Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- vpn:vpn_konfiguration_unter_linux:start [16:23 13. January 2017 ] – [Einspielen der CA-Zertifikate] Verständlichkeit verbessert. cre13
+++ vpn:vpn_konfiguration_unter_linux:start [12:51 08. June 2018 ] (aktuell) – gelöscht Martin Diedrich
@@ Zeile 1: / Zeile 1: @@
-====== VPN Konfiguration unter Linux ======
-<WRAP important>**Wichtiger Hinweis:** Die Verbindung zum VPN wird mit der Software [[http://www.strongswan.org/|Strongswan]] hergestellt. Diese ist unter Ubuntu (und vielen andere Linux-Distributionen) verfügbar, allerdings gibt es ein bekanntes Problem mit dem Network-Manager-Applet-Plugin für Strongswan, das zu einem Absturz des nm-applets führt, wenn versucht wird, eine neue Strongswan-VPN-Verbindung über die GUI zu erstellen. Leider ist dies weder ein Bug, der in Strongswan gefixt werden kann, noch ein Bug, für den das Rechenzentrum einen Workaround anbieten kann. Aus diesem Grund beschreibt die folgende Anleitung das Erstellen der VPN-Verbindung direkt über die Konfigurationsdateien von Strongswan. Sobald eine neue Ubuntu-Version erscheint, die einen Fix für das Network-Manager-Applet-Plugin für Strongswan bietet, wird dieses Verfahren die vorliegende Anleitung ablösen. Wir bitten Sie, den Umstand zu entschuldigen, leider können wir VPN unter Linux derzeit nur über den hier beschriebenen Weg unterstützen. Die vorliegende Anleitung sollte analog auf allen Systemen funktionieren, die Strongswan anbieten, allerdings unterstützt das Rechenzentrum nur die jeweils aktuelle Ubuntu LTS-Version. </WRAP>
-<WRAP important>Bitte stellen Sie eine Verbindung zum VPN nur dann her, wenn Sie sich nicht im Netzbereich (WLAN / Institutsnetz) der TU Clausthal befinden.</WRAP>
-<WRAP important>Bitte beachten Sie: Das VPN unterstützt derzeit nur den Transport von IPv4. Bei aktiviertem IPv6 auf dem Klienten werden Verbindungen zu IPv6-Zielen **nicht getunnelt**. Um dies zu erzwingen, sollte ggf. IPv6 auf dem Klienten deaktiviert werden.</WRAP>
-===== Installation von Strongswan =====
-<WRAP info>
-Bitte beachten Sie: Wenn Sie weitere IPsec-Software auf Ihrem Gerät installiert haben, kann es zu unerwünschten Nebeneffekten kommen. Bitte deinstallieren Sie diese ggf..
-</WRAP>
-Installieren Sie Strongswan mit Hilfe des Kommandos
-<code>
-sudo apt-get install strongswan
-</code>
-Sie müssen Administratorenrechte für die Nutzung von "sudo" besitzen.
-Abhängig von der verwendeten Linux Distribution müssen Sie noch zwei weitere Pakete (stronswan-Plugins) zu installieren (Unter Ubuntu 14.04 und 16.04 ist dieser Schritt notwendig, unter Ubuntu 12.04 nicht):
-<code>
-sudo apt-get install strongswan-plugin-eap-peap
-sudo apt-get install strongswan-plugin-eap-mschapv2
-</code>
-===== Anpassen der Konfigurationsdateien =====
-Die folgenden Änderungen können Sie nur als "root" durchführen. Sie können die Dateien z.B. über das Kommando "sudo vi /etc/<dateiname>" jeweils editieren (<dateiname> muss natürlich sinnvoll ersetzt werden).
-Ergänzen Sie die Datei "/etc/ipsec.conf" bitte um die folgenden Verbindungseinträge:
-<code text /etc/ipsec.conf>
-conn %default
-	ikelifetime=60m
-	keylife=20m
-	rekeymargin=3m
-	keyingtries=1
-	keyexchange=ikev2
-	dpdaction=restart
-conn tuc-vpn
-	left=%defaultroute
-	leftsourceip=%config
-	leftauth=eap
-	eap_identity=<RZ-Kennung>
-	right=gateway.vpn.tu-clausthal.de
-	rightauth=pubkey
-	rightid=gateway.vpn.tu-clausthal.de
-	rightsubnet=0.0.0.0/0
-	auto=add
-# Eventuell muss hier noch eine leere Zeile ergänzt werden, damit es funktioniert.
-</code>
-Bitte ersetzen Sie dabei "<RZ-Kennung>" durch Ihre RZ-Kennung. Bitte beachten Sie, dass diese Einträge **nach** dem "config setup"-Abschnitt und **vor** "include"-Abschnitten eingefügt werden.
-===== Einspielen der CA-Zertifikate =====
-Bitte speichern Sie die drei DFN-CA-Zertifikate (Wurzelzertifikat, DFN-PCA-Zertifikat und DFN-CA Global-G2-Zertifikat) im Verzeichnis "/etc/ipsec.d/cacerts/" ab und benennen Sie die Datei rootcert.crt um in TUC-VPN-CA-Cert.crt.
-Die Zertifikate finden sie auf folgender Homepage:
-https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=3800
-Wenn Sie Die Konfigurationsdateien und das Zertifikat eingespielt haben, starten Sie bitte den IPsec-Dienst mit Hilfe des Kommandos
-<code>
-sudo ipsec restart
-</code>
-neu.
-===== Starten / Stoppen der Verbindung =====
-Mit dem Kommando
-<code>
-sudo ipsec stroke user-creds tuc-vpn <RZ-Kennung>
-sudo ipsec up tuc-vpn
-</code>
-können Sie die Verbindung starten. <wrap important>Die Verbindung steht jedem Nutzer, der gleichzeitig mit Ihnen auf Ihrem Laptop/Rechner eingeloggt ist, zur Verfügung.</wrap>
-Mit dem Kommando
-<code>
-sudo ipsec down tuc-vpn
-</code>
-können Sie die Verbindung beenden.