VPN mit den Betriebssystem-Bordmitteln

Zusätzlich zum SSL-VPN-Portal und dem FortiClient ist es möglich, eine VPN Verbindung mit den eigenen Betriebssystem-Bordmitteln aufzubauen.

Es handelt sich dabei um eine L2TP/IPsec VPN-Verbindung. Ein PresharedKey wird benötigt psk.txt. Der PresharedKey kann auch von außerhalb der Universität über das CAU VPN WebPortal bezogen werden.

Bitte folgen Sie den systemspezifischen Anleitungen, um eine L2TP/IPsec Verbindung aufzubauen:

Windows

Die folgende Anleitung wurde unter Windows 10 Pro erstellt und getestet. Die Menüpunkte in den Screenshots können unter anderen Windows-Versionen abweichen.

1- Öffnen Sie bitte das Netzwerk- und Freigabecenter, wählen Sie die Option "Neue Verbindung oder neues Netzwerk einrichten" aus und anschließend klicken Sie auf "Verbindung mit dem Arbeitsplatz herstellen":

 

2- Wählen Sie bitte beim nächsten Fenster den Menüpunkt "Die Internetverbindung (VPN) verwenden":

 

 

3- Geben Sie bitte als Internetadresse "vpn-ipsec.uni-kiel.de" an und geben Sie der Verbindung einen beliebigen Namen in dem Feld Zieladresse. klicken Sie am Ende auf "Erstellen":

 

4- Unter dem Menüpunkt "Adaptereinstellungen Ändern" klicken Sie bitte auf die Neu erstellte Verbindung mit der rechten Muastaste et gehen Sie in die Einstellungen. Gehen Sie bitte zum Reiter "Sicherheit", wählen Sie bitte als VPN-TYP "Layer-2-Tunneling-Protokoll mit IPsec (L2TP/IPsec)" aus und klicken Sie danach auf "Erweiterte Einstellungen":

 

 

5- Tragen Sie bitte den Schlüssel aus der Datei psk.txt für die L2TP-Verbindung in dem dafür vorgesehenen Feld ein und bestätigen Sie mit "OK":

 

 

6- Wählen Sie bitte in dem Bereich "Authentifizierung" die Option "Folgende Protokolle zulassen" und kreuzen Sie " Unverschlüsseltes Passwort (PAP)" an:

 

 

7- Starten Sie bitte die neu kreierte VPN-Verbindung und nutzen Sie für die Anmeldung Ihre Active-Directory-Kennung und das dazugehörige Passwort (ohne Domäne-Eingabe).

8- In einem Webbrowser rufen Sie bitte die URL "www.uni-kiel.de" auf. Sie werden zur eine zweite Authentifizierung weitergeleitet. Bitte loggen Sie sich dort nochmal ein. Sie sind jetzt verbunden.

Hinweis: Ohne die zweite Authentifizierung können Sie zwar ins Internet, aber Sie werden die internen Netze nicht erreichen können.

MacOS

Die folgende Anleitung wurde unter MacOS High Sierra 10.13.3 erstellt und getestet. 

1- Bitte laden Sie die folgende Konfig-Datei herunter und führen Sie sie auf Ihrem Mac aus.

2- Erstellen Sie bitte die Datei "options" unter dem Verzeichnis "/etc/ppp/" mit dem folgenden Inhalt (Sie können dabei entweder das Terminal benutzen oder den Texteditor -  Admin-Rechte sind erforderlich um die Datei erstellen zu können):

refuse-chap

refuse-mschap

refuse-mschap-v2

3- Öffnen Sie bitte danach die "Systemeinstellungen" und gehen Sie zu "Netzwerk". Sie merken, dass eine neue Verbindung mit dem Namen "VPN (L2TP)"  erstellt wurde.

mac1

4- Editieren Sie bitte das Benutzername-Feld in dem Sie Ihre Active-Directory-Kennung eintragen. Klicken Sie danach bitte auf dem Button "Authentifizierungseinstellungen".

mac2

5- Editieren Sie bitte das Passwort-Feld und tragen Sie Ihr Active-Directory Passwort ein. Bestätigen Sie bitte mit "OK" und klicken Sie am Ende auf "Anwenden". 

6- Klicken Sie bitte auf "Weitere Optionen", machen Sie ein Häckchen bei der Option "Gesamten Verkehr über die VPN-Verbindung senden" und bestätigen Sie mit "OK".

7- Sie können jetzt die VPN-Verbindung starten in dem Sie auf "Verbinden" klicken.

8- In einem Webbrowser rufen Sie bitte die URL "www.uni-kiel.de" auf. Sie werden zur eine zweite Authentifizierung weitergeleitet. Bitte loggen Sie sich dort nochmal ein. Sie sind jetzt verbunden.

Hinweis: Ohne die zweite Authentifizierung könenn Sie zwar ins Internet, aber Sie werden die internen Netze nicht erreichen können.

Linux

(Die meisten Linux Distributionen verfügen über keine eigenen Bordmittel. Hier müssen zusätzliche Pakete installiert werden (z.B. strongSwan, libreSwan, oder ein vergleichbarer L2TP/IPsec Client).

Anleitung 1

In der folgenden Anleitung wurden die Pakete LibreSwan und networkmanager-l2tp benutzt. Die folgende Anleitung wurde unter Ubuntu 18.10 LTS getestet.

1- Installieren Sie bitte die nötigen Pakete mit dem folgenden Befehl:

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp
​sudo apt-get update
​sudo apt-get install network-manager-l2tp network-manager-l2tp-gnome

 

2- Laden Sie bitte die folgende config-datei cau-ipsec.conf.

3- Öffnen Sie bitte den Networkmanager, fügen Sie eine neue Verbindung hinzu und wählen Sie aus der Verbindungstyp-Liste die Option "Gespeicherte VPN-Konfiguration importieren"

4- Klicken Sie bitte auf "erzeugen" und wählen Sie die Datei die Sie im Schritt 2 heruntergeladen haben. 

Anleitung 2

Die folgende Anleitung wurde unter Ubuntu 16.04 LTS mit strongSwan und xl2tpd erstellt und getestet. 

1- Installieren Sie bitte die nötigen Pakete mit dem folgenden Befehl:

sudo apt-get install -y strongswan xl2tpd

 

2- Ersetzen Sie bitte den Inhalt der Datei "/etc/ipsec.conf" mit den folgenden Zeilen:

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
    nat_traversal=yes

# Add connections here.

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev1
    authby=secret
    
conn cau-ipsec
        pfs=no
        left=%defaultroute
        leftprotoport=17/1701
        right=134.245.44.82
        rightprotoport=17/1701
        auto=add
        type=transport
        ike=aes256-sha256-modp1024
        esp=aes256-sha256

 

3- Ersetzen Sie bitte die Datei "/etc/ipsec.secrets" mit der folgenden Datei ipsec.secrets.

4- Fügen Sie bitte die folgenden Zeilen in der Datei "/etc/xl2tpd/xl2tpd.conf" hinzu:

[lac cau-ipsec]
lns = 134.245.44.82
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes
 

 

5- Ersetzen bitte den Inhalt der Datei "/etc/ppp/options.l2tpd.client" mit den folgenden Zeilen:

ipcp-accept-local
ipcp-accept-remote
refuse-eap
refuse-chap
refuse-mschap
require-pap
refuse-mschap-v2
noccp
noauth
mtu 1280
mru 1280
defaultroute
usepeerdns
connect-delay 5000

 

6- Erstellen Sie ein run-Verzeichnis und eine run-Datei für xl2tpd mit den folgenden Befehlen:

sudo mkdir -p /var/run/xl2tpd
sudo touch /var/run/xl2tpd/l2tp-control

 

7- Starten Sie die beiden Dienste strongswan und xl2tpd neu:

sudo service strongswan restart
sudo service xl2tpd restart​

 

8- Starten Sie jetzt die IPsec-Verbindung wie folgend (bitte Ihre AD-Kennung und das dazu gehörige Passwort beim zweiten Befehl eingeben):

sudo ipsec up cau-ipsec
sudo bash -c "echo \"c cau-ipsec USERNAME PASSWORD\" > /var/run/xl2tpd/l2tp-control"

Wenn Sie alles richtig gemacht haben, Sie sollten nach Eingabe des Befehls "ifconfig" eine neue Interface ppp0 sehen.

9-  Um die VPN-Verbindung zu trennen, nutzen Sie bitte die folgenden Befehle:

sudo ipsec down cau-ipsec
sudo bash -c "echo \"d cau-ipsec\" > /var/run/xl2tpd/l2tp-control"