HSMWiki - Benutzerbeiträge [de]

Einrichten eines VPN Tunnels unter Linux

2019-12-17T15:47:31Z

Fspitzba: /* Vorbereitung */

__INHALTSVERZEICHNIS_ERZWINGEN__

'''Um eine VPN Verbindung aufbauen zu können
* Müssen Sie die Netzordnung der Hochschule Mittweida bestätigt haben
* Darf Ihr Kennwort nicht abgelaufen sein
Beides können Sie im Bereich Ihrer persönlichen [https://setup.hs-mittweida.de Einstellungen] prüfen.
'''

== Installation ==

Bitte führen Sie '''nur eine''' der Folgenden Installationen durch und beachten Sie die Bemerkungen am Ende jeder Installationsanleitung!

=== Paketverwaltung unter Debian Wheezy/Jessie ===

''' Wheezy: '''
Für die aktuelle Stronswan-Version muss folgende Paketquelle hinzugefügt werden (/etc/apt/sources.list):
deb http://http.debian.net/debian wheezy-backports main

Danach die folgenden Befehle für die Installation ausführen:
apt-get update
apt-get -t wheezy-backports install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins

''' Jessie: '''

Danach die folgenden Befehle für die Installation ausführen:
apt-get update
apt-get install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins

Außerdem müssen im Init-Script (/etc/init.d/ipsec) die folgenden Zeilen um "$syslog" erweitert werden:
<pre>
# Required-Start: $network $remote_fs
# Required-Stop: $network $remote_fs
</pre>

Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
<pre>
ln -s /etc/strongswan.conf ~/Downloads/strongswan/
ln -s /etc/ipsec.conf ~/Downloads/strongswan/
ln -s /etc/ipsec.secrets ~/Downloads/strongswan/
</pre>

=== Kompilieren unter Linux Mint (18) ===

Zur manuellen Kompilierung und Installation benötigen Sie das Terminal-Fenster. Öffnen Sie dafür das (Start-) Menü unten links, tippen daraufhin in dem Suchfeld "Terminal" ein und starten Sie das Programm "Terminal".
Wechseln Sie nun in ein Verzeichnis Ihrer Wahl (im folgenden erstelle ich im "Downloads" ein neues Verzeichnis mit der Bezeichnung "strongswan" und wechsle in dieses).
<pre>
mkdir ~/Downloads/strongswan
cd ~/Downloads/strongswan/
</pre>
Im Verzeichnis "strongswan" angekommen, sollten Sie die '''aktuelle''' Version von Strongswan (in meinem Fall die Version 5.5.1) herunterladen und das Archiv entpacken. Geben sie dafür im Terminal-Fenster folgende Befehle ein:
<pre>
wget https://download.strongswan.org/strongswan.tar.gz
tar -xzvf strongswan.tar.gz
</pre>
Das Verzeichnis sollte nun zwei Elemente enthalten. Geben Sie zur Kontrolle "ls" ein:

[[Datei:verzeichnisnachdownload.png]]

Wechseln Sie nun in das Verzeichnis mit der heruntergeladenen Version (in meinem Fall die 5.5.1). Über "sudo su" machen Sie sich daraufhin zum "root"-Nutzer, da für die nächsten Schritte höhere Berechtigungen notwendig sindmit mit "apt-get install ..." müssen sie vor den nächsten Schritten noch zusätzliche Pakete für den Kompilierungsprozess installieren.

<pre>
cd strongswan-5.5.1/
sudo su
apt-get install libc-dev-bin libc6-dev libgmp-dev \
libgmpxx4ldbl libcurl3 libcurl4-openssl-dev \
libssl-dev zlib1g-dev
</pre>

Über den Befehl ".configure ..." werden nun noch Parameter festgelegt, um den korrekten Installationsumfang des Strongswans zu gewährleisen:

<pre>
./configure --enable-curl --enable-eap-mschapv2 \
--enable-eap-identity --enable-openssl
</pre>

[[Datei:configureoutput.png]]

Über die Befehle "make" und "make install" kompilieren und installieren Sie letztendlich das Programm:

<pre>
make
make install
exit
</pre>

Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
<pre>
ln -s /usr/local/etc/strongswan.conf ~/Downloads/strongswan/
ln -s /usr/local/etc/ipsec.conf ~/Downloads/strongswan/
ln -s /usr/local/etc/ipsec.secrets ~/Downloads/strongswan/
</pre>

'''Bemerkungen nach der erfolgreichen Installation:'''

Wenn Sie die zur Kompilierung notwendigen Pakete nicht mehr benötigen, sollten diese nun wieder entfernen.:
<pre>
sudo apt-get remove libc-dev-bin libc6-dev libgmp-dev zlib1g-dev\
libcurl4-openssl-dev libssl-dev
</pre>
Außerdem kann der Strongswan jederzeit wieder deinstalliert werden, solange das Verzeichnis "strongswan/strongswan-5.5.1" (in meinem Fall war es die Strongswan-Version 5.5.1) nicht gelöscht wird. Öffnen Sie dafür wieder das Terminal, wechseln in dieses Verzeichnis und führen Sie den Befehl "make uninstall" aus. Dieser Schritt sollte ebenfalls ausgeführt werden, wenn Sie eine neue Version des Strongswan installieren wollen.
<pre>
make uninstall
</pre>

== Konfiguration ==

Nach der Installation müssen folgende Dateien, welche Sie unter "~/Downloads/strongswan" verlinkt haben, bearbeitet werden:
~/Downloads/strongswan/strongswan.conf
~/Downloads/strongswan/ipsec.conf
~/Downloads/strongswan/ipsec.secrets

=== Vorbereitung ===

Im Verzeichnis "/etc/ipsec.d/cacert" muss ein Link zum Zertifikat der T-TeleSec GlobalRoot Class2 (seit Sommer 2019) angelegt werden.
Wenn Sie StrongSwan manuell nach er obigen Anleitung kompiliert und installiert haben nutzen Sie bitte den folgenden Befehl:
<pre>
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /usr/local/etc/ipsec.d/cacerts/
</pre>

Wenn Sie den StrongSwan über die Paketverwaltung installiert haben, nutzen Sie stattdessen diesen Befehl:
<pre>
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /etc/ipsec.d/cacerts/
</pre>

=== strongswan.conf ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/strongswan.conf
</pre>
In dieser Datei '''darf nur noch''' folgender Text '''enthalten sein''':
<pre>
charon {
load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default fips-prf eap-mschapv2 eap-identity updown openssl resolve
}
</pre>
'''Alles''' was sonst in der Datei steht ist '''unnötig''' und '''behindert''' die Verbindung.

=== ipsec.conf ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/ipsec.conf
</pre>
In dieser Datei '''muss''' folgender Text '''hinzugefügt werden''':
<pre>
conn hsmw-vpn
keyexchange=ikev2
left=%defaultroute
leftid=%any
leftauth=eap
eap_identity=username@hs-mittweida.de
leftsourceip=%config
leftdns=%config4
leftfirewall=no
right=141.55.128.84
rightid=@vpn4.hs-mittweida.de
rightsubnet=0.0.0.0/0
rightauth=pubkey
auto=add
</pre>
'''Alles''' was sonst in der Datei steht '''wird''' für die Verbindung '''benötigt'''.

=== ipsec.secrets ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/ipsec.secrets
</pre>
In diese Datei kann folgender Text hinzugefügt werden:
<pre>
username@hs-mittweida.de : EAP "K3nnw0rt"
</pre>

== Starten / Stoppen der VPN-Verbindung ==
Um den VPN-Tunnel aufzubauen muss folgender Befehl ausgeführt werden:
<pre>ipsec up hsmw-vpn</pre>

Der VPN-Tunnel wird mit dem folgenden Befehl beendet:
<pre>ipsec down hsmw-vpn</pre>

'''Bemerkung:'''
Sollte Strongswan von Hand kompiliert worden sein, so muss der IPSec-Service vor dem ersten Verbindungsaufbau einmalig von Hand gestartet werden. Folgender Befehl muss dafür ausgeführt werden:
<pre>
ipsec start
</pre>

[[Kategorie:VPN]]
[[Kategorie:Linux]]
[[en:VPN_Strongswan]]

Einrichten eines VPN Tunnels unter Linux

2019-12-17T15:38:06Z

Fspitzba: /* Vorbereitung */

__INHALTSVERZEICHNIS_ERZWINGEN__

'''Um eine VPN Verbindung aufbauen zu können
* Müssen Sie die Netzordnung der Hochschule Mittweida bestätigt haben
* Darf Ihr Kennwort nicht abgelaufen sein
Beides können Sie im Bereich Ihrer persönlichen [https://setup.hs-mittweida.de Einstellungen] prüfen.
'''

== Installation ==

Bitte führen Sie '''nur eine''' der Folgenden Installationen durch und beachten Sie die Bemerkungen am Ende jeder Installationsanleitung!

=== Paketverwaltung unter Debian Wheezy/Jessie ===

''' Wheezy: '''
Für die aktuelle Stronswan-Version muss folgende Paketquelle hinzugefügt werden (/etc/apt/sources.list):
deb http://http.debian.net/debian wheezy-backports main

Danach die folgenden Befehle für die Installation ausführen:
apt-get update
apt-get -t wheezy-backports install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins

''' Jessie: '''

Danach die folgenden Befehle für die Installation ausführen:
apt-get update
apt-get install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins

Außerdem müssen im Init-Script (/etc/init.d/ipsec) die folgenden Zeilen um "$syslog" erweitert werden:
<pre>
# Required-Start: $network $remote_fs
# Required-Stop: $network $remote_fs
</pre>

Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
<pre>
ln -s /etc/strongswan.conf ~/Downloads/strongswan/
ln -s /etc/ipsec.conf ~/Downloads/strongswan/
ln -s /etc/ipsec.secrets ~/Downloads/strongswan/
</pre>

=== Kompilieren unter Linux Mint (18) ===

Zur manuellen Kompilierung und Installation benötigen Sie das Terminal-Fenster. Öffnen Sie dafür das (Start-) Menü unten links, tippen daraufhin in dem Suchfeld "Terminal" ein und starten Sie das Programm "Terminal".
Wechseln Sie nun in ein Verzeichnis Ihrer Wahl (im folgenden erstelle ich im "Downloads" ein neues Verzeichnis mit der Bezeichnung "strongswan" und wechsle in dieses).
<pre>
mkdir ~/Downloads/strongswan
cd ~/Downloads/strongswan/
</pre>
Im Verzeichnis "strongswan" angekommen, sollten Sie die '''aktuelle''' Version von Strongswan (in meinem Fall die Version 5.5.1) herunterladen und das Archiv entpacken. Geben sie dafür im Terminal-Fenster folgende Befehle ein:
<pre>
wget https://download.strongswan.org/strongswan.tar.gz
tar -xzvf strongswan.tar.gz
</pre>
Das Verzeichnis sollte nun zwei Elemente enthalten. Geben Sie zur Kontrolle "ls" ein:

[[Datei:verzeichnisnachdownload.png]]

Wechseln Sie nun in das Verzeichnis mit der heruntergeladenen Version (in meinem Fall die 5.5.1). Über "sudo su" machen Sie sich daraufhin zum "root"-Nutzer, da für die nächsten Schritte höhere Berechtigungen notwendig sindmit mit "apt-get install ..." müssen sie vor den nächsten Schritten noch zusätzliche Pakete für den Kompilierungsprozess installieren.

<pre>
cd strongswan-5.5.1/
sudo su
apt-get install libc-dev-bin libc6-dev libgmp-dev \
libgmpxx4ldbl libcurl3 libcurl4-openssl-dev \
libssl-dev zlib1g-dev
</pre>

Über den Befehl ".configure ..." werden nun noch Parameter festgelegt, um den korrekten Installationsumfang des Strongswans zu gewährleisen:

<pre>
./configure --enable-curl --enable-eap-mschapv2 \
--enable-eap-identity --enable-openssl
</pre>

[[Datei:configureoutput.png]]

Über die Befehle "make" und "make install" kompilieren und installieren Sie letztendlich das Programm:

<pre>
make
make install
exit
</pre>

Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
<pre>
ln -s /usr/local/etc/strongswan.conf ~/Downloads/strongswan/
ln -s /usr/local/etc/ipsec.conf ~/Downloads/strongswan/
ln -s /usr/local/etc/ipsec.secrets ~/Downloads/strongswan/
</pre>

'''Bemerkungen nach der erfolgreichen Installation:'''

Wenn Sie die zur Kompilierung notwendigen Pakete nicht mehr benötigen, sollten diese nun wieder entfernen.:
<pre>
sudo apt-get remove libc-dev-bin libc6-dev libgmp-dev zlib1g-dev\
libcurl4-openssl-dev libssl-dev
</pre>
Außerdem kann der Strongswan jederzeit wieder deinstalliert werden, solange das Verzeichnis "strongswan/strongswan-5.5.1" (in meinem Fall war es die Strongswan-Version 5.5.1) nicht gelöscht wird. Öffnen Sie dafür wieder das Terminal, wechseln in dieses Verzeichnis und führen Sie den Befehl "make uninstall" aus. Dieser Schritt sollte ebenfalls ausgeführt werden, wenn Sie eine neue Version des Strongswan installieren wollen.
<pre>
make uninstall
</pre>

== Konfiguration ==

Nach der Installation müssen folgende Dateien, welche Sie unter "~/Downloads/strongswan" verlinkt haben, bearbeitet werden:
~/Downloads/strongswan/strongswan.conf
~/Downloads/strongswan/ipsec.conf
~/Downloads/strongswan/ipsec.secrets

=== Vorbereitung ===

Im Verzeichnis "/etc/ipsec.d/cacert" muss ein Link zum Zertifikat der T-TeleSec GlobalRoot Class2 (seit Sommer 2019) angelegt werden.
Wenn Sie StrongSwan manuell nach er obigen Anleitung kompiliert und installiert haben nutzen Sie bitte den folgenden Befehl:
<pre>
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /usr/local/etc/ipsec.d/cacerts/
</pre>

Der Symlink führt in einigen Fällen zu Problemen. Hierbei erkennt der IKE Daemon das Issuer Zertifikat nicht. Ein Hardlink oder simples Kopieren des Zertifikates löst das Problem (<b>! Zertifikat wird nicht mehr automatisch aktualisiert mit Systemupgrade</b>, manuelles Neukopieren nötig, Grund: k.A.)

Wenn Sie den StrongSwan über die Paketverwaltung installiert haben, nutzen Sie stattdessen diesen Befehl:
<pre>
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /etc/ipsec.d/cacerts/
</pre>

=== strongswan.conf ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/strongswan.conf
</pre>
In dieser Datei '''darf nur noch''' folgender Text '''enthalten sein''':
<pre>
charon {
load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default fips-prf eap-mschapv2 eap-identity updown openssl resolve
}
</pre>
'''Alles''' was sonst in der Datei steht ist '''unnötig''' und '''behindert''' die Verbindung.

=== ipsec.conf ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/ipsec.conf
</pre>
In dieser Datei '''muss''' folgender Text '''hinzugefügt werden''':
<pre>
conn hsmw-vpn
keyexchange=ikev2
left=%defaultroute
leftid=%any
leftauth=eap
eap_identity=username@hs-mittweida.de
leftsourceip=%config
leftdns=%config4
leftfirewall=no
right=141.55.128.84
rightid=@vpn4.hs-mittweida.de
rightsubnet=0.0.0.0/0
rightauth=pubkey
auto=add
</pre>
'''Alles''' was sonst in der Datei steht '''wird''' für die Verbindung '''benötigt'''.

=== ipsec.secrets ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/ipsec.secrets
</pre>
In diese Datei kann folgender Text hinzugefügt werden:
<pre>
username@hs-mittweida.de : EAP "K3nnw0rt"
</pre>

== Starten / Stoppen der VPN-Verbindung ==
Um den VPN-Tunnel aufzubauen muss folgender Befehl ausgeführt werden:
<pre>ipsec up hsmw-vpn</pre>

Der VPN-Tunnel wird mit dem folgenden Befehl beendet:
<pre>ipsec down hsmw-vpn</pre>

'''Bemerkung:'''
Sollte Strongswan von Hand kompiliert worden sein, so muss der IPSec-Service vor dem ersten Verbindungsaufbau einmalig von Hand gestartet werden. Folgender Befehl muss dafür ausgeführt werden:
<pre>
ipsec start
</pre>

