TOC

Einrichten eines IKEv2-VPN-Servers mit StrongSwan unter Ubuntu 16.04

Einführung

Ein virtuelles privates Netzwerk oder VPN ermöglicht es Ihnen, den Datenverkehr auf dem Weg durch nicht vertrauenswürdige Netzwerke, z. B. im Café, auf einer Konferenz oder auf einem Flughafen, sicher zu verschlüsseln.

IKEv2 oder Internet Key Exchange v2 ist ein Protokoll, das direktes IPSec-Tunneln zwischen Server und Client ermöglicht. In IKEv2-VPN-Implementierungen stellt IPSec die Verschlüsselung für den Netzwerkverkehr bereit. IKEv2 wird nativ auf neuen Plattformen (OS X 10.11+, iOS 9.1+ und Windows 10) unterstützt, ohne dass zusätzliche Anwendungen erforderlich sind, und es verarbeitet Client-Probleme problemlos.

In diesem Lernprogramm richten Sie unter Verwendung von StrongSwan einen IKEv2-VPN-Server auf einem Ubuntu 16.04-Server ein und stellen über Windows-, iOS- und MacOS-Clients eine Verbindung zu diesem her.

Voraussetzungen

Um dieses Tutorial abzuschließen, benötigen Sie:

Außerdem sollten Sie mit IPTables vertraut sein. Lesen Sie How the Iptables Firewall Works, bevor Sie fortfahren.

Schritt 1 - Installieren von StrongSwan

Zunächst installieren wir StrongSwan, einen Open-Source-IPSec-Daemon, den wir als unseren VPN-Server konfigurieren. Außerdem installieren wir das StrongSwan EAP-Plug-In, mit dem die Kennwortauthentifizierung für Clients im Gegensatz zur zertifikatbasierten Authentifizierung möglich ist. Im Rahmen dieser Konfiguration müssen einige spezielle Firewall-Regeln erstellt werden. Daher installieren wir auch ein Hilfsprogramm, mit dem wir unsere neuen Firewall-Regeln persistent machen können.

Führen Sie den folgenden Befehl aus, um diese Komponenten zu installieren:

sudo apt-get install strongswan strongswan-plugin-eap-mschapv2 moreutils iptables-persistent

Nachdem alles installiert ist, erstellen wir nun unsere Zertifikate:

Schritt 2 - Erstellen einer Zertifizierungsstelle

Ein IKEv2-Server benötigt ein Zertifikat, um sich gegenüber Clients zu identifizieren. StrongSwan enthält ein Hilfsprogramm zum Erstellen einer Zertifizierungsstelle und von Serverzertifikaten. Erstellen wir zunächst ein Verzeichnis, in dem alle Informationen gespeichert werden, an denen wir arbeiten werden.

mkdir vpn-certs
cd vpn-certs

Nachdem wir nun ein Verzeichnis haben, in dem alles gespeichert werden kann, generieren wir unseren Root-Schlüssel. Dies ist ein 4096-Bit-RSA-Schlüssel, der zum Signieren unserer Stammzertifizierungsstelle verwendet wird. Daher ist es sehr wichtig, dass wir diesen Schlüssel auch sichern, indem sichergestellt wird, dass nur der * root * -Nutzer ihn lesen kann.

Führen Sie diese Befehle aus, um den Schlüssel zu generieren und zu sichern:

ipsec pki --gen --type rsa --size 4096 --outform pem >
chmod 600

Nachdem wir einen Schlüssel haben, können wir mit dem Erstellen unserer Stammzertifizierungsstelle fortfahren und den Schlüssel zum Signieren des Stammzertifikats verwenden:

ipsec pki --self --ca --lifetime 3650 \
--in server-root-key.pem \
--type rsa --dn "" \
--outform pem >

Sie können die Werte für distinguished name (DN), z. B. Land, Organisation und allgemeiner Name, in einen anderen Wert ändern, wenn Sie dies möchten. Der gebräuchliche Name ist hier nur der Indikator, sodass Sie sich sogar etwas ausdenken können.

Später kopieren wir das Stammzertifikat ("+ server-root-ca.pem +") auf unsere Client-Geräte, damit sie die Authentizität des Servers überprüfen können, wenn sie eine Verbindung herstellen.

Nachdem wir unsere Stammzertifizierungsstelle eingerichtet haben, können wir ein Zertifikat erstellen, das der VPN-Server verwendet.

Schritt 3 - Erstellen eines Zertifikats für den VPN-Server

Jetzt erstellen wir ein Zertifikat und einen Schlüssel für den VPN-Server. Mit diesem Zertifikat kann der Client die Authentizität des Servers überprüfen.

Erstellen Sie zunächst einen privaten Schlüssel für den VPN-Server mit dem folgenden Befehl:

ipsec pki --gen --type rsa --size 4096 --outform pem >

Erstellen und signieren Sie dann das VPN-Serverzertifikat mit dem Schlüssel der Zertifizierungsstelle, den Sie im vorherigen Schritt erstellt haben. Führen Sie den folgenden Befehl aus, aber ändern Sie das Feld Common Name (CN) und Subject Alternate Name (SAN) in den DNS-Namen oder die IP-Adresse Ihres VPN-Servers:

ipsec pki --pub --in  \
--type rsa | ipsec pki --issue --lifetime 1825 \
--cacert  \
--cakey  \
--dn "C=US, O=VPN Server, CN=" \
--san  \
--flag serverAuth --flag ikeIntermediate \
--outform pem >

Kopieren Sie die Zertifikate in einen Pfad, unter dem StrongSwan die Zertifikate lesen kann:

sudo cp ./
sudo cp ./

Sichern Sie zum Schluss die Schlüssel, damit sie nur vom Benutzer * root * gelesen werden können.

sudo chown root
sudo chgrp root
sudo chmod 600

In diesem Schritt haben wir ein Zertifikatpaar erstellt, mit dem die Kommunikation zwischen dem Client und dem Server gesichert wird. Wir haben die Zertifikate auch mit unserem Stammschlüssel signiert, damit der Client die Authentizität des VPN-Servers überprüfen kann. Nachdem wir alle Zertifikate bereitgestellt haben, fahren wir mit der Konfiguration der Software fort.

Schritt 4 - StrongSwan konfigurieren

Wir haben bereits alle erforderlichen Zertifikate erstellt. Daher ist es an der Zeit, StrongSwan selbst zu konfigurieren.

StrongSwan hat eine Standardkonfigurationsdatei. Bevor wir Änderungen vornehmen, sichern wir diese zunächst, damit wir eine Referenzdatei haben, falls etwas schief geht:

sudo cp /etc/ipsec.conf

Die Beispieldatei ist ziemlich lang. Um Fehlkonfigurationen zu vermeiden, löschen wir die Standardkonfigurationsdatei und schreiben unsere eigene Konfiguration von Grund auf neu. Löschen Sie zunächst die ursprüngliche Konfiguration:

echo '' | sudo tee /etc/ipsec.conf

Dann öffnen Sie die Datei in Ihrem Texteditor:

sudo nano /etc/ipsec.conf

Zunächst weisen wir StrongSwan an, Daemon-Status für das Debugging zu protokollieren und doppelte Verbindungen zuzulassen. Fügen Sie der Datei die folgenden Zeilen hinzu:

/etc/ipsec.conf

config setup
 charondebug="ike 1, knl 1, cfg 0"
 uniqueids=no

Anschließend erstellen wir einen Konfigurationsabschnitt für unser VPN. Außerdem weisen wir StrongSwan an, IKEv2-VPN-Tunnel zu erstellen und diesen Konfigurationsabschnitt beim Start automatisch zu laden. Fügen Sie die folgenden Zeilen an die Datei an:

/etc/ipsec.conf

conn ikev2-vpn
 auto=add
 compress=no
 type=tunnel
 keyexchange=ikev2
 fragmentation=yes
 forceencaps=yes

Als Nächstes teilen wir StrongSwan mit, welche Verschlüsselungsalgorithmen für das VPN verwendet werden sollen. Hänge diese Zeilen an:

/etc/ipsec.conf

 ike=aes256-sha1-modp1024,3des-sha1-modp1024!
 esp=aes256-sha1,3des-sha1!

Wir konfigurieren außerdem die Dead-Peer-Erkennung, um alle "baumelnden" Verbindungen zu löschen, falls der Client die Verbindung unerwartet trennt. Fügen Sie diese Zeilen hinzu:

/etc/ipsec.conf

 dpdaction=clear
 dpddelay=300s
 rekey=no

Anschließend konfigurieren wir die Server-seitigen IPSec-Parameter (links). Fügen Sie dies zur Datei hinzu:

/etc/ipsec.conf

 left=%any
 leftid=
 leftcert=
 leftsendcert=always
 leftsubnet=0.0.0.0/0

Anschließend konfigurieren wir die IPSec-Parameter auf der rechten Seite des Clients, z. B. die privaten IP-Adressbereiche und die zu verwendenden DNS-Server:

/etc/ipsec.conf

 right=%any
 rightid=%any
 rightauth=eap-mschapv2
 rightsourceip=
 rightdns=
 rightsendcert=never

Abschließend fordern wir StrongSwan auf, den Client nach Benutzeranmeldeinformationen zu fragen, wenn diese eine Verbindung herstellen:

/etc/ipsec.conf

 eap_identity=%identity

Die Konfigurationsdatei sollte folgendermaßen aussehen:

/etc/ipsec.conf

config setup
   charondebug="ike 1, knl 1, cfg 0"
   uniqueids=no

conn ikev2-vpn
   auto=add
   compress=no
   type=tunnel
   keyexchange=ikev2
   fragmentation=yes
   forceencaps=yes
   ike=aes256-sha1-modp1024,3des-sha1-modp1024!
   esp=aes256-sha1,3des-sha1!
   dpdaction=clear
   dpddelay=300s
   rekey=no
   left=%any
   leftid=
   leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
   leftsendcert=always
   leftsubnet=
   right=%any
   rightid=%any
   rightauth=eap-mschapv2
   rightdns=
   rightsourceip=
   rightsendcert=never
   eap_identity=%identity

Speichern und schließen Sie die Datei, nachdem Sie überprüft haben, ob Sie die angezeigten Einstellungen vorgenommen haben.

Nachdem wir die VPN-Parameter konfiguriert haben, erstellen wir ein Konto, damit unsere Benutzer eine Verbindung zum Server herstellen können.

Schritt 5 - Konfigurieren der VPN-Authentifizierung

Unser VPN-Server ist jetzt so konfiguriert, dass er Client-Verbindungen akzeptiert. Wir haben jedoch noch keine Anmeldeinformationen konfiguriert. Daher müssen wir einige Dinge in einer speziellen Konfigurationsdatei namens "+ ipsec.secrets +" konfigurieren:

  • Wir müssen StrongSwan mitteilen, wo der private Schlüssel für unser Serverzertifikat zu finden ist, damit der Server Daten verschlüsseln und entschlüsseln kann.

  • Wir müssen auch eine Liste von Benutzern einrichten, die eine Verbindung zum VPN herstellen dürfen.

Öffnen wir die Geheimhaltungsdatei zum Bearbeiten:

sudo nano /etc/ipsec.secrets

Zuerst teilen wir StrongSwan mit, wo Sie Ihren privaten Schlüssel finden.

/etc/ipsec.secrets

: RSA

Anschließend erstellen wir die Benutzeranmeldeinformationen. Sie können einen beliebigen Benutzernamen oder ein beliebiges Kennwort eingeben. Wir müssen jedoch StrongSwan mitteilen, dass dieser Benutzer von jedem Ort aus eine Verbindung herstellen kann:

/etc/ipsec.secrets

%any% : EAP

Speichern und schließen Sie die Datei. Nachdem wir mit den VPN-Parametern fertig sind, laden wir den VPN-Dienst neu, damit unsere Konfiguration angewendet wird:

sudo ipsec reload

Nachdem der VPN-Server vollständig mit Serveroptionen und Benutzeranmeldeinformationen konfiguriert wurde, ist es an der Zeit, mit der Konfiguration des wichtigsten Teils fortzufahren: der Firewall.

