====== Strongswan VPN ======
Strongswan ist eine Opensource VPN-Server Lösung.
Die Software ist in den Ubuntu-Quellen standardmäßig enthalten.
Das es verschiedene Konfigurationsmöglichkeiten gibt, werden hier nur einige aufgeführt.
Weitere Konfigurationen sind in der [[http://wiki.strongswan.org/projects/strongswan/wiki/UserDocumentation|Strongswan-Wiki]] beschrieben.

===== Installation =====
Installieren kann man Strongswan ganz einfach über
<code bash>apt install strongswan</code>

===== IKEv1 IPSEC Authentifizierung mit X.509 Zertifikaten und User-Login =====
Hier erfolgt die Authentifizierung über Zertifikate und einer Benutzer/Password Anmeldung.
Dafür werden mehrere Zertifikate benötigt.
  * CA Zertifikat
  * VPN-Gateway Zertifikat
  * Host/User Zertifikate

==== CA mit RSA kodierten Zertifikaten ====
Ein RSA kodiertes Zertifikat im PEM Format erstellen.
Wer will kann die Zertifikate mit ''openssl'' erstellen (siehe [[linux:openssl|hier]]).
In folgendem Beispiel wird, das im Strongswan, eingebaute tool ''ipsec pki'' verwendet, um alle Zertifikate zu erstellen.

Wenn noch keine CA (**C**ertificate **A**uthority) vorhanden ist, kann man sich hiermit eine erstellen.
Alle Zertifikate sind dann, durch die eigene CA auf dem VPN-Server, selbst signiert.

Zuerst wird ein 2048 bit langer, RSA basierter, privater Schlüssel für die CA erstellt.
<code bash>ipsec pki --gen --outform pem > /usr/local/etc/ipsec.d/private/<NAME_DES_CA_KEYS>.pem</code>

Mit dem Schlüssel erstellt man sich das CA Zertifikat.
Hier mit folgenden möglichen Angaben:

^ Parameter ^ Beschreibung ^ Definition ^
| --dn | Distinguished Name | C= [Countryname: 2 Buchstaben für das Land (z.B: DE )] \\ ST= [Statename: Staat/Bundesland] \\ L= [City: Name der Stadt] \\ O= [Organization: Name der Firma] \\ OU= [Organization Unit: Name der Abteilung] \\ CN= [Common Name: Eindeutiger Name (z.B. Person oder Host oder ... Kann auch so eingegeben werden: CN=<USER>/emailAddress=<MAILADDRESS>)] \\ CA/emailAddress= [CA Mailaddress: E-Mailadresse der CA] |
| --lifetime | Laufzeit | Gültigkeitszeitraum des Zertifikates |
| --san | subjectAltName | Hier wählt man am besten den FQDN des IPSec-Gateways \\ Beim Peer kann hier auch dessen E-Mailadresse angegeben werden |
| --outform | output format | Hier wählt man als Format "pem" |

<code bash>ipsec pki --self --in /usr/local/etc/ipsec.d/private/<NAME_DES_CA_KEYS>.pem --dn "<DN_ANGABEN_KOMMA_GETRENNT>" --ca --lifetime <LAUFZEIT> --san <SAN_ANGABEN> --outform <FORMAT> > /usr/local/etc/ipsec.d/cacerts/<NAME_DES_CA_Zertifikates>.pem</code>

Nun können Zertifikate für das VPN-Gateway und für VPN-Clients erstellt werden.

==== VPN-Gateway Zertifikat ====
Zuerst wieder den privaten Schlüssel für das VPN-Gateway erstellen.
<code bash>ipsec pki --gen --outform <FORMAT> > /usr/local/etc/ipsec.d/private/<NAME_VPN-Gateway_KEYS>.pem</code>

Danach die Zertifikatsanfrage an die CA stellen (**Den gleichen "--san", wie beim CA-Zertifikat** verwenden).
<code bash>ipsec pki --req --in /usr/local/etc/ipsec.d/private/<NAME_DES_VPN-Gateway_KEYS>.pem --dn "<ANGABEN_WIE_BEIM_CA_ZERTIFIKAT_MIT_E-MAILADRESSE_DES_VPN-Gateways>" --san <SAN_ANGABEN_WIE_BEIM_CA_ZERTIFIKAT> --password <PASSWORD> > /usr/local/etc/ipsec.d/reqs/<NAME_DES_REQUESTS>.pem</code>

Jetzt das Zertifikat ausstellen (**Den gleichen "--san" verwenden, wie beim CA-Zertifikat**).
<code bash>ipsec pki --pub --in /usr/local/etc/ipsec.d/private/<NAME_DES_VPN-Gateway_KEYS>.pem | ipsec pki --issue --cacert /usr/local/etc/ipsec.d/cacerts/<NAME_DES_CA_ZERTIFIKATES>.pem --cakey /usr/local/etc/ipsec.d/private/<NAME_DES_CA_KEYS>.pem --dn "<ANGABEN_WIE_BEIM_REQUEST>" --san <SAN_ANGABEN_WIE_BEIM_CA_ZERTIFIKAT> --lifetime <LAUFZEIT> --outform <FORMAT> > /usr/local/etc/ipsec.d/certs/<NAME_DES_VPN-GATEWAY_ZERTIFIKATES>.pem</code>

==== Host/User Zertifikate ====
Nun wie oben beschrieben die Zertifikate und Schlüssel für VPN-Clients ausstellen (**Den gleichen "--san" verwenden, wie beim CA-Zertifikat**):
<code bash>ipsec pki --gen --outform <FORMAT> > /usr/local/etc/ipsec.d/private/<NAME_DES_PEER_KEYS>.pem</code>
<code bash>ipsec pki --req --in /usr/local/etc/ipsec.d/private/<NAME_DES_PEER_KEYS>.pem --dn "<ANGABEN_WIE_BEIM_CA_ZERTIFIKAT_MIT_E-MAILADRESSE_DES_VPN_PEERS>" --san <SAN_ANGABEN_HIER_E-MAILADRESSE_DES_PEERS> --password <PASSWORD> > /usr/local/etc/ipsec.d/reqs/<NAME_DES_PEER_REQUESTS>.pem</code>
<code bash>ipsec pki --pub --in /usr/local/etc/ipsec.d/private/<NAME_DES_PEER_KEYS>.pem | ipsec pki --issue --cacert /usr/local/etc/ipsec.d/cacerts/<NAME_DES_CA_ZERTIFIKATES>.pem --cakey /usr/local/etc/ipsec.d/private/<NAME_DES_CA_KEYS>.pem --dn "<ANGABEN_WIE_BEIM_CA_ZERTIFIKAT_MIT_E-MAILADRESSE_DES_VPN_PEERS>" --san <SAN_ANGABEN_WIE_BEIM_CA_ZERTIFIKAT> --lifetime <LAUFZEIT> --outform <FORMAT> > /usr/local/etc/ipsec.d/certs/<NAME_DES_PEER_ZERTIFIKATES>.pem</code>

==== Zertifikate Sperren ====
Wenn ein Zertifikat wiederrufen werden muß (z. B. weil der Host/User nicht mehr gültig ist) dann erstellt man sich "crls" (Certificate Revocation Lists).
<code bash>ipsec pki --signcrl --cacert /usr/local/etc/ipsec.d/cacerts/<NAME_DES_CA_ZERTIFIKATES>.pem --cakey /usr/local/etc/ipsec.d/private/<NAME_DES_CA_KEYS>.pem --reason superseded --cert /usr/local/etc/ipsec.d/certs/<NAME_DES_PEER_ZERTIFIKATES>.pem --outform <FORMAT> > /usr/local/etc/ipsec.d/crls/<NAME_DER_PEER_CRL>.pem</code>

CRLs werden in regelmäßigen Abständen geprüft. 

Anzeigen welche Zertifikate sich aktuell in der CRL befinden:
<code bash>ipsec listcrls</code>

Wenn ein Zertifikat entsperren werden soll, löscht man dieses aus ''/usr/local/etc/ipsec.d/crls''.
Danach abwarten bis strongswan die CRLS überprüft hat.
Für ungeduldige Admins, strongswan neustarten.
<code bash>systemctl restart ipsec</code>

==== Strongswan Konfiguration ====
''ipsec.conf'':
<code># ipsec.conf - strongSwan IPsec configuration file

# basic configuration


config setup

conn %default
        left=%defaultroute
        leftauth=pubkey
        leftid="<ID: FQDN_ODER_UFQDN_ODER_IP_DES_VPN-GATEWAYS_ODER_DN-Angaben_AUS_ZERTIFIKATEN>"
	leftcert=<VPN-GATEWAY_ZERTIFIKAT>
        leftrsasigkey=%cert
	leftfirewall=yes
	rightauth=pubkey
        rightauth2=xauth
        ikelifetime=4m
        keylife=2m
        rekeymargin=1m
        keyingtries=1
        rekeyfuzz=75%
        keyexchange=ikev1
        type=tunnel
        compress=yes
        ike=3des-sha1-modp1024
        esp=3des-sha1-modp1024
        dpdaction=clear
        dpddelay=30s
        dpdtimeout=120s
        auto=add

conn <NAME>
        leftsubnet=0.0.0.0/0        
        lefthostaccess=yes
        rightcert=<VPN_PEER_ZERTIFIKAT>
        rightrsasigkey=%cert
        rightid="<ID: FQDN_ODER_UFQDN_ODER_IP_DES_VPN-GATEWAYS_ODER_DN-Angaben_AUS_ZERTIFIKATEN>"
        rightsourceip=<VIRTUELLE_IP_DIE_DER_PEER_ERHALTEN_SOLL_IM_CIDR_FORMAT>
        rightsubnet=0.0.0.0/0
        right=%any
        rekey=no
        auto=add</code>

==== Authentifizierung Konfiguration ====
''ipsec.secrets'' **Auf Leerzeichen achten**:
<code># This file holds shared secrets or RSA private keys for inter-Pluto
# authentication.  See ipsec_pluto(8) manpage, and HTML documentation.

# RSA private key for this host, authenticating it to any other host
# which knows the public part.  Suitable public keys, for ipsec.conf, DNS,
# or configuration of other implementations, can be extracted conveniently
# with "ipsec showhostkey".

# this file is managed with debconf and will contain the automatically created private key
#include /var/lib/strongswan/ipsec.secrets.inc

: RSA <VPN-GATEWAY_KEY> "<PASSWORD_DES_ZERTIFIKATS>"

<USER> : XAUTH "<PASSWORD>"</code>

==== Shrew-Client Konfiguration ====
Als VPN-Client kann Shrew Soft VPN von [[https://www.shrew.net/|Shrew Soft Inc.]] verwendet werden.

Shrew ist in den Ubuntu Softwarequellen enthalten.
<code bash>apt install ike-qtgui</code>

Angaben zu Zertifikaten (die langen Schlüssel) sind hier nur Beispiele.
Zertifikate sollten in der GUI selbst des VPN-Clients eingerichtet werden.
<code>n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:0
n:network-notify-enable:1
n:client-banner-enable:0
n:client-dns-used:1
n:client-dns-auto:0
n:client-dns-suffix-auto:0
n:phase1-dhgroup:2
n:phase1-keylen:0
n:phase1-life-secs:2400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-keylen:0
n:phase2-pfsgroup:2
n:phase2-life-secs:120
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
s:auth-server-cert-name:<CA_ZERTIFIKAT>.pem
b:auth-server-cert-data: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&/51czdWhZekViCkFUMDNacDZRbXprQ1pWbXNzQTJrR2YzeVVVV3pna2h3VFE5WHdOdk8wbjd6SUtjL210Vk0rMStyQjZTdjhNcWgKK0k2Z3N0UElLalJCeDBvc0lZU1h4a2VQd1gxcEdEcGZ0dU1XZXQ0SXhYQmJQN2YyUElkZmg0TWs2dUNTeHRVSAo0dWVIZkhRdFNSNzJVb00wVXYxQXVNaFd0UElrRFNMUGVQYkMycVlXRkd5ejJsNXJkWFJlZDJuajJJclJGM0FyCkQ3RGo2K2RHc1JVeE5Cem5WUEZJUmNpeVh0YThnVDAxMWkzWktob1c0UmJ6blh6YjVmbllnOE93YW1sMDU5TlAKZEtBeFFuV3kxYzVHZTJTNytPMWdQd21uSExSY0QvZkJLZXJHN2NqMVNZbk5PTXEyQTBudkxNTWRxQT09Ci0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K
s:auth-client-cert-name:<USER-PEER_ZERTIFIKAT>.pem
b:auth-client-cert-data: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
s:auth-client-key-name:<USER-PEER_PRIVATE-KEY>.pem
b:auth-client-key-data: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&&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
s:network-host:<HOSTNAME_ODER_IP_DES_VPN-GATEWAYS>
s:client-auto-mode:disabled
s:client-iface:virtual
s:client-ip-addr:10.0.0.5
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:client-dns-addr:<DNS_IP-ADRESSE>
s:client-dns-suffix:<DNS-SUFFIX>
s:auth-method:mutual-rsa-xauth
s:ident-client-type:fqdn
s:ident-client-data:<FQDN_DES_VPN-GATEWAYS>
s:ident-server-type:fqdn
s:ident-server-data:<FQDN_DES_VPN-GATEWAYS>
s:phase1-exchange:main
s:phase1-cipher:des
s:phase1-hash:sha1
s:phase2-transform:esp-des
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
s:policy-level:auto</code>

==== Shrew in Dash-Leiste ====
Wer Shrew über die Dash-Startleiste öffnen möchte, der kopiert zunächst das Icon des Programms.
<code bash>cp source/qikea/png/ikea.png /usr/share/icons/hicolor/32x32/apps</code>
Danach erstellt man sich eine ".desktop" Datei zum starten des Programms.
<code bash>vi /usr/share/applications/qikea.desktop</code>
<code bash>[Desktop Entry]
Encoding=UTF-8
Name=Shrew IPSEC VPN-Client
Name[de]=Shrew IPSEC QT4 VPN-Client
Comment=Connects IPSEC VPNs
Comment[de]=IPSEC VPN Verbindungen verbinden
GenericName=IPSEC VPN Client
GenericName[de]=IPSEC-VPN-Anwendung
Keywords=vpn;ipsec;ike;qtikea;shrew
Keywords[de]=vpn;ipsec;ike;qtikea;shrew
Exec=qikea
Terminal=false
X-MultipleArgs=false
Type=Application
Icon=/usr/share/icons/hicolor/32x32/apps/ikea.png
Categories=Application;Network;VPN;
StartupNotify=true</code>

===== L2TP / IPSEC =====
L2TP/IPSEC VPN eingerichten (Quelle: [[https://linuxscriptshub.com/configure-l2tp-ipsec-vpn-ubuntu-1604/]]).

==== Server ====
<code bash>apt-get install xl2tpd strongswan ppp iptables-persistent</code>

  * IPSEC konfigurieren ''/etc/ipsec.conf'' (Anweisungen der einzelnen "conn"-Abschnitte müssen eingerückt sein) <code>conn L2TP-PSK-noNAT
  authby=secret
  type=transport
  keyexchange=ikev1
  left=<LAN-IP_OF_INTERNET_GATEWAY>

  leftprotoport=17/1701
  right=%any
  rightprotoport=17/%any
  auto=add
  ike=aes128-sha1-modp2048,aes256-sha1-modp4096,aes128-sha1-modp1536,aes256-sha1-modp2048,aes128-sha1-modp1024,aes256-sha1-modp1536,aes256-sha1-modp1024
  dpddelay=15
  dpdtimeout=45
  dpdaction=clear
  esp=aes128-sha1-modp2048,aes256-sha1-modp4096,aes128-sha1-modp1536,aes256-sha1-modp2048,aes128-sha1-modp1024,aes256-sha1-modp1536,aes256-sha1-modp1024
  rekey=no
  ikelifetime=3600
  keylife=3600</code>
  
  * IPSEC-PSK konfigurieren ''/etc/ipsec.secrets'': <code><LAN-IP_OF_INTERNET_GATEWAY> %any : PSK "<PRE_SHARED_KEY>"</code>

  * xl2tpd konfigurieren ''/etc/xl2tpd/xl2tpd.conf'': <code>
[global]
ipsec saref = yes
saref refinfo = 30
;debug avp = yes
;debug network = yes
;debug state = yes
;debug tunnel = yes
[lns default]
ip range = <START-IP_OF_IP-RANGE_FOR_CLIENTS_IN_VPN_SUBNET>-<END-IP_OF_IP-RANGE_FOR_CLIENTS_IN_VPN_SUBNET>
local ip = <IP_OF_VPN_GATEWAY_IN_VPN_SUBNET>
refuse pap = yes
require authentication = yes
;ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes</code>

  * PPP konfigurieren ''/etc/ppp/options.xl2tpd'': <code>
logfd 2
logfile /var/log/xl2tpns.log
refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
idle 1800
mtu 1200
mru 1200
lock
hide-password
local
#debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4</code>

  * Benutzer konfigurieren ''/etc/ppp/chap-secrets'': <code># client        server  secret                  IP addresses
<USERNAME> * <PASSWORD> *</code>

  * Daemons neustarten: <code bash>systemctl restart xl2tpd
systemctl restart strongswan</code>

==== Clients ====
  * Ubuntu
    * <code bash>apt install network-manager-l2tp-gnome</code>
    * konfigurieren wie folgt
      * Name: <NAME>
      * Gateway: <IP_OR_HOSTNAME_VPN_GATEWAYS_OR_DYNDNS-ADDRESS>
      * Benutzername: <USER>
      * IPsec Settings:
        * Pre-shared key: <PSK_FROM_ipsec.secrets>
        * Phase1 Algorithms: ''aes128-sha1-modp2048''
        * Phase2 Algorithms: ''aes256-sha1-modp1024''
      * PPP Settings
        * nur folgende Methoden: ''MSCHAP, MSCHAPv2''
        * Haken setzen bei "Point-to-Point..."
          * Sicherheit: "128-bit"
        * sonstige Häckchen so lassen

===== Port-/IP-Forwarding / NAT =====
Damit das Subnetz hinter dem VPN-Gateway erreicht werden kann, müssen folgende Einstellungen vorgenommen werden.
  * IP-Forwarding konfigurieren: <code bash>echo "net.ipv4.ip_forward = 1" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.all.accept_redirects = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.all.send_redirects = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.accept_source_route = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.send_redirects = 0" | tee -a /etc/sysctl.conf
echo "net.ipv4.icmp_ignore_bogus_error_responses = 1" | tee -a /etc/sysctl.conf</code>

Danach sysctl reloaden
<code bash>sysctl -p /etc/sysctl.conf</code>

  * NAT auf dem VPN-Gateway einrichten: <code>iptables -t nat -A POSTROUTING -j SNAT --to-source <IP_OR_HOSTNAME_VPN_GATEWAYS> -o <INTERFACE></code>
    * IPtables Regeln sichern: <code bash>iptables-save > /etc/iptables/rules.v4</code>

  * folgende Ports als Weiterleitung auf dem Internet-Gateway hinzufügen: <code>from any to VPN-GATEWAY, Port UDB 500, 4500</code>

===== Troubleshooting =====
  * folgende Befehle können beim Troubleshooting helfen \\ <code>ipsec statusall
ipsec listall
ipsec listcerts
...</code>

  * rekeying im Strongswan ausschalten (Shrew mag das rekeying von einem VPN-Gateway nicht und übernimmt selbst dieses)

==== Default Gateway Routen ====
Wenn man sich mit dem VPN verbunden hat, lässt der Network-Manager eine neue Default Route erstellen.
Dadurch wird alles vom Client über das VPN geroutet.
Möchte man das nicht, möchte man also anstatt eines full tunneling ein split tunneling verwenden, so muss in den IPv4 Einstellungen der jew.
VPN-Verbindung der Haken bei "Diese Verbindung nur für Ressourcen in deren Netzwerk verwenden" gesetzt werden.
ggf auch diesen Befehl ausführen <code bash>nmcli connection modify <VPN connection> ipv4.never-default yes</code>

==== DNS ====
Generell wird der, in der VPN-Verbindung, eingetragene DNS Server nur verwendet, wenn die Funktion "Diese Verbindung nur für Ressourcen in deren Netzwerk verwenden" abgehakt ist.
Dann wird auch das Default-GW neben dem Ursprünglichen GW auch auf die VPN-Verbindung gesetzt.
Hakt man die o.g. Funktion an, wird kein zusätzliches Default-GW erstellt. Dann wird auch der angegeben DNS server nicht verwendet. Das kann mit dem Befehl ''resolvectl status'' ausgelesen werden.
Man sieht dann, dass die VPN-Verbindung (z.B. "ppp0") keinen DNS eingestellt hat.
Setzt man nun die DNS-Search-Domain für die Verbindung, wird der DNS-Server jedes mal für die Verbindung gesetzt und Split-DNS verwendet.
Die Search-Domain kann man leider nicht in der Gui (zum Einrichten von VPNs) einstellen und muss dies per CLI-Befehl tun.
<code bash>nmcli connection modify <VPN_NAME> ipv4.dns-search '<DOMAIN_NAME>'</code>
Nachdem man den VPN-Tunnel aufgebaut hat, ruft man nun ''resolvectl status'' auf und sieht dann den eingestellten/verwendeten DNS-Server und die Search-Domain.