Mini-Howto: Kompletten Internetverkehr über AVM VPN routen

[imagomundi]

Für alle meine Clients hatte ich jeweils einen eigenen access_list (permit ip any 192.168.....201 bis .....206). War problemlos - hatte damit bis zu 3 Geräte gleichzeitig an der FB aktiv.

 

[KunterBunter]

Ok, dann nehme ich das zurück und behaupte ab sofort das Gegenteil. Man kann beliebig viele accesslist Statements in der Config haben, die alle gleichzeitig gültig sind. Bei der Abarbeitung wird die Reihenfolge beachtet.

 

[pat77ma]

Für alle meine Clients hatte ich jeweils einen eigenen access_list (permit ip any 192.168.....201 bis .....206). War problemlos - hatte damit bis zu 3 Geräte gleichzeitig an der FB aktiv.

Ich habe in meiner Routerconfig zwei User und dann auch zwei configs für die Clients, dh. das müsste, dann ja auch funktionieren. Werde ich mal näher testen.

Offtopic@Novize:
Habe copy&paste benutzt (ctrl+c, crtl+v) jedoch war ich zu faul das zwei Mal zu machen und habe somit die Zeile: accesslist = "permit ip any 192.168.178.201 255.255.255.255"; zwei Mal eingefügt und vergessen den zweiten Eintrag anzupassen.

 

[imagomundi]

Ich mache mal mit diesem Thema noch ein wenig weiter. Vorweg: Ich habe 2 Android-Geräte (Desire und Archos 70), mehrere NOKIAs in der Familie (N8, N86, N95, X6, 5800) und u.a. ein Netbook (mit XP), das ich immer ins Büro und gelegentlich auch sonstwohin mitnehme. "VPN mit NOKIA" ist zwar immer noch nicht sorgenfrei, ich habe es aber im Griff - die Probleme, die ich bei VPN mit den beiden Androiden haben, versuche ich mit Hilfe des einschlägigen Threads hier im Forum auf die Reihe zu kriegen.

Nur für das Netbook habe ich kaum einen Plan: Die von "FRITZ Fernzugang" erstellte FRITZ-User-Cfg kann ich ja nicht auf das Netbook bringen und so bleibt mir wohl nur, die für die IPSec-Verbindung mit der 7270 zu Hause erforderlichen Daten auf einem auf dem Netbook installierten IPSec-Client einzugeben. Dazu habe ich schliesslich SHREW auf dem Netbook installiert und seit heute -bisher allerdings vergeblich- versuche ich, mit SHREW eine VPN-Verbindung mit der zu Hause stehenden FRITZ herzustellen.

Deshalb hier die Frage: Hat jemand mit Shrew auf einem Windows-Rechner Erfahrungen bei der Konfiguration von Shrew zum Aufbau einer VPN Verbindung mit einer FRITZ? Oder alternativ: Gibt es außer Shrew (der technisch recht einfach zu konfigurieren ist) einen anderen IPSEC[-/B] Client, den ich auf dem Netbook installieren könnte? Am hilfreichsten wären natürlich persönliche Erfahrungen. Die FRITZBox möchte ich nicht modden - auch nicht mit z.B. FREETZ und OpenVPN.

 

[frank_m24]

Hallo,

zu Shrew siehe hier:
http://www.avm.de/de/Service/Servic...l/VPN_Interoperabilitaet/15729.php?portal=VPN
Es gibt auch hier im Forum extra Threads dazu.

Aber Frage: Auf einem XP Notebook solltest du doch den AVM Fernzugang benutzen können ...

 

[imagomundi]

Aber Frage: Auf einem XP Notebook solltest du doch den AVM Fernzugang benutzen können ...

Sehe ich eigentlich genau so - nur (ich weiß: vermutlich blöde Frage): wo und wie soll ich denn die "vpn_user"-cfg (also die clientseitige cfg, die der Fernzugang für den Benutzer (gleichzeitig mit der dazu passenden vpn.cfg für die Box- erzeugt) auf den Benutzer "Notebook" laden? Deshalb der Gedanke: Ich nehme für die clientseitige Konfiguration einen IPSec-Client (Shrew) auf dem Notebook. Das hätte zudem den Vorteil, daß ich damit auch noch mehrere Benutzer cfgs für unterschiedliche Fritzboxen/Vpn-Server konfigurieren und vorhalten könnte.

