Extra Information
Feld Beschreibung
aushandeln zu müssen.
Standardmäßig ist die Funktion aktiv.
Beachten Sie, dass MobIKE einen aktuellen IPSec Client voraussetzt, z.
B. den aktuellen Windows-7- oder Windows-8-Client oder die neuste Ver-
sion des bintec elmeg IPSec Clients.
IPv4 Proxy ARP Wählen Sie aus, ob Ihr Gerät ARP-Requests aus dem eigenen LAN stell-
vertretend für den spezifischen Verbindungspartner beantworten soll.
Mögliche Werte:
• + (Standardwert): Deaktiviert Proxy-ARP für diesen IPSec-
Peer.
• - >0: Ihr Gerät beantwortet einen ARP-Request nur,
wenn der Status der Verbindung zum IPSec Peer + (aktiv) oder
>0 (ruhend) ist. Bei >0 beantwortet Ihr Gerät lediglich den
ARP-Request, der Verbindungsaufbau erfolgt erst, wenn jemand tat-
sächlich die Route nutzen will.
• 20 +: Ihr Gerät beantwortet einen ARP-Request nur, wenn der
Status der Verbindung zum IPSec-Peer + (aktiv) ist, wenn also
bereits eine Verbindung zum IPSec Peer besteht.
CA-Zertifikate
Wenn Sie die Option Folgenden CA-Zertifikaten vertrauen aktivieren,
können Sie bis zu drei CA-Zertifikate auswählen, die für dieses Profil ak-
zeptiert werden sollen.
Die Option ist nur konfigurierbar, wenn Zertifikate geladen sind.
IPSec-Callback
Um Hosts, die nicht über feste IP-Adressen verfügen, eine sichere Verbindung über das Internet zu er-
möglichen, unterstützen Digitalisierungsbox-Geräte den DynDNS-Dienst. Dieser Dienst ermöglicht die
Identifikation eines Peers anhand eines durch DNS auflösbaren Host-Namens. Die Konfiguration der IP-
Adresse des Peers ist nicht notwendig.
Der DynDNS-Dienst signalisiert aber nicht, ob ein Peer wirklich online ist, und kann einen Peer nicht
veranlassen, eine Internetverbindung aufzubauen, um einen IPSec-Tunnel über das Internet zu ermögli-
chen. Diese Möglichkeit wird mit IPSec-Callback geschaffen: Mithilfe eines direkten ISDN-Rufs bei ei-
nem Peer kann diesem signalisiert werden, dass man online ist und den Aufbau eines IPSec-Tunnels
über das Internet erwartet. Sollte der gerufene Peer derzeit keine Verbindung zum Internet haben, wird
er durch den ISDN-Ruf veranlasst, eine Verbindung aufzubauen. Dieser ISDN-Ruf verursacht (je nach
Einsatzland) keine Kosten, da der ISDN-Ruf von Ihrem Gerät nicht angenommen werden muss. Die
Identifikation des Anrufers durch dessen ISDN-Rufnummer genügt als Information, um einen Tunnelauf-
bau zu initiieren.
Um diesen Dienst einzurichten, muss zunächst auf der passiven Seite im Menü Physikalische Schnitt-
stellen->ISDN-Ports->MSN-Konfiguration->Neu eine Rufnummer für den IPSec-Callback konfiguriert
werden. Dazu steht für das Feld Dienst der Wert '* zur Verfügung. Dieser Eintrag sorgt dafür, dass
auf dieser Nummer eingehende Rufe an den IPSec-Dienst geleitet werden.
Bei aktivem Callback wird, sobald ein IPSec-Tunnel benötigt wird, der Peer durch einen ISDN-Ruf ver-
anlasst, diesen zu initiieren. Bei passivem Callback wird immer dann ein Tunnelaufbau zum Peer initi-
iert, wenn ein ISDN-Ruf auf der entsprechenden Nummer (MSN im Menü Physikalische
Schnittstellen->ISDN-Ports->MSN-Konfiguration->Neu für Dienst '*) eingeht. Auf diese Weise
wird sichergestellt, dass beide Peers erreichbar sind und die Verbindung über das Internet zustande
kommen kann. Es wird lediglich dann kein Callback ausgeführt, wenn bereits SAs (Security Associati-
ons) vorhanden sind, der Tunnel zum Peer also bereits besteht.
9 Internet & Netzwerk bintec elmeg GmbH
218 Digitalisierungsbox Smart