====== IPsec-VPN einrichten unter Ubuntu =====

===== Schritt 1 =====

Wir empfehlen den Strongswan-IPsec-Client. Installieren Sie diesen auf Ihrem Ubuntu PC. Dazu geben Sie bitte folgendes in einer Shell ein:

<code bash>
sudo apt update
sudo apt install network-manager-strongswan libcharon-extra-plugins
</code>


===== Schritt 2 =====

Richten Sie eine neue VPN Verbindung ein. Dazu gehen Sie in die Netzwerkeinstellungen:

**Anwendungen → Einstellungen → Netzwerk**

Dort klicken Sie auf das kleine "+"-Zeichen neben "VPN" und klicken Sie "IPsec/IKEv2 (strongswan)" an.


{{:vpn:ipsec:vpn-settings.gif|}}

Stellen Sie dort folgende Werte ein:

  * Name: <frei wählbar>
  * **Gateway**
    * Adresse: vpn.plutex.de
    * Zertifikat: (Keine)
  *  **Client**
    * Authorisierung: EAP
    * Benutzername: <Ihr Benutzername aus der VPN-E-Mail>
    * Passwort: <Ihr Passwort aus der VPN-E-Mail>
  *  **Optionen**
    * Innere IP-Adresse beziehen anhaken
    * Erzwingen einer zusätzlichen Einbettung der Datenpakete in UDP anhaken
    * IP-Pakete komprimieren ausschalten
  * **Algorithmen**
    * Eigene Algorithmen verwenden aktivieren
    * Das Feld "IKE" bleibt frei
    * ESP: aes256-sha256-ecp384

Die Einstellungen sollten dann in etwa so aussehen:

{{:vpn:ipsec:vpn.png?400|}}

Schließen Sie dann das Fenster mit der "Anwenden"-Schaltfläche.

===== Schritt 3 =====

Zum Aufbauen der Verbindung klicken Sie auf das Netzwerk-Icon oben-rechts.
Dann auf die VPN-Verbindung, und dann auf "Verbinden".

{{:vpn:ipsec:vpn-connect.gif|}}

Sie sind nun per VPN verbunden.

**Wichtig! Ihr Rechner ist damit jetzt direkt aus dem Internet erreichbar. Aus Sicherheitsgründen sollten Sie Ihre Firewall-Einstellungen anpassen und nur ausgehende Verbindungen über das VPN erlauben.**

===== Häufige Fehler =====

==== EAP_IDENTITY not supported sending EAP_NAK im Log des NetworkManager ====

Das EAP_IDENTITY Plugin wurde nicht geladen. Das kann passieren, wenn vor der Installation des Pakets ''libcharon-extra-plugins'' schon eine VPN-Verbindung konfiguriert war.
Um das zu beheben, installieren Sie bitte das Paket und führen dann folgende Befehle aus:
<code bash>
sudo killall charon-nm
sudo systemctl restart NetworkManager.service
</code>
Bei der nächsten VPN-Verbindung sollte das EAP_IDENTITY Plugin dann funktionieren.

==== Die Verbindung wird nach einer gewissen Dauer (etwa 3 Stunden) getrennt ====

Stellen Sie wie oben beschrieben den ESP-Algorithmus ein.

Hintergrund ist die regelmäßige Aktualisierung des kryptografischen Schlüsselmaterials, die ohne diese Einstellung fehlschlägt.