IPSEC site2site VPN ER‑X gegen Checkpoint

Fein­fein­fein, das funk­tio­niert nämlich 🙂

vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes256
                hash sha1
            }
        }
        ike-group FOO0 {
            ikev2-reauth no
            key-exchange ikev1
            lifetime 28800
            proposal 1 {
                dh-group 14
                encryption aes256
                hash sha1
            }
        }
        site-to-site {
            peer vpngw.example.com {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret einsicherespasswortbitte
                }
                connection-type initiate
                description Work
                ike-group FOO0
                ikev2-reauth inherit
                local-address any
                tunnel 1 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group FOO0
                    local {
                        prefix a.a.a.0/24
                    }
                    remote {
                        prefix b.b.0.0/16
                    }
                }
            }
        }
    }
}

Das muß natür­lich zur Check­point passen.
Erstaun­li­cher­wei­se hat iperf3 den Ein­druck, daß der Durch­satz OHNE ipsec off­loa­ding deut­lich bes­ser ist.
Und ich soll­te mal sehen, ob die Para­me­ter nicht doch noch zu ver­bes­sern sind (SHA‑1 vs. SHA-256 zum Beispiel).

Aber soweit: 👍