Schritt 6 - Konfigurieren der Firewall- und Kernel-IP-Weiterleitung

Nachdem wir den VPN-Server konfiguriert haben, müssen wir die Firewall so konfigurieren, dass der VPN-Verkehr weitergeleitet und zugelassen wird. Wir werden dafür IPTables verwenden.

Deaktivieren Sie zuerst UFW, wenn Sie es eingerichtet haben, da dies zu Konflikten mit den Regeln führen kann, die wir konfigurieren müssen:

sudo ufw disable

Entfernen Sie dann alle verbleibenden Firewall-Regeln, die von UFW erstellt wurden:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -Z

Damit wir nicht von der SSH-Sitzung ausgeschlossen werden, akzeptieren wir bereits akzeptierte Verbindungen. Wir öffnen auch den Port "+ 22 +" (oder den von Ihnen konfigurierten Port) für zukünftige SSH-Verbindungen zum Server. Führen Sie diese Befehle aus:

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport  -j ACCEPT

Wir müssen auch Verbindungen über die lokale Loopback-Schnittstelle akzeptieren:

sudo iptables -A INPUT -i lo -j ACCEPT

Dann werden wir IPTables anweisen, IPSec-Verbindungen zu akzeptieren:

sudo iptables -A INPUT -p udp --dport  500 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPT

Als Nächstes weisen wir IPTables an, den Datenverkehr ESP (Encapsulating Security Payload) weiterzuleiten, damit die VPN-Clients eine Verbindung herstellen können. ESP bietet zusätzliche Sicherheit für unsere VPN-Pakete, da diese nicht vertrauenswürdige Netzwerke durchqueren:

sudo iptables -A FORWARD --match policy --pol ipsec --dir in  --proto esp -s  -j ACCEPT
sudo iptables -A FORWARD --match policy --pol ipsec --dir out --proto esp -d  -j ACCEPT

Unser VPN-Server fungiert als Gateway zwischen den VPN-Clients und dem Internet. Da der VPN-Server nur eine einzige öffentliche IP-Adresse hat, müssen wir Masquerading konfigurieren, damit der Server im Namen der Clients Daten aus dem Internet anfordern kann. Auf diese Weise kann der Datenverkehr von den VPN-Clients zum Internet fließen und umgekehrt:

sudo iptables -t nat -A POSTROUTING -s  -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s  -o eth0 -j MASQUERADE

Um die Fragmentierung von IP-Paketen auf einigen Clients zu verhindern, weisen wir IPTables an, die Größe der Pakete durch Anpassen der maximalen Segmentgröße der Pakete zu verringern. Dies verhindert Probleme mit einigen VPN-Clients.

sudo iptables -t mangle -A FORWARD --match policy --pol ipsec --dir in -s  -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360

Aus Sicherheitsgründen löschen wir alle anderen Elemente, die nicht den von uns konfigurierten Regeln entsprechen:

sudo iptables -A INPUT -j DROP
sudo iptables -A FORWARD -j DROP

Jetzt werden wir die Firewall-Konfiguration persistent machen, damit alle Konfigurationsarbeiten beim Neustart nicht gelöscht werden:

sudo netfilter-persistent save
sudo netfilter-persistent reload

Schließlich aktivieren wir die Paketweiterleitung auf dem Server. Die Paketweiterleitung ermöglicht es unserem Server, Daten von einer IP-Adresse zur anderen weiterzuleiten. Im Wesentlichen lassen wir unseren Server wie einen Router agieren.

Bearbeiten Sie die Datei + / etc / sysctl.conf +:

sudo nano /etc/sysctl.conf

Hier müssen wir einige Dinge konfigurieren:

  • Zunächst aktivieren wir die IPv4-Paketweiterleitung.

  • Wir deaktivieren die Path MTU-Erkennung, um Paketfragmentierungsprobleme zu vermeiden.

