WinRoute Pro 4.1 unterstützt IPSEC im so genannten "Tunnel-Modus". Der "Tunnel-Modus" sollte jeden IPSEC-Client unterstützen, mit dem die Transport-IP-Adresse verändert werden kann.
Hinweis: WinRoute unterstützt keine Checkpoint Secure Remote VPN-Client-Software.
WinRoute-Einstellungen:
Zugeordneten Port für ESP erstellen:
Protokoll: ungleich 50
Überwachungs-IP: <nicht spezifiziert>
Ziel-IP: die private IP-Adresse des Client-PC
Wir empfehlen darüber hinaus, einen zugeordneten Port für IKE zu erstellen. Dies ist nicht notwendig, wenn die Kommunikation VON hinter WinRoute aus zum Internet initiiert wird. Manche Implementierungen von ISPC könnten jedoch folgende Einstellung erfordern:
IKE-Anschlusszuordnung:
Protokoll: UDP
Überwachungs-IP: <nicht spezifiziert>
Überwachungs-Port: 500
Ziel-IP: die private IP-Adresse des Client-Computers
Ziel-Port: 500
Mehrfachsitzungen von IPSEC simultan ausführen
Wenn mehrere IPSEC-Clients vorhanden sind, müssen Sie für jeden Client eine separate IP-Adresse verwenden. Hinweis: WinRoute NAT lässt so viele Clients passieren, wie Sie möchten, sofern die Verbindung VOM lokalen Netzwerk aus initiiert wird und jeder Client eine IP-Adresse verwendet, die der externen Schnittstelle von WinRoute zugewiesen ist.
Allgemeine Informationen zu IPSEC
IPSec ist ein Sicherheitsprotokoll zur Verschlüsselung, mit dem die Kommunikation zwischen zwei Computern sicher gestaltet wird.
IPSec verwendet entweder AH (Authentification Header) oder ESP (Encapsulating Security Payload). AH verifiziert nur die Identität des Senders und den Inhalt des Pakets. Daten werden nicht verschlüsselt.
ESP vershlüsselt die Daten. Es ermöglicht die Verwendung des sogenannte ''Tunnel-Modus'', der dem PPTP-Protokoll ähnelt. Das Paket beinhaltet dann den IP-Header (für den Transport erforderlich), der nicht verschlüsselt ist, und den Datenteil, der das gesamte, verschlüsselte Orginalpaket enthält.
Das Protokoll-IKE (mitunter als ISAKMP bezeichnet) wird für die Echtheitsbestätigung verwendet (Austausch von Sicherheitsschlüsseln). IKE wird am UDP-Protokoll Port 500 ausgeführt. Dieser Port wird als Quell- und Zielanschluss verwendet.
AH verwendet Protokoll 51, ESP das Protokoll 50. IPSec kann weiterhin mit der gesamten Zertifikatstelle kommunizieren, wenn Protokolle verwendet werden, die nicht in NAT eingreifen.
Das Protokoll 50 wird automatisch in WinRoute integriert, so dass keine Anschlusszuordnung notwendig ist. Die einzige Voraussetzung, um eine Verbindung automatisch herzustellen, wäre dann die Initialisierung der Verbindung VOM lokalen Neztwerk aus.
Die meisten Anbieter von IPSec verwenden den Algorithmus MD5 und SHA1 für die Echtheitsbestätigung und DES, 3DES und Blowfish für die Verschlüsselung. IPSec ist nicht eng mit einem speziellen Algorithmus verbunden, so dass die Lösungen verschiedener Anbieter inkompatibel sein könnten.