IPSEC Fritz!Box zu IPCop
Leider habe ich noch keine Konfiguration gefunden, bei der man sich IN die Fritz!Box einwählen kann.
Der Verbindungsaufbau erfolgte bisher immer VON der Fritz!Box in den IPCop.
Das lokale Netzwerk des IPCop muss bekannt sein, z.B. 192.168.1.1
Z = 1
IPCOP Einstellungen:
Host-IP-Adresse: RED Interface
lokales SubNetz: 192.168.Z.0/255.255.255.0
Wichtig ist hier die Local ID: Eine frei wählbare Zeichenfolge, z.B. „@Firma“
(Das @-Zeichen vor dem DynDNS Namen ist wichtig und kommt nur im IPCop vor !!!!)
Remote Host/IP: DynDNS-Adresse der Fritzbox
lokales SubNetz: 192.168.X.0/255.255.255.0
Wichtig ist hier die Remote ID: Eine frei wählbare Zeichenfolge, z.B.: „@Homeoffice“
(Das @-Zeichen vor dem DynDNS Namen ist wichtig und kommt nur im IPCop vor !!!!)
Pre-Shared-Schlüssel: Geheimer Schlüssel
IPCOP erweiterte Einstellungen:
IKE Verschlüsselung: AES (256 bit) und 3DES
IKE Integrität: SHA und MD5
IKE Gruppentyp: MODP-1536 und MODP-1024
ESP Verschlüsselung: 3DES
ESP Integrität: SHA und MD5
ESP Gruppentyp: Phase1 Gruppe
Perfect Forward Secrecy (PFS) aktivieren die restlichen Punkte deaktiviert
Die Konfiguration der Fritz!Box
Die Parameter der Fritz!Box müssen auch bekannt sein:
Das lokale Netzwerk der Fritz!Box, z.B. 192.168.178.1
X = 178
vpncfg {
connections {
enabled = yes;
conn_type = conntype_lan;
name = „DynDNS-Adresse des IPCOP“;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = „DynDNS-Adresse des IPCOP“;
localid {
fqdn = „Homeoffice„;
}
remoteid {
fqdn = „Firma„;
}
mode = phase1_mode_idp;
phase1ss = „all/all/all“;
keytype = connkeytype_pre_shared;
key = „Geheimer Schlüssel„;
cert_do_server_auth = no;
use_nat_t = no;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.X.0;
mask = 255.255.255.0;
}
}
phase2ss = „esp-des|3des-all/ah-all/comp-no/pfs“;
accesslist = „permit ip any 192.168.Z.0 255.255.255.0″;
}
ike_forward_rules = „udp 0.0.0.0:500 0.0.0.0:500“,
„udp 0.0.0.0:4500 0.0.0.0:4500“;
}