Peer-to-Peer VPN
Ein Peer-to-Peer VPN oder auch Site-to-Site VPN genannt, bietet die Möglichkeit, zwei oder mehrere geografisch getrennte Standorte, über das Internet sicher miteinander zu verbinden, als wären sie ein einziges privates Netzwerks. (beispielsweise Zweigstellen und die Hauptniederlassung)
Peer-to-Peer VPN einrichten
- Im Router-Portal unter dem Reiter Netzwerk ➜ Peer-to-Peer VPN
- Peer-to-Peer VPN Funktion aktivieren und speichern
- Einen neuen VPN Standort hinzufügen und die VPN-Verbindungsdaten der VPN-Gegenstelle eingeben und hinzufügen.
Hinweis zu der Peer-to-Peer VPN-Verschlüsselung
VPN zwichen Centro Business und Centro Business
Wenn ein VPN zwischen zwei Centro Business eingerichtet wird, erfolgt die Wahl der Verschlüsselung immer automatisch.
Centro Business zu beliebiger VPN-Gegenstelle
Wenn ein VPN zu einer Gegenstelle eingerichtet wird, die keinen Centro Business verwendet, muss die Verschlüsselung manuell konfiguriert werden. Der Centro Business bietet dabei folgende Optionen (PFS wird stets empfohlen):
| Profile | Swisscom-IKEv2-PFS | Swisscom-IKEv2 |
|---|---|---|
| IKE Exchange Mode | Main | Main |
| Phase 1 Encr. Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 1 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 1 DH Transforms | Curve25519, MODP-8192, ECP-384, MODP-2048 | Curve25519 MODP-8192, ECP-384 MODP-2048 |
| Phase 1 SA Lifetime | 86400 | 86400 |
| Phase 2 Encr. Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 2 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 2 SA Lifetime | 86400 | 86400 |
| PFS | Curve25519, MODP-8192, ECP-384, MODP-2048 | Deaktiviert |
Performance-Optimierung für VPNs (NAT-T)
Bei VPN-Verbindungen, die über einen eigenen Router oder eine Firewall hinter dem Centro Business aufgebaut werden, wird die Aktivierung von NAT-T (NAT Traversal) empfohlen.
Technische Vorteile:
- Steigerung des Durchsatzes: Durch die Aktivierung dieses Features erhöht sich die Übertragungsgeschwindigkeit des VPN-Tunnels.
- Hardware-Beschleunigung: NAT-T kapselt IPsec-Pakete in UDP-Pakete ein. Dies ermöglicht es dem Centro Business, die Pakete hardwareseitig zu beschleunigen (Acceleration).
Voraussetzung: Damit die Verbindung erfolgreich aufgebaut wird und die Performance-Vorteile greifen, muss NAT-T zwingend auch auf der Gegenstelle aktiviert werden.
Einschränkungen
- Bei BNS/EC-S Vertrag nicht verfügbar
FAQ zu Peer-to-Peer VPN
Worauf gilt es zu achten, wenn Netzwerke über VPN verbunden werden?
- Bestehen Sicherheitlücken an einem der VPN-Standorte, bieten VPN-Tunnel einem Angreifer die Chance auf weitere Infrastruktur zuzugreifen (das Schadensrisiko steigt).
- Wenn am Gegenstandort kein Centro Business Router verwendet wird, erfodert die Konfiguration des VPN technische Kenntnisse da sehr viele unterschiedliche Möglichkeiten.
Was ist PFS?
PFS steht für "Perfect Forward Secrecy" und ist ein Sicherheitsmerkmal, das verwendet wird, um die Sicherheit der Kommunikation zu gewährleisten. Der Hauptvorteil von PFS besteht darin, dass es sicherstellt, dass selbst wenn die Schlüssel eines bestimmten Kommunikationskanals kompromittiert werden, vergangene Sitzungen nicht entschlüsselt werden können.
Warum wird IKEv1 nicht mehr unterstützt?
IKEv1 (Internet Key Exchange Version 1) wird aus mehreren Gründen zunehmend nicht mehr unterstützt. Erstens bietet IKEv2 signifikante Verbesserungen in Bezug auf Sicherheit und Effizienz, darunter eine vereinfachte Protokollstruktur und bessere Verschlüsselungsalgorithmen. Zweitens beinhaltet IKEv2 Funktionen wie das MOBIKE-Protokoll zur besseren Unterstützung von mobilen Geräten und dynamischen IP-Änderungen. Zudem wurden in IKEv2 Schwachstellen behoben, die in IKEv1 existierten, was es zu einer sichereren Wahl macht. Angesichts dieser Vorteile und der ständigen Weiterentwicklung der Netzwerksicherheitsstandards neigen viele moderne VPN-Lösungen dazu, IKEv1 nicht mehr zu unterstützen.
Fehlt Ihnen hier etwas? Geben Sie uns Feedback!
Helfen Sie uns, den CB-Guide zu verbessern. Teilen Sie uns mit, welche Inhalte Sie vermissen oder was wir optimieren können.
Feedback senden