 

[frank_m24]

wo und wie soll ich denn die "vpn_user"-cfg (also die clientseitige cfg, die der Fernzugang für den Benutzer (gleichzeitig mit der dazu passenden vpn.cfg für die Box- erzeugt) auf den Benutzer "Notebook" laden?

In das Tool AVM Fernzugang. Das sollte sich installieren lassen.

 

[Novize]

Aber Frage: Auf einem XP Notebook solltest du doch den AVM Fernzugang benutzen können ...

...aber nur, wenn Du kein Bluetooth auf dem Notebook hast.
Dann gibt es nämlich oft Probleme mit dem Bluetooth-Stack, der den Rechner in eine Rebootschleife jagt...

 

[imagomundi]

AVM Fernzugang habe ich installiert und eingerichtet mit Import der vpn_user_cfg "netbook". Aktivierung führt dazu, daß auf der Server-Box zu Hause erscheint "vpn-Verbindung mit netbook wird aufgebaut". Dabei bleibt es dann aber auch. Der Client Netbook meldet seinerseits "Zeitüberschreitung: Die Gegenstelle konnte nicht erreicht werden". Ich vermute ein Routing-Problem, das sich darin verbirgt, daß das Netbook im Büro an einer 7170 hängt, die wiederum selbst Client hinter einer 7240 ist, die die DSL-Verbindung herstellt. Die 7170 hat die feste IP 192.168.178.11 im Netzwerk der 7240 mit der üblichen Default IP 192.168.178.1. Es ändert sich übrigens auch nichts, wenn ich die Client 7170 nicht als IP-Client einrichte, sondern sie selbst eine Internet-Verbindung als NAT-Router aufbauen lasse.
Als DNS Server 1 ist 192.168.178.11 eingetragen, als DNS Server 2 die 192.168.178.1
Gelegentlich drängt sich jedoch hier der DSL-Provider mit seinen eigenen DNS-IPs (216.146.35.35 und 216.146.36.36) hinein und ich finde im TCP/IP-Protokoll plötzlich diese beiden IPs als DNS Server Adressen.

Muß ich möglicherweise an der ACCESS-List noch schrauben, die derzeit einfach so aussieht:

"permit ip any 192.168.173.209 255.255.255.255" Die Alternative "permit ip any 192.168.173.0 255.255.255.0" führt auch zu keinem anderen Ergebnis. 192.168.173.0 ist das Heimnetz mit der FB als 192.168.173.1.

Der Bluetooth Stack macht anscheinend keine Problme.

 

[goro11]

Hallo liebe Gemeinde!

Ich habe volgendes Problem:
zwei fritzboxen sind per VPN miteinander verbunden, haben jedoch unterschiedliche IP adressen, wie schaffe ich es dass die eine fritzbox mit der langsameren leitung sich mit der zweiten fritzbox (mit der schnelleren leitung) so verbindet, dass die beiden über die gleiche ipadresse verfügen. das VPN soll nicht über Fritz!Fernzugang aufgebaut werden sondern sollen auch alle geräte die an den Fritzboxen hängen (sei es der Fernseher, Playstation, usw) alle die gleiche Ip adresse im Internet haben.

 

[flummel85]

Moin!

Vorweg, vielen Dank für den Guide hat direkt auf Anhieb geklappt ne VPN herzustellen, jedoch habe ich ab und zu eine folgende Fehler Meldung:

Die Gegenstelle hat die Aushandlung durch Löschen der IKE-Phase 1 abgebrochen.
Überprüfen Sie die Koniguration
Die Verbindung wurde getrennt

Sitze inner FH hinter einem Proxy welcher VPN Verbindungen zulässt und verbinde eben mittels FRITZ! Fernverbindung auf meine Box klappt auch direkt, nur nach einiger Zeit kommt die Fehlermeldung, aber nach sofortigem Aufbau der VPN Verbindung steht sie direkt wieder. Hoffe ihr könnt mir helfen? Wüsste nicht woran das liegen könnte

P.S. Ein Test mit Torrent Prog zeigt, dass Upload einwandfrei funktioniert, jedoch der Download zwar mit der Quelle verbindet aber nicht anfängt zu laden, vllt hilft das?