  • Wir akzeptieren auch keine ICMP-Weiterleitungen und senden keine ICMP-Weiterleitungen, um man-in-the-middle -Angriffe zu verhindern.

Die Änderungen, die Sie an der Datei vornehmen müssen, sind im folgenden Code hervorgehoben:

/etc/sysctl.conf

. . .

# Uncomment the next line to enable packet forwarding for IPv4


. . .

# Do not accept ICMP redirects (prevent MITM attacks)

# Do not send ICMP redirects (we are not a router)


. . .

Nehmen Sie diese Änderungen vor, speichern Sie die Datei und beenden Sie den Editor. Starten Sie dann den Server neu:

sudo reboot

Sie werden beim Neustart vom Server getrennt, aber das ist zu erwarten. Melden Sie sich nach dem Neustart des Servers wieder als sudo-Benutzer ohne Rootberechtigung beim Server an. Sie können die Verbindung auf einem Client testen.

Schritt 7 - Testen der VPN-Verbindung unter Windows, iOS und macOS

Nachdem Sie alles eingerichtet haben, ist es Zeit, es auszuprobieren. Zuerst müssen Sie das von Ihnen erstellte Stammzertifikat kopieren und auf Ihren Client-Geräten installieren, die eine Verbindung zum VPN herstellen. Der einfachste Weg, dies zu tun, besteht darin, sich bei Ihrem Server anzumelden und diesen Befehl auszuführen, um den Inhalt der Zertifikatsdatei anzuzeigen:

cat ~/vpn-certs/server-root-ca.pem

Es wird eine Ausgabe ähnlich der folgenden angezeigt:

Output-----BEGIN CERTIFICATE-----
MIIFQjCCAyqgAwIBAgIIFkQGvkH4ej0wDQYJKoZIhvcNAQEMBQAwPzELMAkGA1UE

. . .

EwbVLOXcNduWK2TPbk/+82GRMtjftran6hKbpKGghBVDPVFGFT6Z0OfubpkQ9RsQ
BayqOb/Q
-----END CERTIFICATE-----

Kopieren Sie diese Ausgabe auf Ihren Computer, einschließlich der Zeilen "+ ----- BEGIN CERTIFICATE ----- " und " ----- END CERTIFICATE ----- ", und speichern Sie sie in einer Datei mit einem erkennbaren Namen, z. B. " vpn_root_certificate.pem ". Stellen Sie sicher, dass die von Ihnen erstellte Datei die Erweiterung " .pem +" hat.

Alternativ können Sie use SFTP zum Übertragen der Datei auf Ihren Computer .

Nachdem Sie die Datei "+ vpn_root_certificate.pem +" auf Ihren Computer heruntergeladen haben, können Sie die Verbindung zum VPN herstellen.

Verbindung von Windows

Importieren Sie zunächst das Stammzertifikat, indem Sie die folgenden Schritte ausführen:

  1. Drücken Sie "+ WINDOWS + R ", um das Dialogfeld "Ausführen" aufzurufen, und geben Sie " mmc.exe +" ein, um die Windows-Verwaltungskonsole zu starten.

  2. Navigieren Sie im Menü * Datei * zu * Snap-In hinzufügen oder entfernen *, wählen Sie * Zertifikate * aus der Liste der verfügbaren Snap-Ins aus und klicken Sie auf * Hinzufügen *.

  3. Wir möchten, dass das VPN mit jedem Benutzer funktioniert. Wählen Sie daher * Computerkonto * und klicken Sie auf * Weiter *.

  4. Wir konfigurieren gerade Dinge auf dem lokalen Computer. Wählen Sie daher "Lokaler Computer" aus und klicken Sie auf "Fertig stellen".

  5. Erweitern Sie unter dem Knoten * Console Root * den Eintrag * Certificates (Local Computer) *, erweitern Sie * Trusted Root Certification Authorities *, und wählen Sie dann den Eintrag * Certificates * aus:
    image: https: //assets.digitalocean.com/articles/ikevpn_ubuntu_1604/4PN0vT6.png [Zertifikatsansicht]

  6. Wählen Sie im Menü * Aktion * die Option * Alle Aufgaben * aus und klicken Sie auf * Importieren *, um den Zertifikatimport-Assistenten anzuzeigen. Klicken Sie auf * Weiter *, um die Einführung zu verlassen.

  7. Klicken Sie im Bildschirm "Zu importierende Datei" auf die Schaltfläche "Durchsuchen" und wählen Sie die von Ihnen gespeicherte Zertifikatdatei aus. Klicken Sie dann auf * Weiter *.

  8. Stellen Sie sicher, dass der * Zertifikatspeicher * auf * Vertrauenswürdige Stammzertifizierungsstellen * eingestellt ist, und klicken Sie auf * Weiter *.

  9. Klicken Sie auf * Fertig stellen *, um das Zertifikat zu importieren.

Konfigurieren Sie dann das VPN mit diesen Schritten:

  1. Starten Sie die * Systemsteuerung * und navigieren Sie zum * Netzwerk- und Freigabecenter *.

  2. Klicken Sie auf * Eine neue Verbindung oder ein neues Netzwerk einrichten * und wählen Sie dann * Mit einem Arbeitsplatz verbinden *.

  3. Wählen Sie * Meine Internetverbindung (VPN) verwenden *.

  4. Geben Sie die VPN-Serverdetails ein. Geben Sie den Domänennamen oder die IP-Adresse des Servers in das Feld * Internetadresse * ein und geben Sie in das Feld * Zielname * etwas ein, das Ihre VPN-Verbindung beschreibt. Klicken Sie dann auf * Fertig *.

Ihre neue VPN-Verbindung wird in der Liste der Netzwerke angezeigt. Wählen Sie das VPN aus und klicken Sie auf * Verbinden *. Sie werden aufgefordert, Ihren Benutzernamen und Ihr Passwort einzugeben. Geben Sie sie ein, klicken Sie auf "OK" und Sie werden verbunden.

Verbindung von iOS

Gehen Sie folgendermaßen vor, um die VPN-Verbindung auf einem iOS-Gerät zu konfigurieren:

  1. Senden Sie sich eine E-Mail mit dem angehängten Stammzertifikat.

  2. Öffnen Sie die E-Mail auf Ihrem iOS-Gerät und tippen Sie auf die angehängte Zertifikatdatei. Tippen Sie anschließend auf * Installieren * und geben Sie Ihren Passcode ein. Tippen Sie nach der Installation auf * Fertig *.

  3. Gehen Sie zu * Einstellungen *, * Allgemein *, * VPN * und tippen Sie auf * VPN-Konfiguration hinzufügen *. Daraufhin wird der Konfigurationsbildschirm für die VPN-Verbindung angezeigt.

  4. Tippen Sie auf * Typ * und wählen Sie * IKEv2 *.

  5. Geben Sie im Feld * Beschreibung * einen Kurznamen für die VPN-Verbindung ein. Das könnte alles sein, was du willst.

  6. Geben Sie im Feld * Server * und * Remote-ID * den Domänennamen oder die IP-Adresse des Servers ein. Das Feld * Lokale ID * kann leer gelassen werden.

  7. Geben Sie Ihren Benutzernamen und Ihr Passwort in den Bereich * Authentifizierung * ein und tippen Sie anschließend auf * Fertig *.

  8. Wählen Sie die gerade erstellte VPN-Verbindung aus, tippen Sie auf den Schalter oben auf der Seite, und Sie werden verbunden.

Herstellen einer Verbindung unter macOS

Führen Sie die folgenden Schritte aus, um das Zertifikat zu importieren:

  1. Doppelklicken Sie auf die Zertifikatdatei. * Schlüsselbundzugriff * wird mit einem Dialogfeld geöffnet, in dem angegeben wird, dass der Schlüsselbundzugriff versucht, den Systemschlüsselbund zu ändern. Geben Sie Ihr Passwort ein, um dies zuzulassen. "

  2. Geben Sie Ihr Passwort ein und klicken Sie auf * Schlüsselbund ändern *

  3. Doppelklicken Sie auf das neu importierte VPN-Zertifikat. Dadurch wird ein kleines Eigenschaftenfenster geöffnet, in dem Sie die Vertrauensebenen angeben können. Stellen Sie * IP-Sicherheit (IPSec) * auf * Immer vertrauen * ein, und Sie werden erneut zur Eingabe Ihres Kennworts aufgefordert. Diese Einstellung wird nach Eingabe des Passworts automatisch gespeichert.

Nachdem das Zertifikat wichtig und vertrauenswürdig ist, konfigurieren Sie die VPN-Verbindung mit den folgenden Schritten:

  1. Gehen Sie zu * Systemeinstellungen * und wählen Sie * Netzwerk *.

  2. Klicken Sie auf das kleine Pluszeichen unten links in der Liste der Netzwerke.

  3. Stellen Sie im angezeigten Popup * Schnittstelle * auf * VPN * ein, legen Sie den * VPN-Typ * auf * IKEv2 * fest und geben Sie der Verbindung einen Namen.

  4. Geben Sie im Feld * Server * und * Remote-ID * den Domänennamen oder die IP-Adresse des Servers ein. Lassen Sie die * Local ID * leer.

  5. Klicken Sie auf * Authentifizierungseinstellungen *, wählen Sie * Benutzername * und geben Sie Ihren Benutzernamen und Ihr Kennwort ein, die Sie für Ihren VPN-Benutzer konfiguriert haben. Klicken Sie dann auf * OK *.

Klicken Sie abschließend auf * Verbinden *, um eine Verbindung zum VPN herzustellen. Sie sollten jetzt mit dem VPN verbunden sein.

Fehlerbehebung bei Verbindungen

Wenn Sie das Zertifikat nicht importieren können, stellen Sie sicher, dass die Datei die Erweiterung "+ .pem" und nicht "+ .pem.txt" hat.

Wenn Sie keine Verbindung zum VPN herstellen können, überprüfen Sie den Servernamen oder die IP-Adresse, die Sie verwendet haben. Der Domänenname oder die IP-Adresse des Servers muss mit dem übereinstimmen, den Sie beim Erstellen des Zertifikats als allgemeinen Namen (Common Name, CN) konfiguriert haben. Wenn sie nicht übereinstimmen, funktioniert die VPN-Verbindung nicht. Wenn Sie ein Zertifikat mit dem CN "+ vpn.example.com " einrichten, müssen Sie " vpn.example.com +" verwenden, wenn Sie die VPN-Serverdetails eingeben. Überprüfen Sie den Befehl, den Sie zum Generieren des Zertifikats verwendet haben, und die Werte, die Sie beim Erstellen Ihrer VPN-Verbindung verwendet haben.

Überprüfen Sie abschließend die VPN-Konfiguration, um sicherzustellen, dass der Wert "+ leftid " mit dem Symbol " @ +" konfiguriert ist, wenn Sie einen Domainnamen verwenden:

 leftid=vpn.example.com

Wenn Sie eine IP-Adresse verwenden, stellen Sie sicher, dass das Symbol "+ @ +" weggelassen wird.

Fazit

In diesem Lernprogramm haben Sie einen VPN-Server erstellt, der das IKEv2-Protokoll verwendet. Jetzt können Sie sicher sein, dass Ihre Online-Aktivitäten überall sicher bleiben!

Um Benutzer hinzuzufügen oder zu entfernen, werfen Sie noch einmal einen Blick auf Schritt 5. Jede Zeile ist für einen Benutzer. Das Hinzufügen oder Entfernen von Benutzern ist also so einfach wie das Bearbeiten der Datei.

Von hier aus möchten Sie möglicherweise einen Protokolldatei-Analysator einrichten, da StrongSwan seine Protokolle in syslog ablegt. Das Tutorial Installation und Verwendung von Logwatch Log Analyzer und Reporter auf einem VPS enthält weitere Informationen zum Einrichten.

Möglicherweise interessieren Sie sich auch für dieser Leitfaden des EFF zum Thema Online-Datenschutz.

Related