| Seiteneigenschaften |
|---|
Beschreibung:
Die Ursache für Verbindungsabbrüche einer VPN-Verbindung mit IKEv1 sind häufig fehlerhafte Lifetimes. Diese müssen IKE- und IPSec-Lifetimes müssen nicht auf beiden Seiten übereinstimmen. Ist dies nicht der Fall, so kommt es beim Rekeying, also der Neu-Aushandlung der Schlüssel, zu einem Abbruch, das Rekeying wird dann von dem Initiator kurz vor Ablauf der ausgehandelten Lifetime (üblicherweise die kleinere Lifetime beider Router) angestoßen. Es kann aber in Einzelfällen zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten. Dazu müssen die Lifetimes allerdings auf beiden Routern auf den gleichen oder zumindest einen sehr ähnlichen Wert gesetzt werden.
Aus Sicherheitsgründen sollten die Lifetimes nicht zu hoch sein, da die Schlüssel ansonsten kompromittiert werden könnten. Ebenso sollten die Lifetimes aber auch nicht zu klein sein, um ein häufiges und aufwendiges Rekeying zu vermeiden.
In diesem Artikel wird beschrieben, wie die Lifetimes für IKEv1 auf einem LANCOM Router angepasst werden können.
| Info |
|---|
Wenden Sie sich bezüglich der Konfiguration der Lifetimes auf einem Gerät eines Fremdherstellers bitte an den jeweiligen Hersteller. |
Voraussetzungen:
- LCOS ab Version 8.50 (download aktuelle Version)
- LANtools ab Version 8.50 (download aktuelle Version)
- SSH-Client wie z.B. PuTTY für den Zugriff auf die KonsoleBereits eingerichtete und funktionsfähige VPN-Verbindung per IKEv1
- Informationen zu den Lifetimes müssen von der Gegenseite vorliegen oder auf beiden Seiten frei wählbar sein
- SSH-Client wie z.B. PuTTY für den Zugriff auf die Konsole
Vorgehensweise:
1. Anpassung der IKE-Lifetimes (Phase 1):
...
- Bezeichnung: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel FILIALE-PH1-PROP). Die Länge ist auf maximal 17 Zeichen beschränkt.
- Gültigkeitsdauer: Tragen Sie die von der Gegenseite vorgegebene gewünschte Gültigkeitsdauer in Sekunden ein. Eine Gültigkeitsdauer in kBytes wird in der Phase 1 nicht konfiguriert, da hier noch keine nur sehr wenige Daten übertragen werden. Der Belassen Sie den Wert muss daher bei 0 bleibendaher auf der Standard-Einstellung 0 kBytes.
| Info |
|---|
LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 108.000 Sekunden zu verwenden (entspricht der Standard-Einstellung). Das BSI empfiehlt mit Stand November 2021 für IKEv2 sogar eine maximale Gültigkeitsdauer von 86.400 Sekunden (1 Tag). |
1.4 Wechseln Sie in das Menü IKE-Proposal-Listen.
...
- Bezeichnung: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel FILIALE-PH2-PROP). Die Länge ist auf maximal 17 Zeichen beschränkt.
- Gültigkeitsdauer: Tragen Sie die von der Gegenseite vorgegebene gewünschte Gültigkeitsdauer in Sekunden und in kBytes ein. ein. Belassen Sie die Gültigkeitsdauer in kBytes auf der Standard-Einstellung 2.000.000 kBytes.
| Info |
|---|
LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 28.800 Sekunden (8 Stunden) in Verbindung mit einem Datenvolumen von 2.000.000 kBytes zu verwenden (entspricht der Standard-Einstellung). Das BSI empfiehlt mit Stand November 2021 für IKEv2 sogar eine maximale Gültigkeitsdauer von 14.400 Sekunden (4 Stunden). |
2.4 Wechseln Sie in das Menü IPSec-Proposal-Listen.
...