Hier die vpnuser.cfg

/*
 * C:\Users\XXX\AppData\Roaming\AVM\FRITZ!Fernzugang\XXXXX_dyndns_org\XXXX\vpnuser_XXXXX.cfg
 * Sun Apr 17 00:13:58 2011
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "XXXXXX.dyndns.org";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.111.201;
                remoteip = 0.0.0.0;
                remotehostname = "XXXXXXX.dyndns.org";
                localid {
                        user_fqdn = "USERNAME";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "PRESHAREDKEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
		xauth {
			valid = yes;
			username = "USERNAME";
			passwd = "PASSWORT";
		}
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.111.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.111.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "deny ip any 149.222.36.0 255.255.255.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF

Und die Config inner Box

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "USERNAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.111.201;
                remoteid {
                        user_fqdn = "USERNAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "PRESHAREDKEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "USERNAME";
                        passwd = "PASSWORT";
                }
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.111.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.111.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.111.201 255.255.255.255";
        } {
                enabled = no;
                conn_type = conntype_user;
                name = "USERNAME";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.111.202;
                remoteid {
                        user_fqdn = "USERNAME";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "PRESHAREDKEY";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = yes;
                xauth {
                        valid = yes;
                        username = "USERNAME";
                        passwd = "PASSWORT";
                }
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.111.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.111.202;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.111.202 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

 

[blieni]

Hej annexa,



Wenn du das gesamte Internet über die deutsche FRITZ!Box erreichen möchtest, müsste die Zeile so aussehen:

accesslist = "deny ip any DNS1 255.255.255.255", "deny ip any DNS2 255.255.255.255", "deny ip any XX.XX.0.0 255.255.0.0", "permit ip any any";

Aber wie schon gesagt, ich habe selber keine Erfahrung mit der Kopplung von zwei FRITZ!Boxen: daher auf eigene Gefahr

Viele Grüße
buecke

Hallo aus Südafrika

leider komme ich nicht weiter

clientPc-->Wlan-->FB-RSA-->VPN-->FB-GER .... DAS FUNZT !.. aber von dort raus ins idernett mit GER-IP ?? das schaffe ich nicht ..

Ich HATTE 6 verschiedene VPN konten für die FB-GER erstellt und die passenden vpnuser.cfg modifiziert und es hat mit deutscher öffentlicher IP funktioniert (fritz-fernzugang)

seit dem ich die beiden Fritzboxen ( GER 192.168.191.1 und RSA 192.168.181.1 ) per VPN verbunden habe, komme ich vom südafrikanischem Netz ( 192.168.181.0 ) mit der Eingabe " 192.168.191.1 " auf die GER-Fritzbox.

wenn ich aber das Avm-programm starte um eine Verbindung eines ClientPC mit vpnuser-account zu verbinden gibt es ein Timeout. (einzige veränderung ist das VPN-Konto in der GER-FB und RSA-FB..nix am PC )

FB zu FB verbinden sich..aber wie kann ich den Traffic ins Indernett aus der GER-FB raus lassen ?

Da ich z.z in Afrika bin habe ich physischen Zugang zu der RSA-FB die ja meine webanfrage weiterleiten soll

annexa meinte er habe es geschaft Post #75 ..aber wie ? was sind " deny ip any XX.XX.0.0 255.255.0.0"

sonnige grüsse
blieni

 

[flummel85]

Nabend!

deny ip any XX.XX.0.0 255.255.0.0 ist der IP Bereich, welcher dir dein Internet Service Provider zuweist.

Ich habe über das Programm AVM Fernzugang eingerichtet, dabei ist meine IP Adresse des VPN-Client 192.168.111.201, wobei der DHCP Server nur bis 200 geht, kann eine mögliche Fehlerquelle sein. Danach habe ich die vpnuser Config bearbeitet und zwar nur die accesslist

accesslist = "deny ip any 149.222.36.0 255.255.255.0", "deny ip any 149.222.1.200 255.255.255.255", "deny ip any 149.222.1.201 255.255.255.255", "deny ip any 149.222.1.21 255.255.255.255", "deny ip any 149.222.0.0 255.255.0.0", "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";

IP-Bereich
149.222.36.0 255.255.255.0 DHCP Server IP Bereich
149.222.1.200 255.255.255.255 DNS-Server 1
149.222.1.201 255.255.255.255 DNS-Server 2
149.222.1.21 Gateway
149.222.0.0 255.255.0.0 Internet-IP Bereich

Zum Schluss nur noch permit ip any any

In der Fritz.box GER config nur dies geändert:

accesslist = "permit ip any 192.168.111.201 255.255.255.255";

192.168.111.201 255.255.255.255 Client IP im Fritz Netz

Bei den Einstellung habe ich:

connect_on_channelup = no;
always_renew = no;
reject_not_encrypted = no;
dont_filter_netbios = yes;
mode = mode_aggressive;
phase1ss = "all/all/all";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2ss = "esp-all-all/ah-none/comp-all/pfs";

Hoffe konnte dir ein wenig helfen, bin leider kein Profi

 

[blieni]

Hallo flummel85 danke für die Antwort
ich werde es ausprobieren.

Was bei mir zur Zeit gut geht ist zu jedem PC oder Notebook oder Nokia-handy ein eigenes Konto zu erzeugen und die fritzbox-config-cfg zu erweitern und neu in die FB zu laden.
dazu muss dann aber auch auf jedem PC das Programm Fritzfernanschluss mit entsprechender vpnuser.cfg geladen sein und eine Verbindung hergestellt werden.

Worann ich dachte ist: Die FB in RSA leitet SÄMTLICHEN Traffic (incl.voip etc) durch den Tunnel zur FB in GER, damit ist es für die PC/Notebooks die an der FB-RSA angeschlossen sind NICHT mehr nötig das VPN-Client programm von AVN zu öffnen.

Hat das schon jemand realisiert ?

PS: meine Anbindung in GER: DOWN 50000 UP 4000 und in RSA DOWN 4000 und UP 512 ...somit sehr gut ausreichend

 

[derchris]

Mein iPhone und iPad können mit der Anleitung von AVM über die Fritz!Box ins Internet tunneln.

Nun versuche ich das meinem Ubuntu beizubringen, scheitere da aber schon an der Frage wie muss ich bei Ubuntu VPN konfigurieren, was muss ich da einrichten bzw auswählen? Die Fritz!Box Config würde ich wie in dem HowTo anpassen ...

 

[pfeffer]

Die VPN-Software Shrew läuft sowohl unter Windows alsauch unter Linux/Ubuntu. Hier http://www.ip-phone-forum.de/showthread.php?t=202906&page=1 ist beschrieben, wie es damit geht.

Gruß,
Pfeffer.

 

[Maverick01]

per VPN über die eigene FritzBox surfen

Hallo Leute,

ich bin neu hier, und finde das Thema super interessant.

Angefangen hat es, als ich es in der PC Welt 05 / 2011 gelesen hab.

Ich habe auch, hoffe ich jedenfalls, alles wie beschrieben durchgeführt.

Nur leider funzt es nicht.



Hier meine Daten:

Ich habe die FritzBox 7270 mit aktueller Firmware.

Von ausserhalb kann ich bereits per DynDNS von selfhost auf meine FritzBox zugreifen.

Installiert habe ich "Fritz Fernzugang einrichten" und "Fritz Fernzugang".

Eine VPN Verbindung konnte ich bereits erfolgreich herstellen.

Nur das ich über die FritzBox surfen kann, das funzt noch nicht. Ich habe, wie beschrieben die Datei fritzbox*.cfg versucht zu modifizieren.

Wer kann mir da helfen??



Hier die Daten aus der Originalen fritzbox*.cfg Datei. Persönliche Daten habe durch "......" ersetzt.

/*
 * C:\Users\Maverick01\AppData\Roaming\AVM\FRITZ!Fernzugang\......\......
 * Mon May 16 22:55:23 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "......";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "......";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "f316fb82829991eaa3b0v85R175cqY81W";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

Ich danke euch bereits im voraus.

 

[frank_m24]

Bitte benutze Code Tags für das Einfügen von Konfig Dateien.
Und du hättest ja zumindest versuchen können, die Anleitung zu befolgen. Bislang ist davon nichts zu sehen. Was anderes als die Schritte aus #1 können wir hier auch nicht wiederholen.

 

[buecke]

Hej!

Ist ja schön, dass die PC-Welt Tipps aus diesem Forum (sogar mit Quellenangabe) weiter gibt, nur leider ist deren Anleitung etwas unvollständig. Ich empfehle also ebenfalls die genaue Lektüre des ersten Beitrages in diesem Thread. Sollte dann etwas nicht funktionieren, hilft bei der Fehlersuche das Posten der geänderten (!) .cfg-Dateien. Die Originaldateien sind für die Fehlersuche völlig uninteressant...

Viele Grüße
buecke

 

[t-master]

Größere Probleme

Hi,
ich versuche auch bereits seit längerem, die Internetverbindung meines Notebooks von außerhalb über meine FritzBox zu leiten.
Ich habe meine cfgs wie im 1. Beitrag beschrieben angepasst, aber leider funktioniert es nicht. Ich komme weder im Browser auf Webseiten, noch auf meine Fritzbox (über 192.168.178.1) noch kann ich Ip-Adressen anpingen wenn die VPN-Verbindung steht.

Configs

/*
 * C:\Users\Tobias\AppData\Roaming\AVM\FRITZ!Fernzugang\tobi1449_dyndns_info\fritzbox_tobi1449_dyndns_info.cfg
 * Sun Jun 26 14:13:01 2011
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_user;
                name = "Tobias Laptop";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 192.168.178.201;
                remoteid {
                        user_fqdn = "Tobias Laptop";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "***********";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.201;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.178.201 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF

/*
 * C:\Users\Tobias\AppData\Roaming\AVM\FRITZ!Fernzugang\tobi1449_dyndns_info\Tobias_Laptop\vpnuser_Tobias_Laptop.cfg
 * Sun Jun 26 14:13:01 2011
 */

version {
        revision = "$Revision: 1.30 $";
        creatversion = "1.1";
}


pwcheck {
}


datapipecfg {
        security = dpsec_quiet;
        icmp {
                ignore_echo_requests = no;
                destunreach_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                timeexceeded_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
                echoreply_rate {
                        burstfactor = 6;
                        timeout = 1;
                }
        }
        masqtimeouts {
                tcp = 15m;
                tcp_fin = 2m;
                tcp_rst = 3s;
                udp = 5m;
                icmp = 30s;
                got_icmp_error = 15s;
                any = 5m;
                tcp_connect = 6m;
                tcp_listen = 2m;
        }
        ipfwlow {
                input {
                }
                output {
                }
        }
        ipfwhigh {
                input {
                }
                output {
                }
        }
        NAT_T_keepalive_interval = 20;
}


targets {
        policies {
                name = "tobi1449.dyndns.info";
                connect_on_channelup = no;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                virtualip = 192.168.178.201;
                remoteip = 0.0.0.0;
                remotehostname = "tobi1449.dyndns.info";
                localid {
                        user_fqdn = "Tobias Laptop";
                }
                mode = mode_aggressive;
                phase1ss = "all/all/all";
                keytype = keytype_pre_shared;
                key = "**********";
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipaddr = 192.168.178.201;
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
		accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
                wakeupremote = no;
        }
}


policybindings {
}


// EOF