Privacy Handbuch

IPsec ist ein komplexes Protokoll, dass viele Optionen bietet und bei hohen Sicherheitsanforderungen bei Militär und Regierungen bevorzugt wird. Unter Linux gibt es mehrere Implementierungen für die IPsec Standard. Im folgenden wird strongSwan vewendet.

1. Beispiel: IPsec/IKEv2 Server von VPN Providern nutzen (Debian/Ubuntu)

Das folgende Beispiel zeigt, wie man die IPsec Server von ProtonVPN mit strongSwan unter Ubuntu verwenden könnte. Als erstes ist die nötige Software zu installieren:

Die Konfiguration erfolgt als Full-Text-Adventure, da das NetworkManager GUI nicht alle nötigen Features unterstützt:

1. Da die Authentifizierung der VPN Server mit X509v3 Zertifikaten erfolgt, benötigt man das CA-Root Zertifikat von ProtonVPN, dass im Verzeichnis /etc/ipsec.d/cacerts/ zu speichern ist.

   Aus Sicherheitsgründen verwendet strongSwan nur die CA-Root Zertifikate, die in diesem Verzeichnis liegen, und nicht die Sammlung von CAs des Betriebssystems.

2. In der Datei /etc/ipsec.conf konfiguriert man einen oder mehrere VPN Server, die man auf der Webseite von ProtonVPN findet. Die IP-Adressen der Server (right=…) kann man anhand der Servernamen (rightid=…) ermitteln oder man nimmt aus Faulheit den DNS Namen der Server.

   Die Namen für die Verbindungen können frei gewählt werden, Haupsache wiedererkennbar:

   conn proton-de13
      left=%defaultroute
      leftsourceip=%config
      leftauth=eap
      eap_identity=<USERNAME>
   
      right=37.120.217.163
      rightsubnet=0.0.0.0/0
      rightauth=pubkey
      rightid=%de-13.protonvpn.com
      rightca=/etc/ipsec.d/cacerts/ProtonVPN_ike_root.der
   
      keyexchange=ikev2
      type=tunnel
      auto=add
   
   conn proton-it01
      left=%defaultroute
      leftsourceip=%config
      leftauth=eap
      eap_identity=<USERNAME>
   
      right=it-01.protonvpn.com
      rightsubnet=0.0.0.0/0
      rightauth=pubkey
      rightid=%it-01.protonvpn.com
      rightca=/etc/ipsec.d/cacerts/ProtonVPN_ike_root.der
   
      keyexchange=ikev2
      type=tunnel
      auto=add

   <USERNAME> (eap_identity=…) ist durch den individuellen Usernamen für den Login auf OpenVPN/IPsec Servern zu ersetzen, den man ebenfalls auf der ProtonVPN Webseite findet.

   Die Konfiguration der sicherer Kryptoalgorithmen für die Verschlüsselung wäre hier auch möglich, aber das überlässt man am besten dem Server, um Probleme zu vermeiden.

3. Login Credentials für die VPN Server kann man in der Datei /etc/ipsec.secrets speichern:

   <USERNAME> : EAP <PASSWORT>

   Die Login Credentials für die VPN Server sind nicht identisch mit den Username/Passwort Kombinationen für den Login auf der Webseite. Man findet die richtigen Daten nach dem Login.

   Aus Sicherheitsgründen sollte die Datei /etc/ipsec.secrets nur für root lesbar sein:

   > sudo chmod 0600 /etc/ipsec.secrets

Der Aufbau der VPN Verbindungen erfolgt ebenfalls auf der Kommandozeile:

• Standardmäßig läuft der strongSwan Daemon unter Debian nach der Installation. Nach dem Anpassen der Konfigurationsdateien muss die Konfiguration neu eingelesen werden:
  > sudo ipsec reload

• In der Statusübersicht kann man sich anschauen, welche Verbindungen möglich sind:

  > sudo ipsec statusall
  ...
  Listening IP addresses:
     192.168.x.y
  Connections:
     proton-de13: %any...37.120.217.163 IKEv2
     proton-de13: local: uses EAP authentication with EAP identity '<USERNAME>'
     proton-de13: remote: [de-13.protonvpn.com] uses public key authentication
     proton-de13: child: dynamic === 0.0.0.0/0 TUNNEL
     proton-it01: %any...it-01.protonvpn.com IKEv2
     proton-it01: local: uses EAP authentication with EAP identity '<USERNAME>'
     proton-it01: remote: [it-01.protonvpn.com] uses public key authentication
     proton-it01: child: dynamic === 0.0.0.0/0 TUNNEL
  Security Associations (0 up, 0 connecting):
     none

  Es sind zwei IPsec/IKEv2 Verbinden konfiguriert: proton-de13 und proton-it01.

• Mit folgendendem Kommando kann man eine Verbindung aufbauen:

  > sudo ipsec up proton-de13

  Es wird eine IPsec Verbindung zum VPN Server aufgebaut. Der VPN Server liefert die IP-Adresse des DNS Servers, die mit dem Kommando resolvconf systemweit gesetzt wird (bei Proton VPN ist der DNS Server 10.1.0.1) und das Routing wird angepasst. strongSwan hat keine Probleme mit IPv6, so dass keine Nachbearbeitungen per Script nötig sind.

• Mit folgendendem Kommando kann man eine Verbindung zum VPN Server wieder trennen:

  > sudo ipsec down proton-de13

• Anonymisierung(?)
• VPN-Provider
• Heim-/FirmenVPN
  • DynDNS
  • Fritz!VPN
  • Speedport
• VPNs mit Windows
• VPNs mit Linux
  • OpenVPN
  • IPsec/IKEv2
  • WireGuard
  • IPv6 Off
  • Firewall
• Angriffe auf VPNs