Um ein IPSec VPN aufzubauen, müssen Verbindungseinstellungen konfiguriert werden. Diese sog. Proposals müssen zueinander passen und auf beiden Seiten des IPSec Tunnels auf der Firewall konfiguriert werden. Diese steuern bspw. den Verschlüsselungsalgorhythmus, die Schlüssellänge und das Hashverfahren, um nur die wichtigsten zu nennen.
Bestehen besondere Wünsche oder ist ein Gerät in den Auswahlmöglichkeiten beschränkt, hat man natürlich die Möglichkeit hier besondere Einstellungen zu machen. Falls keine gesonderte Präferenz besteht, so schlagen wir die folgenden Proposals vor.
sitetosite.wegscheider.cloud
IKEv2 (Main Mode bei IKEv1 falls IKEv2 nicht unterstützt wird)
PSK (bis zu 128 Zeichen sind möglich)
Identifier
auf Wegscheider Seite ist der FQDN
Identifier auf Kundenseite ist die statische WAN IP Adresse
AES256
SHA256
DH14 (2048 Bit)
86400 Sekunden (24 Stunden)
NAT-T inaktiv (bevorzugt wenn IPSec Endpunkt direkt am WAN hängt)
AES256
SHA256
PFS14 (2048 Bit)
28800 Sekunden (8 Stunden)
10.20.0.0 / 255.255.0.0
IdleTimout
(deaktivieren)
DeadPeerDetection (nutzen falls verfügbar)
Tunnel nach einer gewissen Datenmenge trennen (deaktivieren)
Umgekehrt benötigen wir noch Ihre WAN IP Adresse der IPSec Gegenstelle, die direkt am WAN hängt als auch das interne LAN IP Subnetz.
Die FritzBox (die man eigentlich aus dem Heimbereich kennt) wird von unserer Seite nicht mehr als IPSec Gegenstelle unterstützt. Leider wurde diese in den neueren Versionen nicht verbessert, sondern die ohnehin schon rudimentären Möglichkeiten wurden noch weiter eingeschränkt. Darüber hinaus werden dort keine aktuellen Verschlüsselungsmethoden/Hashverfahren unterstützt, so dass wir uns zu dieser Maßnahme genötigt sehen.
Die IP des WAN Anschluss muss statisch sein und darf nicht dynamisch vergeben werden.
Für die Einrichtung eines IPSec VPNs wird zwischen beiden Teilnehmern ein eindeutiges IP Subnetz benötigt. Die Einrichtung eines VPNs eines bereits benutzten, identischem IP Subnetzes ist nicht möglich. Es gibt Router die diesen Sachverhalt lösen, indem noch einmal in ein anderes Subnetz "genattet" wird, das kann aber lange nicht jedes Modell. Unter Umständen muss also das lokale IP Subnetz auf Ihrer Seite auf ein, noch auf unserer Seite unbenutztes Subnetz, umkonfiguriert werden.
Sollte dies nicht möglich sein, kann man die Anbindung auch über ein Remotedesktop Gateway realisieren. Dies geht allerdings mit Nachteilen in der Druckeranbindung mit einher. Komplexe Seitensteuerungen, welche bspw. das Papier aus verschiedenen Schächten ziehen, sind dann nicht mehr möglich. Sprechen Sie uns in dem Falle an.