Einrichten eines VPN Tunnels unter Linux: Unterschied zwischen den Versionen

Aus HSMWiki
Wechseln zu: Navigation, Suche
Zeile 15: Zeile 15:
 
''' Wheezy: '''
 
''' Wheezy: '''
 
Für die aktuelle Stronswan-Version muss folgende Paketquelle hinzugefügt werden (/etc/apt/sources.list):
 
Für die aktuelle Stronswan-Version muss folgende Paketquelle hinzugefügt werden (/etc/apt/sources.list):
  deb http://http.debian.net/debian wheezy-backports main
+
  sudo deb http://http.debian.net/debian wheezy-backports main
  
 
Danach die folgenden Befehle für die Installation ausführen:
 
Danach die folgenden Befehle für die Installation ausführen:
  apt-get update
+
  sudo apt-get update  
  apt-get -t wheezy-backports install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins
+
  sudo apt-get -t wheezy-backports install ca-certificates  
 +
sudo apt-get -t wheezy-backports install strongswan  
 +
sudo apt-get -t wheezy-backports install libcharon-extra-plugins  
 +
sudo apt-get -t wheezy-backports install libstrongswan-extra-plugins  
 +
sudo apt-get -t wheezy-backports install libstrongswan-standard-plugins
  
 
''' Jessie: '''
 
''' Jessie: '''
  
 
Danach die folgenden Befehle für die Installation ausführen:
 
Danach die folgenden Befehle für die Installation ausführen:
  apt-get update
+
  sudo apt-get update
  apt-get install ca-certificates strongswan libcharon-extra-plugins libcharon-standard-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins
+
  sudo apt-get install ca-certificates
 +
sudo apt-get install strongswan
 +
sudo apt-get install libcharon-extra-plugins  
 +
sudo apt-get install libcharon-standard-plugins  
 +
sudo apt-get install libstrongswan-extra-plugins  
 +
sudo apt-get install libstrongswan-standard-plugins
  
  
Zeile 34: Zeile 43:
 
</pre>
 
</pre>
  
 +
Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter
 +
Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
  
Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
 
 
<pre>
 
<pre>
  ln -s /etc/strongswan.conf ~/Downloads/strongswan/
+
  sudo ln -s /etc/strongswan.conf ~/Downloads/strongswan/strongswan.conf
  ln -s /etc/ipsec.conf ~/Downloads/strongswan/
+
  sudo ln -s /etc/ipsec.conf ~/Downloads/strongswan/ipsec.conf
  ln -s /etc/ipsec.secrets ~/Downloads/strongswan/
+
  sudo ln -s /etc/ipsec.secrets ~/Downloads/strongswan/ipsec.secrets
 
</pre>
 
</pre>
  
=== Kompilieren unter Linux Mint (18) ===
+
Prüfen Sie die Links mit:
 +
 
 +
<pre>
 +
ls -al ~/Downloads/strongswan
 +
ipsec.conf -> /etc/ipsec.conf
 +
ipsec.secrets -> /etc/ipsec.secrets
 +
strongswan.conf -> /etc/strongswan.conf
 +
</pre>
 +
 
 +
Im Verzeichnis "/etc/ipsec.d/cacert" muss ein Link zum Zertifikat der T-TeleSec GlobalRoot Class2 (seit Sommer 2019) angelegt werden mit:
 +
 
 +
<pre>
 +
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /usr/local/etc/ipsec.d/cacerts/
 +
</pre>
 +
 
 +
=== Kompilieren unter Linux Mint (20.2) ===
 +
 
 +
Zur manuellen Kompilierung und Installation benötigen Sie das Terminal-Fenster.
 +
Öffnen Sie dafür das (Start-) Menü unten links, tippen daraufhin in dem Suchfeld "Terminal"
 +
ein und starten Sie das Programm "Terminal".
 +
 
 +
Alternativ können Sie auch gleichzeitig die Tasten Alt+Strg+T drücken.
 +
 
 +
Wechseln Sie nun in ein Verzeichnis Ihrer Wahl (im folgenden erstelle ich im "Downloads"
 +
ein neues Verzeichnis mit der Bezeichnung "strongswan" und wechsle in dieses):
  
Zur manuellen Kompilierung und Installation benötigen Sie das Terminal-Fenster. Öffnen Sie dafür das (Start-) Menü unten links, tippen daraufhin in dem Suchfeld "Terminal" ein und starten Sie das Programm "Terminal".
 
Wechseln Sie nun in ein Verzeichnis Ihrer Wahl (im folgenden erstelle ich im "Downloads" ein neues Verzeichnis mit der Bezeichnung "strongswan" und wechsle in dieses).
 
 
<pre>
 
<pre>
 
  mkdir ~/Downloads/strongswan
 
  mkdir ~/Downloads/strongswan
 
  cd ~/Downloads/strongswan/
 
  cd ~/Downloads/strongswan/
 
</pre>
 
</pre>
Im Verzeichnis "strongswan" angekommen, sollten Sie die '''aktuelle''' Version von Strongswan (in meinem Fall die Version 5.5.1) herunterladen und das Archiv entpacken. Geben sie dafür im Terminal-Fenster folgende Befehle ein:
+
 
 +
Im Verzeichnis "strongswan" angekommen, sollten Sie die '''aktuelle''' Version von Strongswan  
 +
(in meinem Fall die Version 5.9.3) herunterladen und das Archiv entpacken.  
 +
Geben sie dafür im Terminal-Fenster folgende Befehle ein:
 +
 
 
<pre>
 
<pre>
 
  wget https://download.strongswan.org/strongswan.tar.gz
 
  wget https://download.strongswan.org/strongswan.tar.gz
 
  tar -xzvf strongswan.tar.gz
 
  tar -xzvf strongswan.tar.gz
 
</pre>
 
</pre>
Das Verzeichnis sollte nun zwei Elemente enthalten. Geben Sie zur Kontrolle "ls" ein:
 
  
[[Datei:verzeichnisnachdownload.png]]
+
Das Verzeichnis sollte nun folgenden Inhalt haben:
  
Wechseln Sie nun in das Verzeichnis mit der heruntergeladenen Version (in meinem Fall die 5.5.1). Über "sudo su" machen Sie sich daraufhin zum "root"-Nutzer, da für die nächsten Schritte höhere Berechtigungen notwendig sindmit mit "apt-get install ..." müssen sie vor den nächsten Schritten noch zusätzliche Pakete für den Kompilierungsprozess installieren.
+
<pre>
 +
ls -al ~/Downloads/strongswan
 +
strongswan-5.9.3
 +
strongswan.tar.gz
 +
</pre>
 +
 
 +
Wechseln Sie nun in das Unterverzeichnis mit der heruntergeladenen Version (in meinem Fall die 5.9.3).  
 +
Über "sudo su" machen Sie sich daraufhin zum "root"-Nutzer, da für die nächsten Schritte höhere  
 +
Berechtigungen notwendig sind mit mit "apt-get install ..." müssen sie vor den nächsten Schritten  
 +
noch zusätzliche Pakete für den Kompilierungsprozess installieren (falls nicht schon vorhanden):
  
 
<pre>
 
<pre>
  cd strongswan-5.5.1/
+
  cd strongswan-5.9.3
 
  sudo su
 
  sudo su
  apt-get install libc-dev-bin libc6-dev libgmp-dev \
+
  apt-get install libc-dev-bin
                libgmpxx4ldbl libcurl3 libcurl4-openssl-dev \
+
apt-get install libc6-dev
                libssl-dev zlib1g-dev
+
apt-get install libgmp-dev
 +
apt-get install libcurl4
 +
apt-get install libcurl4-openssl-dev
 +
apt-get install libssl-dev
 +
apt-get install zlib1g-dev                
 
</pre>
 
</pre>
  
Über den Befehl ".configure ..." werden nun noch Parameter festgelegt, um den korrekten Installationsumfang des Strongswans zu gewährleisen:
+
Über den Befehl ".configure ..." werden nun noch Parameter festgelegt, um den korrekten  
 +
Installationsumfang des Strongswans zu gewährleisen:
  
 
<pre>
 
<pre>
  ./configure --enable-curl --enable-eap-mschapv2 \
+
  ./configure --enable-curl --enable-eap-mschapv2 --enable-eap-identity --enable-openssl
            --enable-eap-identity --enable-openssl
 
 
</pre>
 
</pre>
  
[[Datei:configureoutput.png]]
+
Nach erfolgreicher Konfiguration sollte folg. Zusammenfassung angezeigt werden:
 +
 
 +
<pre>
 +
strongSwan will be built with the following plugins
 +
-----------------------------------------------------
 +
libstrongswan:
 +
  aes des rc2 sha2 sha1 md5 mgf1 random nonce x509
 +
  revocation constraints pubkey pkcs1 pkcs7 pkcs8
 +
  pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp
 +
  curve25519 xcbc cmac hmac drbg curl
 +
libcharon:
 +
  attr kernel-netlink resolve socket-default stroke vici
 +
  updown eap-identity eap-mschapv2 xauth-generic counters
 +
libtnccs:    
 +
libtpmtss:
 +
</pre>
  
 
Über die Befehle "make" und "make install" kompilieren und installieren Sie letztendlich das Programm:
 
Über die Befehle "make" und "make install" kompilieren und installieren Sie letztendlich das Programm:
Zeile 83: Zeile 146:
 
  make
 
  make
 
  make install
 
  make install
exit
 
 
</pre>
 
</pre>
  
 +
Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten
 +
unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die verschiedenen Installationsmethoden einzugehen:
  
Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt [[VPN-Strongswan#Konfiguration]] einfacher auf die Verschiedenen Installationsmethoden einzugehen:
 
 
<pre>
 
<pre>
  ln -s /usr/local/etc/strongswan.conf ~/Downloads/strongswan/
+
  sudo ln -s /usr/local/etc/strongswan.conf ~/Downloads/strongswan/strongswan.conf
  ln -s /usr/local/etc/ipsec.conf ~/Downloads/strongswan/
+
  sudo ln -s /usr/local/etc/ipsec.conf ~/Downloads/strongswan/ipsec.conf
  ln -s /usr/local/etc/ipsec.secrets ~/Downloads/strongswan/
+
  sudo ln -s /usr/local/etc/ipsec.secrets ~/Downloads/strongswan/ipsec.secrets
 
</pre>
 
</pre>
  
 +
Prüfen Sie die Links mit:
 +
 +
<pre>
 +
ls -al ~/Downloads/strongswan
 +
ipsec.conf -> /usr/local/etc/ipsec.conf
 +
ipsec.secrets -> /usr/local/etc/ipsec.secrets
 +
strongswan.conf -> /usr/local/etc/strongswan.conf
 +
</pre>
 +
 +
Im Verzeichnis "/etc/ipsec.d/cacert" muss ein Link zum Zertifikat der T-TeleSec GlobalRoot Class2 (seit Sommer 2019) angelegt werden mit:
 +
 +
<pre>
 +
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /etc/ipsec.d/cacerts/
 +
</pre>
  
 
'''Bemerkungen nach der erfolgreichen Installation:'''
 
'''Bemerkungen nach der erfolgreichen Installation:'''
  
Wenn Sie die zur Kompilierung notwendigen Pakete nicht mehr benötigen, sollten diese nun wieder entfernen.:
+
Wenn Sie die zur Kompilierung notwendigen Pakete nicht mehr benötigen, können Sie diese wieder entfernen mit:
 
