Hallo,
Piru hat geschrieben:
Jetzt geht es mir zum einen um die Tatsächlichen max. Verbindungen die ich über IPSec Client`s auf der USG fahren kann.
Die Produktbeschreibung sagt max. 10 Verbindungen pro IPSec Tunnel? Wie soll ich das verstehen?
Wo steht "10 Verbindungen pro IPSec-Tunnel"? Im englischen Datenblatt steht "Max. Concurrent IPSec VPN Tunnels". Gemeint ist, dass sich max. 10 Phase2-SAs parallel aushandeln lassen.
Piru hat geschrieben:
Da ich ja auf der USG-50 / 5mal VPN-Gateways eintragen kann, würde das heißen das ich pro Verbindung 10 (gesamt50) Tunnel fahren könnte?
Wenn Du nur 5 Phase1-Policies anlegen kannst, ist die Firmware veraltet. Die USG-50 unterstützte anfangs nur 5 IPSec-Tunnel, wurde dann aber per Firmwareupdate auf 10 "aufgebohrt". Um diese Zahl in allen Konfigurationsszenarien gewährleisten zu können, müssen sich mind. 10 Phase1-Policies erstellen lassen. Phase2-Policies dürften sogar mehr erstellbar sein. Bei den ZyNOS-Geräten war es jedenfalls so, dass man mehr Phase2-Policies als die angegebene Anzahl parallele VPN-Tunnel anlegen konnte - jedoch konnte man nicht mehr als die angegebene Anzahl gleichzeitig aufbauen. Gleiches würde ich bei der USG-Serie erwarten. Sicher weiss ich es nicht, da wir nur USG300 einsetzen und dort - anders als bei den zuvor eingesetzten Zywall70 - aufgrund des nunmehr unterstützten routedbased VPN noch nicht an diese Grenze gestoßen sind.
Piru hat geschrieben:
Ich habe 40 Außendienstler von denen max 4 gleichzeitig (über Netbooks mit HSDPA-dynamisch) ins Firmennetz müssten. Wie verhält sich das, wenn ich allen 40 Mitarbeitern die selben P1 und P2 Konfigurationen gebe? Hauen die sich gegenseitig raus sobald der 1. drin ist und der 2. sich einwählt? oder können das dann 10 Verbindungen sein bevor die 11. die 1. Verbindung kickt?
Es sollte niemand "rausgekickt" werden, sondern der 11. kann schlicht keine Verbindung aufbauen.
Piru hat geschrieben:
Gibt es diesbezüglich von grund auf wichtige konfigurationen in der USG oder im Client. Wie würdet ihr das konfigurieren?
Ich würde keine zusätzlichen IPSec-Clients verwenden, sondern ZLD3.0 abwarten (erscheint im März). Mit diesem Update unterstützt auch die USG-50 L2TPoverIPSec.
Gruß
sk
Anmelden
Registrieren
FAQ
Suche
