Fritz!Box - VPN - Parameter der Konfigurationsdatei
|
Parameter |
Beschreibung |
|
reject_not_encrypted = no; |
Internetzugang während VPN verbieten, kann auch die DynDNS Verbindung behinden, daher nur mit fester IP nutzen |
|
dont_filter_netbios = yes; |
NetBIOS filtern, auf no gesetzt kann NetBIOS nicht genutzt werden |
|
mode = phase1_mode_aggressive; |
Modus der IKE-Phase1 (Agressive Mode) |
|
mode = phase1_mode_idp; |
Modus der IKE-Phase1 (Main Mode) |
|
phase1ss = "all/all/all"; |
Sicherheitsstrategie IKE-Phase 1, auf automatisch gesetzt |
|
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; |
Sicherheitsstrategie IKE-Phase 2 (IPSec) |
|
accesslist = "permit ip any 192.168.10.0 255.255.255.0"; |
erlaubte Netzwerke oder Hosts |
|
pppoefw |
Router läuft im PPPOE Mode (nur als Modem) |
|
dslifaces |
Router läuft im Router-Mode (NAT-Funktionalität) |
|
dsldpconfig |
… |
|
|
|
|
Parameter für phase1ss |
|
|
def/3des/sha |
Zugriff auf WatchGuard Firebox |
|
alt/aes/sha |
Zugriff auf AVM Access Server |
|
def/all/all |
alle Algorithmen, DH-Gruppe default |
|
alt/all/all |
alle Algorithmen, DH-Gruppe alternativ |
|
def/all-no-aes/all |
alle Algorithmen ohne AES, DH-Gruppe default |
|
alt/all-no-aes/all |
alle Algorithmen ohne AES, DH-Gruppe alternativ |
|
alt/aes-3des/sha |
AES 256 Bit oder 3DES, DH-Gruppe alternativ |
|
all/all/all |
alle Algorithmen, DH-Gruppe alternativ |
|
|
|
|
Parameter für phase2ss |
|
|
esp-aes-sha/ah-sha/comp-lzjh/pfs |
Zugriff auf AVM Access Server, hohe Sicherheit |
|
esp-aes-sha/ah-all/comp-lzjh-no/pfs |
Zugriff auf AVM Access Server, Standardsicherheit |
|
esp-aes-sha/ah-no/comp-lzjh/pfs |
Zugriff auf AVM Access Server, ohne AH |
|
esp-3des-md5/ah-no/comp-lzjh/pfs |
Zugriff auf AVM Access Server, mittlere Sicherheit |
|
esp-3des-sha/ah-no/comp-no/no-pfs |
Zugriff auf WatchGuard Firebox |
|
esp-all-all/ah-all/comp-all/pfs |
alle Algorithmen, mit PFS |
|
esp-all-all/ah-all/comp-all/no-pfs |
alle Algorithmen, ohne PFS |
|
esp-des|3des-all/ah-all/comp-all/pfs |
alle von Cisco unterstützten Algorithmen, mit PFS |
|
esp-des|3des-all/ah-all/comp-all/no-pfs |
alle von Cisco unterstützten Algorithmen, ohne PFS |
|
esp-des|3des-all/ah-all/comp-no/pfs |
MD5/SHA1/DES/3DES Algorithmen, mit PFS |
|
esp-des|3des-all/ah-all/comp-no/no-pfs |
MD5/SHA1/DES/3DES Algorithmen, ohne PFS |
|
esp-3des-shal/ah-no/comp-no/pfs |
Linux FreeS/WAN mit 3DES und PFS |
|
esp-3des-shal/ah-no/comp-deflate/no-pfs |
Linux FreeS/WAN mit 3DES ohne Kompression |
|
esp-all-all/ah-none/comp-all/pfs |
alle Algorithmen, ohne AH, mit PFS |
|
esp-all-all/ah-none/comp-all/no-pfs |
alle Algorithmen, ohne AH, ohne PFS |
|
esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs |
AES 256 Bit oder 3DES, AH optional, SHA, PFS |
|
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs |
AES 256 Bit oder 3DES, kein AH, SHA, PFS |
/*
* vpn.cfg
*/
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "[VPN-NAME]";
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = a.b.c.d;
remote_virtualip = 0.0.0.0;
localid {
ipaddr = e.f.g.h;
}
remoteid {
ipaddr = a.b.c.d.;
}
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
keytype = connkeytype_pre_shared;
key = "[PSK ANPASSEN]";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.178.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.179.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
accesslist = "permit ip any 192.168.179.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}
// EOF