Dieser Artikel beschreibt die allgemeinen VPN-Parameter, die zum Aufbau einer VPN-Verbindung mit SwyxON erforderlich sind.
Geänderte Parameter
Gemäß BSI-Richtlinie haben wir die VPN-Security-Regeln und -Proposals an die neuesten Anforderungen angepasst. Je nach aktiver VPN-Konfiguration des Kunden-VPN-Gateways kann es erforderlich sein, diese anzupassen.
Die folgende Tabelle zeigt die aktuellen VPN-Anforderungen für die Verbindung eines VPN Gateways auf der Kundenseite mit einem SwyxON Tenant.
Die folgenden IPsec-Parameter müssen konfiguriert werden
| General | |
| Protokoll | IKEv2 |
| Gateway IP | Eindeutiger DNS-Name für jeden UC-Tenant |
| DPD | 60 Seconds |
| NAT Traversal | Automatic / Enabled |
| IKE Exchange | Main Mode |
| Short Hold Time | 9999 |
| Phase 1 | |
| IKE Group | DH Group 21 (521-bit random ECP group) DH Group 15 (3072-bit Key) |
| IKE proposal list | AES256GCM-PRFSHA384 AES256GCM-PRFSHA256 AES256-SHA256 |
| Authentication | Pre Shared Key |
| Lifetime | 86400 (24hours) |
| Phase 2 | |
| Proposal | AES-GCM-256 AES256-SHA256 |
| PFS Group | DH Group 21 (521-bit random ECP group) DH Group 15 (3072-bit Key) |
| Encryption ESP | AES-GCM-256 AES256-SHA256 |
| Mode | Tunnel |
| Key | 256 |
| Authentication (ESP) | HMAC-SHA256 |
| Authentication (AH) | No AH |
| Compression (IPCOMP) | No IPCOMP |
| Lifetime | 3600 (1 hour) |
WICHTIG: IKEv1 Verbindungen werden nicht mehr unterstützt. Existierende IKEv1 Offices können nicht mehr bearbeitet werden und müssen auf IKEv2 umgestellt werden |
Generell
Dies sind die Voraussetzungen für einen VPN-Tunnel:
- Internet Verbindung mit DNS
- Firewall-Ausnahmen für das Gateway
- Port 500 UDP oder/und Port 4500 UDP wenn NAT-T genutzt werden soll
- ESP Pakete
- IPsec Pakete
Access Lists und Routen:
Bitte denken Sie daran, dass die Zugriffslisten auf dem VPN-Gateway auf der Kundenseite passend zur Netzwerkinfrastruktur des Kunden konfiguriert werden müssen.
Vergessen Sie auch nicht, dass der IT-Administrator des Kunden eine zentrale Route zum UC-Tenant definiert und das VPN-Gerät als Gateway auswählt.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.