Workshop: VPN mit Linux (Teil 2)

Allgemeine Konfiguration

Nachdem nun das importierte Zertifikat auch gebrauchsfertig ist, kann der Anwender PGPnet aufrufen. Über Ansicht / Optionen gelangt er in die allgemeinen Einstellungen für die Applikation. Die Settings auf den meisten der zwölf verfügbaren Reiter können im Default-Zustand bleiben. Für den VPN-Einsatz interessieren ausschließlich die drei entsprechend bezeichneten Tabs.

Auf dem Reiter "VPN" sind im Regelfall die nötigen Einstellungen mit VPN-Verbindungen aktivieren und Dynamisches VPN zulassen schon getroffen. Lediglich die Zeitspanne für die Erneuerung von IKE- und IPsec-Schlüssel muss unter Umständen an die Vorgaben aus dem Client-Zertifikat angepasst werden. Überschreiten die hier getroffenen Einstellungen die Settings des Zertifikats, lehnt der Gateway eine Verbindung ab. Auf dem Tab "VPN-Authentifizierung" trägt der Anwender über X.509-Authentisierung / Zertifikat auswählen das Client-Zertifikat ein. Darüber hinaus muss die Option Gültige entfernte Authentisierung von konfigurierten Hosts anfordern angewählt sein.

Der Reiter "VPN - Erweitert" enthält die grundlegenden Encryption-Einstellungen. Als Zulässige entfernte Vorschläge soll der Client TripleDES, SHA-1 und MD5 sowie jede Schlüssellänge akzeptieren. Komprimierung wird dagegen von Free S/WAN nicht unterstützt. In den Vorschlagslisten für die Schlüsselverfahren setzt der Anwender die IKE-Variante RSA-Unterschrift - MD5 - TripleDES - 1024 Bit ganz nach oben. Für IPsec muss die primäre Angabe Keine - MD5, TripleDES - Keine lauten. Für die Perfect Forwarding Secrecy - die Lokalisierung lautet in schönstem Deutsch "Höchste Geheimhaltung beim Weiterleiten" - ist eine Schlüssellänge von 1024 Bit einzustellen.