Erstellen Sie ein Site-to-Site-VPN

Namen

Geben Sie einen Namen für das VPN ein.

Beschreibung

Geben Sie eine Beschreibung ein. Diese Beschreibung wird für die IKE- und IPsec-Vorschläge und -Richtlinien verwendet. Während der Bearbeitung wird die IPsec-Richtlinienbeschreibung angezeigt und aktualisiert.

Routing-Modus

Wählen Sie den Routing-Modus aus, dem dieses VPN zugeordnet werden soll:

• Traffic-Auswahl (automatisches Einfügen von Routen)

• Statisches Routing

• Dynamisches Routing – OSPF

• Dynamisches Routing – BGP

Für jede Topologie generiert J-Web automatisch die relevanten CLIs. Traffic Selector ist der Standardmodus.

Authentifizierungsmethode

Wählen Sie eine Authentifizierungsmethode aus der Liste aus, die das Gerät zur Authentifizierung der Quelle von IKE-Nachrichten (Internet Key Exchange) verwendet:

• Zertifikatbasiert: Typen von digitalen Signaturen, bei denen es sich um Zertifikate handelt, die die Identität des Zertifikatsinhabers bestätigen.

  Im Folgenden sind die Authentifizierungsmethoden für ein zertifikatbasiertes Zertifikat aufgeführt:

  • rsa-signatures: Gibt an, dass ein Public-Key-Algorithmus verwendet wird, der Verschlüsselung und digitale Signaturen unterstützt.

  • dsa-signatures: Gibt an, dass der Digital Signature Algorithm (DSA) verwendet wird.

  • ecdsa-signatures-256 - Gibt an, dass der Elliptic Curve DSA (ECDSA) unter Verwendung der elliptischen 256-Bit-Kurve secp256r1 verwendet wird, wie im Federal Information Processing Standard (FIPS) Digital Signature Standard (DSS) 186-3 angegeben.

  • ecdsa-signatures-384 - Gibt an, dass der ECDSA mit der elliptischen 384-Bit-Kurve secp384r1 verwendet wird, wie in FIPS DSS 186-3 angegeben.

  • ecdsa-signatures-521 - Gibt an, dass der ECDSA mit der elliptischen 521-Bit-Kurve secp521r1 verwendet wird.

    Hinweis:

    ecdsa-signatures-521 unterstützt nur SRX5000 Reihe von Geräten mit installierter SPC3-Karte und Junos-IKE-Gehäuse.

• Vorinstallierter Schlüssel (Standardmethode): Gibt an, dass ein vorinstallierter Schlüssel, bei dem es sich um einen geheimen Schlüssel handelt, der von den beiden Peers gemeinsam genutzt wird, während der Authentifizierung verwendet wird, um die Peers untereinander zu identifizieren. Für jeden Peer muss derselbe Schlüssel konfiguriert werden. Dies ist die Standardmethode.

Firewall-Richtlinie automatisch erstellen

Wenn Sie Ja auswählen, befindet sich eine Firewallrichtlinie automatisch zwischen der internen Zone und der Tunnelschnittstellenzone mit lokalen geschützten Netzwerken als Quelladresse und remote geschützten Netzwerken als Zieladresse.

Umgekehrt wird eine weitere Firewall-Richtlinie erstellt.

Wenn Sie Nein auswählen, steht Ihnen keine Firewallrichtlinienoption zur Verfügung. Sie müssen die erforderliche Firewall-Richtlinie manuell erstellen, damit dieses VPN funktioniert.

Remote-Gateway

Zeigt das Symbol für das Remote-Gateway in der Topologie an. Klicken Sie auf das Symbol, um das Remote-Gateway zu konfigurieren.

Das Gateway identifiziert den Remote-Peer mit den IPsec-VPN-Peers und definiert die entsprechenden Parameter für dieses IPsec-VPN.

Informationen zu den Feldern finden Sie in Tabelle 2.

Lokales Gateway

Zeigt das Symbol für das lokale Gateway in der Topologie an. Klicken Sie auf das Symbol, um das lokale Gateway zu konfigurieren.

Informationen zu den Feldern finden Sie in Tabelle 4.

IKE- und IPsec-Einstellungen

Konfigurieren Sie den benutzerdefinierten IKE- oder IPsec-Vorschlag und den benutzerdefinierten IPsec-Vorschlag mit empfohlenen Algorithmen oder Werten.

Informationen zu den Feldern finden Sie in Tabelle 6.

Gateway steckt hinter NAT

Wenn diese Option aktiviert ist, wird die konfigurierte externe IP-Adresse (IPv4 oder IPv6) als IP-Adresse des NAT-Geräts bezeichnet.

IKE-Identität

Wählen Sie eine Option aus der Liste aus, um die Remoteidentität zu konfigurieren.

Hostname

Geben Sie einen Remote-Hostnamen ein.

IPv4-Adresse

Geben Sie eine Remote-IPv4-Adresse ein.

IPv6-Adresse

Geben Sie eine Remote-IPv6-Adresse ein.

Schlüssel-ID

Geben Sie eine Schlüssel-ID ein.

E-Mail-Adresse

Geben Sie eine E-Mail-Adresse ein.

Externe IP-Adresse

Geben Sie die IPv4- oder IPv6-Adresse des Peers ein. Sie können ein primäres Peernetzwerk mit bis zu vier Sicherungen erstellen.

Sie müssen eine IPv4- oder IPv6-Adresse eingeben, oder Sie können bis zu fünf IP-Adressen durch Kommas getrennt eingeben.

Geschützte Netzwerke

Wenn Sie einen Routing-Modus auswählen, werden alle globalen Adresse(n) aufgelistet.

Wählen Sie die Adressen aus der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um sie in die Spalte Ausgewählt zu verschieben.

Wenn der Routing-Modus wie folgt lautet:

• Traffic Selector: Die IP-Adressen werden in der Konfiguration der Datenverkehrsauswahl als Remote-IP verwendet.

• Statisches Routing:

  • Die statische Route wird für die ausgewählte(n) globale(n) Adresse(n) konfiguriert.

  • Die Tunnelschnittstelle (st0.x) des lokalen Gateways wird als nächster Hop verwendet.

• Dynamisches Routing: Der Standardwert ist beliebig. Sie können auch bestimmte(n) globale(n) Adresse(n) auswählen. Der ausgewählte Wert wird in der Firewall-Richtlinie als Zieladresse konfiguriert.

Hinzufügen

Klicken Sie auf +.

Die Seite "Globale Adresse erstellen" wird angezeigt. Informationen zu den Feldern finden Sie in Tabelle 3 .

Namen

Geben Sie eine eindeutige Zeichenfolge ein, die mit einem alphanumerischen Zeichen beginnen muss und Doppelpunkte, Punkte, Bindestriche und Unterstriche enthalten kann. keine Leerzeichen erlaubt; Maximal 63 Zeichen.

IP-Typ

Wählen Sie IPv4 oder IPv6 aus.

IPv4

IPv4-Adresse: Geben Sie eine gültige IPv4-Adresse ein.

Subnetz: Geben Sie das Subnetz für die IPv4-Adresse ein.

IPv6

IPv6-Adresse: Geben Sie eine gültige IPv6-Adresse ein.

Subnetzpräfix: Geben Sie eine Subnetzmaske für den Netzwerkbereich ein. Nach der Eingabe wird der Wert validiert.

Gateway steckt hinter NAT

Aktivieren Sie diese Option, wenn sich das lokale Gateway hinter einem NAT-Gerät befindet.

IKE-Identität

Wählen Sie eine Option aus der Liste aus, um die lokale Identität zu konfigurieren. Wenn das Gateway hinter NAT aktiviert ist, können Sie eine IPv4- oder IPv6-Adresse konfigurieren, um auf das NAT-Gerät zu verweisen.

Hostname

Geben Sie einen Hostnamen ein.

IPv4-Adresse

Geben Sie eine IPv4-Adresse ein.

IPv6-Adresse

Geben Sie eine IPv6-Adresse ein.

Schlüssel-ID

Geben Sie eine Schlüssel-ID ein.

E-Mail-Adresse

Geben Sie eine E-Mail-Adresse ein.

Externe Schnittstelle

Wählen Sie eine ausgehende Schnittstelle aus der Liste für IKE-Aushandlungen aus.

Die Liste enthält alle verfügbaren IP-Adressen, wenn mehr als eine IP-Adresse für die angegebene Schnittstelle konfiguriert ist. Die ausgewählte IP-Adresse wird als lokale Adresse unter dem IKE-Gateway konfiguriert.

