VPN-Zugang mit Linux

Der VPN-Zugang zum Uni-Netzwerk kann unter Linux auf mehreren Wegen erfolgen. Diese sind von der gewählten Distribution, grafischen Oberfläche, den installierten Paketen und der Erfahrung des Nutzers abhängig.

Diese Anleitung versucht durch die Nutzung mehrerer Distributionen und grafischer Oberflächen eine breite Nutzerbasis zu erreichen. Es ist jedoch nicht möglich, alle möglichen Varianten abzudecken.

Zum Verbinden mit dem Uni-Netzwerk stehen im wesentlichen zwei verschiedene Clients zur Verfügung: openconnect und vpnc.

Auf Grund der einfacheren Konfiguration und Nutzung empfehlen wir wir die Nutzung von OpenConnect für die Verbindung über Cisco AnyConnect.


GUI "Network-Manager" und OpenConnect

Ubuntu mit Unity (Beispielversion 15.10)

Am Beispiel von Ubuntu wird im Folgenden gezeigt, wie der Network-Manager um OpenConnect erweitert wird und eine VPN-Verbindung über das GUI des Network-Managers hergestellt wird.

Zuerst wird OpenConnect sowie die nötige Erweiterung für den Network-Manager installiert:

sudo apt-get install network-manager-openconnect network-manager-openconnect-gnome

Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.

Alternativ kann folgende apturl verwendet werden: apt://network-manager-openconnect,network-manager-openconnect-gnome

Weiterhin wird das Deutsche Telekom Root CA 2 Zertifikat benötigt. Dieses ist unter allen gängigen Linux Systemen im Ordner /etc/ssl/certs zu finden. Es kann auch direkt beim DFN heruntergeladen werden. Legen Sie es bitte an einem Ort ab, an dem Sie es wieder finden:

wget -O <Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem https://pki.pca.dfn.de/tu-ba-freiberg-ca/pub/cacert/cacert.pem

Anschließend wird die VPN-Verbindung über den Network-Manager konfiguriert:

Ubuntu: Network-Manager, VPN-VerbindungenWählen Sie im GUI des Network-Managers den Menüpunkt "VPN-Verbindungen" aus und klicken Sie auf "VPN konfigurieren..."


Ubuntu: Network-Manager, VPN-Verbindung hinzufügenFügen Sie eine neue VPN-Verbindung durch klicken auf "Hinzufügen..." hinzu.


Ubuntu: Network-Manager, VPN-Verbindung hinzufügen, Verbindungstyp auf Cisco AnyConnect einstellenWählen Sie als Verbindungstyp nun "Zu Cisco AnyConnect kompatible VPN-Verbindung (openconnect)" aus.


Ubuntu: Network-Manager, VPN-Verbindung hinzufügen, ServereinstellungenTragen Sie in das erscheinende Fenster einen Namen für die Verbindung sowie die folgende Adresse des VPN-Servers unter Gateway ein:

vpnserver.vpn.tu-freiberg.de

Weiterhin tragen Sie bitte das Zertifikat der TU Bergakademie Freiberg ein.

Speichern Sie Ihre Einstellungen ab.


Ubuntu: Network-Manager, VPN-Verbindung startenÖffnen Sie nun erneut den Network-Manager. Unter dem Menüeintrag "VPN-Verbindungen" finden Sie nun den soeben angelegten Eintrag. Starten Sie die Verbindung durch klicken auf den Eintrag.


Ubuntu: Network-Manager, VPN-Verbindung starten, Gruppen und Login-Formular ladenNun müssen die verfügbaren Gruppen sowie die Login-Maske vom VPN-Server bezogen werden. Klicken Sie auf den Button rechts oben neben dem Drop-Down-Menü.


Ubuntu: Network-Manager, VPN-Verbindung starten, Zugangsdaten eingebenEs werden die verfügbaren Gruppen sowie ein Formular für die Nutzerdaten angezeigt. Wählen Sie hier als GROUP "world" aus. 

Tragen Sie unter "Username" und "Passwort" Ihr zentrales URZ-Login ein. 

Durch klicken auf "Login" wird die Verbindung aufgebaut.


Kubuntu (Beispielversion 16.04)

Für die Nutzung des Network-Managers mit OpenConnect werden zuerst zwei Pakete benötigt, welche oft nicht in den verwendeten Distributionen vorinstalliert sind.

openconnect
network-manager-openconnect

Diese können manuell in der Konsole (Terminal) mit folgendem Befehl installiert werden:

sudo apt-get install openconnect network-manager-openconnect

Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.

Weiterhin wird das Deutsche Telekom Root CA 2 Zertifikat benötigt. Dieses ist unter allen gängigen Linux Systemen im Ordner /etc/ssl/certs zu finden. Es kann auch direkt beim DFN heruntergeladen werden. Legen Sie es bitte an einem Ort ab, an dem Sie es wieder finden:

wget -O <Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem https://pki.pca.dfn.de/tu-ba-freiberg-ca/pub/cacert/cacert.pem

Anschließend wird die VPN-Verbindung über den Network-Manager konfiguriert:


Öffnen der Netzwerkeinstellungen unter Kubuntu

Klicken Sie mit der rechten Maustaste auf das Netzwerksymbol und dann mit der linken Maustaste auf den Einstellungsbutton.


Hinzufügen einer neuen VPN-openconnect-Verbindung

Im nun geöffneten Verbindungs-Editor klicken Sie auf den Button "Hinzufügen" und wählen Sie im Kontextmenü den Eintrag "VPN kompatibel mit Cisco AnyConnect (openconnect)" aus.


Verbindungsparameter eintragen

Nun werden die Parameter für die Verbindung abgefragt. Der Verbindungsname kann beliebig gewählt werden.

Tragen Sie als Gateway die Adresse vpnserver.vpn.tu-freiberg.de ein.

Als CA-Zertifikat wählen Sie nun entweder das Zertifikat Deutsche Telekom Root CA2 aus dem Ordner /etc/ssl/certs aus oder das Zertifikat der TU Bergakademie Freiberg, falls Sie es wie oben beschrieben heruntergeladen haben.

Schließen Sie den Dialog mit einem Klick auf "OK"


Verbindung herstellen

Anschließend können Sie sich mit dem VPN verbinden, indem Sie im Netzwerk-Editor die eben erstellte VPN-Verbindung auswählen und auf den Button "Verbinden" klicken. 

Es öffnet sich nun ein Fenster, in welchem Ihre Zugangsdaten abgefragt werden. Klicken Sie zuerst auf den Button rechts neben dem Auswahlmenü "VPN-Rechner" (in welchem der Eintrag "vpnserver.vpn.tu-freiberg.de" ausgewählt sein muss).

Hier wählen Sie nun als GROUP "world" aus. Als Username tragen Sie Ihre zentrale URZ-Kennung ein, als Password verwenden Sie Ihr zentrales URZ-Kennwort.


Erfolgreicher VerbindungsaufbauNach erfolgreicher Anmeldung wird rechts unten am Bildschirm eine entsprechende Meldung angezeigt. Zudem wird im Netzwerk-Editor ein neues Gerät "vpn0" erzeugt, welches nach Trennung der VPN-Verbindung automatisch wieder entfernt wird.


CLI openconnect

Die folgende Anleitung ist ein Zusatz zur allgemeinen Installationsanleitung des VPN-Clienten unter Linux und soll einige Schritte vereinfachen. Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.

Installation des Clienten

sudo apt-get install openconnect(Ubuntu, Kubuntu, Xubuntu...)
sudo pacman -S openconnect (Arch Linux)

Download des Zertifikats der TU Bergakademie Freiberg

Es wird empfohlen die Verbindung zum VPN-Gateway mit Hilfe des entsprechenden Zertifikats der TU Bergakademie Freiberg zu verifizieren. Hierfür laden Sie das Zertifikat in einen Ordner Ihrer Wahl herunter: 

wget -O <Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem https://pki.pca.dfn.de/tu-ba-freiberg-ca/pub/cacert/cacert.pem

Aufruf und Stoppen

Starten des Clients als Vordergrundprozess (Internetverbindung oder WLAN Verbindung an der Uni erforderlich):

sudo openconnect --cafile=<Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem  vpnserver.vpn.tu-freiberg.de

Damit bleibt der der Prozess im aktuellen Terminal im Vordergrund und die Sitzung kann über ein SIGINT (Strg+C) gestoppt werden. 

Soll der Prozess im Hintergrund laufen, so ist dies mit dem Schalter "-b" möglich:

sudo openconnect -b --cafile=<Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem  vpnserver.vpn.tu-freiberg.de

Nach dem Start des Clients wird die aktuelle ProcessID angezeigt. Alternativ kann man über den Schalter --pid-file=<Pfad/zum/file> auch eine Datei angeben, in welcher die PID abgelegt wird.

Die Verbindung lässt sich durch den Aufruf von kill und der entsprechenden ProcessID

sudo kill <pid>

oder über 

sudo killall -s SIGINT openconnect

beenden. 

Eintragen der Verbindungsdaten 

Die Eingabe unterscheidet sich zwischen den unterschiedlichen Distributionen nicht und ist daher für alle gleich:

  • Group: world
  • Username: Ihr URZ-Login
  • Password: Ihr URZ-Kennwort

Verwendung von Config-Files

OpenConnect kann natürlich auch über ein Config-File mit den nötigen Verbindungsparametern gestartet werden.

Das Config-File sollte folgende Einträge beinhalten:

  • background
  • authgroup=world 
  • user=<Ihr URZ Login>
  • cafile=</Pfad/zum/TUBAF/Cert/>tubaf-ca.pem
Bitte bachten Sie, dass openconnect Leerzeichen am Ende der Zeile (Trailing Spaces) als Teil der Eingabe wertet - achten Sie also darauf, dass hinter den Parametern keine weiteren Zeichen stehen.
Das Flag "background" startet den Dienst im Hintergrund und kann bei Bedarf auch weggelassen werden.
Anschließend lässt sich die Verbindung über

sudo openconnect --config=<Pfad/zum/Config/File> vpnserver.vpn.tu-freiberg.de

starten.

GUI "Network-Manager" und VPNC

Für die Nutzung des Network-Managers mit VPNC werden zuerst zwei Pakete benötigt, welche oft nicht in den verwendeten Distributionen vorinstalliert sind.

network-manager-vpnc
network-manager-vpnc-gnome

Diese können manuell in einer Kommandozeilenumgebung mit folgendem Befehl installiert werden:

sudo apt-get install network-manager-vpnc network-manager-vpnc-gnome

Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.

Alternativ kann folgende apturl verwendet werden: apt://network-manager-vpnc,network-manager-vpnc-gnome

Ubuntu mit Unity (Beispielversion 15.10)

Ubuntu VPNC Schritt 1Klicken Sie in der Menüleiste auf das Netzwerksymbol und wählen Sie unter VPN-Verbindungen "VPN konfigurieren" aus.


Ubuntu VPNC Schritt 2Im Fenster Netzwerkverbindungen wählen Sie "Hinzufügen"


Ubuntu VPNC Schritt 3Als Verbindungstyp wählen Sie nun unter VPN "Cisco-kompatibler VPN-Client (vpnc)" aus und klicken auf "Erzeugen"


Ubuntu VPNC Schritt 4Tragen Sie einen Aussagekräftigen Namen für Ihre neue VPN-Verbindung ein, zum Beispiel "uni vpn". Tragen Sie für Gateway "vpnserver.vpn.tu-freiberg.de" ein. In die Felder für Gruppenname und Gruppenpasswort tragen Sie "world" ein und wählen für das Gruppenpasswort die Option "Gespeichert". Unter Benutzername tragen Sie bitte Ihren Uni-Login Nutzernamen ein. 


Erweiterte Einstellungen für vpnc

Befinden Sie sich innerhalb des eduroam Netzes der TU Bergakademie Freiberg, so müssen Sie noch die Art des NAT-Traversals ändern.

Klicken Sie auf "Erweitert..." um weitere Verbindungsparameter zu definieren. 

Wählen Sie als NAT-Traversal die Option "Cisco-UDP" aus.

Danach klicken Sie auf "Anwenden" und anschließend auf "Speichern".

Ihre VPN-Verbindung ist damit eingerichtet.


Ubuntu VPNC Schritt 5Zur Nutzung Ihrer VPN-Verbindung klicken Sie wieder in der Menüleiste auf das Netzwerksymbol und wählen Sie unter VPN-Verbindungen Ihre gerade eingetragene Verbindung aus.


Ubuntu VPNC Schritt 6Tragen Sie nun noch Ihr Uni-Login Passwort ein und bestätigen mit "Ok".

Gratulation! Sie sind nun mit dem Uni-Netzwerk verbunden.


Linux Mint mit Cinnamon (Beispielversion 17.3)

Mint VPNC Schritt 1Klicken Sie in der Menüleiste auf das Netzwerksymbol und wählen Sie "Netzwerkverbindungen" aus.

Verfahren Sie nun analog zur Ubuntu Anleitung Schritt 2 bis 4.


Mint VPNC Schritt 2Zur Nutzung Ihrer VPN-Verbindung klicken Sie wieder in der Menüleiste auf das Netzwerksymbol und wählen Sie unter VPN-Verbindungen Ihre gerade eingetragene Verbindung aus.

Verfahren Sie nun analog zur Ubuntu Anleitung Schritt 6.


Debian mit GNOME 3 (Beispielversion 8.3)

Debian VPNC Schritt 1Klicken Sie in der Menüleiste auf das Konfigurationssymbol und wählen Sie nach dem klicken auf das Netzwerksymbol, "LAN-Einstellungen" aus.


Debian VPNC Schritt 2Wählen Sie links unten im Fenster "Netzwerk" das + Symbol aus.


Debian VPNC Schritt 3Im Fenster Netzwerk-Verbindung hinzufügen wählen Sie erst "VPN" und dann "Cisco-kompatibler VPN-Client (vpnc)" aus.

Verfahren Sie nun analog zur Ubuntu Anleitung Schritt 4.


Debian VPNC Schritt 4Zur Nutzung Ihrer neuen VPN-Verbindung klicken Sie nun noch einmal in der Menüleiste auf das Konfigurationssymbol und wählen Sie nach dem klicken auf das VPN Symbol, Ihre gerade eingetragene Verbindung aus.

Verfahren Sie nun analog zur Ubuntu Anleitung Schritt 6.


CLI vpnc

Die folgende Anleitung ist ein Zusatz zur allgemeinen Installationsanleitung des VPN-Clienten unter Linux und soll einige Schritte vereinfachen. Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.

Installation des Clienten

sudo apt-get install vpnc (Ubuntu, Kubuntu, Xubuntu...)
sudo pacman -S vpnc (Arch Linux)

Aufruf

Starten des Clients (Internetverbindung oder WLAN Verbindung an der Uni erforderlich)

sudo vpnc

Eintragen der Daten (World, außerhalb des Uni-Netzwerks)

Die Eingabe unterscheidet sich zwischen den unterschiedlichen Distributionen nicht und ist daher für alle gleich.

  • IPSec gateway: vpnserver.vpn.tu-freiberg.de
  • IPSec ID: world
  • IPSec secret: world
  • Xauth username: <URZ Login>
  • Xauth password: <URZ Passwort>

Beenden

Beenden des Clients mittels

sudo vpnc-disconnect

Alternative

Alternativ kann unter /etc/vpnc/ eine neue Datei angelegt werden und diese beim Start vom VPNC einfach übergeben werden.

Erstellen der Konfigurationsdatei mittels

sudo nano /etc/vpnc/world.conf

Eintragen der folgenden Daten am Ende der Datei:

  • IPSec gateway vpnserver.vpn.tu-freiberg.de
  • IPSec ID world
  • IPSec secret world
  • Xauth username <URZ Login>
  • Xauth password <URZ Passwort> 
Achtung:

1. Befinden Sie sich innerhalb des eduroam-Netzes der TU Bergakademie Freiberg, so müssen Sie zusätzlich folgenden Parameter hinzufügen:
  • NAT Traversal Mode cisco-udp
2. Die Angabe des URZ-Kennworts im Parameter Xauth password ist nicht zwingend erforderlich! Falls Sie diesen Parameter nicht angeben, so werden Sie bei dem Verbindungsaufbau interaktiv nach Ihrem Kennwort gefragt.

Aufruf mit Config

sudo vpnc world.conf


Beenden

Beenden des Clients mittels

sudo vpnc-disconnect