Dienstag, 13. August 2019

[FRITZBOX] IPSEC File Configurationseinstellungen

ParameterBeschreibung
reject_not_encrypted = no; Internetzugang während VPN verbieten, kann auch die DynDNS Verbindung behinden, daher nur mit fester IP nutzen
dont_filter_netbios = yes; NetBIOS filtern, auf no gesetzt kann NetBIOS nicht genutzt werden
mode = phase1_mode_aggressive; Modus der IKE-Phase1 (Agressive Mode)
mode = phase1_mode_idp; Modus der IKE-Phase1 (Main Mode)
phase1ss = "all/all/all"; Sicherheitsstrategie IKE-Phase 1, auf automatisch gesetzt
phase2ss = "esp-all-all/ah-none/comp-all/pfs"; Sicherheitsstrategie IKE-Phase 2 (IPSec)
accesslist = "permit ip any 192.168.10.0 255.255.255.0"; erlaubte Netzwerke oder Hosts
pppoefw Router läuft im PPPOE Mode (nur als Modem)
dslifaces Router läuft im Router-Mode (NAT-Funktionalität)
dsldpconfig


Parameter für phase1ss
def/3des/sha Zugriff auf WatchGuard Firebox
alt/aes/sha Zugriff auf AVM Access Server
def/all/all alle Algorithmen, DH-Gruppe default
alt/all/all alle Algorithmen, DH-Gruppe alternativ
def/all-no-aes/all alle Algorithmen ohne AES, DH-Gruppe default
alt/all-no-aes/all alle Algorithmen ohne AES, DH-Gruppe alternativ
alt/aes-3des/sha AES 256 Bit oder 3DES, DH-Gruppe alternativ
all/all/all alle Algorithmen, DH-Gruppe alternativ

dh5/aes/sha
dh14/aes/sha
dh15/aes/sha
def/all/all
alt/all/all
all/all/all
LT8h/all/all/all



Parameter für phase2ss
esp-aes-sha/ah-sha/comp-lzjh/pfs Zugriff auf AVM Access Server, hohe Sicherheit
esp-aes-sha/ah-all/comp-lzjh-no/pfs Zugriff auf AVM Access Server, Standardsicherheit
esp-aes-sha/ah-no/comp-lzjh/pfs Zugriff auf AVM Access Server, ohne AH
esp-3des-md5/ah-no/comp-lzjh/pfs Zugriff auf AVM Access Server, mittlere Sicherheit
esp-3des-sha/ah-no/comp-no/no-pfs Zugriff auf WatchGuard Firebox
esp-all-all/ah-all/comp-all/pfs alle Algorithmen, mit PFS
esp-all-all/ah-all/comp-all/no-pfs alle Algorithmen, ohne PFS
esp-des|3des-all/ah-all/comp-all/pfs alle von Cisco unterstützten Algorithmen, mit PFS
esp-des|3des-all/ah-all/comp-all/no-pfs alle von Cisco unterstützten Algorithmen, ohne PFS
esp-des|3des-all/ah-all/comp-no/pfs MD5/SHA1/DES/3DES Algorithmen, mit PFS
esp-des|3des-all/ah-all/comp-no/no-pfs MD5/SHA1/DES/3DES Algorithmen, ohne PFS
esp-3des-shal/ah-no/comp-no/pfs Linux FreeS/WAN mit 3DES und PFS
esp-3des-shal/ah-no/comp-deflate/no-pfs Linux FreeS/WAN mit 3DES ohne Kompression
esp-all-all/ah-none/comp-all/pfs alle Algorithmen, ohne AH, mit PFS
esp-all-all/ah-none/comp-all/no-pfs alle Algorithmen, ohne AH, ohne PFS
esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs AES 256 Bit oder 3DES, AH optional, SHA, PFS
esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs AES 256 Bit oder 3DES, kein AH, SHA, PFS

LT8h/esp-all-all/ah-none/comp-all/pfs
LT8h/esp-all-all/ah-none/comp-all/no-pfs



vpncfg {
     connections {
             enabled = yes;
             conn_type = conntype_lan;
             name = "SophosXG";
             always_renew = yes;                //kann auf "no" wenn die VPN nur bei gebrauch genutzt werden soll
             reject_not_encrypted = no;
             dont_filter_netbios = yes;
             localip = 0.0.0.0;
             local_virtualip = 0.0.0.0;
             remoteip = X.X.X.X;                 //Feste WAN IP der Firewall
             remote_virtualip = 0.0.0.0;
             localid {
                     ipaddr =  X.X.X.X;        // WAN IP der Fritzbox, hie die gleiche nehmen wie in der Firewall beim Remote Gateway konfiguriert, alternativ: fqdn = "xy.dyndns.org";
             }
             remoteid {
                     ipaddr = X.X.X.X;                  //Feste IP der Firewall
             }
             mode = phase1_mode_idp;
             phase1ss = "alt/all-no-aes/all";
             keytype = connkeytype_pre_shared;
             key = "XXXX";      //Hier muss der Preshared Key rein, wie auf der Firewall im IPsec connection eingetragen
             cert_do_server_auth = no;
             use_nat_t = no;
             use_xauth = no;
             use_cfgmode = no;
             phase2localid {
                     ipnet {
                             ipaddr = X.X.X.X;                 //Internes Netz der FritzBox
                             mask = 255.255.255.0;
                     }
             }
             phase2remoteid {
                     ipnet {
                             ipaddr = X.X.X.X;           //Internes Netz der Firewall
                             mask = 255.255.255.0;
                     }
             }           
             phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";           //teilweise funktioniert phase2ss = "esp-all-all/ah-none/comp-all/no-pfs"; besser
             accesslist = "permit ip any X.X.X.X 255.255.255.0";      //Internes Netz der Firewall
     }
     ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                         "udp 0.0.0.0:4500 0.0.0.0:4500";
}

Keine Kommentare:

Kommentar veröffentlichen