[[Kategorie:VPN]]
[[Kategorie:Linux]]
[[en:VPN_Strongswan]]

Einrichten eines VPN Tunnels unter Linux

2019-12-14T14:06:29Z

Fspitzba:

__INHALTSVERZEICHNIS_ERZWINGEN__

'''Um eine VPN Verbindung aufbauen zu können
* Müssen Sie die Netzordnung der Hochschule Mittweida bestätigt haben
* Darf Ihr Kennwort nicht abgelaufen sein
Beides können Sie im Bereich Ihrer persönlichen [https://setup.hs-mittweida.de Einstellungen] prüfen.
'''

== Installation ==

Bitte führen Sie '''nur eine''' der Folgenden Installationen durch und beachten Sie die Bemerkungen am Ende jeder Installationsanleitung!

=== Paketverwaltung unter Debian Wheezy/Jessie ===

''' Wheezy: '''
Für die aktuelle Stronswan-Version muss folgende Paketquelle hinzugefügt werden (/etc/apt/sources.list):
deb http://http.debian.net/debian wheezy-backports main

Danach die folgenden Befehle für die Installation ausführen:
apt-get update
apt-get -t wheezy-backports install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins

''' Jessie: '''

Danach die folgenden Befehle für die Installation ausführen:
apt-get update
apt-get install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins

Außerdem müssen im Init-Script (/etc/init.d/ipsec) die folgenden Zeilen um "$syslog" erweitert werden:
<pre>
# Required-Start: $network $remote_fs
# Required-Stop: $network $remote_fs
</pre>

Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
<pre>
ln -s /etc/strongswan.conf ~/Downloads/strongswan/
ln -s /etc/ipsec.conf ~/Downloads/strongswan/
ln -s /etc/ipsec.secrets ~/Downloads/strongswan/
</pre>

=== Kompilieren unter Linux Mint (18) ===

Zur manuellen Kompilierung und Installation benötigen Sie das Terminal-Fenster. Öffnen Sie dafür das (Start-) Menü unten links, tippen daraufhin in dem Suchfeld "Terminal" ein und starten Sie das Programm "Terminal".
Wechseln Sie nun in ein Verzeichnis Ihrer Wahl (im folgenden erstelle ich im "Downloads" ein neues Verzeichnis mit der Bezeichnung "strongswan" und wechsle in dieses).
<pre>
mkdir ~/Downloads/strongswan
cd ~/Downloads/strongswan/
</pre>
Im Verzeichnis "strongswan" angekommen, sollten Sie die '''aktuelle''' Version von Strongswan (in meinem Fall die Version 5.5.1) herunterladen und das Archiv entpacken. Geben sie dafür im Terminal-Fenster folgende Befehle ein:
<pre>
wget https://download.strongswan.org/strongswan.tar.gz
tar -xzvf strongswan.tar.gz
</pre>
Das Verzeichnis sollte nun zwei Elemente enthalten. Geben Sie zur Kontrolle "ls" ein:

[[Datei:verzeichnisnachdownload.png]]

Wechseln Sie nun in das Verzeichnis mit der heruntergeladenen Version (in meinem Fall die 5.5.1). Über "sudo su" machen Sie sich daraufhin zum "root"-Nutzer, da für die nächsten Schritte höhere Berechtigungen notwendig sindmit mit "apt-get install ..." müssen sie vor den nächsten Schritten noch zusätzliche Pakete für den Kompilierungsprozess installieren.

<pre>
cd strongswan-5.5.1/
sudo su
apt-get install libc-dev-bin libc6-dev libgmp-dev \
libgmpxx4ldbl libcurl3 libcurl4-openssl-dev \
libssl-dev zlib1g-dev
</pre>

Über den Befehl ".configure ..." werden nun noch Parameter festgelegt, um den korrekten Installationsumfang des Strongswans zu gewährleisen:

<pre>
./configure --enable-curl --enable-eap-mschapv2 \
--enable-eap-identity --enable-openssl
</pre>

[[Datei:configureoutput.png]]

Über die Befehle "make" und "make install" kompilieren und installieren Sie letztendlich das Programm:

<pre>
make
make install
exit
</pre>

Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
<pre>
ln -s /usr/local/etc/strongswan.conf ~/Downloads/strongswan/
ln -s /usr/local/etc/ipsec.conf ~/Downloads/strongswan/
ln -s /usr/local/etc/ipsec.secrets ~/Downloads/strongswan/
</pre>

'''Bemerkungen nach der erfolgreichen Installation:'''

Wenn Sie die zur Kompilierung notwendigen Pakete nicht mehr benötigen, sollten diese nun wieder entfernen.:
<pre>
sudo apt-get remove libc-dev-bin libc6-dev libgmp-dev zlib1g-dev\
libcurl4-openssl-dev libssl-dev
</pre>
Außerdem kann der Strongswan jederzeit wieder deinstalliert werden, solange das Verzeichnis "strongswan/strongswan-5.5.1" (in meinem Fall war es die Strongswan-Version 5.5.1) nicht gelöscht wird. Öffnen Sie dafür wieder das Terminal, wechseln in dieses Verzeichnis und führen Sie den Befehl "make uninstall" aus. Dieser Schritt sollte ebenfalls ausgeführt werden, wenn Sie eine neue Version des Strongswan installieren wollen.
<pre>
make uninstall
</pre>

== Konfiguration ==

Nach der Installation müssen folgende Dateien, welche Sie unter "~/Downloads/strongswan" verlinkt haben, bearbeitet werden:
~/Downloads/strongswan/strongswan.conf
~/Downloads/strongswan/ipsec.conf
~/Downloads/strongswan/ipsec.secrets

=== Vorbereitung ===

Im Verzeichnis "/etc/ipsec.d/cacert" muss ein Link zum Zertifikat der T-TeleSec GlobalRoot Class2 angelegt werden.
Wenn Sie StrongSwan manuell nach er obigen Anleitung kompiliert und installiert haben nutzen Sie bitte den folgenden Befehl:
<pre>
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /usr/local/etc/ipsec.d/cacerts/
</pre>

Wenn Sie den StrongSwan über die Paketverwaltung installiert haben, nutzen Sie stattdessen diesen Befehl:
<pre>
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /etc/ipsec.d/cacerts/
</pre>

=== strongswan.conf ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/strongswan.conf
</pre>
In dieser Datei '''darf nur noch''' folgender Text '''enthalten sein''':
<pre>
charon {
load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default fips-prf eap-mschapv2 eap-identity updown openssl resolve
}
</pre>
'''Alles''' was sonst in der Datei steht ist '''unnötig''' und '''behindert''' die Verbindung.

=== ipsec.conf ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/ipsec.conf
</pre>
In dieser Datei '''muss''' folgender Text '''hinzugefügt werden''':
<pre>
conn hsmw-vpn
keyexchange=ikev2
left=%defaultroute
leftid=%any
leftauth=eap
eap_identity=username@hs-mittweida.de
leftsourceip=%config
leftdns=%config4
leftfirewall=no
right=141.55.128.84
rightid=@vpn4.hs-mittweida.de
rightsubnet=0.0.0.0/0
rightauth=pubkey
auto=add
</pre>
'''Alles''' was sonst in der Datei steht '''wird''' für die Verbindung '''benötigt'''.

=== ipsec.secrets ===
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
<pre>
sudo nano ~/Downloads/strongswan/ipsec.secrets
</pre>
In diese Datei kann folgender Text hinzugefügt werden:
<pre>
username@hs-mittweida.de : EAP "K3nnw0rt"
</pre>

== Starten / Stoppen der VPN-Verbindung ==
Um den VPN-Tunnel aufzubauen muss folgender Befehl ausgeführt werden:
<pre>ipsec up hsmw-vpn</pre>

Der VPN-Tunnel wird mit dem folgenden Befehl beendet:
<pre>ipsec down hsmw-vpn</pre>

'''Bemerkung:'''
Sollte Strongswan von Hand kompiliert worden sein, so muss der IPSec-Service vor dem ersten Verbindungsaufbau einmalig von Hand gestartet werden. Folgender Befehl muss dafür ausgeführt werden:
<pre>
ipsec start
</pre>

[[Kategorie:VPN]]
[[Kategorie:Linux]]
[[en:VPN_Strongswan]]