IPSec Konfigurationsbeispiele¶
Nachfolgend Konfigurationsvorlagen für die FRITZ!Box mit IKEv1:
IKEv1 (AES256-SHA256-DH14)¶
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "NAME_EINTRAGEN";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
remoteip = "EXTERNE_PEER_IP_EINTRAGEN";
localid { fqdn = "MYFRITZ_ADRESSE_HIER_EINTRAGEN"; }
remoteid { fqdn = "EXTERNE_PEER_IP_EINTRAGEN"; }
mode = phase1_mode_idp;
phase1ss = "dh14/aes256/sha256";
keytype = connkeytype_pre_shared;
key = "PRE_SHARED_KEY_EINTRAGEN";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid { ipnet { ipaddr = LOKALES_IP_NETZ_EINTRAGEN; mask = 255.255.255.0; } }
phase2remoteid { ipnet { ipaddr = REMOTE_IP_NETZ_EINTRAGEN; mask = 255.255.255.0; } }
phase2ss = "esp-3des-sha/ah-no/comp-no/no-pfs";
accesslist = "permit ip any REMOTE_IP_NETZ_EINTRAGEN 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500";
}
Der Server (Peer) muss entsprechend konfiguriert werden mit: AES256-SHA256 / Diffie-Hellman-Gruppe 14
Achtung
Die Werte innerhalb der Konfiguration müssen angepasst werden!
IKEv1 (AES256-SHA1-DH2) - ! SEHR UNSICHER !¶
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = "NAME_EINTRAGEN";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = EXTERNE_PEER_IP_EINTRAGEN;
remote_virtualip = 0.0.0.0;
localid {
fqdn = "MYFRITZ_ADRESSE_HIER_EINTRAGEN";
}
remoteid {
ipaddr = "EXTERNE_PEER_IP_EINTRAGEN";
}
mode = phase1_mode_aggressive;
phase1ss = "LT8h/all/all/all";
keytype = connkeytype_pre_shared;
key = "PRE_SHARED_KEY_EINTRAGEN";
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = LOKALES_IP_NETZ_EINTRAGEN;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = REMOTE_IP_NETZ_EINTRAGEN;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
accesslist = "permit ip any LOKALES_IP_NETZ_EINTRAGEN 255.255.255.0";
} ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}
Der Server (Peer) muss entsprechend konfiguriert werden mit: AES256-SHA1 / Diffie-Hellman-Gruppe 2
Achtung
Die Werte innerhalb der Konfiguration müssen angepasst werden!
Sicherheitshinweis
Die hier verwendeten Verschlüsselungen sind unsicher und sollten unbedingt vermieden werden! Als Alternative bietet die FRITZ!Box das viel modernere und sicherere WireGuard oder eben die obere Methode!