VPN: Unterschied zwischen den Versionen

Aus HSMWiki
Wechseln zu: Navigation, Suche
Zeile 240: Zeile 240:
  
 
== VPN mit Linux Strongswan ==
 
== VPN mit Linux Strongswan ==
Zuerst muss Strongswan installiert werden, entweder per Pakete oder selbst kompiliert. Diese Anleitung bezieht sich zunächst auf die Installation von Paketen.
+
Bitte folgen Sie zur Verwendung des Strongswan-Clients auf Linux folgende Anleitung:
 
+
[[VPN-Strongswan]]
=== Installation in Debian Wheezy/Jessie ===
 
Für die aktuelle Stronswan-Version muss folgende Paketquelle hinzugefügt werden (/etc/apt/sources.list):
 
 
 
''' Wheezy: '''
 
deb http://http.debian.net/debian wheezy-backports main
 
 
 
Danach die folgenden Befehle für die Installation ausführen:
 
apt-get update
 
apt-get -t wheezy-backports install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins
 
 
 
''' Jessie: '''
 
deb http://http.debian.net/debian jessie-backports main
 
 
 
Danach die folgenden Befehle für die Installation ausführen:
 
apt-get update
 
apt-get -t jessie-backports install ca-certificates strongswan libcharon-extra-plugins libstrongswan-extra-plugins libstrongswan-standard-plugins
 
 
 
 
 
Außerdem müssen im Init-Script (/etc/init.d/ipsec) die folgenden Zeilen um "$syslog" erweitert werden:
 
<pre>
 
# Required-Start:    $network $remote_fs
 
# Required-Stop:    $network $remote_fs
 
</pre>
 
 
 
=== Konfigurationsdateien anpassen ===
 
 
 
Nach der Installation müssen folgende Dateien bearbeitet werden:
 
# /etc/strongswan.conf
 
# /etc/ipsec.conf
 
# /etc/ipsec.secrets
 
 
 
Zusätzlich muss ein Link im Verzeichnis "/etc/ipsec.d/cacert" angelegt werden:
 
<pre>
 
ln -s /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem /etc/ipsec.d/cacerts/
 
</pre>
 
 
 
==== strongswan.conf ====
 
In dieser Datei '''darf nur noch''' folgender Text '''enthalten sein''':
 
<pre>
 
charon {
 
  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac xcbc stroke kernel-netlink socket-default fips-prf eap-mschapv2 eap-identity updown openssl resolve
 
}
 
</pre>
 
'''Alles''' was sonst in der Datei steht ist '''unnötig''' und '''behindert''' die Verbindung.
 
 
 
==== ipsec.conf ====
 
In dieser Datei '''muss''' folgender Text '''hinzugefügt werden''':
 
<pre>
 
conn hsmw-vpn
 
        keyexchange=ikev2
 
        left=%defaultroute
 
        leftid=%any
 
        leftauth=eap
 
        eap_identity=username@hs-mittweida.de
 
        leftsourceip=%config
 
        leftdns=%config4
 
        leftfirewall=no
 
        right=141.55.128.84
 
        rightid=@vpn4.hs-mittweida.de
 
        rightsubnet=0.0.0.0/0
 
        rightauth=pubkey
 
        auto=add
 
</pre>
 
'''Alles''' was sonst in der Datei steht '''wird''' für die Verbindung '''benötigt'''.
 
 
 
==== ipsec.secret ====
 
In diese Datei kann folgender Text hinzugefügt werden:
 
<pre>
 
username@hs-mittweida.de : EAP "K3nnw0rt"
 
</pre>
 
 
 
=== Start und Stop der VPN-Verbindung ===
 
Um den VPN-Tunnel aufzubauen muss folgender Befehl ausgeführt werden:
 
<pre>ipsec up hsmw-vpn</pre>
 
 
 
Den VPN-Tunnel wird mit dem folgenden Befehl beendet:
 
<pre>ipsec down hsmw-vpn</pre>
 
  
 
== VPN mit Linux Shrewsoft ==
 
== VPN mit Linux Shrewsoft ==

Version vom 24. November 2016, 15:42 Uhr


Um eine VPN Verbindung aufbauen zu können

  • Müssen Sie die Netzordnung der Hochschule Mittweida bestätigt haben
  • Darf Ihr Kennwort nicht abgelaufen sein

Beides können Sie im Bereich Ihrer persönlichen Einstellungen prüfen.

VPN mit Windows 7 (nativ)

SystemSteuerung.png

  1. Aufrufen von Systemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter
  2. Neue Verbindung oder neues Netzwerk einrichten (1.)
  3. Verbindung mit dem Arbeitsplatz herstellen
  4. Die Internetverbindung (VPN) verwenden
    1. Bei Internetadresse: vpn4.hs-mittweida.de
    2. Haken bei "Jetzt nicht verbinden,..." setzen
  5. Benutzername: username@hs-mittweida.de
  6. Erstellen klicken
  7. Schließen klicken (Verbindung noch NICHT herstellen)
  8. Aufrufen von Systemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter
  9. Adaptereinstellungen ändern (2.)
  10. Rechte Maustaste und auf Eigenschaften von "VPN-Verbindung" klicken

EigenschaftenVPN.png EigenschaftenVPN2.jpg

  1. Karteireiter "Sicherheit":
    1. bei VPN-Typ: IKEv2 auswählen
    2. bei Extensible-Authentication-Protokoll (EAP)verwenden: "Microsoft: Geschütztes EAP (PEAP) ..." auswählen
    3. auf Eigenschaften klicken
      1. den Haken bei "Verbindung mit diesen Servern herstellen:" setzen und dns2.hs-mittweida.de eintragen
      2. in der Liste der "Vertrauenswürdige Stammzertifizierungsstellen:": "Deutsche Telekom Root CA 2" auswählen
      3. mit OK bestätigen
    4. mit OK bestätigen
  2. Rechte Maustaste auf "VPN-Verbindung" und Verbinden klicken

Fehlerbehebung

Fehler 809

Kommt es bei dem Verbindungsversuch zu dem Fehler 809, dann ist es wahrscheinlich, dass die Verbindung von einer Fremdsoftware geblockt wird. Zum Beispiel durch (vor-)installierte Firewalls wie "ZoneAlarm". Sollte so eine Software installiert sein, dann bitte zum Test diese deinstallieren. Selbst durch deaktivieren der Software können Verbindungen geblockt werden.

VPN WIN7 Fehler 809.png

Verbindungsversuch wurde nicht abgeschlossen

Kommt bei dem aktivieren der VPN Verbindung eine Meldung "Der Verbindungsversuch wurde nicht abgeschlossen.", wurde der Haken in den VPN Einstellungen unter Eigenschaften für ein geschütztes EAP "Verbindung mit diesen Servern herstellen:" nicht gesetzt und dns2.hs-mittweida.de nicht in das Feld eingetragen. Dazu bitte der Anleitung ab Punkt 8 folgen.

FehlerVPN2.jpg

Fehler 13801

Kommt es nach dem Verbinden zu folgender Fehlermeldung, ist wahrscheinlich das dfn-Zertifikat nicht korrekt installiert (veraltete Hochschulinstallation?). Wenden Sie sich bitte an den für Sie zuständigen Administrator oder das NCC.

FehlerVPN.PNG

VPN mit Windows 8 (nativ)

Unter Windows 8 kann wie bei Windows 7 ein VPN ohne Zusatzprogramme eingerichtet werden.

Öffnen Sie dazu Ihre Charm Bar und klicken auf "Einstellungen".

Vpn win8 1.png

Anschließend auf "PC-Einstellungen ändern".

Vpn win8 2.png

Jetzt klicken Sie auf "Netzwerk".

Vpn win8 3.png

In den Netzwerkeinstellungen können Sie unter "Verbindungen" das VPN einrichten mit einem Klick auf "VPN-Verbindung hinzufügen".

Vpn win8 4.png

Tragen Sie in die Eingabemaske die Werte ein, wie sie auf dem Bild zu sehen sind.

Vpn win8 5.png

Mit dem VPN verbinden:

Rufen Sie über das Netzwerksymbol in der Taskleiste die Liste verfügbarer Netzwerkverbindungen auf. Klicken Sie auf die eben erstellte VPN-Verbindung und dann auf Verbinden.

VPN mit Windows 10 (nativ)

Klicken Sie im Startmenü auf auf "Einstellungen".

Vpn1-win10.PNG

Im Dialog Einstellungen auf "Netzwerk und Internet"...

Vpn2-win10.PNG

... VPN wählen und "VPN-Verbindung hinzufügen" klicken

Vpn3-win10.PNG

Tragen Sie in die Eingabemaske die Werte ein, wie sie auf dem Bild zu sehen sind und beenden den Dialog mit Speichern. Den Verbindungsnamen können Sie nach belieben vergeben.

Vpn4-win10.PNG

Sie gelangen wieder zurück zum Dialog "Netzwerk und Internet" --> "VPN".... Mit einen Klick auf die soeben erstellte VPN-Verbindung sehen Sie die Optionen -Verbinden- -Erweiterte Optionen- -Entfernen-

Klicken Sie auf Adapteroptionen ändern

VPN W10 Bild1.PNG

Wählen Sie das ebene erstellt VPN aus. Klicken Sie mit der rechten Maustaste auf dieses VPN und wählen Eigenschaften.

VPN W10 Bild2.PNG

Wechseln Sie zu Netzwerk. Markieren Sie Internet Protokoll Version 4 (TCP/IPv4). Klicken Sie auf Eigenschaften.

VPN W10 Bild4.PNG

Klicken Sie nun auf Erweitert

VPN W10 Bild5.PNG

Setzen Sie den Hacken bei Standardgateway für das Remotenetzwerk verwenden

VPN W10 Bild6.PNG

Schließen Sie die Fenster.

Achtung Die erste Windows 10 Version hatte einen Fehler. Dort war der Hacken nicht vorhanden. In diesem Fall führen Sie folgendes durch:

Öffnen Sie die Windows Powershell

Windows > Alle Apps > Windows Powershell > Windows Powershell

Führen Sie folgenden Befehl in der Powershell aus:

Set-VpnConnection "HSMW" -SplitTunneling $FALSE

VPN W10 Bild11.PNG

Öffnen bzw. Wechseln Sie zum Dialog "Netzwerk und Internet"

Vpn5-win10.PNG

Nach erstmaligen Verbinden erscheint einmalig eine Zertifikatsabfrage, welche Sie bitte nochmals mit "Verbinden" bestätigen.

Vpn6-win10.PNG

VPN mit Shrewsoft

Download: https://download.hs-mittweida.de/intranet/vpn/windows/shrewsoft/

Im Schritt 1 ist der Name des VPN-Servers einzutragen. Danach ist notwendig den Karteireiter "Authentication" aufzurufen.

Shrewsoft-1.png


Im Schritt 2 erfolgt die Einrichtung der "Authentication Method" auf "Hybrid RSA + XAuth". Der "Identifiation Type" muss in "IP Adress" geändert werden. Durch die Auswahl des Unterkarteireiters "Credentials" folgt der Schritt 3.

Shrewsoft-2.png


In Schritt 3 ist die "Server Certifiate Autority File" auszuwählen. Diese Datei kann von http://download.hs-mittweida.de/DFN-PKI/dtag.pem bezogen werden (Rechte Maustaste "speichern unter..."). Schritt 4 folgt mit der Auswahl des Karteireiters "Phase 1".

Shrewsoft-3.png


Im Schritt 4 ist der "Exchange Type" auf "main" zu ändern. Danach wird das Profil per "Save" gespeichert. Es muss ein Name für das Profil vergeben werden.

Shrewsoft-4.png

VPN mit Android

Auf Einstellungen unter Drahtlos & Netzwerke den Punkt Mehr... darunter VPN auf das Plus.

Vpn-android-1.png

VPN mit iOS

Zur Einrichtung des VPN können Sie auch Konfigurationsprofile https://wiki.hs-mittweida.de/index.php/Konfigurationsprofile_für_OS_X_und_iOS verwenden.

Auf Einstellungen unter Allgemein den Punkt VPN darunter VPN hinzufügen.

VPN-neu-iOS-1.png VPN-neu-iOS-2.png VPN-neu-iOS-6.png VPN-neu-iOS-3.png


In der Konfiguration folgende Punkte eintragen:

  1. IPSec Reiter
  2. Beschreibung: HSMW-VPN
  3. Server: vpn4.hs-mittweida.de
  4. Account: username@hs-mittweida.de
  5. Kennwort: Ihr Kennwort
  6. Zertifikat verwenden: Aus
  7. Gruppenname: [hybrid] mit den eckigen Klammern
  8. Shared Secret: beliebige Werte eintragen (z.B.: egal, 0815, test)

VPN-neu-iOS-4.png VPN-neu-iOS-5.png

VPN mit OS X

Die Einrichtung des VPN-Tunnels setzt OS X 10.7 und höher voraus!

Zur Einrichtung des VPN können Sie auch Konfigurationsprofile https://wiki.hs-mittweida.de/index.php/Konfigurationsprofile_für_OS_X_und_iOS verwenden.

Systemeinstellungen öffnen und unter Netzwerk eine neue Verbindung hinzufügen.

VPN-neu-OSX-1.png VPN-neu-OSX-2.png VPN-neu-OSX-3.png

In der Konfiguration folgende Punkte auswählen/eintragen:

  1. Anschluss: VPN
  2. VPN-Typ: Cisco IPSec
  3. Dienstname: HSMW-VPN

VPN-neu-OSX-4.png

Im nächsten Schritt folgende Daten eingeben:

  1. Serveradresse: vpn4.hs-mittweida.de
  2. Accountname: username@hs-mittweida.de
  3. Kennwort: Ihr Kennwort

VPN-neu-OSX-5.png

Anschließen auf den Button Authentifizierungseinstellungen ... klicken. Im nachfolgenden Fenster muss Schlüssel ausgewählt und folgendes eingegeben werden:

  1. Schlüssel: beliebige Werte eintragen (z.B.: egal, 0815, test)
  2. Gruppenname: [hybrid] mit den eckigen Klammern [ALT] + [5] für "[" bzw. [ALT] + [6] für "]"

VPN-neu-OSX-6.png

Alle Eingaben mit Anwenden bestätigen und Verbindung herstellen.

VPN-neu-OSX-7.png

VPN mit Linux Strongswan

Bitte folgen Sie zur Verwendung des Strongswan-Clients auf Linux folgende Anleitung: VPN-Strongswan

VPN mit Linux Shrewsoft

Die Installation erfolgt per Paket:

apt-get install ike

Die Konfiguration erfolgt analog der Windows-Anleitung. https://wiki.hs-mittweida.de/index.php/VPN#VPN_mit_Shrewsoft Danach

  1. beispielsweise in Ubuntu über "Dateien"/"Mit Server verbinden"
  2. Serveradresse: smb://na2.hs-mittweida.de/
  3. Auf Button "Verbinden" drücken
  4. Benutzername: hs-mittweida\username
  5. Domäne: hs-mittweida
  6. Password: userpassword