Tunel IPSec VPN. 1. Wstęp. 2. Objaśnienie połączeń VPN

Transkrypt

1 Tunel IPSec VPN 1. Wstęp M875 potrafi połączyć sieć lokalną z siecią zdalną poprzez tunel VPN. Ramki, które są wymieniane pomiędzy tymi sieciami są szyfrowane i zabezpieczone przed nielegalną manipulacją przez tunel VPN. Oznacza to, że niezabezpieczone sieci publiczne, takie jak Internet, mogą zostać wykorzystane do przesyłania danych bez narażania ich poufności i integralności. Aby pozwolić M875 na utworzenie tunelu VPN, sieć zdalna musi posiadać bramę sieciową VPN. 2. Objaśnienie połączeń VPN Protokół IPsec M875 używa protkołu IPSec w trybie tunelu dla tunelu VPN. W tym przypadku, ramki przygotowane do przesyłu są całkowicie zaszyfrowane i otrzymują nowy nagłówek przed wysłaniem do partnera VPN lub bramy sieciowej VPN. Ramki otrzymywane przez partnera VPN są deszyfrowane i przekazywane odbiorcy. Tryb Roadwarrior i tryb standardowy Metody uwierzytelniania Istnieją dwa typy połączeń VPN: Tryb Roadwarrior W trybie Roadwarrior, M875 może przyjąć do 10 połączeń VPN od partnerów z nieznanym adresem IP. Partnerzy Ci to, na przykład, urządzenia mobilne z dynamicznie przydzielanym adresem IP. W dodatku te połączenia VPN mogą być obsługiwane jak połączenia w trybie standardowym. Połączenie VPN musi zostać ustanowione przez partnera. W trybie Roadwarrior M875 może tylko akceptować połączenia VPN, ale nie może ich czynnie ustanowiać. Tryb standardowy W trybie standardowym, w celu ustanowienia połączenia VPN, musimy znać adres IP partnera. Połączenie VPN może zostać ustanowione zarówno przez M875 jak i przez partnera VPN. M875 obsługuje trzy metody uwierzytelniania: Certyfikat X.509 Certyfikat CA Pre-shared Key (PSK) Certyfikaty X.509 i CA W metodach uwierzytelniania X.509 i CA używane są klucze szyfrujące, które zostały wcześniej podpisane przez certification authority (CA). Metoda ta jest uważana za szczególnie bezpieczną. CA może być dostawcą certyfikatów, jak również może nim być administrator projektu, jeśli posiada odpowiednie oprogramowanie. CA tworzy plik

2 certyfikatu (PKCS12) dla obu urządzeń końcowych tunelu VPN z rozszerzeniem.p12. Plik certyfikatu zawiera klucz publiczny oraz prywatny stacji lokalnej, podpisany certyfikat CA i klucz publiczny CA. Używając metody X.509, tworzony jest również plik klucza (*.pem, *.cer lub *.crt) dla obu stacji partnerskich z kluczem publicznym stacji lokalnej. Te dwie metody różnią się sposobem wymiany kluczy publicznych. W metodzie X.509 klucz oraz plik klucza wymieniany jest pomiędzy M875 i bramą VPN ręcznie, na przykład przy użyciu płyty CD-ROM lub wiadomości . Używając metody CA, klucz wymieniany jest za pomocą połączenia VPN, kiedy to połączenie jest ustanawiane. W tym przypadku nie istnieje możliwość ręcznej wymiany plików klucza. Pre-shared Key (PSK) ID lokalne oraz ID partnera 1:1 NAT Metoda ta, w głównej mierze, wykorzystywana jest w starszych implementacjach IPSec. Uwierzytelnianie wykonywane jest za pomocą uprzednio zdefiniowanego ciągu znaków. Aby zapewnić wysoki poziom bezpieczeństwa, powinniśmy używać ciągu znaków składającego się z około 30 znaków (używając wielkich i małych liter, jak również cyfr) ustawionych w sposób losowy nie tworząc żadnych słów, co uodparnia naszą sieć na atak słownikowy. ID lokalne oraz ID partnera używane jest przez IPSec w celu unikalnej identyfikacji partnerów w czasie ustanawiania połączenia VPN. Kiedy uwierzytelniamy za pomocą X.509 lub CA - Jeżeli zostawisz ustawienia standardowe NONE, rozpoznane nazwy z własnego certyfikatu urządzenia i z certyfikatu przekazanego przez partnera są automatycznie przyjmowane jako ID lokalne oraz ID partnera - Jeżeli zmienisz wpisy dla ID lokalnego oraz ID partnera ręcznie, musisz odpowiednio dopasować wpisy na urządzeniu partnerskim. Wpisy ręczne muszą być zapisane w formacie ASN.1, na przykład: C=XY/O=XY Org/CN=xy.org.org Kiedy uwierzytelniamy za pomocą PSK: - W trybie Roadwarrior musisz wpisać ID partnera ręcznie. Wpisy muszą być w formacie nazwy hosta (np. time.windows.com) lub w formacie adresu e- mail i muszą być zgodne z lokalnym ID partnera. - W trybie standardowy jeśli zostawisz ustawienia standardowe NONE, adres IP jest używany jako ID lokalne. Jeśli natomiast wpiszesz ID partnera ręcznie, musi on spełniać te same wymagania co w trybie Roadwarrior. Kiedy tunel VPN zostanie ustanowiony, używany jest specjalny wariant usługi NAT 1:1 NAT, znany również jako dwukierunkowy NAT. Wariant ten pozwala na ustanowienie połączenia zarówno z sieci lokalnej do sieci zewnętrznej, jak również z sieci zewnętrznej do sieci lokalnej. M875 zamienia adresy IP przesyłanych ramek.

