Parameter | Beschreibung |
---|---|
reject_not_encrypted = no; | Internetzugang während VPN verbieten, kann auch die DynDNS Verbindung behinden, daher nur mit fester IP nutzen |
dont_filter_netbios = yes; | NetBIOS filtern, auf no gesetzt kann NetBIOS nicht genutzt werden |
mode = phase1_mode_aggressive; | Modus der IKE-Phase1 (Agressive Mode) |
mode = phase1_mode_idp; | Modus der IKE-Phase1 (Main Mode) |
phase1ss = "all/all/all"; | Sicherheitsstrategie IKE-Phase 1, auf automatisch gesetzt |
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; | Sicherheitsstrategie IKE-Phase 2 (IPSec) |
accesslist = "permit ip any 192.168.10.0 255.255.255.0"; | erlaubte Netzwerke oder Hosts |
pppoefw | Router läuft im PPPOE Mode (nur als Modem) |
dslifaces | Router läuft im Router-Mode (NAT-Funktionalität) |
dsldpconfig | … |
Parameter für phase1ss | |
def/3des/sha | Zugriff auf WatchGuard Firebox |
alt/aes/sha | Zugriff auf AVM Access Server |
def/all/all | alle Algorithmen, DH-Gruppe default |
alt/all/all | alle Algorithmen, DH-Gruppe alternativ |
def/all-no-aes/all | alle Algorithmen ohne AES, DH-Gruppe default |
alt/all-no-aes/all | alle Algorithmen ohne AES, DH-Gruppe alternativ |
alt/aes-3des/sha | AES 256 Bit oder 3DES, DH-Gruppe alternativ |
all/all/all | alle Algorithmen, DH-Gruppe alternativ |
dh5/aes/sha dh14/aes/sha dh15/aes/sha def/all/all alt/all/all all/all/all LT8h/all/all/all |
|
Parameter für phase2ss | |
esp-aes-sha/ah-sha/comp-lzjh/pfs | Zugriff auf AVM Access Server, hohe Sicherheit |
esp-aes-sha/ah-all/comp-lzjh-no/pfs | Zugriff auf AVM Access Server, Standardsicherheit |
esp-aes-sha/ah-no/comp-lzjh/pfs | Zugriff auf AVM Access Server, ohne AH |
esp-3des-md5/ah-no/comp-lzjh/pfs | Zugriff auf AVM Access Server, mittlere Sicherheit |
esp-3des-sha/ah-no/comp-no/no-pfs | Zugriff auf WatchGuard Firebox |
esp-all-all/ah-all/comp-all/pfs | alle Algorithmen, mit PFS |
esp-all-all/ah-all/comp-all/no-pfs | alle Algorithmen, ohne PFS |
esp-des|3des-all/ah-all/comp-all/pfs | alle von Cisco unterstützten Algorithmen, mit PFS |
esp-des|3des-all/ah-all/comp-all/no-pfs | alle von Cisco unterstützten Algorithmen, ohne PFS |
esp-des|3des-all/ah-all/comp-no/pfs | MD5/SHA1/DES/3DES Algorithmen, mit PFS |
esp-des|3des-all/ah-all/comp-no/no-pfs | MD5/SHA1/DES/3DES Algorithmen, ohne PFS |
esp-3des-shal/ah-no/comp-no/pfs | Linux FreeS/WAN mit 3DES und PFS |
esp-3des-shal/ah-no/comp-deflate/no-pfs | Linux FreeS/WAN mit 3DES ohne Kompression |
esp-all-all/ah-none/comp-all/pfs | alle Algorithmen, ohne AH, mit PFS |
esp-all-all/ah-none/comp-all/no-pfs | alle Algorithmen, ohne AH, ohne PFS |
esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs | AES 256 Bit oder 3DES, AH optional, SHA, PFS |
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs | AES 256 Bit oder 3DES, kein AH, SHA, PFS |
LT8h/esp-all-all/ah-none/comp-all/pfs
LT8h/esp-all-all/ah-none/comp-all/no-pfs
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "SophosXG";
always_renew = yes; //kann auf "no" wenn die VPN nur bei gebrauch genutzt werden soll
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = X.X.X.X; //Feste WAN IP der Firewall
remote_virtualip = 0.0.0.0;
localid {
ipaddr = X.X.X.X; // WAN IP der Fritzbox, hie die gleiche
nehmen wie in der Firewall beim Remote Gateway konfiguriert, alternativ: fqdn = "xy.dyndns.org";
}
remoteid {
ipaddr = X.X.X.X; //Feste IP
der Firewall
}
mode = phase1_mode_idp;
phase1ss =
"alt/all-no-aes/all";
keytype = connkeytype_pre_shared;
key = "XXXX"; //Hier muss der Preshared Key rein, wie
auf der Firewall im IPsec connection eingetragen
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = X.X.X.X; //Internes
Netz der FritzBox
mask =
255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = X.X.X.X; //Internes
Netz der Firewall
mask =
255.255.255.0;
}
}
phase2ss =
"esp-3des-sha/ah-no/comp-no/pfs"; //teilweise funktioniert phase2ss = "esp-all-all/ah-none/comp-all/no-pfs"; besser
accesslist = "permit ip any X.X.X.X 255.255.255.0"; //Internes
Netz der Firewall
}
ike_forward_rules = "udp 0.0.0.0:500
0.0.0.0:500",
"udp 0.0.0.0:4500
0.0.0.0:4500";
}
Keine Kommentare:
Kommentar veröffentlichen