Operation Manual
VPN und das Protokoll IPSec
AVM Access Server – 6 AVM Access Server für Experten 121
! Authentsierung über pre-shared keys
! Xauth und config mode
Die Aushandlung einer IPSec-Verbindung erfolgt über das Protokoll „In-
ternet Key Exchange“ (IKE). Ergebnis der Aushandlung sind Vereinba-
rungen mit der Gegenstelle, sogenannte „Security Associations“ (SA).
Die IKE-Aushandlung erfolgt in zwei Phasen. Die erste Phase dient
hauptsächlich zur Authentisierung und zum Bestimmen eines Schlüs-
sels zum Sichern der Phase 2. Das Ergebnis der Phase 1 ist in der Regel
genau eine SA.
Identitäten (IDs) in IKE-Phase 1 können sein:
! user full qualified domain name (user-fqdn)
! full qualified domain name (fqdn)
! key ID
! IP-Adresse
! IP-Netz mit Maske
! IP-Adressbereich
Bei entfernten Benutzern wird der eingetragene Benutzername als user
fqdn, fqdn und key ID akzeptiert. Bei entfernten Netzwerken kann jede
der oben genannten IDs konfiguriert werden. In der Konfiguration „au-
tomatisch“ werden die IDs wie folgt abgeleitet:
! Ist die Internetverbindung über KEN! oder einen LAN-Adapter kon-
figuriert, so wird die IP-Adresse dieser Netzwerkkarte (KEN! stellt
sich ebefalls als Netzwerkkarte dar) als eigene ID gesendet.
! Stellt der AVM Access Server die Internetverbindung selbst her, so
wird als eigene ID die IP-Adresse, die vom ISP zugewiesen wurde,
verwendet. Ist ein Dynamic DNS-Anbieter konfiguriert, so wird
stattdessen dieser Domainname als fqdn gesendet.
! Bei VPN-Verbindungen zu enfernten Netzwerken wird als entfernte
ID die Konfiguration „enferntes VPN-Gateway“ erwartet, die ent-
weder die IP-Adresse des entfernten VPN-Gateways oder dessen
Domänen-Name enthält.
Alle ID-Einstellungen können auch manuell vorgenommen werden.