<pre>
 
<pre>
  sudo apt-get remove libc-dev-bin libc6-dev libgmp-dev zlib1g-dev\
+
  apt-get remove libc-dev-bin
                    libcurl4-openssl-dev libssl-dev  
+
apt-get remove libc6-dev
 +
apt-get remove libgmp-dev  
 +
apt-get remove libcurl4
 +
apt-get remove libcurl4-openssl-dev
 +
apt-get remove libssl-dev
 +
apt-get remove zlib1g-dev  
 
</pre>
 
</pre>
Außerdem kann der Strongswan jederzeit wieder deinstalliert werden, solange das Verzeichnis "strongswan/strongswan-5.5.1" (in meinem Fall war es die Strongswan-Version 5.5.1) nicht gelöscht wird. Öffnen Sie dafür wieder das Terminal, wechseln in dieses Verzeichnis und führen Sie den Befehl "make uninstall" aus. Dieser Schritt sollte ebenfalls ausgeführt werden, wenn Sie eine neue Version des Strongswan installieren wollen.
+
 
 +
Außerdem kann der Strongswan jederzeit wieder deinstalliert werden, solange das Verzeichnis "strongswan/strongswan-5.9.3"  
 +
(in meinem Fall war es die Strongswan-Version 5.9.3) nicht gelöscht wird. Öffnen Sie dafür wieder das Terminal, wechseln  
 +
in dieses Verzeichnis und führen Sie den Befehl "make uninstall" aus. Dieser Schritt sollte ebenfalls ausgeführt werden,  
 +
bevor Sie eine neue Version des Strongswan installieren.
 +
 
 
<pre>
 
<pre>
 
  make uninstall
 
  make uninstall
Zeile 110: Zeile 197:
  
 
Nach der Installation müssen folgende Dateien, welche Sie unter "~/Downloads/strongswan" verlinkt haben, bearbeitet werden:
 
Nach der Installation müssen folgende Dateien, welche Sie unter "~/Downloads/strongswan" verlinkt haben, bearbeitet werden:
 +
 +
<pre>
 
  ~/Downloads/strongswan/strongswan.conf
 
  ~/Downloads/strongswan/strongswan.conf
 
  ~/Downloads/strongswan/ipsec.conf
 
  ~/Downloads/strongswan/ipsec.conf
 
  ~/Downloads/strongswan/ipsec.secrets
 
  ~/Downloads/strongswan/ipsec.secrets
 
=== Vorbereitung ===
 
 
Im Verzeichnis "/etc/ipsec.d/cacert" muss ein Link zum Zertifikat der T-TeleSec GlobalRoot Class2 (seit Sommer 2019) angelegt werden.
 
Wenn Sie StrongSwan manuell nach er obigen Anleitung kompiliert und installiert haben nutzen Sie bitte den folgenden Befehl:
 
<pre>
 
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /usr/local/etc/ipsec.d/cacerts/
 
 
</pre>
 
</pre>
  
Wenn Sie den StrongSwan über die Paketverwaltung installiert haben, nutzen Sie stattdessen diesen Befehl:
+
=== strongswan.conf ===
<pre>
 
ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /etc/ipsec.d/cacerts/
 
</pre>
 
  
=== strongswan.conf ===
 
 
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
 
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
 +
 
<pre>
 
<pre>
 
  sudo nano ~/Downloads/strongswan/strongswan.conf
 
  sudo nano ~/Downloads/strongswan/strongswan.conf
 
</pre>
 
</pre>
 +
 
In dieser Datei '''darf nur noch''' folgender Text '''enthalten sein''':
 
In dieser Datei '''darf nur noch''' folgender Text '''enthalten sein''':
 +
 
<pre>
 
<pre>
 
charon {
 
charon {
Zeile 138: Zeile 219:
 
}
 
}
 
</pre>
 
</pre>
 +
 
'''Alles''' was sonst in der Datei steht ist '''unnötig''' und '''behindert''' die Verbindung.
 
'''Alles''' was sonst in der Datei steht ist '''unnötig''' und '''behindert''' die Verbindung.
  
 
=== ipsec.conf ===
 
=== ipsec.conf ===
 +
 
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
 
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
 +
 
<pre>
 
<pre>
 
  sudo nano ~/Downloads/strongswan/ipsec.conf
 
  sudo nano ~/Downloads/strongswan/ipsec.conf
 
</pre>
 
</pre>
 +
 
In dieser Datei '''muss''' folgender Text '''hinzugefügt werden''':
 
In dieser Datei '''muss''' folgender Text '''hinzugefügt werden''':
 +
 
<pre>
 
<pre>
 
conn hsmw-vpn
 
conn hsmw-vpn
Zeile 162: Zeile 248:
 
         auto=add
 
         auto=add
 
</pre>
 
</pre>
 +
 
'''Alles''' was sonst in der Datei steht '''wird''' für die Verbindung '''benötigt'''.
 
'''Alles''' was sonst in der Datei steht '''wird''' für die Verbindung '''benötigt'''.
 +
Ersetzen Sie '''username@hs-mittweida.de''' mit ihrem eigenem Nutzernamen, z.B. '''ameier3@hs-mittweida.de'''.
  
 
=== ipsec.secrets ===
 
=== ipsec.secrets ===
 +
 
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
 
Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet).
 +
 
<pre>
 
<pre>
 
  sudo nano ~/Downloads/strongswan/ipsec.secrets
 
  sudo nano ~/Downloads/strongswan/ipsec.secrets
 
</pre>
 
</pre>
 +
 
In diese Datei kann folgender Text hinzugefügt werden:
 
In diese Datei kann folgender Text hinzugefügt werden:
 +
 
<pre>
 
<pre>
 
username@hs-mittweida.de : EAP "K3nnw0rt"
 
username@hs-mittweida.de : EAP "K3nnw0rt"
 
</pre>
 
</pre>
  
== Starten / Stoppen der VPN-Verbindung ==
+
Ersetzen Sie '''username@hs-mittweida.de''' mit ihrem eigenem Nutzernamen, z.B. '''ameier3@hs-mittweida.de'''.
Um den VPN-Tunnel aufzubauen muss folgender Befehl ausgeführt werden:
+
Ersetzen Sie '''K3nnw0rt''' mit ihrem eigenem Passwort, z.B. '''Top@Secret007'''.
<pre>ipsec up hsmw-vpn</pre>
 
  
Der VPN-Tunnel wird mit dem folgenden Befehl beendet:
+
== IPSEC-Dienst starten und stoppen ==
<pre>ipsec down hsmw-vpn</pre>
+
 
 +
Bevor ein VPN-Tunnel aufgebaut werden kann, muß der IPSEC-Dienst gestartet werden mit:
  
'''Bemerkung:'''
 
Sollte Strongswan von Hand kompiliert worden sein, so muss der IPSec-Service vor dem ersten Verbindungsaufbau einmalig von Hand gestartet werden. Folgender Befehl muss dafür ausgeführt werden:
 
 
<pre>
 
<pre>
  ipsec start
+
  sudo ipsec start
 
</pre>
 
</pre>
  
 +
Ob der IPSEC-Dienst erfolgreich gestartet ist, können Sie so prüfen:
 +
 +
<pre>
 +
sudo ipsec status
 +
</pre>
 +
 +
Bevor Sie Änderungen an der Konfiguration vornehmen, sollten Sie den IPSEC-Dienst stoppen:
 +
 +
<pre>
 +
sudo ipsec stop
 +
</pre>
 +
 +
== VPN-Tunnel aufbauen und abbauen ==
 +
 +
Um den VPN-Tunnel aufzubauen, muss folgender Befehl ausgeführt werden:
 +
 +
<pre>
 +
ipsec up hsmw-vpn
 +
</pre>
 +
 +
Falls der VPN-Tunnel erfolgreich aufgebaut wurde, erhalten Sie folg. Meldung:
 +
 +
<pre>
 +
connection 'hsmw-vpn' established successfully
 +
</pre>
 +
 +
Bevor Sie Änderungen an der Konfiguration vornehmen, sollten Sie den VPN-Tunnel abbauen:
 +
 +
<pre>
 +
ipsec down hsmw-vpn
 +
</pre>
  
  

Version vom 16. Juli 2021, 11:56 Uhr


Um eine VPN Verbindung aufbauen zu können

  • Müssen Sie die Netzordnung der Hochschule Mittweida bestätigt haben
  • Darf Ihr Kennwort nicht abgelaufen sein

Beides können Sie im Bereich Ihrer persönlichen Einstellungen prüfen.

Installation

Bitte führen Sie nur eine der Folgenden Installationen durch und beachten Sie die Bemerkungen am Ende jeder Installationsanleitung!

Paketverwaltung unter Debian Wheezy/Jessie

Wheezy: Für die aktuelle Stronswan-Version muss folgende Paketquelle hinzugefügt werden (/etc/apt/sources.list): 

sudo deb http://http.debian.net/debian wheezy-backports main

Danach die folgenden Befehle für die Installation ausführen: 

sudo apt-get update 
sudo apt-get -t wheezy-backports install ca-certificates 
sudo apt-get -t wheezy-backports install strongswan 
sudo apt-get -t wheezy-backports install libcharon-extra-plugins 
sudo apt-get -t wheezy-backports install libstrongswan-extra-plugins 
sudo apt-get -t wheezy-backports install libstrongswan-standard-plugins

Jessie:

Danach die folgenden Befehle für die Installation ausführen: 

sudo apt-get update
sudo apt-get install ca-certificates
sudo apt-get install strongswan
sudo apt-get install libcharon-extra-plugins 
sudo apt-get install libcharon-standard-plugins 
sudo apt-get install libstrongswan-extra-plugins 
sudo apt-get install libstrongswan-standard-plugins


Außerdem müssen im Init-Script (/etc/init.d/ipsec) die folgenden Zeilen um "$syslog" erweitert werden: 

# Required-Start:    $network $remote_fs
# Required-Stop:     $network $remote_fs

Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt VPN-Strongswan#Konfiguration einfacher auf die Verschiedenen Installationsmethoden einzugehen: 

 sudo ln -s /etc/strongswan.conf ~/Downloads/strongswan/strongswan.conf
 sudo ln -s /etc/ipsec.conf ~/Downloads/strongswan/ipsec.conf
 sudo ln -s /etc/ipsec.secrets ~/Downloads/strongswan/ipsec.secrets

Prüfen Sie die Links mit: 

 ls -al ~/Downloads/strongswan
 ipsec.conf -> /etc/ipsec.conf
 ipsec.secrets -> /etc/ipsec.secrets
 strongswan.conf -> /etc/strongswan.conf

Im Verzeichnis "/etc/ipsec.d/cacert" muss ein Link zum Zertifikat der T-TeleSec GlobalRoot Class2 (seit Sommer 2019) angelegt werden mit: 

 ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /usr/local/etc/ipsec.d/cacerts/

Kompilieren unter Linux Mint (20.2)

Zur manuellen Kompilierung und Installation benötigen Sie das Terminal-Fenster. Öffnen Sie dafür das (Start-) Menü unten links, tippen daraufhin in dem Suchfeld "Terminal" ein und starten Sie das Programm "Terminal".

Alternativ können Sie auch gleichzeitig die Tasten Alt+Strg+T drücken.

Wechseln Sie nun in ein Verzeichnis Ihrer Wahl (im folgenden erstelle ich im "Downloads" ein neues Verzeichnis mit der Bezeichnung "strongswan" und wechsle in dieses): 

 mkdir ~/Downloads/strongswan
 cd ~/Downloads/strongswan/

Im Verzeichnis "strongswan" angekommen, sollten Sie die aktuelle Version von Strongswan (in meinem Fall die Version 5.9.3) herunterladen und das Archiv entpacken. Geben sie dafür im Terminal-Fenster folgende Befehle ein: 

 wget https://download.strongswan.org/strongswan.tar.gz
 tar -xzvf strongswan.tar.gz

Das Verzeichnis sollte nun folgenden Inhalt haben: 

 ls -al ~/Downloads/strongswan
 strongswan-5.9.3
 strongswan.tar.gz

Wechseln Sie nun in das Unterverzeichnis mit der heruntergeladenen Version (in meinem Fall die 5.9.3). Über "sudo su" machen Sie sich daraufhin zum "root"-Nutzer, da für die nächsten Schritte höhere Berechtigungen notwendig sind mit mit "apt-get install ..." müssen sie vor den nächsten Schritten noch zusätzliche Pakete für den Kompilierungsprozess installieren (falls nicht schon vorhanden): 

 cd strongswan-5.9.3
 sudo su
 apt-get install libc-dev-bin
 apt-get install libc6-dev
 apt-get install libgmp-dev
 apt-get install libcurl4
 apt-get install libcurl4-openssl-dev
 apt-get install libssl-dev
 apt-get install zlib1g-dev

Über den Befehl ".configure ..." werden nun noch Parameter festgelegt, um den korrekten Installationsumfang des Strongswans zu gewährleisen: 

 ./configure --enable-curl --enable-eap-mschapv2 --enable-eap-identity --enable-openssl

Nach erfolgreicher Konfiguration sollte folg. Zusammenfassung angezeigt werden: 

strongSwan will be built with the following plugins
-----------------------------------------------------
libstrongswan:
   aes des rc2 sha2 sha1 md5 mgf1 random nonce x509
   revocation constraints pubkey pkcs1 pkcs7 pkcs8
   pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp
   curve25519 xcbc cmac hmac drbg curl
libcharon:
   attr kernel-netlink resolve socket-default stroke vici
   updown eap-identity eap-mschapv2 xauth-generic counters
libtnccs:     
libtpmtss:

Über die Befehle "make" und "make install" kompilieren und installieren Sie letztendlich das Programm: 

 make
 make install

Erstellen Sie nun noch Links auf die folgenden Konfigurationsdateien, um in den folgenden Schritten unter Punkt VPN-Strongswan#Konfiguration einfacher auf die verschiedenen Installationsmethoden einzugehen: 

 sudo ln -s /usr/local/etc/strongswan.conf ~/Downloads/strongswan/strongswan.conf
 sudo ln -s /usr/local/etc/ipsec.conf ~/Downloads/strongswan/ipsec.conf
 sudo ln -s /usr/local/etc/ipsec.secrets ~/Downloads/strongswan/ipsec.secrets

Prüfen Sie die Links mit: 

 ls -al ~/Downloads/strongswan
 ipsec.conf -> /usr/local/etc/ipsec.conf
 ipsec.secrets -> /usr/local/etc/ipsec.secrets
 strongswan.conf -> /usr/local/etc/strongswan.conf

Im Verzeichnis "/etc/ipsec.d/cacert" muss ein Link zum Zertifikat der T-TeleSec GlobalRoot Class2 (seit Sommer 2019) angelegt werden mit: 

 ln -s /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem /etc/ipsec.d/cacerts/

Bemerkungen nach der erfolgreichen Installation:

Wenn Sie die zur Kompilierung notwendigen Pakete nicht mehr benötigen, können Sie diese wieder entfernen mit: 

 apt-get remove libc-dev-bin
 apt-get remove libc6-dev
 apt-get remove libgmp-dev 
 apt-get remove libcurl4
 apt-get remove libcurl4-openssl-dev
 apt-get remove libssl-dev
 apt-get remove zlib1g-dev

Außerdem kann der Strongswan jederzeit wieder deinstalliert werden, solange das Verzeichnis "strongswan/strongswan-5.9.3" (in meinem Fall war es die Strongswan-Version 5.9.3) nicht gelöscht wird. Öffnen Sie dafür wieder das Terminal, wechseln in dieses Verzeichnis und führen Sie den Befehl "make uninstall" aus. Dieser Schritt sollte ebenfalls ausgeführt werden, bevor Sie eine neue Version des Strongswan installieren. 

 make uninstall

Konfiguration

Nach der Installation müssen folgende Dateien, welche Sie unter "~/Downloads/strongswan" verlinkt haben, bearbeitet werden: 

 ~/Downloads/strongswan/strongswan.conf
 ~/Downloads/strongswan/ipsec.conf
 ~/Downloads/strongswan/ipsec.secrets

strongswan.conf

Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet). 

 sudo nano ~/Downloads/strongswan/strongswan.conf

In dieser Datei darf nur noch folgender Text enthalten sein: 

charon {
  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default fips-prf eap-mschapv2 eap-identity updown openssl resolve
}

Alles was sonst in der Datei steht ist unnötig und behindert die Verbindung.

ipsec.conf

Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet). 

 sudo nano ~/Downloads/strongswan/ipsec.conf

In dieser Datei muss folgender Text hinzugefügt werden: 

conn hsmw-vpn
        keyexchange=ikev2
        left=%defaultroute
        leftid=%any
        leftauth=eap
        eap_identity=username@hs-mittweida.de
        leftsourceip=%config
        leftdns=%config4
        leftfirewall=no
        right=141.55.128.84
        rightid=@vpn4.hs-mittweida.de
        rightsubnet=0.0.0.0/0
        rightauth=pubkey
        auto=add

Alles was sonst in der Datei steht wird für die Verbindung benötigt. Ersetzen Sie username@hs-mittweida.de mit ihrem eigenem Nutzernamen, z.B. ameier3@hs-mittweida.de.

ipsec.secrets

Öffnen Sie die Datei mit einem Editor ihrer Wahl (ich habe dafür "nano" verwendet). 

 sudo nano ~/Downloads/strongswan/ipsec.secrets

In diese Datei kann folgender Text hinzugefügt werden: 

username@hs-mittweida.de : EAP "K3nnw0rt"

Ersetzen Sie username@hs-mittweida.de mit ihrem eigenem Nutzernamen, z.B. ameier3@hs-mittweida.de. Ersetzen Sie K3nnw0rt mit ihrem eigenem Passwort, z.B. Top@Secret007.

IPSEC-Dienst starten und stoppen

Bevor ein VPN-Tunnel aufgebaut werden kann, muß der IPSEC-Dienst gestartet werden mit: 

 sudo ipsec start

Ob der IPSEC-Dienst erfolgreich gestartet ist, können Sie so prüfen: 

 sudo ipsec status

Bevor Sie Änderungen an der Konfiguration vornehmen, sollten Sie den IPSEC-Dienst stoppen: 

 sudo ipsec stop

VPN-Tunnel aufbauen und abbauen

Um den VPN-Tunnel aufzubauen, muss folgender Befehl ausgeführt werden: 

 ipsec up hsmw-vpn

Falls der VPN-Tunnel erfolgreich aufgebaut wurde, erhalten Sie folg. Meldung: 

 connection 'hsmw-vpn' established successfully

Bevor Sie Änderungen an der Konfiguration vornehmen, sollten Sie den VPN-Tunnel abbauen: 

 ipsec down hsmw-vpn
Abgerufen von „https://wiki.hs-mittweida.de/de/index.php?title=Einrichten_eines_VPN_Tunnels_unter_Linux&oldid=7955

drucken

Datenschutz
Impressum
Kontakt