Ein Virtual Private Network (VPN) ist eine sichere Verbindung zwischen zwei Endpunkten. Ein privates Netzwerk, das Daten sicher zwischen diesen beiden Standorten oder Netzwerken sendet, wird durch einen VPN-Tunnel aufgebaut. Ein VPN-Tunnel verbindet zwei PCs oder Netzwerke und ermöglicht die Übertragung von Daten über das Internet, als ob sich die Endpunkte in einem Netzwerk befinden. VPN ist eine gute Lösung für Unternehmen, die Mitarbeiter haben, die häufig außerhalb des LAN unterwegs sein oder reisen müssen. Mit VPN können diese Mitarbeiter auf das LAN zugreifen und die für ihre Arbeit verfügbaren Ressourcen nutzen. Darüber hinaus können über VPN zwei oder mehr Standorte miteinander verbunden werden, sodass Unternehmen mit unterschiedlichen Zweigstellen miteinander kommunizieren können.
Hinweis: Die RV-Serie für kabelgebundene Router bietet zwei Arten von VPNs: Gateway-to-Gateway und Client-to-Gateway. Damit die VPN-Verbindung ordnungsgemäß funktioniert, müssen die IPSec-Werte auf beiden Seiten der Verbindung identisch sein. Außerdem müssen beide Seiten der Verbindung zu verschiedenen LANs gehören. In den nächsten Schritten wird erläutert, wie VPN auf der RV-Serie für kabelgebundene Router konfiguriert wird.
Für die Zwecke dieses Artikels ist die VPN-Konfiguration Gateway-zu-Gateway.
In diesem Artikel wird die Einrichtung eines VPN-Tunnels auf den VPN-Routern RV016 RV042, RV042G und RV082 erläutert.
RV016
RV042
RV042G
RV082
· v4.2.1.02
Schritt 1: Melden Sie sich bei der Seite Web Configuration Utility (Webkonfigurationsprogramm) an, und wählen Sie VPN > Gateway to Gateway (VPN > Gateway zu Gateway). Die Seite "Gateway to Gateway" wird geöffnet:
Hinweis: Um einen VPN-Tunnel zwischen Client und Gateway zu konfigurieren, wählen Sie VPN > Client to Gateway aus.
Schritt 2: Geben Sie im Feld Tunnel Name (Tunnel-Name) den Namen des VPN-Tunnels ein.
Schritt 3: Wählen Sie in der Dropdown-Liste Interface (Schnittstelle) eine der verfügbaren WAN-Schnittstellen aus. Dies ist die Schnittstelle, die den VPN-Tunnel zur anderen Seite erstellt.
Schritt 4: Wählen Sie in der Dropdown-Liste Local Group Setup (Lokales Gruppensetup) in der Dropdown-Liste Local Security Gateway Type (Typ des lokalen Sicherheitsgateways) eine der aufgeführten Optionen aus:
· IP Only (Nur IP): Wählen Sie diese Option aus, wenn Ihr Router mit einer statischen IP-Adresse für die Internetverbindung konfiguriert ist.
· IP + Domain Name (FQDN)-Authentifizierung: Wählen Sie diese Option aus, wenn Ihr Router mit einer statischen IP-Adresse und einem registrierten Domänennamen für die Internetverbindung konfiguriert ist.
· IP + E-Mail Address (User FQDN) Authentication (IP + E-Mail-Adresse) - Wählen Sie diese Option aus, wenn Ihr Router mit einer statischen IP-Adresse für die Internetverbindung konfiguriert ist und eine E-Mail-Adresse für die Authentifizierung verwendet wird.
· Dynamic IP + Domain Name (FQDN) Authentication (Dynamische IP + Domänenname) - Wählen Sie diese Option aus, wenn Ihr Router mit einer dynamischen IP-Adresse konfiguriert ist und für die Authentifizierung ein dynamischer Domänenname verwendet wird.
· Dynamische IP + E-Mail-Adresse (User FQDN)-Authentifizierung: Wählen Sie diese Option, wenn Ihr Router über eine dynamische IP-Adresse für die Internetverbindung verfügt, aber keinen dynamischen Domänennamen für die Authentifizierung hat und stattdessen eine E-Mail-Adresse für die Authentifizierung verwendet wird.
