[Problem] VPN FritzBox 7490 LAN to LAN TP-Link Archer VR200v

peterschristoph · 24 Okt 2016

Hallo,

ich habe ein LAN to LAN VPN mit einer FritzBox 7490 und einem TP-Link Archer VR200v eingerichtet, es funktioniert jedoch nicht wirklich. Beide Systeme zeigen mir ab und an - jedoch komischerweiße nicht immer - an, dass Sie miteinander verbunden sind. Ich bekomm jedoch keinen Zugriff auf das andere Netz.

FritzBox Standort: 192.168.8.0
TP-Link Standort: 192.168.7.0

Beide haben Dynamic DNS eingerichtet, welches auch zuverlässig funktioniert.

Allgemein:
- Auto (IKE)
- Perfect Forward Secrecy

Phase1 Settings:

Aggressiv
FQDN
AES - 256
SHA1
DH 1024bit
Schlüssellebenszeit 3600 Sekunden

Phase2 Settings:
AES - 256
SHA1
DH 2048bit
Schlüssellebenszeit 3600 Sekunden

Das sind die Einstellungen im TP-Link Router. Die Konfiguration in der Fritzbox habe ich direkt erstellt und importiert, da es über das Webinterface nicht möglich war. Dabei habe ich mich an die Dokumentation von der Fritzbox gehalten. Ich kenne mich sonst mehr im im Bereich der prof. Router aus, dort gibt es mehr Debugmöglichkeiten.

Die Verbindung steht ansich zwischen den beiden Geräten, jedoch geht eine HTTP Anfrage oder ein Ping nicht in das andere Netz durch.

Hat jemand Grundlegend eine Idee, wie ich das ganze etwas debuggen könnte, oder sieht jetzt schon jemand einen gravierenden Fehler in den Einstellungen? In der Fritzbox wurde bereits die Routen gelöscht und diverse Tutorials von der Fritzbox Seite aus durchprobiert, ohne Erfolg.

Vielen Dank.

PeterPawn · 24 Okt 2016

Routen haben beim AVM-IPSec nichts zu suchen. Sämtlicher Traffic geht über das "dsl"-Device im FRITZ!OS, dort hängt auch die Selektion der Pakete, die zu verschlüsseln sind, im Stack. Welche Pakete am Ende gekapselt werden sollen, entscheiden "Selektoren" (die "accesslist"-Parameter). Da das "dev dsl" schon die Default-Route ist und es gar kein Interface gäbe, über das man den IPSec-Verkehr "ausleiten" könnte, machen irgendwelche Routen für LAN-Segmente bei Peers keinen Sinn - abgesehen davon, daß sie bei neuerer Firmware gar nicht einzutragen wären, dort werden nur zusätzliche Routen akzeptiert, deren Gateway über "dev lan" zu erreichen ist.

Wenn man also eine Idee entwickeln soll, braucht es schon noch die Konfigurationsdatei auf der FRITZ!Box-Seite - aus dem Bauch heraus würde ich auf falsche Eintragungen im erwähnten Abschnitt tippen.

Ansonsten hat die FRITZ!Box (den VR200v kenne ich nicht weiter) noch die Möglichkeit, ein (rudimentäres) Protokoll in den Support-Daten auszugeben. Da dieses in der Größte begrenzt ist, sollte man die Support-Daten zeitnah zu einem Reboot und dem ersten Verbindungsversuch erstellen.

Auch wenn es nicht in jedem Szenario einfach ist, sollte man sich bei einer Konstellation mit mind. einer FRITZ!Box immer überlegen, ob man mit einer Konfiguration mit einem dedizierten Initiator (und einem passiven Responder) leben kann ... angesichts von Flatrates und "always on"-VPN-Verbindungen ist das sicherlich in den meisten Fällen möglich und dann sollte man diese Rollen auch explizit zuweisen.

Das FRITZ!OS hat jedenfalls ein (bekanntes) Problem, wenn es selbst eine Verbindung aufbauen will (also SAs für einen Peer einrichten soll) und dabei tritt ein Fehler auf. Dann werden auch solche SAs abgeräumt, die bei einem vorhergehenden, erfolgreichen Verbindungsaufbau aus der Gegenrichtung eingerichtet wurden.