3 Dla każdego połączenia VPN, jak również dla każdego kierunku przesyłania danych, możesz również zdefiniować czy funkcja 1:1 NAT będzie włączona. Możesz skonfigurować tę funkcję na stronie IPsec VPN -> Edit connection. IKE Skróty: IKE: Internet Key Exchange SA: Security Association ISAKMP: Internet Secuirty Association and Key Management Protocol IPsec: Internet Protocol security Nawiązywanie połączenia Nawiązywanie połączenia VPN można podzielić na dwie fazy: 1. Początkowo, w fazie pierwszej, skojarzenie zabezpieczeń (SA) jest ustanawiane za pomocą protokołu ISAKMP. Faza pierwsza używana jest w celu wymiany kluczy pomiędzy M875 i bramą VPN stacji zdalnej. 2. Następnie, w fazie drugiej, SA jest ustanowiona za pomocą protokołu IPsec. Faza druga jest rzeczywistym połączeniem pomiędzy M875, a bramą VPN. Szyfrowanie ISAKMP SA oraz IPsec M875 wspiera również następujące metody szyfrowania: 3DES-168 AES-128 AES-192 AES-256 AES-128, to najczęściej wykorzystywana metoda, dlatego jest domyślnie wybrana. Uwaga! NAT-T Zasadniczo, im więcej bitów użytych jest w algorytmie szyfrującym, tym bardziej bezpieczny jest dany algorytm. Dlatego metodę AES-256 uważa się za najbezpieczniejszą. Jednakże, im dłuższy jest klucz, tym dłużej trwa procedura deszyfracji oraz wymaga ona większej mocy obliczeniowej Dead peer detection Na trasie pomiędzy M875 i bramą VPN może znaleźć się router NAT. Nie wszystkie routery NAT pozwalają przechodzić ramkom IPsec. Oznacza to, że może pojawić się konieczność hermetyzacji ramek IPsec w pakiety UDP, aby mogły one zostać przepuszczone przez router NAT. Jeżeli stacja zdalna obsługuje protokół Dead Peer Detection (DPD), partnerzy mogą rozpoznać czy połączenie IPsec ciągle działa, czy też występuje potrzeba ponownego ustanowienia połączenia. Bez protokołu DPD i w zależności od konfiguracji, może