Schritt 5: Wählen Sie unter Local Group Setup in der Dropdown-Liste Local Security Group Type (Typ der lokalen Sicherheitsgruppe) eine der folgenden Optionen aus:
· IP Address (IP-Adresse): Mit dieser Option können Sie ein Gerät angeben, das diesen VPN-Tunnel verwenden kann. Sie müssen nur die IP-Adresse des Geräts eingeben.
· Subnetz - Wählen Sie diese Option, damit alle Geräte, die demselben Subnetz angehören, den VPN-Tunnel verwenden können. Sie müssen die Netzwerk-IP-Adresse und die entsprechende Subnetzmaske eingeben.
· IP Range (IP-Bereich): Wählen Sie diese Option, um eine Reihe von Geräten anzugeben, die den VPN-Tunnel verwenden können. Sie müssen die erste IP-Adresse und die letzte IP-Adresse des Gerätespektrums eingeben.
Schritt 6: Wählen Sie unter Remote Group Setup (Remote-Gruppeneinrichtung) in der Dropdown-Liste Remote Local Security Gateway Type (Typ des lokalen Sicherheitsgateways) eine der folgenden Optionen aus:
· IP Only (Nur IP): Wählen Sie diese Option aus, wenn Ihr Router mit einer statischen IP-Adresse für die Internetverbindung konfiguriert ist.
· IP + Domain Name (FQDN)-Authentifizierung: Wählen Sie diese Option aus, wenn Ihr Router mit einer statischen IP-Adresse und einem registrierten Domänennamen für die Internetverbindung konfiguriert ist.
· IP + E-Mail Address (User FQDN) Authentication (IP + E-Mail-Adresse) - Wählen Sie diese Option aus, wenn Ihr Router mit einer statischen IP-Adresse für die Internetverbindung konfiguriert ist und eine E-Mail-Adresse für die Authentifizierung verwendet wird.
· Dynamic IP + Domain Name (FQDN) Authentication (Dynamische IP + Domänenname) - Wählen Sie diese Option aus, wenn Ihr Router mit einer dynamischen IP-Adresse konfiguriert ist und für die Authentifizierung ein dynamischer Domänenname verwendet wird.
· Dynamische IP + E-Mail-Adresse (User FQDN)-Authentifizierung: Wählen Sie diese Option, wenn Ihr Router über eine dynamische IP-Adresse für die Internetverbindung verfügt, aber keinen dynamischen Domänennamen für die Authentifizierung hat und stattdessen eine E-Mail-Adresse für die Authentifizierung verwendet wird.
Schritt 7: Wenn Sie IP Only (Nur IP) als Remote-Gateway-Typ für lokale Sicherheit auswählen, wählen Sie eine der folgenden Optionen aus der Dropdown-Liste aus:
· IP - Wählen Sie diese Option aus, um die IP-Adresse im angrenzenden Feld einzugeben.
· IP by DNS Resolved (IP durch DNS aufgelöst): Wählen Sie diese Option, wenn Sie die IP-Adresse des Remote-Gateways nicht kennen, und geben Sie dann den Namen des anderen Routers in das benachbarte Feld ein.
Schritt 8: Wählen Sie unter Remote Group Setup (Remote-Gruppeneinrichtung) in der Dropdown-Liste Remote-Sicherheitsgruppentyp eine der folgenden Optionen aus:
· IP Address (IP-Adresse): Mit dieser Option können Sie ein Gerät angeben, das diesen VPN-Tunnel verwenden kann. Sie müssen nur die IP-Adresse des Geräts eingeben.
· Subnetz - Wählen Sie diese Option, damit alle Geräte, die demselben Subnetz angehören, den VPN-Tunnel verwenden können. Sie müssen die Netzwerk-IP-Adresse und die entsprechende Subnetzmaske eingeben.
· IP Range (IP-Bereich): Wählen Sie diese Option, um eine Reihe von Geräten anzugeben, die den VPN-Tunnel verwenden können. Sie müssen die erste IP-Adresse und die letzte IP-Adresse des Gerätespektrums eingeben.
Schritt 9: Wählen Sie unter IPSec Setup in der Dropdown-Liste Keying Mode (Keying Mode) eine der folgenden Optionen aus:
· Manual (Manuell): Mit dieser Option können Sie den Schlüssel manuell konfigurieren, anstatt den Schlüssel mit dem anderen Router in der VPN-Verbindung zu verhandeln.
· IKE mit vorinstalliertem Schlüssel - Wählen Sie diese Option aus, um das Internet Key Exchange Protocol (IKE) zu aktivieren, das eine Sicherheitszuordnung im VPN-Tunnel einrichtet. IKE verwendet einen vorinstallierten Schlüssel zur Authentifizierung eines Remote-Peers.
Schritt 10: DH (Diffie - Hellman) ist ein Schlüsselaustauschprotokoll, mit dem beide Enden des VPN-Tunnels einen verschlüsselten Schlüssel gemeinsam nutzen können. Wählen Sie in den Dropdown-Listen Phase 1 DH Group (DH-Gruppe für Phase 1) und Phase 2 DH Group (DH-Gruppe für Phase 2) eine der folgenden Optionen aus:
· Gruppe 1 - 768 Bit - Bietet schnellere Austauschgeschwindigkeit, aber weniger Sicherheit. Wenn Sie eine schnelle VPN-Sitzung benötigen und die Sicherheit kein Problem ist, wählen Sie diese Option.
· Gruppe 2 - 1024 Bit - Bietet mehr Sicherheit als Gruppe 1, hat aber mehr Verarbeitungszeit. Dies ist hinsichtlich Sicherheit und Geschwindigkeit eine ausgewogenere Option.
· Gruppe 3 - 1536 Bit - Bietet weniger Geschwindigkeit, aber mehr Sicherheit. Wenn die VPN-Sitzung sicher sein muss und Geschwindigkeit kein Problem ist, wählen Sie diese Option.
Schritt 11: Wählen Sie in den Dropdown-Listen Phase 1 Encryption und Phase 2 Encryption einen der folgenden Schritte für die Verschlüsselung und Entschlüsselung des Schlüssels aus:
· DES - Data Encryption Standard ist ein grundlegender Algorithmus zur Verschlüsselung von Daten, der den Schlüssel in einem 56-Bit-Paket verschlüsselt.
· 3DES - Triple Data Encryption Standard, dieser Algorithmus verschlüsselt den Schlüssel in drei 64-Bit-Paketen. Sie ist sicherer als DES.
· AES-128 - Advanced Encryption Standard (erweiterter Verschlüsselungsstandard): Dieser Algorithmus verwendet denselben Schlüssel für Verschlüsselung und Entschlüsselung. Sie bietet mehr Sicherheit als DES. Seine Schlüsselgröße ist 128 Bit
· AES-192 - Ähnlich wie AES-128, aber seine Schlüsselgröße ist 192 Bit.
· AES-256 — Ähnlich wie AES-128, aber seine Schlüsselgröße ist 256 Bit. Dies ist der sicherste verfügbare Verschlüsselungsalgorithmus.
Schritt 12: Wählen Sie in den Dropdown-Listen Phase 1 Authentication (Authentifizierung) und Phase 2 Authentication (Authentifizierung) eine der folgenden Optionen aus:
· SHA1 - Dieser Algorithmus erzeugt einen Hashwert von 160 Bit. Mit diesem Wert überprüft der Algorithmus die Integrität der ausgetauschten Daten und stellt sicher, dass die Daten nicht geändert wurden.
· MD5 — Dies ist ein Algorithmusdesign für Authentifizierungszwecke. Dieser Algorithmus überprüft die Integrität der freigegebenen Informationen zwischen den beiden Enden des VPN-Tunnels. Es wird ein Hashwert erzeugt, der zur Authentifizierung des Schlüssels an beiden Enden des VPN-Tunnels gemeinsam verwendet wird.
Schritt 13: Geben Sie in die Felder Phase 1 SA Lifetime (SA-Lebensdauer) und Phase 2 SA Lifetime (in Sekunden) ein, wann (in Sekunden) der VPN-Tunnel in einer Phase aktiv ist. Der Standardwert für Phase 1 ist 2800 Sekunden. Der Standardwert für Phase 2 ist 3600 Sekunden.
Hinweis: Die Konfiguration für Phase 1 und Phase 2 muss auf beiden Routern identisch sein.
Schritt 14: (Optional) Aktivieren Sie das Kontrollkästchen Perfect Forward Secrecy (Perfect Forward Secrecy, perfektes Weiterleitungsgeheimnis (PFS)). Mit PFS werden bei der IKE Phase 2-Aushandlung neue Daten für Verschlüsselung und Authentifizierung generiert, die mehr Sicherheit gewährleisten.
Schritt 15: Geben Sie im vorinstallierten Schlüssel den Schlüssel ein, den beide Router für die Authentifizierung freigeben sollen.
Schritt 16: (Optional) Aktivieren Sie das Kontrollkästchen Minimale Komplexität des vorinstallierten Schlüssels, um die Feststelltaste zu aktivieren, die die Stärke des von Ihnen erstellten Schlüssels angibt.
Schritt 17: (Optional) Um weitere erweiterte Verschlüsselungsoptionen zu konfigurieren, klicken Sie auf Erweitert+.
Schritt 18: Klicken Sie auf Speichern, um Ihre Konfigurationen zu speichern.
Wenn Sie Ihrer VPN-Konfiguration weitere Funktionen hinzufügen möchten, bietet die RV Wired Router Series erweiterte Optionen. Diese Optionen verbessern die Sicherheitsfunktionen Ihres VPN-Tunnels. Diese Optionen sind optional. Wenn Sie jedoch erweiterte Optionen auf einem Router festlegen, sollten Sie die gleichen Optionen auf dem anderen Router festlegen. Im nächsten Abschnitt werden diese Optionen erläutert.
Schritt 1: Klicken Sie im Feld IPSec auf die Schaltfläche Advanced+. Die Seite Erweitert wird geöffnet:
Hinweis: Um die erweiterten Optionen eines VPN-Tunnel zwischen Client und Gateway zu konfigurieren, wählen Sie VPN > Client to Gateway. Klicken Sie anschließend auf Erweitert+.
Das Bild oben zeigt ein Beispiel für eine Konfiguration der erweiterten Optionen.
Schritt 2: Aktivieren Sie unter Erweitert die Optionen, die Sie Ihrer VPN-Konfiguration hinzufügen möchten:
· Aggressive Mode (Aggressiver Modus): Mit dieser Option wird die Schlüsselverhandlung schneller, wodurch die Sicherheit verringert wird. Aktivieren Sie das Kontrollkästchen Aggressive Mode (Aggressiver Modus), wenn Sie die Geschwindigkeit des VPN-Tunnels verbessern möchten.
· Komprimieren (Unterstützung IP Payload Compression Protocol (IP Comp)) - Mit dieser Option reduziert das IP Comp-Protokoll die Größe der IP-Datagramme. Aktivieren Sie das Kontrollkästchen Compress (Support IP Payload Compression Protocol (IP Comp)), um diese Option zu aktivieren.
· Keep Alive (Erhalten) - Diese Option versucht, die VPN-Sitzung wiederherzustellen, wenn sie beendet wird. Aktivieren Sie das Kontrollkästchen Verbindung halten, um diese Option zu aktivieren.
· AH Hash Algorithm - Diese Option erweitert den Schutz auf den IP-Header, um die Integrität des gesamten Pakets zu überprüfen. Hierfür können MD5 oder SHA1 verwendet werden. Aktivieren Sie das Kontrollkästchen AH Hash Algorithm, und wählen Sie in der Dropdown-Liste entweder MD5 oder SHA1 aus, um die Authentifizierung des gesamten Pakets zu aktivieren.
· NetBIOS-Broadcast - Dies ist ein Windows-Protokoll, das Informationen über die verschiedenen in einem LAN angeschlossenen Geräte, wie Drucker, Computer und Dateiserver, bereitstellt. Normalerweise übermittelt das VPN diese Informationen nicht. Aktivieren Sie das Kontrollkästchen NetBIOS-Broadcast, um diese Informationen über den VPN-Tunnel zu senden.
· NAT Traversal - Network Address Translation ermöglicht es Benutzern in einem privaten LAN, mithilfe einer öffentlichen IP-Adresse als Quelladresse auf Internetressourcen zuzugreifen. Wenn sich Ihr Router hinter einem NAT-Gateway befindet, aktivieren Sie das Kontrollkästchen NAT Traversal.
· Peer Detection Interval (Intervall für die Dead-Peer-Erkennung): Aktivieren Sie das Kontrollkästchen Dead Peer Detection Interval (Intervall in Sekunden), bevor der Router andere Pakete sendet, um die Verbindung des VPN-Tunnels zu überprüfen.
Schritt 3: Klicken Sie auf Speichern, um Ihre Konfigurationen zu speichern.