Ansonsten hat so eine FRITZ!Box die Möglichkeit, einen pcap-kompatiblen Packet-Dump auf diversen Interfaces zu erzeugen - zumindest den unverschlüsselten Teil der Kommunikation kriegt man da auch noch mit. Bei der Verwendung von zwei dynamischen Namen und IKEv1 sollte sich ja der "aggressive mode" (natürlich mit starkem PSK) von selbst verstehen ... aber auch das kriegt man aus so einem Packet-Dump dann heraus, was da in den UDP-Paketen für IKE steckt.

peterschristoph · 24 Okt 2016

Ich habe die Logdateien in der FritzBox angeschaut - keine Fehler. Vielleicht liegt es am TP-Link VR200v...

vpncfg { connections {
enabled = yes;
conn_type = conntype_lan;
name = "<NAME>";
always_renew = yes;
reject_not_encrypted = no;
dont_filter_netbios = yes;
localip = 0.0.0.0;
local_virtualip = 0.0.0.0;
remoteip = 0.0.0.0;
remote_virtualip = 0.0.0.0;
remotehostname = "<ARCHER-STANDORT-FQDN>";
localid {
fqdn = "<FRITZBOX-STANDORT-FQDN>";
}
remoteid {
fqdn = "<ARCHER-STANDORT-FQDN>";
}
mode = phase1_mode_aggressive;
phase1ss = "alt/aes-3des/sha";
keytype = connkeytype_pre_shared;
key = "<MEINKEY>";
cert_do_server_auth = no;
use_nat_t = yes;
use_xauth = no;
use_cfgmode = no;
phase2localid {
ipnet {
ipaddr = 192.168.8.0;
mask = 255.255.255.0;
}
}
phase2remoteid {
ipnet {
ipaddr = 192.168.7.0;
mask = 255.255.255.0;
}
}
phase2ss = "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs";
accesslist = "permit ip any 192.168.7.0 255.255.255.0";
}
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
}

PeterPawn · 24 Okt 2016

peterschristoph schrieb:
Ich habe die Logdateien in der FritzBox angeschaut - keine Fehler.

Na dann ... dann sollte es ja funktionieren. Ich will auch nicht weiter auf Dich einreden und Dich am Ende noch zum Geheimnisverrat verleiten. Wenn die Protokolle so schützenswert sind, daß nicht einmal ihre Namen hier angeführt werden dürfen (dann wüßten Dritte am Ende noch, ob Du in den richtigen Dateien nachgesehen hast), dann sollte man sich auch an die betreffenden Vorschriften halten.

Auch sollte man mit den Angaben zur eingesetzten FRITZ!OS-Version so sparsam wie möglich umgehen (am Ende wird man noch zum TAO-Ziel und da ist die Kenntnis der verwendeten Firmware ja schon der erste Schritt für den Angreifer) - leider führt das aber auch dazu, daß vermutlich niemand so richtig helfen kann.

Ich kann jedenfalls bei der 113.06.60 das Proposal-Set für P1 ("alt/aes-3des/sha") gar nicht in den Voreinstellungen finden ... hast Du das etwa in der "ipsec.cfg" selbst konfiguriert? Wenn ja, mit welchen Einstellungen? Oder hat das FRITZ!OS es versäumt, das als Fehler in "den Logdateien" zu vermerken?

Zumindest gibt es bei der 113.06.60 das angegebene Set für P2 ("esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs") ebenfalls nicht in der originalen Firmware, insofern sind die Einstellungen also konsistent (falsch). Das gilt - nur nebenbei - auch für die aktuelle Labor-Version der 7490 (113.06.69-41670) - das Durchsuchen weiterer denkbarer FRITZ!OS-Versionen ist mir dann doch zu mühselig. Es wäre also auch denkbar, daß ich - in Unkenntnis der tatsächlich eingesetzten Firmware-Version - an der vollkommen falschen Stelle suche - aber offenbar ja nicht nur ich.

Vermutlich war da die "Verschleierung" der tatsächlich verwendeten Einstellungen, damit die Geheimhaltung nicht gefährdet wird, dann doch zu weitgehend - offensichtlich ging sie sogar so weit, daß nicht einmal das FRITZ!OS den Fehler finden (und protokollieren) kann. Abgesehen davon würde zumindest die FRITZ!Box mit der gezeigten Konfigurationsdatei den Tunnel ohnehin nur dann aufbauen, wenn es Daten für die Übertragung gäbe ... das ist keine "always on"-, sondern eine "on demand"-Verbindung.

Wie der "avmike" auf eine solche Verbindung reagieren mag (die keinerlei gültige Einstellung für Proposals in P1 oder P2 enthält, sofern Du nicht das FRITZ!OS angepaßt haben solltest, was dann (bei allem Verständnis für Geheimhaltung) zumindest eine Erwähnung wert gewesen wäre.

peterschristoph · 24 Okt 2016

Es wird das Fritz OS 6.60 eingesetzt. Die "Log" der Fritzbox beinhalten keine Fehler, im Gegenteil:

24.10.16
18:40:54 VPN-Verbindung zu XXX wurde erfolgreich hergestellt

Die Verbindung wird in beiden Geräten als aktiv gekennzeichnet.

