Beschreibung:
In diesem Artikel werden die Unterschiede zwischen Policy-based und Route-based IPSec bei LANCOM R&S®Unified Firewalls beschrieben.
Policy-based IPSec | Route-based IPSec | |
---|---|---|
Allgemein | Es muss lediglich eine VPN-Verbindung mit entsprechenden VPN-Regeln angelegt werden. Wenn Datenverkehr zum entfernten Netzwerk übertragen werden soll, wird dieser automatisch über den richtigen VPN-Tunnel geleitet (sofern dies durch entsprechende Firewall-Regeln erlaubt ist). | In der VPN-Verbindung muss die Option Routen-basiertes IPSec aktiviert werden. Zusätzlich muss in der Routing-Tabelle 254 ein Routing-Eintrag für die VPN-Verbindung erstellt werden, welcher auf das Zielnetzwerk verweist. |
Vorteile | Niedrigerer Konfigurationsaufwand im Vergleich zu Route-based IPSec. | Einfache Analyse im Fehlerfall, da aufgrund des vorhandenen VPN-Interfaces (xfrm101, xfrm102, etc.) per tcpdump ein Mitschnitt des VPN-Datenverkehrs erstellt werden kann. Die Zuweisung einer festen IP-Adresse für Client-to-Site Verbindungen ist nur mit Route-based IPSec möglich. Die Verwendung einer ANY-to-ANY VPN-Regel ist nur mit Route-based IPSec möglich. Bei Policy-based IPSec würde ansonsten 0.0.0.0/0 durch den Tunnel gesendet, was mit der Default-Route für die WAN-Verbindung kollidiert. Es können benutzerdefinierte Routing-Einträge auf Basis von Routing-Regeln verwendet werden. |
Nachteile | Erschwerte Analyse im Fehlerfall, da nur mit größerem Aufwand ein Mitschnitt des VPN-Datenverkehrs erstellt werden kann (es muss ein Mitschnitt der WAN-Verbindung erstellt werden, welcher anschließend noch entschlüsselt werden muss). Nicht möglich bei Verwendung einer festen IP-Adresszuweisung für Client-to-Site Verbindungen. Nicht möglich bei Nutzung von ANY-to-ANY VPN-Regeln. | Höherer Konfigurationsaufwand im Vergleich zu Policy-based IPSec. |