4 wystąpić sytuacja w której będziemy musieli poczekać aż wygaśnie czas ważności SA lub będziemy musieli przywrócić połączenie ręcznie. W celu sprawdzenia, czy połączenie IPsec jest nadal aktualne, DPD sam wysyła zapytania DPD do stacji zdalnej. Jeżeli stacja nie odpowie na pewną liczbę zapytań, połączenie IPsec uważane jest za przerwane. Uwaga! Wysyłanie zapytań DPD zwiększa ilość przesyłanych danych. Może to skutkować zwiększonymi kosztami połączenia przez mobilną sieć bezprzewodową. Żądania wysyłane do bramy VPN sieci zdalnej Aby skutecznie ustanowić połączenie IPsec, stacja zdalna VPN musi obsługiwać IPsec z jedną następującą konfiguracją: Uwierzytelnianie z certyfikatami X.509, CA lub Pre-shared Key ESP Diffie-Hellman group 1,2 lub 5 Szyfrowanie 3DES lub AES Algorytmy haszujące MD5 lub SHA-1 Tunnel mode Quick mode Main mode Czas życia SA (1 sekunda do 24 godzin) Jeżeli stacja zdalna jest komputerem z zainstalowanym systemem operacyjnym Windows 2000, musi posiadać zainstalowany Microsoft Windows 2000 High Encryption Pack lub co najmniej Service Pack 2. Jeżeli stacja zdalna poprzedzona jest routerem NAT, stacja zdalna musi obsługiwać NAT-T lub router NAT musi znać protokół IPsec (IPsec/VPN passthrough). 3. Połączenie tryb Roadwarrior 3.1 Tworzenie połączenia Tryb Roadwarrior pozwala M875 akceptować połączenia VPN inicjalizowane przez partnera z nieznanym adresem IP. Stacja zdalna musi się poprawnie uwierzytelnić. Jednakże, identyfikacja partnera nie może być przeprowadzana za pomocą adresu IP lub nazwy hosta. Skonfiguruj M875 po konsultacji z administratorem systemu stacji zdalnej. Z panelu nawigacyjnego wybierz IPsec VPN -> Connections.

5 Z listy rozwijalnej wybierz opcję Yes, aby uaktywnić tryb Roadwarrior. 3.2 Konfiguracja połączenia Kliknij przycisk Edit znajdujący się pod Connection settings, pojawi się następująca strona: Authentication method Po konsultacji z administratorem stacji zdalnej, wybierz jedną z trzech następujących opcji: CA certificate X.509 partner certificate Pre-shared key Poszczególne metody uwierzytelniania są opisane w rozdziale drugim tego poradnika. ID of the partner Local ID Wprowadź ID stacji zdalnej w tym polu lub zostaw standardowe NONE. Wprowadź ID lokalne w tym polu lub zostaw standardowe NONE. 3.3 Ustawienia IKE Skonfiguruj ustawienia IKE po konsultacji z administratorem urządzenia partnerskiego. Możesz wybrać różne metody dla ISAKMP SA i IPsec SA. Szczegóły dotyczące szyfrowania zostały szczegółowo przedstawione w rozdziale drugim tego poradnika. Kliknij przycisk Edit pod IKE settings w obszarze VPN connections in roadwarrior mode. Pojawi się następująca strona:

6 Phase 1 and phase 2: ISAKMP SA i IPsec SA Encryption Z listy rozwijalnej wybierz jedną z następujących opcji dla każdej fazy: - 3DES AES AES AES-256 Hash (checksum) W celu obliczenia sumy kontrolnej podczas fazy pierwszej (ISAKMP SA) i drugiej (IPsec SA), dostępne są trzy metody: - MD5 lub SHA-1 (detekcja automatyczna) - MD5 - SHA-1 Z listy rozwijalnej wybierz metodę dla fazy pierwszej i metodę dla fazy drugiej. Możesz wybrać różne metody dla różnych faz. Mode Do negocjacji ISAKMP SA dostępne są dwa tryby: - Main mode - Aggressive mode Wybierz tryb z listy rozwijalnej

7 Uwaga! Używając metody autoryzacji Pre-shared Key, musisz ustawić Aggressive mode jako tryb negocjacji i określić ID stacji zdalnej Lifetime (seconds) Klucze szyfrujące są odnawiane z pewnym interwałem czasowym w celu wymuszenia wzmożonego wysiłku na osobie próbującej podsłuchać nasze połączenie. W polu wpisz okres w sekundach, który określi czas życia klucza. Możesz określić różne okresy dla ISAKMP SA i IPsec SA. NAT-T Wybierz jedną z trzech następujących opcji z listy rozwijalnej: Enable Dead Peer Detection (DPD) - On: Jeżeli M875 wykryje router NAT, który nie przepuszcza ramek IPsec, hermetyzacja UDP odbywa się automatycznie. - Off: Funkcja NAT-T jest wyłączona - Force: Podczas negocjacji parametrów połączenia VPN, urządzenie wymusza hermetyzację ramek przekazywanych przez tunel VPN. Z listy rozwijalnej wybierz jedną z dwóch opcji: - Yes: Uruchamiamy usługę DPD. Bez względu na to czy dane są wymieniane M875 rozpoznaje utratę połączenia. W tym przypadku urządzenie czeka na przywrócenie połączenia przez stację zdalną. - No: DPD jest wyłączone. Jeśli wybierzesz opcję Yes pojawią się trzy dodatkowe pola: Delay after DPD query (seconds) Wprowadź okres czasu w sekundach po jakim zapytania DPD będą wysyłane. Zapytania te testują czy stacja zdalna jest ciągle dostępna. Timeout after DPD query (seconds) Wprowadź długość czasu, jakie urządzenie będzie czekało na odpowiedź na zapytanie DPD. Jeżeli odpowiedź nie przyjdzie w zadanym czasie, połączenie zostanie uznane za niesprawne. DPD: maximum number of unsuccessful attempts W tym polu, wpisz liczbę dozwolonych niepowodzeń otrzymania odpowiedzi DPD po której połączenie IPsec zostanie uznane za przerwane.

