RZ-Dokumentationen

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: RZ-Dokumentationen » vpn » vpn_konfiguration_unter_linux
vpn:vpn_konfiguration_unter_linux:start

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
vpn:vpn_konfiguration_unter_linux:start [08:55 10. June 2016 ] – [Variante 2 (ohne gespeichertes Passwort, mit Passwortabfrage)] Oliver Kochvpn:vpn_konfiguration_unter_linux:start [15:06 21. February 2018 ] Anja Tuski
Zeile 1: Zeile 1:
-====== VPN Konfiguration unter Linux (Ubuntu 12.04.4 LTS) ======+====== VPN Konfiguration unter Linux ======
  
-<WRAP important>**Wichtiger Hinweis:** Die Verbindung zum VPN wird mit der Software [[http://www.strongswan.org/|Strongswan]] hergestellt. Diese ist unter Ubuntu (und vielen andere Linux-Distributionen) verfügbar, allerdings gibt es ein bekanntes Problem mit dem Network-Manager-Applet-Plugin für Strongswan, das zu einem Absturz des nm-applets führt, wenn versucht wird, eine neue Strongswan-VPN-Verbindung über die GUI zu erstellen. Leider ist dies weder ein Bug, der in Strongswan gefixt werden kann, noch ein Bug, für den das Rechenzentrum einen Workaround anbieten kann. Aus diesem Grund beschreibt die folgende Anleitung das Erstellen der VPN-Verbindung direkt über die Konfigurationsdateien von Strongswan. **Bitte beachten Sie:** Diese Anleitung sollte nur auf Systeme angewendet werden, die Sie als Nutzer exklusiv nutzen, da leider das Passwort Ihrer RZ-Kennung in einer Textdatei für den Login hinterlegt werden muss. Sobald eine neue Ubuntu-Version erscheint, die einen Fix für das Network-Manager-Applet-Plugin für Strongswan bietet, wird dieses Verfahren die vorliegende Anleitung ablösen. Wir bitten Sie, den Umstand zu entschuldigen, leider können wir VPN unter Linux derzeit nur über den hier beschriebenen Weg unterstützen. Die vorliegende Anleitung sollte analog auf allen Systemen funktionieren, die Strongswan anbieten, allerdings unterstützt das Rechenzentrum nur die jeweils aktuelle Ubuntu LTS-Version.</WRAP>+<WRAP important>**Wichtiger Hinweis:** Die Verbindung zum VPN wird mit der Software [[http://www.strongswan.org/|Strongswan]] hergestellt. Diese ist unter Ubuntu (und vielen andere Linux-Distributionen) verfügbar, allerdings gibt es ein bekanntes Problem mit dem Network-Manager-Applet-Plugin für Strongswan, das zu einem Absturz des nm-applets führt, wenn versucht wird, eine neue Strongswan-VPN-Verbindung über die GUI zu erstellen. Leider ist dies weder ein Bug, der in Strongswan gefixt werden kann, noch ein Bug, für den das Rechenzentrum einen Workaround anbieten kann. Aus diesem Grund beschreibt die folgende Anleitung das Erstellen der VPN-Verbindung direkt über die Konfigurationsdateien von Strongswan. Sobald eine neue Ubuntu-Version erscheint, die einen Fix für das Network-Manager-Applet-Plugin für Strongswan bietet, wird dieses Verfahren die vorliegende Anleitung ablösen. Wir bitten Sie, den Umstand zu entschuldigen, leider können wir VPN unter Linux derzeit nur über den hier beschriebenen Weg unterstützen. Die vorliegende Anleitung sollte analog auf allen Systemen funktionieren, die Strongswan anbieten, allerdings unterstützt das Rechenzentrum nur die jeweils aktuelle Ubuntu LTS-Version. </WRAP>
  
 <WRAP important>Bitte stellen Sie eine Verbindung zum VPN nur dann her, wenn Sie sich nicht im Netzbereich (WLAN / Institutsnetz) der TU Clausthal befinden.</WRAP> <WRAP important>Bitte stellen Sie eine Verbindung zum VPN nur dann her, wenn Sie sich nicht im Netzbereich (WLAN / Institutsnetz) der TU Clausthal befinden.</WRAP>
Zeile 20: Zeile 20:
 Sie müssen Administratorenrechte für die Nutzung von "sudo" besitzen. Sie müssen Administratorenrechte für die Nutzung von "sudo" besitzen.
  
-<WRAP info+Abhängig von der verwendeten Linux Distribution müssen Sie noch weitere Pakete installieren: 
-Abweichend von der Installation unter Ubuntu 12.04 sind unter **Ubuntu 14.04** 2 weitere Pakete (stronswan-Plugins) zu installieren: +<code
-  sudo apt-get install strongswan-plugin-eap-peap +Ubuntu 14.04 und 16.04 
-  sudo apt-get install strongswan-plugin-eap-mschapv2 +sudo apt-get install strongswan-plugin-eap-peap 
-</WRAP>+sudo apt-get install strongswan-plugin-eap-mschapv2 
 +sudo apt-get install strongswan-plugin-curl 
 +</code> 
 + 
 +<code> 
 +Ubuntu 17.10 
 +sudo apt-get install libstrongswan-extra-plugins 
 +</code> 
 + 
 + 
 ===== Anpassen der Konfigurationsdateien ===== ===== Anpassen der Konfigurationsdateien =====
  
Zeile 31: Zeile 41:
 Ergänzen Sie die Datei "/etc/ipsec.conf" bitte um die folgenden Verbindungseinträge: Ergänzen Sie die Datei "/etc/ipsec.conf" bitte um die folgenden Verbindungseinträge:
  
-<code text /etc/ipsec.conf>+<code text>
 conn %default conn %default
  ikelifetime=60m  ikelifetime=60m
Zeile 39: Zeile 49:
  keyexchange=ikev2  keyexchange=ikev2
  dpdaction=restart  dpdaction=restart
 +        ike=aes256-sha256-modp2048
  
 conn tuc-vpn conn tuc-vpn
Zeile 56: Zeile 67:
 Bitte ersetzen Sie dabei "<RZ-Kennung>" durch Ihre RZ-Kennung. Bitte beachten Sie, dass diese Einträge **nach** dem "config setup"-Abschnitt und **vor** "include"-Abschnitten eingefügt werden. Bitte ersetzen Sie dabei "<RZ-Kennung>" durch Ihre RZ-Kennung. Bitte beachten Sie, dass diese Einträge **nach** dem "config setup"-Abschnitt und **vor** "include"-Abschnitten eingefügt werden.
  
-<note important>Das Passwort Ihrer RZ-Kennung müssen Sie nur in der Datei ///etc/ipsec.secrets// speichern, wenn Sie unten die //Variante 1// wählen. Wenn Sie Ihr Passwort nicht im Klartext abspeichern wollen, was aus Sicherheitsgründen sehr zu empfehlen ist, wählen Sie bitte die //Variante 2// und überspringen Sie den folgenden Konfigurationsschritt.</note> 
  
-Fügen Sie in die Datei "/etc/ipsec.secrets" bitte folgenden Eintrag ein:+===== Einspielen der CA-Zertifikate =====
  
-<code text /etc/ipsec.secrets> +Bitte speichern Sie die drei DFN-CA-Zertifikate (Wurzelzertifikat, DFN-PCA-Zertifikat und DFN-CA Global-G2-Zertifikat) im Verzeichnis "/etc/ipsec.d/cacerts/" ab und benennen Sie die Datei rootcert.crt um in TUC-VPN-CA-Cert.crt. 
-<RZ-Kennung> : EAP "<Ihr Passwort>" +Die Zertifikate finden sie auf folgender Homepage: 
-</code> +https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=3800
- +
-Ersetzen Sie bitte "<RZ-Kennung>" durch Ihre Kennung und "<Ihr Passwort>" durch Ihr Passwort. Vergessen Sie bitte nicht die Anführungszeichen um Ihr PasswortStellen Sie sicher, dass die Datei nur vom Nutzer "root" gelesen werden kann:+
  
 +Um die Zertifikate direkt via commandline an die richtige Stelle zu schieben können Sie wget verwenden:
 <code> <code>
-chown root /etc/ipsec.secrets +sudo wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/rootcert.crt -O /etc/ipsec.d/cacerts/rootcert.crt 
-chmod 600 /etc/ipsec.secrets+sudo wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/intermediatecacert.crt -O /etc/ipsec.d/cacerts/intermediatecacert.crt 
 +sudo wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/cacert.crt -O /etc/ipsec.d/cacerts/cacert.crt
 </code> </code>
  
-===== Einspielen des CA-Zertifikats ===== 
- 
-Bitte legen Sie folgendes CA-Zertifikat in "/etc/ipsec.d/cacerts/TUC-VPN-CA-Cert.crt" ab: 
- 
-<code text /etc/ipsec.d/cacerts/TUC-VPN-CA-Cert.crt> 
------BEGIN CERTIFICATE----- 
-MIIDDjCCAfagAwIBAgIBATANBgkqhkiG9w0BAQsFADAvMS0wKwYDVQQDDCRTRyBS 
-b290IENBIGZvciBHVyAoYmU0ZTcwZDVhN2MxODc2MykwHhcNMTMxMjE3MTAzMDA1 
-WhcNMjMxMjE3MTAzMDA1WjAvMS0wKwYDVQQDDCRTRyBSb290IENBIGZvciBHVyAo 
-YmU0ZTcwZDVhN2MxODc2MykwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB 
-AQCYay2H6E/unTRRkYjWZEtjD91/S6/MgmOzBkuQ4JkmF4fLeyyWSulf+69GENSv 
-BgbGvsjUPCsK/ZVbdh1pRLf/E7o0i1Zh9b6fuaqwVmYspS2z9/oOE2b69yExNrL1 
-iT50p4r++8HQVlh1ppIzDoCkgey8dC4COTuw6Qk/pO8h2TWdEawgSAYYgQxfpnBx 
-F/Im7by/A5QY6s9qZfrqhjKPm5V7g7chv0+pWAIq0vbfdNfZx/fERuqwtiotSSH0 
-j15YGO3tBs2mseKSy7kHcAz4kSr23NOiALyAMwAyjlsOcCOHklQYZkPJgho0oXHz 
-z/iH3uqDIIRRTAAmwauUiZMrAgMBAAGjNTAzMBIGA1UdEwEB/wQIMAYBAf8CAQAw 
-HQYDVR0OBBYEFP48+PNS6jVyVfu4UWueN/ZKeD/nMA0GCSqGSIb3DQEBCwUAA4IB 
-AQCWUwJvh1+tecwBDGJC42P51lQysTB/+w3vxq6sNQgmpVI+YNxwa6MsHNPAy7aC 
-Vt2ZoJPqFDND2+7Gb/jPdpdK86z1sL6wKJDylKvo68rgyIxoXkIjhr6raOtsO+U7 
-IbPiycGKLMDDOeSnqDKvgNwbohbc5UBl9a4+PDSzWnWu2xzNkaKMDr1WdDOUHIuP 
-ASvCcIOSdoe64AwXoRKfLOBLXh2KcQyK0JooMPFxnaZ7TYeYEpowlPWKRHdi5XfH 
-DJPXDpHbClZDFuOz6E/0WvXeOQnfLOHKTUU2TAZHau9fvPLTsim1V5TEiRQdIvTl 
-r7ODRFsxzRFxz1fRQhODbNXs 
------END CERTIFICATE----- 
-</code> 
  
 Wenn Sie Die Konfigurationsdateien und das Zertifikat eingespielt haben, starten Sie bitte den IPsec-Dienst mit Hilfe des Kommandos Wenn Sie Die Konfigurationsdateien und das Zertifikat eingespielt haben, starten Sie bitte den IPsec-Dienst mit Hilfe des Kommandos
  
 <code> <code>
 +
 sudo ipsec restart sudo ipsec restart
 </code> </code>
Zeile 107: Zeile 93:
 ===== Starten / Stoppen der Verbindung ===== ===== Starten / Stoppen der Verbindung =====
  
-==== Variante 1 (mit gespeichertem Passwort) ==== 
  
 Mit dem Kommando Mit dem Kommando
  
 <code> <code>
 +sudo ipsec stroke user-creds tuc-vpn <RZ-Kennung>
 sudo ipsec up tuc-vpn sudo ipsec up tuc-vpn
 </code> </code>
  
-können Sie die Verbindung starten. <wrap important>Die Verbindung steht jedem Nutzer, der gleichzeitig mit Ihnen auf Ihrem Laptop/Rechner eingeloggt ist, zur Verfügung.</wrap>+können Sie die Verbindung starten. Die Verbindung steht jedem Nutzer, der gleichzeitig mit Ihnen auf Ihrem Laptop/Rechner eingeloggt ist, zur Verfügung.
  
 Mit dem Kommando Mit dem Kommando
Zeile 125: Zeile 111:
 können Sie die Verbindung beenden. können Sie die Verbindung beenden.
  
-==== Variante 2 (ohne gespeichertes Passwort, mit Passwortabfrage) ==== 
  
-<code> +{{tag>[studierende] [mitarbeitende] }}
-sudo ipsec stroke user-creds tuc-vpn <RZ-Kennung> +
-sudo ipsec up tuc-vpn +
-</code>+
  
  
-<code> 
-sudo ipsec down tuc-vpn 
-</code> 
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki