenn die Netzwerkgeschwindigkeit niedrig ist und der Benutzer die Daten schnell und ohne Verlust über das langsame Netzwerk übertragen möchte.

Schritt 4.Aktivieren Sie das Kontrollkästchen Keep-Alive, wenn die Verbindung des VPN-Tunnels immer aktiv bleiben soll. Es hilft, die Verbindungen sofort wieder herzustellen, wenn eine Verbindung inaktiv wird.

Schritt 5: Aktivieren Sie das Kontrollkästchen AH Hash Algorithm, wenn Sie den Authenticate Header (AH) authentifizieren möchten. AH ermöglicht die Authentifizierung von Daten, Datenintegrität durch Prüfsumme und Schutz wird auf den IP-Header erweitert. Der Tunnel sollte für beide Seiten denselben Algorithmus haben.

  • MD5 - Message Digest Algorithm-5 (MD5) stellt eine 128-stellige Hexadezimalfunktion dar, die die Daten durch die Prüfsummenberechnung vor böswilligen Angriffen schützt.
  • SHA1 - Secure Hash Algorithm Version 1 (SHA1) ist eine 160-Bit-Hash-Funktion, die sicherer ist als MD5.

Schritt 6: Aktivieren Sie NetBIOS-Broadcast, wenn Sie nicht routbaren Datenverkehr durch den VPN-Tunnel zulassen möchten. Die Standardeinstellung ist deaktiviert. NetBIOS wird verwendet, um Netzwerkressourcen wie Drucker, Computer usw. im Netzwerk über einige Softwareanwendungen und Windows-Features wie Network Neighborhood (Netzwerkumgebung) zu erkennen.

Schritt 7: Aktivieren Sie das NAT Traversal-Kontrollkästchen, wenn Sie über eine öffentliche IP-Adresse aus Ihrem privaten LAN auf das Internet zugreifen möchten. NAT-Traversal wird verwendet, um die privaten IP-Adressen der internen Systeme als öffentliche IP-Adressen anzuzeigen, um die privaten IP-Adressen vor böswilligen Angriffen oder Entdeckungen zu schützen.

Schritt 8: Aktivieren Sie das Dead Peer Detection Interval (Intervall zur Erkennung von Dead-Peers), um die Lebensbereitschaft des VPN-Tunnels durch Hello oder ACK regelmäßig zu überprüfen. Wenn Sie dieses Kontrollkästchen aktivieren, geben Sie die Dauer oder das Intervall der Hello-Nachrichten ein, die Sie senden möchten.

Schritt 9: Aktivieren Sie Extended Authentication, um mehr Sicherheit und Authentifizierung für die VPN-Verbindung bereitzustellen. Klicken Sie auf das entsprechende Optionsfeld, um die Authentifizierung der VPN-Verbindung zu erweitern.

  • IPSec-Host - erweiterte Authentifizierung über IPSec-Host. Wenn Sie diese Option wählen, geben Sie den Benutzernamen des IPSec-Hosts im Feld User Name (Benutzername) und ein Kennwort im Feld Password (Kennwort) ein.
  • Edge Device (Edge-Gerät): Erweiterte Authentifizierung über das Edge-Gerät. Wenn Sie diese Option wählen, wählen Sie aus der Dropdown-Liste die Datenbank aus, die das Edge-Gerät enthält. Wenn Sie die Datenbank hinzufügen oder bearbeiten möchten, klicken Sie auf Hinzufügen/Bearbeiten.

Hinweis: Weitere Informationen zum Hinzufügen oder Bearbeiten der lokalen Datenbank finden Sie unter Konfiguration der Benutzer- und Domänenverwaltung auf dem RV320 Router.

Schritt 10: Aktivieren Sie Mode Configuration (Konfiguration des Modus), um die IP-Adresse für den eingehenden Tunnelanforderer anzugeben.

Hinweis: Die Schritte 9 bis 11 sind für den IKE Preshared Keying Mode für Tunnel VPN verfügbar.

Schritt 11: Klicken Sie auf Speichern, um die Einstellungen zu speichern.

Schlussfolgerung

Nun haben Sie die Schritte zur Konfiguration eines VPN-VPN-Client-zu-Gateway auf VPN-Routern der Serie RV32x gelernt.

Sehen Sie sich ein Video zu diesem Artikel an..

Klicken Sie hier, um weitere Tech Talks von Cisco anzuzeigen.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren