Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
VPN Konfiguration unter Linux (Ubuntu 12.04.4 LTS)
Wichtiger Hinweis: Die Verbindung zum VPN wird mit der Software Strongswan hergestellt. Diese ist unter Ubuntu (und vielen andere Linux-Distributionen) verfügbar, allerdings gibt es ein bekanntes Problem mit dem Network-Manager-Applet-Plugin für Strongswan, das zu einem Absturz des nm-applets führt, wenn versucht wird, eine neue Strongswan-VPN-Verbindung über die GUI zu erstellen. Leider ist dies weder ein Bug, der in Strongswan gefixt werden kann, noch ein Bug, für den das Rechenzentrum einen Workaround anbieten kann. Aus diesem Grund beschreibt die folgende Anleitung das Erstellen der VPN-Verbindung direkt über die Konfigurationsdateien von Strongswan. Bitte beachten Sie: Diese Anleitung sollte nur auf Systeme angewendet werden, die Sie als Nutzer exklusiv nutzen, da leider das Passwort Ihrer RZ-Kennung in einer Textdatei für den Login hinterlegt werden muss. Sobald eine neue Ubuntu-Version erscheint, die einen Fix für das Network-Manager-Applet-Plugin für Strongswan bietet, wird dieses Verfahren die vorliegende Anleitung ablösen. Wir bitten Sie, den Umstand zu entschuldigen, leider können wir VPN unter Linux derzeit nur über den hier beschriebenen Weg unterstützen. Die vorliegende Anleitung sollte analog auf allen Systemen funktionieren, die Strongswan anbieten, allerdings unterstützt das Rechenzentrum nur die jeweils aktuelle Ubuntu LTS-Version.
Bitte stellen Sie eine Verbindung zum VPN nur dann her, wenn Sie sich nicht im Netzbereich (WLAN / Institutsnetz) der TU Clausthal befinden.
Bitte beachten Sie: Das VPN unterstützt derzeit nur den Transport von IPv4. Bei aktiviertem IPv6 auf dem Klienten werden Verbindungen zu IPv6-Zielen nicht getunnelt. Um dies zu erzwingen, sollte ggf. IPv6 auf dem Klienten deaktiviert werden.
Installation von Strongswan
Bitte beachten Sie: Wenn Sie weitere IPsec-Software auf Ihrem Gerät installiert haben, kann es zu unerwünschten Nebeneffekten kommen. Bitte deinstallieren Sie diese ggf..
Installieren Sie Strongswan mit Hilfe des Kommandos
sudo apt-get install strongswan
Sie müssen Administratorenrechte für die Nutzung von „sudo“ besitzen.
Abweichend von der Installation unter Ubuntu 12.04 sind unter Ubuntu 14.04 2 weitere Pakete (stronswan-Plugins) zu installieren:
- sudo apt-get install strongswan-plugin-eap-peap
- sudo apt-get install strongswan-plugin-eap-mschapv2
Anpassen der Konfigurationsdateien
Die folgenden Änderungen können Sie nur als „root“ durchführen. Sie können die Dateien z.B. über das Kommando „sudo vi /etc/<dateiname>“ jeweils editieren (<dateiname> muss natürlich sinnvoll ersetzt werden).
Ergänzen Sie die Datei „/etc/ipsec.conf“ bitte um die folgenden Verbindungseinträge:
- /etc/ipsec.conf
conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev2 dpdaction=restart conn tuc-vpn left=%defaultroute leftsourceip=%config leftauth=eap eap_identity=<RZ-Kennung> right=gateway.vpn.tu-clausthal.de rightauth=pubkey rightid=gateway.vpn.tu-clausthal.de rightsubnet=0.0.0.0/0 auto=add # Eventuell muss hier noch eine leere Zeile ergänzt werden, damit es funktioniert.
Bitte ersetzen Sie dabei „<RZ-Kennung>“ durch Ihre RZ-Kennung. Bitte beachten Sie, dass diese Einträge nach dem „config setup“-Abschnitt und vor „include“-Abschnitten eingefügt werden.
Fügen Sie in die Datei „/etc/ipsec.secrets“ bitte folgenden Eintrag ein:
- /etc/ipsec.secrets
<RZ-Kennung> : EAP "<Ihr Passwort>"
Ersetzen Sie bitte „<RZ-Kennung>“ durch Ihre Kennung und „<Ihr Passwort>“ durch Ihr Passwort. Vergessen Sie bitte nicht die Anführungszeichen um Ihr Passwort. Stellen Sie sicher, dass die Datei nur vom Nutzer „root“ gelesen werden kann:
chown root /etc/ipsec.secrets chmod 600 /etc/ipsec.secrets
Einspielen des CA-Zertifikats
Bitte legen Sie folgendes CA-Zertifikat in „/etc/ipsec.d/cacerts/TUC-VPN-CA-Cert.crt“ ab:
- /etc/ipsec.d/cacerts/TUC-VPN-CA-Cert.crt
-----BEGIN CERTIFICATE----- MIIDDjCCAfagAwIBAgIBATANBgkqhkiG9w0BAQsFADAvMS0wKwYDVQQDDCRTRyBS b290IENBIGZvciBHVyAoYmU0ZTcwZDVhN2MxODc2MykwHhcNMTMxMjE3MTAzMDA1 WhcNMjMxMjE3MTAzMDA1WjAvMS0wKwYDVQQDDCRTRyBSb290IENBIGZvciBHVyAo YmU0ZTcwZDVhN2MxODc2MykwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIB AQCYay2H6E/unTRRkYjWZEtjD91/S6/MgmOzBkuQ4JkmF4fLeyyWSulf+69GENSv BgbGvsjUPCsK/ZVbdh1pRLf/E7o0i1Zh9b6fuaqwVmYspS2z9/oOE2b69yExNrL1 iT50p4r++8HQVlh1ppIzDoCkgey8dC4COTuw6Qk/pO8h2TWdEawgSAYYgQxfpnBx F/Im7by/A5QY6s9qZfrqhjKPm5V7g7chv0+pWAIq0vbfdNfZx/fERuqwtiotSSH0 j15YGO3tBs2mseKSy7kHcAz4kSr23NOiALyAMwAyjlsOcCOHklQYZkPJgho0oXHz z/iH3uqDIIRRTAAmwauUiZMrAgMBAAGjNTAzMBIGA1UdEwEB/wQIMAYBAf8CAQAw HQYDVR0OBBYEFP48+PNS6jVyVfu4UWueN/ZKeD/nMA0GCSqGSIb3DQEBCwUAA4IB AQCWUwJvh1+tecwBDGJC42P51lQysTB/+w3vxq6sNQgmpVI+YNxwa6MsHNPAy7aC Vt2ZoJPqFDND2+7Gb/jPdpdK86z1sL6wKJDylKvo68rgyIxoXkIjhr6raOtsO+U7 IbPiycGKLMDDOeSnqDKvgNwbohbc5UBl9a4+PDSzWnWu2xzNkaKMDr1WdDOUHIuP ASvCcIOSdoe64AwXoRKfLOBLXh2KcQyK0JooMPFxnaZ7TYeYEpowlPWKRHdi5XfH DJPXDpHbClZDFuOz6E/0WvXeOQnfLOHKTUU2TAZHau9fvPLTsim1V5TEiRQdIvTl r7ODRFsxzRFxz1fRQhODbNXs -----END CERTIFICATE-----
Wenn Sie Die Konfigurationsdateien und das Zertifikat eingespielt haben, starten Sie bitte den IPsec-Dienst mit Hilfe des Kommandos
sudo ipsec restart
neu.
Starten / Stoppen der Verbindung
Variante 1 (mit gespeichertem Passwort)
Mit dem Kommando
sudo ipsec up tuc-vpn
können Sie die Verbindung starten. Die Verbindung steht jedem Nutzer, der gleichzeitig mit Ihnen auf Ihrem Laptop/Rechner eingeloggt ist, zur Verfügung.
Mit dem Kommando
sudo ipsec down tuc-vpn
können Sie die Verbindung beenden.
Variante 2 (ohne gespeichertes Passwort, mit Passwortabfrage)
Mit dem Kommando
sudo ipsec stroke user-creds tuc-vpn <RZ-Kennung> sudo ipsec up tuc-vpn
können Sie die Verbindung starten. Die Verbindung steht jedem Nutzer, der gleichzeitig mit Ihnen auf Ihrem Laptop/Rechner eingeloggt ist, zur Verfügung.
Mit dem Kommando
sudo ipsec down tuc-vpn
können Sie die Verbindung beenden.