8 4. Połączenie tryb standardowy 4.1 Tworzenie połączenia Domyślnie nie są utworzone żadne połączenia w trybie standardowym. Z panelu nawigacyjnego wybierz IPsec VPN -> Connections. Połączenia VPN w trybie standardowym Aby dodać połączenie VPN naciśnij przycisk New pod VPN connections in standard mode. Możesz zawsze włączyć lub wyłączyć pojedyncze połączenie VPN polem Enabled i wybierając z listy rozwijalnej Yes/No 4.2 Edycja połączenia Naciśnij przycisk Edit znajdujący się pod Connection settings

9 Connection name Wcześniej wpisana nazwa połączenia pojawi się w tym polu. Możesz ją zmienić wpisując nową nazwę w te pole. Address of the VPN gateway of the partner Authentication method Wprowadź adres stacji zdalnej jako nazwa hosta lub jako adres IP. Po konsultacji z administratorem stacji zdalnej, wybierz jedną z trzech następujących opcji: - CA certificate - X.509 partner certificate - Pre-shared key Poszczególne metody uwierzytelniania są opisane w rozdziale drugim tego poradnika.

10 Partner certificate ID of the partner Local ID Z listy rozwijalnej możesz wybrać jeden z certyfikatów stacji zdalnych które zostały załadowane do M875. Wpisz ID stacji zdalnej lub zostaw standardowe ustawienie NONE. Więcej informacji na temat ID partnerów znajdziesz w drugim rozdziale tego poradnika. Wprowadź ID lokalne w tym polu lub zostaw standardowe ustawienie NONE. Więcej informacji na temat ID lokalnego znajdziesz w drugim rozdziale tego poradnika. Przycisk ID from Scalance S Jeżeli załadowałeś certyfikat urządzenia SCALANCE S do swojego M875, możesz odczytać ID stacji zdalnej klikając przycisk ID from Scalance S. Wartość odczytana zostaje automatycznie przypisana jako ID stacji zdalnej. IP address of the remote network Wprowadź adres IP sieci zdalnej w tym polu. Sieć zdalna może również być jednym komputerem. Netmask of the remote network Wprowadź maskę podsieci sieci zdalnej w tym polu. Sieć zdalna może również być jednym komputerem. Enable 1:1 NAT for the remote network Local net address Local subnet mask Wybierz jedną z następujących opcji z listy rozwijalnej: - Yes: 1:1 NAT jest włączony - No: 1:1 NAT jest wyłączony Jeżeli włączysz funkcję 1:1 NAT, adres ramek wysyłanych z sieci lokalnej do sieci zdalnej zostaje zmieniony na adres podany w polu poniżej. Address for 1:1 NAT to the remote network W tym polu wprowadź adres jaki mają przyjmować ramki przesyłane z sieci lokalnej do sieci zdalnej. Wprowadź adres IP sieci lokalnej w to pole. Sieć lokalna może również być jednym komputerem. Wprowadź maskę podsieci dla sieci lokalnej (np ).

11 Enable 1:1 NAT for the local network Wait for remote connection Firewall rulet for VPN tunnel Wybierz jedną z następujących opcji z listy rozwijalnej: - Yes: 1:1 NAT jest włączony - No: 1:1 NAT jest wyłączony Jeżeli włączysz funkcję 1:1 NAT, adres ramek wysyłanych z sieci zdalnej do sieci lokalnej zmieniony na adres podany w polu poniżej. Address for 1:1 NAT in local network W tym polu wprowadź adres jaki mają przyjmować ramki odbierane z sieci zdalnej. Z listy rozwijalnej wybierz jedną z dwóch opcji: - Yes: M875 czeka na bramę VPN sieci zdalnej, aby ta zainicjalizowała połączenie VPN. - No: M875 samo inicjalizuje połączenie VPN. Jeżeli naciśniesz przycisk Edit znajdujący się pod tym wpisem, zostaniesz przekierowany na stronę na której możesz zdefiniować reguły zapory sieciowej. Więcej informacji dotyczących tego tematu zostanie omówiona później w rozdziale Reguły zapory sieciowej dla połączeń VPN 4.3 Ustawienia IKE Skonfiguruj ustawienia IKE po konsultacji z administratorem urządzenia partnerskiego. Możesz wybrać różne metody dla ISAKMP SA i IPsec SA. Szczegóły dotyczące szyfrowania zostały szczegółowo przedstawione w rozdziale drugim tego poradnika. Kliknij przycisk Edit pod IKE settings w obszarze VPN connections in standard mode. Pojawi się następująca strona:

12 Phase 1 and phase 2: ISAKMP SA i IPsec SA Encryption Z listy rozwijalnej wybierz jedną z następujących opcji dla każdej fazy: - 3DES AES AES AES-256 Hash (checksum) W celu obliczenia sumy kontrolnej podczas fazy pierwszej (ISAKMP SA) i drugiej (IPsec SA), dostępne są trzy metody: - MD5 lub SHA-1 (detekcja automatyczna) - MD5 - SHA-1 Z listy rozwijalnej wybierz metodę dla fazy pierwszej i metodę dla fazy drugiej. Możesz wybrać różne metody dla różnych faz. Mode Do negocjacji ISAKMP SA dostępne są dwa tryby: - Main mode - Aggressive mode Wybierz tryb z listy rozwijalnej

13 DH/PFS group NAT-T Lifetime (seconds) Klucze szyfrujące są odnawiane z pewnym interwałem czasowym w celu wymuszenia wzmożonego wysiłku na osobie próbującej podsłuchać nasze połączenie. W polu wpisz okres w sekundach, który określi czas życia klucza. Możesz określić różne okresy dla ISAKMP SA i IPsec SA. M875 obsługuje wymianę kluczy Diffie Hellmann (DH) z właściwościami Perfect Forward Secrecy (PFS). Wybierz jedną z trzech grup DH z listy rozwijalnej: - DH DH DH Wybierz jedną z trzech następujących opcji z listy rozwijalnej: Enable Dead Peer Detection (DPD) - On: Jeżeli M875 wykryje router NAT, który nie przepuszcza ramek IPsec, hermetyzacja UDP odbywa się automatycznie. - Off: Funkcja NAT-T jest wyłączona - Force: Podczas negocjacji parametrów połączenia VPN, urządzenie wymusza hermetyzację ramek przekazywanych przez tunel VPN. Z listy rozwijalnej wybierz jedną z dwóch opcji: - Yes: Uruchamiamy usługę DPD. Bez względu na to czy dane są wymieniane M875 rozpoznaje utratę połączenia. W tym przypadku urządzenie czeka na przywrócenie połączenia przez stację zdalną. - No: DPD jest wyłączone. Jeśli wybierzesz opcję Yes pojawią się trzy dodatkowe pola: Delay after DPD query (seconds) Wprowadź okres czasu w sekundach po jakim zapytania DPD będą wysyłane. Zapytania te testują czy stacja zdalna jest ciągle dostępna. Timeout after DPD query (seconds) Wprowadź długość czasu, jakie urządzenie będzie czekało na odpowiedź na zapytanie DPD. Jeżeli odpowiedź nie przyjdzie w zadanym czasie, połączenie zostanie uznane za niesprawne. DPD: maximum number of unsuccessful attempts W tym polu, wpisz liczbę dozwolonych niepowodzeń otrzymania odpowiedzi DPD po której połączenie IPsec zostanie uznane za przerwane.

14 4.4 Reguły zapory sieciowej dla połączeń VPN Połączenie IPsec VPN jest uznawane za bezpieczne. Oznacza to, że ruch sieciowy poprzez to połączenie nie jest ograniczony. Niemniej jednak, możliwym jest utworzenie reguł zapory sieciowej dla połączeń VPN w trybie standardowym. Z panelu nawigacyjnego wybierz IPsec VPN -> Connections. 1. Naciśnij przycisk Edit pod Connection settings w obszarze VPN connections in standard mode 2. Naciśnij przycisk Edit obok Firewall rules for VPN tunnel Pamiętaj, że reguła zdefiniowana tutaj odnosi się tylko do indywidualnego, wybranego połączenia VPN. Więcej informacji dotyczących konfiguracji reguł zapory sieciowej znajduje się w poradniku Bezpieczeństwo w M Zarządzanie kluczami i certyfikatami Z panelu nawigacyjnego wybierz IPsec VPN -> Certificates. Upload partner certificate Certyfikat partnera wymagany jest w przypadku wybrania jako metodę uwierzytelniania X.509 partner certificate.

15 Upload PKCS12 file (*.p12) Aby móc wgrać odpowiedni certyfikat, powiązany z nim plik klucza (*.pem, *.cer lub *.crt) musi być przechowywany na Admin PC. 1. Naciśnij przycisk Browse 2. Wybierz odpowiedni plik klucza i naciśnij przycisk Open 3. Naciśnij przycisk Upload by wgrać plik klucza do M875 PCKS oznacza Standard kryptografii klucza publicznego (Public Key Cryptography Standard) i spełnia szereg wymagań kryptograficznych. Specyfikacja PKCS#12 definiuje format pliku używanego do przechowywania kluczy prywatnych razem z odpowiadającymi im certyfikatom zabezpieczonymi hasłem. Uwaga! Jeżeli na urządzeniu znajduje się już plik certyfikatu, musi on zostać usunięty przed załadowaniem nowego pliku. Zobacz Own certificates (.p12) Aby móc wgrać plik PKSC12, odpowiadający mu plik (*.p12) musi znajdować się na Admin PC. 1. Naciśnij przycisk Browse 2. Wybierz odpowiedni plik i naciśnij przycisk Open 3. Wprowadź hasło do pliku PKCS12 4. Naciśnij przycisk Upload by wgrać plik do M875 Partner certificates (*.cer, *.crt, *.pem) Own certificates (.p12) W tym miejscu wszystkie wgrane certyfikaty zdalne są wyświelone w formie listy. Klikając przycisk Delete, możesz usuwać niepotrzebne certyfikaty. W tym miejscu nazwa i stan załadowanego pliku PKCS12 jest wyświetlana Biały znacznik na zielonym tle oznacza, że ważna część pliku certyfikatu istnieje Biały krzyżyk na czerwonym tle oznacza, że brakuje ważnej części pliku certyfikatu Jeżeli naciśniesz przycisk Delete, aktualny plik PKCS12 zostanie usunięty z M Nadzorowanie połączeń VPN. Dzięki funkcji Supervision, M875 sprawdza ustanowione połączenia VPN. Połączenie sprawdzane jest poprzez wysłanie pakietu ping (ICMP) do jednej lub wielu stacji zdalnych w regularnych odstępach czasu. Pakiety te przesyłane są niezależnie od danych użytkownika. Jeżeli M875 otrzyma odpowiedź na komendę ping od co najmniej jednego adresu stacji zdalnej, połączenie VPN ciągle działa.

16 Jeżeli żadna stacja zdalna nie odpowie na komendę ping, urządzenie podejmuje ponowną próbę wysłania zapytania ping po upływie określonego czasu. Jeżeli wszystkie próby skończą się fiaskiem, klient VPN M875 jest restartowany. Prowadzi to do odnowienia wszystkich połączeń VPN. Ustawienia nadzoru dotyczą wszystkich połączeń VPN. Uwaga! Pakiety wysyłaj bezpośrednio do interfejsu wewnętrznego bramy sieciowej VPN, a nie do hosta podłączonego do tej bramy. Jeżeli host będzie niedostępny, brama sieciowa VPN odeśle odpowiedź. Z panelu nawigacyjnego wybierz IPsec VPN -> Monitoring Use VPN monitoring Uwaga! Wysyłanie pakietów ping zwiększa ilość przesyłanych danych. Może to skutkować zwiększonymi kosztami połączenia, w zależności od umowy z operatorem sieci komórkowej. Yes: Nadzór VPN jest włączony No: Nadzór VPN jest wyłączony Jeżeli wybierzesz Yes, pojawią się dodatkowe wpisy. Interval for connection check (minutes) Waiting time before repetition Określ interwał z jakim będą wysyłane pakiety ping poprzez nadzorowany tunel VPN. Określ czas oczekiwania po którym ponawiane jest wysyłanie pakietu ping w przypadku niepowodzenia nie otrzymania odpowiedzi. Czas podaj w minutach.