Abgesehen davon würde zumindest die FRITZ!Box mit der gezeigten Konfigurationsdatei den Tunnel ohnehin nur dann aufbauen, wenn es Daten für die Übertragung gäbe ... das ist keine "always on"-, sondern eine "on demand"-Verbindung.

Das ist nicht korrekt, die Verbindung wird "always on" gehalten.

Die entsprechenden Einstellungen konnte ich direkt bei AVM finden (siehe Links unten), für welche Modelle diese gültig sind, ist leider nicht ersichtlich. Es gab jedoch den ein oder anderen Blogeintrag bzw. Anleitung von Dritten oder anderen Herstellern, welche

hast Du das etwa in der "ipsec.cfg" selbst konfiguriert?

Ja, die Konfiguration ist grundlegend mit dem FRIZBox Fernzugang Tool selbst gemacht, da das Webinterface der FritzBox nicht alles anbietet.

https://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_1.pdf
https://avm.de/fileadmin/user_upload/DE/Service/VPN/ike_2.pdf

PeterPawn · 24 Okt 2016

Dann passe ich ... dann habe ich das gesamte AVM-VPN nicht verstanden. Die "ipsec.cfg" (die hat mit "FRITZ!Fernzugang konfigurieren" auch nur wenig zu tun) bei der 113.06.60 sieht (Branding "avm") so aus:

Code:

dns {
	timeoutbase = 5s;
	nretry = 4;
	negative_ttl = 5m;
	timeout_ttl = 1s;
	additional_servers = 127.0.0.1, 192.168.116.252, 192.168.116.253;
}

dynamicdns {
	ttlborder = 2m;
	checkinterval = 2m;
}

cfg_security_strategien {
	ike_strategien {
		name = "dh5/aes/sha";
		comment = "dh_group_modp5";
		dhgroup = dh_group_modp5;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		accept_all_dh_groups = no;
		proposals {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		}{
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		}
	} {
		name = "dh14/aes/sha";
		comment = "dh_group_modp14";
		dhgroup = dh_group_modp14;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		accept_all_dh_groups = no;
		proposals {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		}{
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		}
	}{
		name = "dh15/aes/sha";
		comment = "dh_group_modp15";
		dhgroup = dh_group_modp15;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		accept_all_dh_groups = no;
		proposals {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		}{
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		}
	} {
		name = "def/all/all";
		comment = "Alle Algorithmen, DH-Gruppe default";
		dhgroup = def;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		accept_all_dh_groups = no;
		proposals {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_3des;
				keylength = 0;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_des;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_3des;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_des;
				keylength = 0;
			}
		}
	} {
		name = "alt/all/all";
		comment = "Alle Algorithmen, DH-Gruppe alternate";
		dhgroup = alt;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		accept_all_dh_groups = no;
		proposals {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_3des;
				keylength = 0;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_des;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_3des;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_des;
				keylength = 0;
			}
		}
	}{
		name = "all/all/all";
		comment = "Alle Algorithmen, DH-Gruppe alternate (ausgehend)";
		dhgroup = alt;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		accept_all_dh_groups = yes;
		proposals {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_3des;
				keylength = 0;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_des;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_3des;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_des;
				keylength = 0;
			}
		}
	}{
		name = "LT8h/all/all/all";
		comment = "Alle Algorithmen, DH-Gruppe alternate (ausgehend) Lifetime 8h";
		dhgroup = alt;
		life_dur_sec = 8h;
		life_dur_kb = 0;
		accept_all_dh_groups = yes;
		proposals {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_3des;
				keylength = 0;
			}
		} {
			hash = ike_sha;
			enc {
				type = ike_des;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 256;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 192;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_aes;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_3des;
				keylength = 0;
			}
		} {
			hash = ike_md5;
			enc {
				type = ike_des;
				keylength = 0;
			}
		}
	}




	ipsec_strategien {
		name = "esp-3des-sha/ah-no/comp-no/pfs";
		comment = "Linux FreeS/WAN mit 3DES und PFS";
		pfs = yes;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		proposals {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		}
	}{ 
                name = "esp-3des-sha/ah-no/comp-no/no-pfs"; 
                comment = "Windows TMG - nur ein Phase 2 Proposal wird akzeptiert";  
                pfs = no; 
                life_dur_sec = 1h; 
                life_dur_kb = 0; 
                proposals { 
                        comp = comp_none; 
                        ah = ah_none; 
                        esp { 
                                typ = esp_3des; 
                                enc_key_length = 0; 
                                hash = sha; 
                        } 
                } 
	}{
		name = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
		comment = "fuer Verbindungen bei denen Kompression zu Problemen fuehrt";
		pfs = yes;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		proposals {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		}
	}{
		name = "esp-aes-sha/ah-all/comp-lzjh-no/pfs";
		comment = "Standardrichtlinie AVM Access Server";
		pfs = yes;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		proposals {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		}
	} {
		name = "esp-all-all/ah-all/comp-all/pfs";
		comment = "Alle Algorithmen, mit PFS";
		pfs = yes;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		proposals {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		}  {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		}  {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		}  {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		}  {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		}  {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		}  {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		}  {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		}
	} {
		name = "esp-all-all/ah-all/comp-all/no-pfs";
		comment = "Alle Algorithmen, ohne PFS";
		pfs = no;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		proposals {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_sha;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_sha;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_sha;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_md5;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_md5;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_md5;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		}
	} {
		name = "esp-all-all/ah-none/comp-all/pfs";
		comment = "Alle Algorithmen, ohne AH, mit PFS";
		pfs = yes;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		proposals {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		}
	} {
		name = "esp-all-all/ah-none/comp-all/no-pfs";
		comment = "Alle Algorithmen, ohne AH, ohne PFS";
		pfs = no;
		life_dur_sec = 1h;
		life_dur_kb = 0;
		proposals {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		}
	}  {
		name = "LT8h/esp-all-all/ah-none/comp-all/pfs";
		comment = "Alle Algorithmen, ohne AH, mit PFS";
		pfs = yes;
		life_dur_sec = 8h;
		life_dur_kb = 0;
		proposals {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		}
	} {
		name = "LT8h/esp-all-all/ah-none/comp-all/no-pfs";
		comment = "Alle Algorithmen, ohne AH, ohne PFS";
		pfs = no;
		life_dur_sec = 8h;
		life_dur_kb = 0;
		proposals {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = sha;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 256;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 192;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_aes;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_3des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_lzjh;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_deflate;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		} {
			comp = comp_none;
			ah = ah_none;
			esp {
				typ = esp_des;
				enc_key_length = 0;
				hash = md5;
			}
		}
	} {
                name = "esp-null-sha/ah-no/comp-no/no-pfs";
                comment = "ESP NULL, kein AH,kein COMP,kein PFS";
                pfs = no;
                life_dur_sec = 1h;
                life_dur_kb = 0;
                proposals {
                        comp = comp_none;
                        ah = ah_none;
                        esp {
                                typ = esp_null;
                                enc_key_length = 0;
                                hash = sha;
                        }
                } 
        }
}

// EOF

Ich kann darin beim besten Willen kein Set für P1 mit dem Namen "alt/aes-3des/sha" finden und keines für P2 mit dem Namen "esp-aes256-3des-sha/ah-all-sha/comp-lzs-no/pfs".

Wenn die VPN-Verbindung trotzdem funktioniert, hat entweder AVM da irgendeinen Fallback-Mechanismus eingebaut, der bei vollkommen absurden Einträgen als Ersatz zum Tragen kommt oder ich habe (die von mir präferierte Variante) absolut keinen Schimmer, wie das AVM-IPSec überhaupt funktioniert.

Zu "always on" noch die Bemerkung, daß von der FRITZ!Box-Seite (und nur das schrieb ich auch, wenn Du noch einmal genau liest) diese Verbindung nicht als "always on" gehandhabt wird. Dazu fehlt schlicht die Angabe von "keepalive_ip = <adresse_im_entfernten_lan>;" - das ist jedenfalls der Eintrag, der vom GUI geändert wird, wenn man die entsprechende Checkbox anhakt. Sollte der Peer seinerseits die Verbindung aufbauen, wird die natürlich auch von der FRITZ!Box benutzt, solange sie sich nicht (wegen eines Fehlers beim Verbindungsaufbau) auch wieder die SAs für die Verbindung vom Peer selbst "entzieht".

- - - Aktualisiert - - -

BTW ... die verlinkten PDF-Dateien für die P1-/P2-Proposals stimmen seit FRITZ!OS 06.2x nicht mehr.

Languages

Suche

Languages

Suche

[Problem] VPN FritzBox 7490 LAN to LAN TP-Link Archer VR200v

peterschristoph

Neuer User

PeterPawn

IPPF-Urgestein

peterschristoph

Neuer User

PeterPawn

IPPF-Urgestein

peterschristoph

Neuer User

PeterPawn

IPPF-Urgestein

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums