FEC Onlineservices
 
Hinweise zu IPSec-Verbindungen mit Fremdprodukten (GUI Konfiguration)
Diese FAQ gibt Hinweise zu IPSec-Verbindungen von bintec Routern zu Fremdprodukten. Als Beispiel wurde ein bintec RT3002 mit Release 9.1 Rev. 5 (Patch 1) verwendet. Andere bintec Router mit vergleichbaren Softwareversionen sind identisch bzw. analog zu konfigurieren. Die Konfiguration des bintec Routers erfolgt mittels GUI.

Hinweis 1: NAT Konfiguration
Bitte prüfen Sie in der NAT-Konfiguration, ob es folgenden NAT-Eintrag gibt, ggf. neu hinzufügen:


IKE basiert auf UDP und nutzt standardmäßig den Port 500 als Quell- und Ziel-Port. Einige Fremdprodukte akzeptieren daher nur diesen UDP-Port für eingehende IPSec-Verbindungen.

Hinweis 2: IPSec Phase-1-Profil
Bitte prüfen Sie im verwendeten IPSec Phase-1-Profil, ob eine Verschlüsselung mit fester Schlüssellänge ausgewählt ist und der Parameter "Erreichbarkeitsprüfung" auf "Automatische Erkennung" eingestellt ist, ggf. anpassen:


Für einige Fremdprodukte muss die Schlüssellänge fest eingestellt sein. Mit der Einstellung der "Erreichbarkeitsprüfung" auf "Automatische Erkennung" unterstützen wir die DPD-Funktion bei der IKE-Aushandlung und zur Erkennung, ob die IPSec-Verbindung noch besteht.

Hinweis 3: IPSec Phase-2-Profil
Bitte prüfen Sie im verwendeten IPSec Phase-2-Profil, ob eine Verschlüsselung mit fester Schlüssellänge ausgewählt ist, der Parameter "Lebensdauer" auf 100% gesetzt ist, der Parameter "IP-Komprimierung" nicht aktiviert ist und der Parameter "Erreichbarkeitsprüfung" inaktiv gesetzt ist, ggf. anpassen:


Für einige Fremdprodukte muss die Schlüssellänge fest eingestellt sein und die Lebensdauer der "IPSec-SAs" auf beiden Endpunkten der IPSec-Verbindung identisch sein, damit das IPSec-Rekeying problemlos funktionieren kann. Die Erreichbarkeitsprüfung "Heartbeats (send and expect)" ist proprietär und nur zwischen 2 bintec Routern möglich.

 

rh

© 2015 bintec elmeg GmbH