17 Number of unsuccessful connections checks up to restarting the VPN client List of destination hosts Określ liczbę wysyłanych komend ping, po której, w przypadku niepowodzenia, zostanie zrestartowany klient VPN M875. W tym obszarze definiujemy które z połączeń VPN będzie nadzorowane. Naciśnij przycisk New, by dodać nadzór nad wybranym połączeniem VPN. Tunnel name Z listy rozwijalnej wybierz połączenie VPN, które chcesz monitorować. IP address of the host Wpisz adres IP hosta docelowego. IP address of the client W tym polu wprowadź jakikolwiek, nieużywany adres IP z puli adresów sieci lokalnej odpowiedniego połączenia VPN jako IP z którego będą wysyłane pakiety ping Jeżeli naciśniesz przycisk Delete, połączenie VPN przestaje być nadzorowane. 6. Ustawienia zaawansowane Z panelu nawigacyjnego wybierz IPsec VPN -> Advanced. Keepalive interval for NAT-T (seconds) Phase 1 timeout (seconds) Jeżeli funkcja NAT-T jest włączona, pakiety podtrzymujące sesję są okresowo wysyłane z M875 przez połączenie VPN. Zapobiega to zerwaniu połączenia podczas czasu bezczynności, w którym nie są przesyłane dane. Z tym ustawieniem, możesz określić jak długo M875 czeka nim metoda uwierzytelniania ISAKMP-SA zakończy swoje działanie. Jeżeli limit czasu zostanie przekroczony, metoda uwierzytelniania jest przerywana i restartowana.

18 Phase 2 timeout (seconds) Z tym ustawieniem, możesz określić jak długo M875 czeka na zakończenie działania metody uwierzytelniania IPsec SA. Jeżeli limit czasu zostanie przekroczony, metoda uwierzytelniania jest przerywana i restartowana. Maximum number of connection establishment attempts up to restarting the VPN client Jeżeli próba ustanowienia połączenia zakończy się fiaskiem, M875 automatycznie ponowi próbę nawiązania połączenia VPN. Po przekroczeniu liczby prób określonych w tym polu, klient VPN zostaje zrestartowany. Następnie M875 ponownie próbuje nawiązać połączenie VPN. W tym polu wpisz liczbę nieudanych prób nawiązania połączenia, które zostaną wykonane przed restartem klienta VPN modułu M875. Maximum number of connection establishment attempts after restarting the VPN client until the next device restart DynDNS tracking Jeżeli nadal nie uda się nawiązać połączenia VPN, pomimo restartu klienta VPN, M875 zrestartuje się całkowicie i później znowu spróbuje nawiązać połączenie. W tym polu wpisz liczbę nieudanych prób nawiązania połączenia, które zostaną wykonane po restarcie klienta VPN, a przed restartem modułu M875. Z śledzeniem DNS, M875 regularnie sprawdza czy brama sieciowa VPN stacji zdalnej jest osiągalna. W szczególności funkcja ta powinna być włączona, gdy brama sieciowa VPN stacji zdalnej uzyskuje adres IP z usługi DynDNS i dodatkowo nie używamy Dead Peer Detection. Wybierz jedną z dwóch opcji: Yes: Funkcja DynDNS tracking jest włączona No: Funkcja DynDNS tracking jest wyłączona Jeżeli wybierzesz Yes, pojawi się dodatkowy wpis konfiguracyjny. Interval for DynDNS tracking (minutes) Określ interwał z jakim będzie sprawdzana dostępność stacji zdalnej. Restart of the VPN client with DPD Jeżeli M875 nie otrzyma odpowiedzi ze stacji zdalnej na zapytanie DPD, po określonej liczbie nieudanych prób, połączenie IPsec uznawane jest za przerwane. Możesz określić, czy M875 będzie restartowane w takiej sytuacji. Pamiętaj jednak, że w czasie restartu, nie tylko nieudane połączenie, a wszystkie istniejące połączenia VPN zostaną zerwane. Wybierz jedną z dwóch opcji: Yes: Urządzenie zostaje zrestartowane w momencie wykrycia DPD No: Urządzenie nie zostaje zrestartowane w następstwie wykrycia DPD