Tunnel-Schnittstelle

Wählen Sie eine Schnittstelle aus der Liste aus, um sie an die Tunnelschnittstelle zu binden (routenbasiertes VPN).

Klicken Sie auf Hinzufügen , um eine neue Schnittstelle hinzuzufügen. Die Seite "Tunnelschnittstelle erstellen" wird angezeigt. Siehe Tabelle 5.

Router-ID

Geben Sie die IP-Adresse des Routing-Geräts ein.

Bereichs-ID

Geben Sie eine Bereichs-ID im Bereich von 0 bis 4.294.967.295 ein, in der die Tunnelschnittstellen dieses VPN konfiguriert werden müssen.

Tunnelschnittstelle Passiv

Aktivieren Sie diese Option, um den Datenverkehr der üblichen aktiven IP-Prüfungen zu umgehen.

ASN

Geben Sie die AS-Nummer des Routing-Geräts ein.

Verwenden Sie eine Nummer, die Ihnen von der Netzwerkkarte zugewiesen wurde. Bereich: 1 bis 4.294.967.295 (232 – 1) im Klarzahlformat für 4-Byte-AS-Nummern.

Nachbar-ID

Geben Sie die IP-Adresse eines benachbarten Routers ein.

BGP-Gruppentyp

Wählen Sie den Typ der BGP-Peergruppe aus der Liste aus:

• external: Externe Gruppe, die das BGP-Routing zwischen AS ermöglicht.

• internal: Interne Gruppe, die das BGP-Routing innerhalb des AS ermöglicht.

Peer-ASN

Geben Sie die AS-Nummer (Neighbor (Peer) Autonomous System (AS) ein.

Richtlinien importieren

Wählen Sie eine oder mehrere Routing-Richtlinien aus der Liste für Routen aus, die von BGP in die Routing-Tabelle importiert werden sollen.

Klicken Sie auf Alle löschen , um die ausgewählten Richtlinien zu löschen.

Export-Richtlinien

Wählen Sie eine oder mehrere Richtlinien aus der Liste für Routen aus, die aus der Routing-Tabelle in BGP exportiert werden sollen.

Klicken Sie auf Alle löschen , um die ausgewählten Richtlinien zu löschen.

Lokales Zertifikat

Wählen Sie eine lokale Zertifikatskennung aus, wenn das lokale Gerät über mehrere geladene Zertifikate verfügt.

Klicken Sie auf Hinzufügen , um ein neues Zertifikat zu generieren. Klicken Sie auf Importieren , um ein Gerätezertifikat zu importieren. Weitere Informationen finden Sie unter Verwalten von Gerätezertifikaten.

Vertrauenswürdige Zertifizierungsstelle/Gruppe

Wählen Sie das Profil der Zertifizierungsstelle (CA) aus der Liste aus, um es dem lokalen Zertifikat zuzuordnen.

Klicken Sie auf Hinzufügen , um ein neues CA-Profil hinzuzufügen. Weitere Informationen finden Sie unter Verwalten einer vertrauenswürdigen Zertifizierungsstelle.

Vorinstallierter Schlüssel

Geben Sie den Wert des vorinstallierten Schlüssels ein. Der Schlüssel kann einer der folgenden sein:

• ascii-text: ASCII-Textschlüssel.

• hexadezimal: Hexadezimalschlüssel.

Geschützte Netzwerke

Klicken Sie auf +. Die Seite "Geschützte Netzwerke erstellen" wird angezeigt.

Zone

Wählen Sie eine Sicherheitszone aus der Liste aus, die in der Firewallrichtlinie als Quellzone verwendet werden soll.

Globale Adresse

Wählen Sie die Adressen aus der Spalte Verfügbar aus, und klicken Sie dann auf den Pfeil nach rechts, um sie in die Spalte Ausgewählt zu verschieben.

Hinzufügen

Klicken Sie auf Hinzufügen.

Die Seite "Globale Adresse erstellen" wird angezeigt. Siehe Tabelle 3.

Bearbeiten

Wählen Sie das geschützte Netzwerk aus, das Sie bearbeiten möchten, und klicken Sie auf das Stiftsymbol.

Die Seite "Globale Adresse bearbeiten" wird mit bearbeitbaren Feldern angezeigt.

Löschen

Wählen Sie das geschützte Netzwerk aus, das Sie bearbeiten möchten, und klicken Sie auf das Symbol "Löschen".

Die Bestätigungsmeldung wird angezeigt.

Klicken Sie zum Löschen auf Ja .

Schnittstellen-Einheit

Geben Sie die Nummer der logischen Einheit ein.

Beschreibung

Geben Sie eine Beschreibung für die logische Schnittstelle ein.

Zone

Wählen Sie eine Zone für die logische Schnittstelle aus der Liste aus, die als Quellzone in der Firewallrichtlinie verwendet werden soll.

Klicken Sie auf Hinzufügen , um eine neue Zone hinzuzufügen. Geben Sie den Namen und die Beschreibung der Zone ein, und klicken Sie auf der Seite Sicherheitszone erstellen auf OK .

Routing-Instanz

Wählen Sie eine Routing-Instanz aus der Liste aus.

IPv4-Adresse

Geben Sie eine gültige IPv4-Adresse ein.

Subnetz-Präfix

Geben Sie eine Subnetzmaske für die IPv4-Adresse ein.

IPv6-Adresse

Geben Sie eine gültige IPv6-Adresse ein.

Subnetz-Präfix

Geben Sie eine Subnetzmaske für den Netzwerkbereich ein. Nach der Eingabe wird der Wert validiert.

IKE-Version

Wählen Sie die erforderliche IKE-Version aus, entweder v1 oder v2, um dynamische Sicherheitszuordnungen (Security Associations, SAs) für IPsec auszuhandeln.

Der Standardwert ist v2.

IKE-Modus

Wählen Sie den IKE-Richtlinienmodus aus der Liste aus:

• aggressiv: Nimmt die Hälfte der Anzahl von Nachrichten des Hauptmodus an, hat weniger Aushandlungsmacht und bietet keinen Identitätsschutz.

• main: Verwenden Sie sechs Nachrichten in drei Peer-to-Peer-Austauschvorgängen, um die IKE-Sicherheitszuordnung einzurichten. Diese drei Schritte umfassen die IKE SA-Aushandlung, einen Diffie-Hellman-Austausch und die Authentifizierung des Peers. Bietet auch Identitätsschutz.

Verschlüsselungsalgorithmus

Wählen Sie den entsprechenden Verschlüsselungsmechanismus aus der Liste aus.

Der Standardwert ist aes-256-gcm.

Authentifizierungsalgorithmus

Wählen Sie den Authentifizierungsalgorithmus aus der Liste aus. Beispiel: hmac-md5-96 – Erzeugt einen 128-Bit-Digest und hmac-sha1-96 – Erzeugt einen 160-Bit-Digest.

DH-Gruppe

Ein Diffie-Hellman (DH)-Austausch ermöglicht es den Teilnehmern, einen gemeinsamen geheimen Wert zu generieren. Wählen Sie die entsprechende DH-Gruppe aus der Liste aus. Der Standardwert ist group19.

Lebenslange Sekunden

Wählen Sie die Lebensdauer einer IKE-Sicherheitszuordnung (SA) aus. Standardwert: 28.800 Sekunden. Reichweite: 180 bis 86.400 Sekunden.

Erkennung toter Peers

Aktivieren Sie diese Option, um Anforderungen zur Erkennung toter Peers zu senden, unabhängig davon, ob ausgehender IPsec-Datenverkehr zum Peer vorhanden ist.

DPD-Modus

Wählen Sie eine der Optionen aus der Liste aus:

• optimized: Sendet Sonden nur, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr vorhanden ist – RFC3706 (Standardmodus).

• probe-idle-tunnel – Sendet Sonden wie im optimierten Modus und auch dann, wenn kein ausgehender oder eingehender Datenverkehr vorhanden ist.

• always-send: Senden Sie in regelmäßigen Abständen Sondierungen, unabhängig vom ein- und ausgehenden Datenverkehr.

DPD-Intervall

Wählen Sie ein Intervall in Sekunden aus, um Meldungen zur Erkennung toter Peers zu senden. Das Standardintervall beträgt 10 Sekunden. Der Bereich beträgt 2 bis 60 Sekunden.

DPD-Schwelle

Wählen Sie eine Zahl zwischen 1 und 5 aus, um den DPD-Schwellenwert für Fehler festzulegen.

Dies gibt an, wie oft die DPD-Nachrichten maximal gesendet werden müssen, wenn keine Antwort vom Peer eingeht. Die Standardanzahl der Übertragungen beträgt 5 Mal.

Allgemeine IKE-ID

Aktivieren Sie diese Option, um die Peer-IKE-ID zu akzeptieren.

Erneute IKEv2-Authentifizierung

Konfigurieren Sie die Häufigkeit der erneuten Authentifizierung, um eine neue IKEv2-erneute Authentifizierung auszulösen.

IKEv2-Refragmentierung

Diese Option ist standardmäßig aktiviert.

IKEv2 Re-Fragment-Größe

Wählen Sie die maximale Größe einer IKEv2-Nachricht in Byte aus, bevor sie in Fragmente aufgeteilt wird.

Die Größe gilt sowohl für IPv4- als auch für IPv6-Nachrichten. Bereich: 570 bis 1320 Byte.

Die Standardwerte sind:

• IPv4-Nachrichten: 576 Byte.

• IPv6-Nachrichten: 1280 Byte.

NAT-T

Aktivieren Sie diese Option, damit IPsec-Datenverkehr über ein NAT-Gerät geleitet wird.

NAT-T ist ein IKE-Phase-1-Algorithmus, der verwendet wird, wenn versucht wird, eine VPN-Verbindung zwischen zwei Gateway-Geräten herzustellen, bei denen sich ein NAT-Gerät vor einem der Geräte der SRX-Serie befindet.

NAT am Leben erhalten

Wählen Sie das entsprechende Keepalive-Intervall in Sekunden aus. Bereich: 1 bis 300.

Wenn zu erwarten ist, dass das VPN längere Zeiträume inaktiv sein wird, können Sie Keepalive-Werte konfigurieren, um künstlichen Datenverkehr zu generieren, damit die Sitzung auf den NAT-Geräten aktiv bleibt.

Protokoll

Wählen Sie entweder das ESP- (Encapsulation Security Protocol) oder das AH-Protokoll (Authentication Header) aus der Liste aus, um ein VPN einzurichten. Der Standardwert ist ESP.

Verschlüsselungsalgorithmus

Wählen Sie die Verschlüsselungsmethode aus. Der Standardwert ist aes-256-gcm.

Authentifizierungsalgorithmus

Wählen Sie den IPsec-Authentifizierungsalgorithmus aus der Liste aus. Beispiel: hmac-md5-96 – Erzeugt einen 128-Bit-Digest und hmac-sha1-96 – Erzeugt einen 160-Bit-Digest.

Perfekte Vorwärts-Geheimhaltung

Wählen Sie Perfect Forward Secrecy (PFS) aus der Liste aus. Das Gerät verwendet diese Methode, um den Verschlüsselungsschlüssel zu generieren. Der Standardwert ist group19.

PFS generiert jeden neuen Verschlüsselungsschlüssel unabhängig vom vorherigen Schlüssel. Die höher nummerierten Gruppen bieten mehr Sicherheit, erfordern aber mehr Verarbeitungszeit.

Lebenslange Sekunden

Wählen Sie die Lebensdauer (in Sekunden) einer IPsec-Sicherheitszuordnung (SA) aus. Wenn die Sicherheitszuordnung abläuft, wird sie durch eine neue Sicherheitszuordnung und einen neuen Sicherheitsparameterindex (Security Parameter Index, SPI) ersetzt oder beendet. Der Standardwert ist 3.600 Sekunden. Reichweite: 180 bis 86.400 Sekunden.

Kilobyte über die gesamte Lebensdauer

Wählen Sie die Lebensdauer (in Kilobyte) einer IPsec-Sicherheitszuordnung aus. Der Standardwert ist 128 KB. Reichweite: 64 bis 4294967294.

Tunnel einrichten

Aktivieren Sie diese Option, um den IPsec-Tunnel einzurichten. IKE wird sofort aktiviert (Standardwert), nachdem ein VPN konfiguriert und die Konfigurationsänderungen übernommen wurden.

VPN-Überwachung

Aktivieren Sie diese Option, um sie in einer Ziel-IP-Adresse zu verwenden.

Ziel-IP

Geben Sie das Ziel der ICMP-Pings (Internet Control Message Protocol) ein. Das Gerät verwendet standardmäßig die Gateway-Adresse des Peers.

Optimiert

Aktivieren Sie diese Option für das VPN-Objekt. Wenn diese Option aktiviert ist, sendet das Gerät der SRX-Serie nur dann ICMP-Echoanforderungen (Pings), wenn ausgehender Datenverkehr und kein eingehender Datenverkehr vom konfigurierten Peer über den VPN-Tunnel vorhanden ist. Wenn eingehender Datenverkehr durch den VPN-Tunnel fließt, betrachtet das Gerät der SRX-Serie den Tunnel als aktiv und sendet keine Pings an den Peer.

Diese Option ist standardmäßig deaktiviert.

Quellschnittstelle

Wählen Sie die Quellschnittstelle für ICMP-Anforderungen aus der Liste aus. Wenn keine Quellschnittstelle angegeben ist, verwendet das Gerät automatisch die lokale Tunnelendpunktschnittstelle.

Verify-path (Pfad verifizieren)

Aktivieren Sie diese Option, um den IPsec-Datenpfad zu überprüfen, bevor die Secure Tunnel (st0)-Schnittstelle aktiviert wird und die der Schnittstelle zugeordnete(n) Route(n) in der Junos OS-Weiterleitungstabelle installiert werden.

Diese Option ist standardmäßig deaktiviert.

Ziel-IP

Geben Sie die Ziel-IP-Adresse ein. Ursprüngliche, nicht übersetzte IP-Adresse des Peertunnel-Endpunkts, der sich hinter einem NAT-Gerät befindet. Bei dieser IP-Adresse darf es sich nicht um die NAT-übersetzte IP-Adresse handeln. Diese Option ist erforderlich, wenn sich der Peertunnelendpunkt hinter einem NAT-Gerät befindet. Die ICMP-Anforderung "verify-path" wird an diese IP-Adresse gesendet, damit der Peer eine ICMP-Antwort generieren kann.

Paketgröße

Geben Sie die Größe des Pakets ein, das zur Überprüfung eines IPsec-Datenpfads verwendet wird, bevor die st0-Schnittstelle aufgerufen wird. Bereich: 64 bis 1350 Byte. Der Standardwert ist 64 Byte.

Anti-Wiederholung

IPsec schützt vor VPN-Angriffen, indem es eine in das IPsec-Paket integrierte Zahlenfolge verwendet – das System akzeptiert keine Pakete mit derselben Sequenznummer.

Diese Option ist standardmäßig aktiviert. Das Anti-Replay prüft die Sequenznummern und erzwingt die Überprüfung, anstatt die Sequenznummern einfach zu ignorieren.

Deaktivieren Sie Anti-Replay, wenn ein Fehler mit dem IPsec-Mechanismus auftritt, der zu nicht in der richtigen Reihenfolge der Pakete führt, wodurch die ordnungsgemäße Funktionalität verhindert wird.

Installationsintervall

Wählen Sie die maximale Anzahl von Sekunden aus, um die Installation einer neu verschlüsselten ausgehenden Sicherheitszuordnung (SA) auf dem Gerät zu ermöglichen. Wählen Sie einen Wert zwischen 1 und 10 aus.

Leerlaufzeit

Wählen Sie das Leerlaufzeitintervall aus. Bei den Sitzungen und den entsprechenden Übersetzungen tritt nach einer bestimmten Zeit eine Zeitüberschreitung auf, wenn kein Datenverkehr empfangen wird. Die Reichweite beträgt 60 bis 999999 Sekunden.

DF-Bit

Wählen Sie aus, wie das Gerät das DF-Bit (Don't Fragment) im äußeren Header verarbeitet:

• clear – Löscht (deaktiviert) das DF-Bit aus dem äußeren Header. Dies ist die Standardeinstellung.

• copy: Kopiert das DF-Bit in den äußeren Header.

• set: Setzt (aktiviert) das DF-Bit im äußeren Header.

Äußeres DSCP kopieren

Diese Option ist standardmäßig aktiviert. Dies ermöglicht das Kopieren des Differentiated Services Code Point (DSCP) (äußeres DSCP+ECN) aus dem verschlüsselten Paket des äußeren IP-Headers in die Klartextnachricht des inneren IP-Headers auf dem Entschlüsselungspfad. Wenn diese Funktion aktiviert ist, können Klartextpakete nach der IPsec-Entschlüsselung den internen CoS-Regeln (DSCP+ECN) folgen.