// ACHTUNG, nur ein Template. Unbedingt die Keys durch welche mit entsprechender Länge austauschen. Empfohlen: 64 Byte // Multikonfiguration mit drei VPN für folgende VPN-Clients. // - Shrew-Client für Linux und die WinDOSe, jeweils nur zum Zugang zum LAN bzw. LAN und Internet // - iPod oder VPNCilla (Android), Zugang zum LAN und Internet (also ges. Traffic übers VPN!) // Weitere VPN können einfach in der Konfiguration an den richtigen Stellen eingefügt werden // Empfohlen: die IP-Range des eigenen LAN ändern (hier: 192.168.188.0), um Probleme mit fremden Zugängen zu vermeiden. // Jedes VPN übergibt dem Client eine eigene IP => dadurch Mehrfachzugriff möglich // Die Kommentare entsprechen den Einstellungen der einzelnen VPN-Clients // Der Entwickler von VPNCilla liefert eine sehr gute Beschreibung auf seiner Seite! vpncfg { connections { enabled = yes; conn_type = conntype_user; name = "vpn_lan"; //PC => DynDNS, nur LAN, fuer Linux und Windows, Shrew-Client always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 192.168.188.201; // eine IP außerhalb der DHCP-Range der Box remoteid { user_fqdn = "vpn_lan"; // oder Mailadresse usw. } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "password_vpn_lan"; // Key, gültig von: JJMMDD bis JJMMDD, ÄNDERN! cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 192.168.188.0; mask = 255.255.255.0; } } phase2remoteid { ipaddr = 192.168.188.201; } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip 192.168.188.0 255.255.255.0 192.168.188.201 255.255.255.255"; } { enabled = yes; conn_type = conntype_user; name = "vpn_internet"; //PC => DynDNS, LAN und Internet, fuer Linux und Windows, Shrew-Client always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 192.168.188.202; remoteid { user_fqdn = "vpn_internet"; } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "password_vpn_internet"; // Key, gültig von: JJMMDD bis JJMMDD, ÄNDERN! cert_do_server_auth = no; use_nat_t = yes; use_xauth = no; use_cfgmode = no; phase2localid { ipnet { ipaddr = 0.0.0.0; mask = 0.0.0.0; } } phase2remoteid { ipaddr = 192.168.188.202; } phase2ss = "esp-all-all/ah-none/comp-all/pfs"; accesslist = "permit ip any 192.168.188.202 255.255.255.255"; } { enabled = yes; conn_type = conntype_user; name = "smartphone"; // i.pod/VPNCilla => DynDNS, LAN und Internet, Cisco-Client always_renew = no; reject_not_encrypted = no; dont_filter_netbios = yes; localip = 0.0.0.0; local_virtualip = 0.0.0.0; remoteip = 0.0.0.0; remote_virtualip = 192.168.188.203; // freie IP aus DHCP-Range remoteid { key_id = "smartphone"; // anpassen => "Group Id", "IPSecID" bzw. "Gruppenname" } mode = phase1_mode_aggressive; phase1ss = "all/all/all"; keytype = connkeytype_pre_shared; key = "password_smartphone"; // Key, gültig von: JJMMDD bis JJMMDD ("Group Password", "IPSecSecret" bzw. "Shared Secret", je nach Client), ÄNDERN! cert_do_server_auth = no; use_nat_t = yes; use_xauth = yes; use_cfgmode = no; xauth { valid = yes; username = "user"; // anpassen => "Benutzername", "XAuthUsername" bzw. "Account" passwd = "passpass"; // anpassen => "Passwort des Benutzers" "XAuthPassword" bzw. "Kennwort" } phase2localid { ipnet { ipaddr = 0.0.0.0; mask = 0.0.0.0; } } phase2remoteid { ipaddr = 192.168.188.203; // anpassen, gleiche IP wie oben remote_virtualip } phase2ss = "esp-all-all/ah-none/comp-all/no-pfs"; // angepasst auf .../no-pfs accesslist = "permit ip 0.0.0.0 0.0.0.0 192.168.188.203 255.255.255.255"; // anpassen (2 x 0.0.0.0 sowie Addresse wie bei remote_virtualip) } ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", "udp 0.0.0.0:4500 0.0.0.0:4500"; } // EOF