Embed Size (px)
Citation preview
TunelIPSecVPN
1. WstępM875 potrafi połączyć sieć lokalną z siecią zdalną poprzez tunel VPN. Ramki, które są wymieniane
pomiędzy tymi sieciami są szyfrowane i zabezpieczone przed nielegalną manipulacją przez tunel VPN.Oznacza to, że niezabezpieczone sieci publiczne, takie jak Internet, mogą zostać wykorzystane doprzesyłania danych bez narażania ich poufności i integralności. Aby pozwolić M875 na utworzenie tuneluVPN, sieć zdalna musi posiadać bramę sieciową VPN.
2. ObjaśnieniepołączeńVPN
Protokół IPsec
M875 używa protkołu IPSec w trybie tunelu dla tunelu VPN. W tym przypadku, ramkiprzygotowane do przesyłu są całkowicie zaszyfrowane i otrzymują nowy nagłówek przedwysłaniem do partnera VPN lub bramy sieciowej VPN. Ramki otrzymywane przezpartnera VPN są deszyfrowane i przekazywane odbiorcy.
Tryb „Roadwarrior” i tryb standardowy
Istnieją dwa typy połączeń VPN:
· Tryb „Roadwarrior”W trybie „Roadwarrior”, M875 może przyjąć do 10 połączeń VPN od partnerów znieznanym adresem IP. Partnerzy Ci to, na przykład, urządzenia mobilne zdynamicznie przydzielanym adresem IP. W dodatku te połączenia VPN mogą byćobsługiwane jak połączenia w trybie standardowym.Połączenie VPN musi zostać ustanowione przez partnera. W trybie „Roadwarrior”M875 może tylko akceptować połączenia VPN, ale nie może ich czynnie ustanowiać.
· Tryb standardowyW trybie standardowym, w celu ustanowienia połączenia VPN, musimy znać adres IPpartnera. Połączenie VPN może zostać ustanowione zarówno przez M875 jak i przezpartnera VPN.
Metody uwierzytelniania
M875 obsługuje trzy metody uwierzytelniania:
· Certyfikat X.509· Certyfikat CA· Pre-shared Key (PSK)
Certyfikaty X.509 i CA
W metodach uwierzytelniania X.509 i CA używane są klucze szyfrujące, które zostaływcześniej podpisane przez certification authority (CA). Metoda ta jest uważana zaszczególnie bezpieczną. CA może być dostawcą certyfikatów, jak również może nim byćadministrator projektu, jeśli posiada odpowiednie oprogramowanie. CA tworzy plik
certyfikatu (PKCS12) dla obu urządzeń końcowych tunelu VPN z rozszerzeniem „.p12”.Plik certyfikatu zawiera klucz publiczny oraz prywatny stacji lokalnej, podpisany certyfikatCA i klucz publiczny CA. Używając metody X.509, tworzony jest również plik klucza(*.pem, *.cer lub *.crt) dla obu stacji partnerskich z kluczem publicznym stacji lokalnej.
Te dwie metody różnią się sposobem wymiany kluczy publicznych. W metodzie X.509klucz oraz plik klucza wymieniany jest pomiędzy M875 i bramą VPN ręcznie, na przykładprzy użyciu płyty CD-ROM lub wiadomości e-mail.
Używając metody CA, klucz wymieniany jest za pomocą połączenia VPN, kiedy topołączenie jest ustanawiane. W tym przypadku nie istnieje możliwość ręcznej wymianyplików klucza.
Pre-shared Key (PSK)
Metoda ta, w głównej mierze, wykorzystywana jest w starszych implementacjach IPSec.Uwierzytelnianie wykonywane jest za pomocą uprzednio zdefiniowanego ciągu znaków.Aby zapewnić wysoki poziom bezpieczeństwa, powinniśmy używać ciągu znakówskładającego się z około 30 znaków (używając wielkich i małych liter, jak również cyfr)ustawionych w sposób losowy – nie tworząc żadnych słów, co uodparnia naszą sieć naatak słownikowy.
ID lokalne oraz ID partnera
ID lokalne oraz ID partnera używane jest przez IPSec w celu unikalnej identyfikacjipartnerów w czasie ustanawiania połączenia VPN.
· Kiedy uwierzytelniamy za pomocą X.509 lub CA- Jeżeli zostawisz ustawienia standardowe „NONE”, rozpoznane nazwy z
własnego certyfikatu urządzenia i z certyfikatu przekazanego przez partnerasą automatycznie przyjmowane jako ID lokalne oraz ID partnera
- Jeżeli zmienisz wpisy dla ID lokalnego oraz ID partnera ręcznie, musiszodpowiednio dopasować wpisy na urządzeniu partnerskim. Wpisy ręcznemuszą być zapisane w formacie ASN.1, na przykład:„C=XY/O=XY Org/CN=xy.org.org”
· Kiedy uwierzytelniamy za pomocą PSK:- W trybie „Roadwarrior” musisz wpisać ID partnera ręcznie. Wpisy muszą być
w formacie nazwy hosta (np. time.windows.com) lub w formacie adresu e-mail i muszą być zgodne z lokalnym ID partnera.
- W trybie standardowy jeśli zostawisz ustawienia standardowe „NONE”, adresIP jest używany jako ID lokalne. Jeśli natomiast wpiszesz ID partneraręcznie, musi on spełniać te same wymagania co w trybie „Roadwarrior”.
1:1 NAT
Kiedy tunel VPN zostanie ustanowiony, używany jest specjalny wariant usługi NAT – 1:1NAT, znany również jako dwukierunkowy NAT. Wariant ten pozwala na ustanowieniepołączenia zarówno z sieci lokalnej do sieci zewnętrznej, jak również z sieci zewnętrznejdo sieci lokalnej. M875 zamienia adresy IP przesyłanych ramek.
Dla każdego połączenia VPN, jak również dla każdego kierunku przesyłania danych,możesz również zdefiniować czy funkcja 1:1 NAT będzie włączona. Możeszskonfigurować tę funkcję na stronie „IPsec VPN -> Edit connection”.
IKE
Skróty:
· IKE: Internet Key Exchange· SA: Security Association· ISAKMP: Internet Secuirty Association and Key Management Protocol· IPsec: Internet Protocol security
Nawiązywanie połączenia
Nawiązywanie połączenia VPN można podzielić na dwie fazy:
1. Początkowo, w fazie pierwszej, skojarzenie zabezpieczeń (SA) jest ustanawiane za pomocąprotokołu ISAKMP. Faza pierwsza używana jest w celu wymiany kluczy pomiędzy M875 i bramąVPN stacji zdalnej.
2. Następnie, w fazie drugiej, SA jest ustanowiona za pomocą protokołu IPsec. Faza druga jestrzeczywistym połączeniem pomiędzy M875, a bramą VPN.
Szyfrowanie ISAKMP SA oraz IPsec
M875 wspiera również następujące metody szyfrowania:
· 3DES-168· AES-128· AES-192· AES-256
AES-128, to najczęściej wykorzystywana metoda, dlatego jest domyślnie wybrana.
Uwaga!
Zasadniczo, im więcej bitów użytych jest w algorytmie szyfrującym, tym bardziejbezpieczny jest dany algorytm. Dlatego metodę AES-256 uważa się zanajbezpieczniejszą. Jednakże, im dłuższy jest klucz, tym dłużej trwa proceduradeszyfracji oraz wymaga ona większej mocy obliczeniowej
NAT-T
Na trasie pomiędzy M875 i bramą VPN może znaleźć się router NAT. Nie wszystkieroutery NAT pozwalają przechodzić ramkom IPsec. Oznacza to, że może pojawić siękonieczność hermetyzacji ramek IPsec w pakiety UDP, aby mogły one zostaćprzepuszczone przez router NAT.
Dead peer detection
Jeżeli stacja zdalna obsługuje protokół Dead Peer Detection (DPD), partnerzy mogąrozpoznać czy połączenie IPsec ciągle działa, czy też występuje potrzeba ponownegoustanowienia połączenia. Bez protokołu DPD i w zależności od konfiguracji, może
wystąpić sytuacja w której będziemy musieli poczekać aż wygaśnie czas ważności SAlub będziemy musieli przywrócić połączenie ręcznie. W celu sprawdzenia, czy połączenieIPsec jest nadal aktualne, DPD sam wysyła zapytania DPD do stacji zdalnej. Jeżelistacja nie odpowie na pewną liczbę zapytań, połączenie IPsec uważane jest zaprzerwane.
Uwaga!
Wysyłanie zapytań DPD zwiększa ilość przesyłanych danych. Może to skutkowaćzwiększonymi kosztami połączenia przez mobilną sieć bezprzewodową.
Żądania wysyłane do bramy VPN sieci zdalnej
Aby skutecznie ustanowić połączenie IPsec, stacja zdalna VPN musi obsługiwać IPsec zjedną następującą konfiguracją:
· Uwierzytelnianie z certyfikatami X.509, CA lub Pre-shared Key· ESP· Diffie-Hellman group 1,2 lub 5· Szyfrowanie 3DES lub AES· Algorytmy haszujące MD5 lub SHA-1· Tunnel mode· Quick mode· Main mode· Czas życia SA (1 sekunda do 24 godzin)
Jeżeli stacja zdalna jest komputerem z zainstalowanym systemem operacyjnymWindows 2000, musi posiadać zainstalowany Microsoft Windows 2000 High EncryptionPack lub co najmniej Service Pack 2.
Jeżeli stacja zdalna poprzedzona jest routerem NAT, stacja zdalna musi obsługiwaćNAT-T lub router NAT musi znać protokół IPsec (IPsec/VPN passthrough).
3. Połączenie–tryb„Roadwarrior”
3.1 TworzeniepołączeniaTryb „Roadwarrior” pozwala M875 akceptować połączenia VPN inicjalizowane przez partnera znieznanym adresem IP. Stacja zdalna musi się poprawnie uwierzytelnić. Jednakże, identyfikacja partneranie może być przeprowadzana za pomocą adresu IP lub nazwy hosta.
Skonfiguruj M875 po konsultacji z administratorem systemu stacji zdalnej.
Z panelu nawigacyjnego wybierz „IPsec VPN -> Connections”.
Z listy rozwijalnej wybierz opcję „Yes”, aby uaktywnić tryb „Roadwarrior”.
3.2 KonfiguracjapołączeniaKliknij przycisk „Edit” znajdujący się pod „Connection settings”, pojawi się następująca strona:
Authentication method
Po konsultacji z administratorem stacji zdalnej, wybierz jedną z trzech następujących opcji:
· CA certificate· X.509 partner certificate· Pre-shared key
Poszczególne metody uwierzytelniania są opisane w rozdziale drugim tego poradnika.
ID of the partner
Wprowadź ID stacji zdalnej w tym polu lub zostaw standardowe „NONE”.
Local ID
Wprowadź ID lokalne w tym polu lub zostaw standardowe „NONE”.
3.3 UstawieniaIKESkonfiguruj ustawienia IKE po konsultacji z administratorem urządzenia partnerskiego. Możesz wybraćróżne metody dla ISAKMP SA i IPsec SA.
Szczegóły dotyczące szyfrowania zostały szczegółowo przedstawione w rozdziale drugim tegoporadnika.
Kliknij przycisk „Edit” pod „IKE settings” w obszarze „VPN connections in roadwarrior mode”. Pojawi sięnastępująca strona:
Phase 1 and phase 2: ISAKMP SA i IPsec SA
· EncryptionZ listy rozwijalnej wybierz jedną z następujących opcji dla każdej fazy:
- 3DES-168- AES-128- AES-192- AES-256
· Hash (checksum)W celu obliczenia sumy kontrolnej podczas fazy pierwszej (ISAKMP SA) i drugiej (IPsecSA), dostępne są trzy metody:
- MD5 lub SHA-1 (detekcja automatyczna)- MD5- SHA-1
Z listy rozwijalnej wybierz metodę dla fazy pierwszej i metodę dla fazy drugiej. Możeszwybrać różne metody dla różnych faz.
· ModeDo negocjacji ISAKMP SA dostępne są dwa tryby:
- Main mode- Aggressive mode
Wybierz tryb z listy rozwijalnej
Uwaga!
Używając metody autoryzacji Pre-shared Key, musisz ustawić „Aggressive mode” jakotryb negocjacji i określić ID stacji zdalnej
· Lifetime (seconds)Klucze szyfrujące są odnawiane z pewnym interwałem czasowym w celu wymuszeniawzmożonego wysiłku na osobie próbującej podsłuchać nasze połączenie.W polu wpisz okres w sekundach, który określi czas życia klucza. Możesz określić różneokresy dla ISAKMP SA i IPsec SA.
NAT-T
Wybierz jedną z trzech następujących opcji z listy rozwijalnej:
- On: Jeżeli M875 wykryje router NAT, który nie przepuszcza ramek IPsec,hermetyzacja UDP odbywa się automatycznie.
- Off: Funkcja NAT-T jest wyłączona- Force: Podczas negocjacji parametrów połączenia VPN, urządzenie wymusza
hermetyzację ramek przekazywanych przez tunel VPN.
Enable Dead Peer Detection (DPD)
Z listy rozwijalnej wybierz jedną z dwóch opcji:
- Yes: Uruchamiamy usługę DPD. Bez względu na to czy dane są wymienianeM875 rozpoznaje utratę połączenia. W tym przypadku urządzenie czekana przywrócenie połączenia przez stację zdalną.
- No: DPD jest wyłączone.
Jeśli wybierzesz opcję „Yes” pojawią się trzy dodatkowe pola:
Delay after DPD query (seconds)
Wprowadź okres czasu w sekundach po jakim zapytania DPD będą wysyłane. Zapytaniate testują czy stacja zdalna jest ciągle dostępna.
Timeout after DPD query (seconds)
Wprowadź długość czasu, jakie urządzenie będzie czekało na odpowiedź na zapytanieDPD. Jeżeli odpowiedź nie przyjdzie w zadanym czasie, połączenie zostanie uznane zaniesprawne.
DPD: maximum number of unsuccessful attempts
W tym polu, wpisz liczbę dozwolonych niepowodzeń otrzymania odpowiedzi DPD poktórej połączenie IPsec zostanie uznane za przerwane.
4. Połączenie–trybstandardowy
4.1 TworzeniepołączeniaDomyślnie nie są utworzone żadne połączenia w trybie standardowym.
Z panelu nawigacyjnego wybierz „IPsec VPN -> Connections”.
Połączenia VPN w trybie standardowym
Aby dodać połączenie VPN naciśnij przycisk „New” pod „VPN connections in standard mode”. Możeszzawsze włączyć lub wyłączyć pojedyncze połączenie VPN polem „Enabled” i wybierając z listy rozwijalnej„Yes/No”
4.2 EdycjapołączeniaNaciśnij przycisk „Edit” znajdujący się pod „Connection settings”
Connection name
Wcześniej wpisana nazwa połączenia pojawi się w tym polu. Możesz ją zmienić wpisującnową nazwę w te pole.
Address of the VPN gateway of the partner
Wprowadź adres stacji zdalnej jako nazwa hosta lub jako adres IP.
Authentication method
Po konsultacji z administratorem stacji zdalnej, wybierz jedną z trzech następującychopcji:
- CA certificate- X.509 partner certificate- Pre-shared key
Poszczególne metody uwierzytelniania są opisane w rozdziale drugim tego poradnika.
Partner certificate
Z listy rozwijalnej możesz wybrać jeden z certyfikatów stacji zdalnych które zostałyzaładowane do M875.
ID of the partner
Wpisz ID stacji zdalnej lub zostaw standardowe ustawienie „NONE”. Więcej informacji natemat ID partnerów znajdziesz w drugim rozdziale tego poradnika.
Local ID
Wprowadź ID lokalne w tym polu lub zostaw standardowe ustawienie „NONE”. Więcejinformacji na temat ID lokalnego znajdziesz w drugim rozdziale tego poradnika.
Przycisk „ID from Scalance S”
Jeżeli załadowałeś certyfikat urządzenia SCALANCE S do swojego M875, możeszodczytać ID stacji zdalnej klikając przycisk „ID from Scalance S”. Wartość odczytanazostaje automatycznie przypisana jako ID stacji zdalnej.
IP address of the remote network
Wprowadź adres IP sieci zdalnej w tym polu. Sieć zdalna może również być jednymkomputerem.
Netmask of the remote network
Wprowadź maskę podsieci sieci zdalnej w tym polu. Sieć zdalna może również byćjednym komputerem.
Enable 1:1 NAT for the remote network
Wybierz jedną z następujących opcji z listy rozwijalnej:
- Yes: 1:1 NAT jest włączony- No: 1:1 NAT jest wyłączony
Jeżeli włączysz funkcję 1:1 NAT, adres ramek wysyłanych z sieci lokalnej do sieci zdalnejzostaje zmieniony na adres podany w polu poniżej.
Address for 1:1 NAT to the remote network
W tym polu wprowadź adres jaki mają przyjmować ramki przesyłane z sieci lokalnej dosieci zdalnej.
Local net address
Wprowadź adres IP sieci lokalnej w to pole. Sieć lokalna może również być jednymkomputerem.
Local subnet mask
Wprowadź maskę podsieci dla sieci lokalnej (np. 255.255.255.0).
Enable 1:1 NAT for the local network
Wybierz jedną z następujących opcji z listy rozwijalnej:
- Yes: 1:1 NAT jest włączony- No: 1:1 NAT jest wyłączony
Jeżeli włączysz funkcję 1:1 NAT, adres ramek wysyłanych z sieci zdalnej do sieci lokalnejzmieniony na adres podany w polu poniżej.
Address for 1:1 NAT in local network
W tym polu wprowadź adres jaki mają przyjmować ramki odbierane z sieci zdalnej.
Wait for remote connection
Z listy rozwijalnej wybierz jedną z dwóch opcji:
- Yes: M875 czeka na bramę VPN sieci zdalnej, aby ta zainicjalizowałapołączenie VPN.
- No: M875 samo inicjalizuje połączenie VPN.
Firewall rulet for VPN tunnel
Jeżeli naciśniesz przycisk „Edit” znajdujący się pod tym wpisem, zostanieszprzekierowany na stronę na której możesz zdefiniować reguły zapory sieciowej.
Więcej informacji dotyczących tego tematu zostanie omówiona później w rozdziale„Reguły zapory sieciowej dla połączeń VPN”
4.3 UstawieniaIKESkonfiguruj ustawienia IKE po konsultacji z administratorem urządzenia partnerskiego. Możesz wybraćróżne metody dla ISAKMP SA i IPsec SA.
Szczegóły dotyczące szyfrowania zostały szczegółowo przedstawione w rozdziale drugim tegoporadnika.
Kliknij przycisk „Edit” pod „IKE settings” w obszarze „VPN connections in standard mode”. Pojawi sięnastępująca strona:
Phase 1 and phase 2: ISAKMP SA i IPsec SA
· EncryptionZ listy rozwijalnej wybierz jedną z następujących opcji dla każdej fazy:
- 3DES-168- AES-128- AES-192- AES-256
· Hash (checksum)W celu obliczenia sumy kontrolnej podczas fazy pierwszej (ISAKMP SA) i drugiej (IPsecSA), dostępne są trzy metody:
- MD5 lub SHA-1 (detekcja automatyczna)- MD5- SHA-1
Z listy rozwijalnej wybierz metodę dla fazy pierwszej i metodę dla fazy drugiej. Możeszwybrać różne metody dla różnych faz.
· ModeDo negocjacji ISAKMP SA dostępne są dwa tryby:
- Main mode- Aggressive mode
Wybierz tryb z listy rozwijalnej
· Lifetime (seconds)Klucze szyfrujące są odnawiane z pewnym interwałem czasowym w celu wymuszeniawzmożonego wysiłku na osobie próbującej podsłuchać nasze połączenie.W polu wpisz okres w sekundach, który określi czas życia klucza. Możesz określić różneokresy dla ISAKMP SA i IPsec SA.
DH/PFS group
M875 obsługuje wymianę kluczy Diffie Hellmann (DH) z właściwościami Perfect ForwardSecrecy (PFS). Wybierz jedną z trzech grup DH z listy rozwijalnej:
- DH-1 768- DH-2 1024- DH-5 1536
NAT-T
Wybierz jedną z trzech następujących opcji z listy rozwijalnej:
- On: Jeżeli M875 wykryje router NAT, który nie przepuszcza ramek IPsec,hermetyzacja UDP odbywa się automatycznie.
- Off: Funkcja NAT-T jest wyłączona- Force: Podczas negocjacji parametrów połączenia VPN, urządzenie wymusza
hermetyzację ramek przekazywanych przez tunel VPN.
Enable Dead Peer Detection (DPD)
Z listy rozwijalnej wybierz jedną z dwóch opcji:
- Yes: Uruchamiamy usługę DPD. Bez względu na to czy dane są wymienianeM875 rozpoznaje utratę połączenia. W tym przypadku urządzenie czekana przywrócenie połączenia przez stację zdalną.
- No: DPD jest wyłączone.
Jeśli wybierzesz opcję „Yes” pojawią się trzy dodatkowe pola:
Delay after DPD query (seconds)
Wprowadź okres czasu w sekundach po jakim zapytania DPD będą wysyłane. Zapytaniate testują czy stacja zdalna jest ciągle dostępna.
Timeout after DPD query (seconds)
Wprowadź długość czasu, jakie urządzenie będzie czekało na odpowiedź na zapytanieDPD. Jeżeli odpowiedź nie przyjdzie w zadanym czasie, połączenie zostanie uznane zaniesprawne.
DPD: maximum number of unsuccessful attempts
W tym polu, wpisz liczbę dozwolonych niepowodzeń otrzymania odpowiedzi DPD poktórej połączenie IPsec zostanie uznane za przerwane.
4.4 RegułyzaporysieciowejdlapołączeńVPNPołączenie IPsec VPN jest uznawane za bezpieczne. Oznacza to, że ruch sieciowy poprzez topołączenie nie jest ograniczony. Niemniej jednak, możliwym jest utworzenie reguł zapory sieciowej dlapołączeń VPN w trybie standardowym.
Z panelu nawigacyjnego wybierz „IPsec VPN -> Connections”.
1. Naciśnij przycisk „Edit” pod „Connection settings” w obszarze „VPN connections in standardmode”
2. Naciśnij przycisk “Edit” obok “Firewall rules for VPN tunnel”
Pamiętaj, że reguła zdefiniowana tutaj odnosi się tylko do indywidualnego, wybranego połączenia VPN.
Więcej informacji dotyczących konfiguracji reguł zapory sieciowej znajduje się w poradniku„Bezpieczeństwo w M875”.
4.5 ZarządzaniekluczamiicertyfikatamiZ panelu nawigacyjnego wybierz „IPsec VPN -> Certificates”.
Upload partner certificate
Certyfikat partnera wymagany jest w przypadku wybrania jako metodę uwierzytelniania„X.509 partner certificate”.
Aby móc wgrać odpowiedni certyfikat, powiązany z nim plik klucza (*.pem, *.cer lub *.crt)musi być przechowywany na Admin PC.
1. Naciśnij przycisk „Browse…”2. Wybierz odpowiedni plik klucza i naciśnij przycisk „Open”3. Naciśnij przycisk „Upload” by wgrać plik klucza do M875
Upload PKCS12 file (*.p12)
PCKS oznacza Standard kryptografii klucza publicznego (Public Key CryptographyStandard) i spełnia szereg wymagań kryptograficznych. Specyfikacja PKCS#12 definiujeformat pliku używanego do przechowywania kluczy prywatnych razem zodpowiadającymi im certyfikatom zabezpieczonymi hasłem.
Uwaga!
Jeżeli na urządzeniu znajduje się już plik certyfikatu, musi on zostać usunięty przedzaładowaniem nowego pliku. Zobacz „Own certificates (.p12)”
Aby móc wgrać plik PKSC12, odpowiadający mu plik (*.p12) musi znajdować się naAdmin PC.
1. Naciśnij przycisk „Browse…”2. Wybierz odpowiedni plik i naciśnij przycisk „Open”3. Wprowadź hasło do pliku PKCS124. Naciśnij przycisk „Upload” by wgrać plik do M875
Partner certificates (*.cer, *.crt, *.pem)
W tym miejscu wszystkie wgrane certyfikaty zdalne są wyświelone w formie listy. Klikającprzycisk „Delete”, możesz usuwać niepotrzebne certyfikaty.
Own certificates (.p12)
W tym miejscu nazwa i stan załadowanego pliku PKCS12 jest wyświetlana
· Biały znacznik na zielonym tle oznacza, że ważna część pliku certyfikatu istnieje· Biały krzyżyk na czerwonym tle oznacza, że brakuje ważnej części pliku certyfikatu
Jeżeli naciśniesz przycisk „Delete”, aktualny plik PKCS12 zostanie usunięty z M875.
5. NadzorowaniepołączeńVPN.Dzięki funkcji „Supervision”, M875 sprawdza ustanowione połączenia VPN. Połączenie sprawdzane jestpoprzez wysłanie pakietu ping (ICMP) do jednej lub wielu stacji zdalnych w regularnych odstępach czasu.Pakiety te przesyłane są niezależnie od danych użytkownika.
Jeżeli M875 otrzyma odpowiedź na komendę ping od co najmniej jednego adresu stacji zdalnej,połączenie VPN ciągle działa.
Jeżeli żadna stacja zdalna nie odpowie na komendę ping, urządzenie podejmuje ponowną próbęwysłania zapytania ping po upływie określonego czasu. Jeżeli wszystkie próby skończą się fiaskiem,klient VPN M875 jest restartowany. Prowadzi to do odnowienia wszystkich połączeń VPN.
Ustawienia nadzoru dotyczą wszystkich połączeń VPN.
Uwaga!
Pakiety wysyłaj bezpośrednio do interfejsu wewnętrznego bramy sieciowej VPN, a nie do hostapodłączonego do tej bramy. Jeżeli host będzie niedostępny, brama sieciowa VPN odeśle odpowiedź.
Z panelu nawigacyjnego wybierz „IPsec VPN -> Monitoring”
Use VPN monitoring
Uwaga!
Wysyłanie pakietów ping zwiększa ilość przesyłanych danych. Może to skutkowaćzwiększonymi kosztami połączenia, w zależności od umowy z operatorem siecikomórkowej.
· Yes: Nadzór VPN jest włączony· No: Nadzór VPN jest wyłączony
Jeżeli wybierzesz „Yes”, pojawią się dodatkowe wpisy.
Interval for connection check (minutes)
Określ interwał z jakim będą wysyłane pakiety ping poprzez nadzorowany tunel VPN.
Waiting time before repetition
Określ czas oczekiwania po którym ponawiane jest wysyłanie pakietu ping w przypadkuniepowodzenia nie otrzymania odpowiedzi. Czas podaj w minutach.
Number of unsuccessful connections checks up to restarting the VPN client
Określ liczbę wysyłanych komend ping, po której, w przypadku niepowodzenia, zostaniezrestartowany klient VPN M875.
List of destination hosts
W tym obszarze definiujemy które z połączeń VPN będzie nadzorowane. Naciśnijprzycisk „New”, by dodać nadzór nad wybranym połączeniem VPN.
· Tunnel nameZ listy rozwijalnej wybierz połączenie VPN, które chcesz monitorować.
· IP address of the hostWpisz adres IP hosta docelowego.
· IP address of the clientW tym polu wprowadź jakikolwiek, nieużywany adres IP z puli adresów sieci lokalnejodpowiedniego połączenia VPN jako IP z którego będą wysyłane pakiety ping
Jeżeli naciśniesz przycisk „Delete”, połączenie VPN przestaje być nadzorowane.
6. UstawieniazaawansowaneZ panelu nawigacyjnego wybierz „IPsec VPN -> Advanced”.
Keepalive interval for NAT-T (seconds)
Jeżeli funkcja NAT-T jest włączona, pakiety podtrzymujące sesję są okresowo wysyłanez M875 przez połączenie VPN. Zapobiega to zerwaniu połączenia podczas czasubezczynności, w którym nie są przesyłane dane.
Phase 1 timeout (seconds)
Z tym ustawieniem, możesz określić jak długo M875 czeka nim metoda uwierzytelnianiaISAKMP-SA zakończy swoje działanie. Jeżeli limit czasu zostanie przekroczony, metodauwierzytelniania jest przerywana i restartowana.
Phase 2 timeout (seconds)
Z tym ustawieniem, możesz określić jak długo M875 czeka na zakończenie działaniametody uwierzytelniania IPsec SA. Jeżeli limit czasu zostanie przekroczony, metodauwierzytelniania jest przerywana i restartowana.
Maximum number of connection establishment attempts up to restarting the VPN client
Jeżeli próba ustanowienia połączenia zakończy się fiaskiem, M875 automatycznieponowi próbę nawiązania połączenia VPN. Po przekroczeniu liczby prób określonych wtym polu, klient VPN zostaje zrestartowany. Następnie M875 ponownie próbuje nawiązaćpołączenie VPN.
W tym polu wpisz liczbę nieudanych prób nawiązania połączenia, które zostanąwykonane przed restartem klienta VPN modułu M875.
Maximum number of connection establishment attempts after restarting the VPN client until thenext device restart
Jeżeli nadal nie uda się nawiązać połączenia VPN, pomimo restartu klienta VPN, M875zrestartuje się całkowicie i później znowu spróbuje nawiązać połączenie.
W tym polu wpisz liczbę nieudanych prób nawiązania połączenia, które zostanąwykonane po restarcie klienta VPN, a przed restartem modułu M875.
DynDNS tracking
Z śledzeniem DNS, M875 regularnie sprawdza czy brama sieciowa VPN stacji zdalnejjest osiągalna. W szczególności funkcja ta powinna być włączona, gdy brama sieciowaVPN stacji zdalnej uzyskuje adres IP z usługi DynDNS i dodatkowo nie używamy DeadPeer Detection.
Wybierz jedną z dwóch opcji:
· Yes: Funkcja DynDNS tracking jest włączona· No: Funkcja DynDNS tracking jest wyłączona
Jeżeli wybierzesz „Yes”, pojawi się dodatkowy wpis konfiguracyjny.
Interval for DynDNS tracking (minutes)
Określ interwał z jakim będzie sprawdzana dostępność stacji zdalnej.
Restart of the VPN client with DPD
Jeżeli M875 nie otrzyma odpowiedzi ze stacji zdalnej na zapytanie DPD, po określonejliczbie nieudanych prób, połączenie IPsec uznawane jest za przerwane. Możesz określić,czy M875 będzie restartowane w takiej sytuacji. Pamiętaj jednak, że w czasie restartu,nie tylko nieudane połączenie, a wszystkie istniejące połączenia VPN zostaną zerwane.Wybierz jedną z dwóch opcji:
· Yes: Urządzenie zostaje zrestartowane w momencie wykrycia DPD· No: Urządzenie nie zostaje zrestartowane w następstwie wykrycia DPD
