IPsec-VPN einrichten unter Ubuntu

Schritt 1

Wir empfehlen den Strongswan-IPsec-Client. Installieren Sie diesen auf Ihrem Ubuntu PC. Dazu geben Sie bitte folgendes in einer Shell ein: 

sudo apt update
sudo apt install network-manager-strongswan libcharon-extra-plugins

Schritt 2

Richten Sie eine neue VPN Verbindung ein. Dazu gehen Sie in die Netzwerkeinstellungen:

Anwendungen → Einstellungen → Netzwerk

Dort klicken Sie auf das kleine „+“-Zeichen neben „VPN“ und klicken Sie „IPsec/IKEv2 (strongswan)“ an.

Stellen Sie dort folgende Werte ein:

  • Name: <frei wählbar>
  • Gateway
    • Adresse: vpn.plutex.de
    • Zertifikat: (Keine)
  • Client
    • Authorisierung: EAP
    • Benutzername: <Ihr Benutzername aus der VPN-E-Mail>
    • Passwort: <Ihr Passwort aus der VPN-E-Mail>
  • Optionen
    • Innere IP-Adresse beziehen anhaken
    • Erzwingen einer zusätzlichen Einbettung der Datenpakete in UDP anhaken
    • IP-Pakete komprimieren ausschalten
  • Algorithmen
    • Eigene Algorithmen verwenden aktivieren
    • Das Feld „IKE“ bleibt frei
    • ESP: aes256-sha256-ecp384

Die Einstellungen sollten dann in etwa so aussehen:

Schließen Sie dann das Fenster mit der „Anwenden“-Schaltfläche.

Schritt 3

Zum Aufbauen der Verbindung klicken Sie auf das Netzwerk-Icon oben-rechts. Dann auf die VPN-Verbindung, und dann auf „Verbinden“.

Sie sind nun per VPN verbunden.

Wichtig! Ihr Rechner ist damit jetzt direkt aus dem Internet erreichbar. Aus Sicherheitsgründen sollten Sie Ihre Firewall-Einstellungen anpassen und nur ausgehende Verbindungen über das VPN erlauben.

Häufige Fehler

EAP_IDENTITY not supported sending EAP_NAK im Log des NetworkManager

Das EAP_IDENTITY Plugin wurde nicht geladen. Das kann passieren, wenn vor der Installation des Pakets libcharon-extra-plugins schon eine VPN-Verbindung konfiguriert war. Um das zu beheben, installieren Sie bitte das Paket und führen dann folgende Befehle aus: 

sudo killall charon-nm
sudo systemctl restart NetworkManager.service

Bei der nächsten VPN-Verbindung sollte das EAP_IDENTITY Plugin dann funktionieren.

Die Verbindung wird nach einer gewissen Dauer (etwa 3 Stunden) getrennt

Stellen Sie wie oben beschrieben den ESP-Algorithmus ein.

Hintergrund ist die regelmäßige Aktualisierung des kryptografischen Schlüsselmaterials, die ohne diese Einstellung fehlschlägt.