VPN-Zugang mit Linux
Der VPN-Zugang zum Uni-Netzwerk kann unter Linux auf mehreren Wegen erfolgen. Diese sind von der gewählten Distribution, grafischen Oberfläche, den installierten Paketen und der Erfahrung des Nutzers abhängig.
Diese Anleitung versucht durch die Nutzung mehrerer Distributionen und grafischer Oberflächen eine breite Nutzerbasis zu erreichen. Es ist jedoch nicht möglich, alle möglichen Varianten abzudecken.
Zum Verbinden mit dem Uni-Netzwerk stehen im wesentlichen zwei verschiedene Clients zur Verfügung: openconnect und vpnc.
Auf Grund der einfacheren Konfiguration und Nutzung empfehlen wir wir die Nutzung von OpenConnect für die Verbindung über Cisco AnyConnect.
GUI "Network-Manager" und OpenConnect
Ubuntu mit Unity (Beispielversion 15.10)
Am Beispiel von Ubuntu wird im Folgenden gezeigt, wie der Network-Manager um OpenConnect erweitert wird und eine VPN-Verbindung über das GUI des Network-Managers hergestellt wird.
Zuerst wird OpenConnect sowie die nötige Erweiterung für den Network-Manager installiert:
sudo apt-get install network-manager-openconnect network-manager-openconnect-gnome
Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.
Alternativ kann folgende apturl verwendet werden: apt://network-manager-openconnect,network-manager-openconnect-gnome
Weiterhin wird das Deutsche Telekom Root CA 2 Zertifikat benötigt. Dieses ist unter allen gängigen Linux Systemen im Ordner /etc/ssl/certs zu finden. Es kann auch direkt beim DFN heruntergeladen werden. Legen Sie es bitte an einem Ort ab, an dem Sie es wieder finden:
wget -O <Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem https://pki.pca.dfn.de/tu-ba-freiberg-ca/pub/cacert/cacert.pem
Anschließend wird die VPN-Verbindung über den Network-Manager konfiguriert:
Wählen Sie im GUI des Network-Managers den Menüpunkt "VPN-Verbindungen" aus und klicken Sie auf "VPN konfigurieren..."
Fügen Sie eine neue VPN-Verbindung durch klicken auf "Hinzufügen..." hinzu.
Wählen Sie als Verbindungstyp nun "Zu Cisco AnyConnect kompatible VPN-Verbindung (openconnect)" aus.
Tragen Sie in das erscheinende Fenster einen Namen für die Verbindung sowie die folgende Adresse des VPN-Servers unter Gateway ein:
vpnserver.vpn.tu-freiberg.de
Weiterhin tragen Sie bitte das Zertifikat der TU Bergakademie Freiberg ein.
Speichern Sie Ihre Einstellungen ab.
Öffnen Sie nun erneut den Network-Manager. Unter dem Menüeintrag "VPN-Verbindungen" finden Sie nun den soeben angelegten Eintrag. Starten Sie die Verbindung durch klicken auf den Eintrag.
Nun müssen die verfügbaren Gruppen sowie die Login-Maske vom VPN-Server bezogen werden. Klicken Sie auf den Button rechts oben neben dem Drop-Down-Menü.
Es werden die verfügbaren Gruppen sowie ein Formular für die Nutzerdaten angezeigt. Wählen Sie hier als GROUP "world" aus.
Tragen Sie unter "Username" und "Passwort" Ihr zentrales URZ-Login ein.
Durch klicken auf "Login" wird die Verbindung aufgebaut.
Kubuntu (Beispielversion 16.04)
Für die Nutzung des Network-Managers mit OpenConnect werden zuerst zwei Pakete benötigt, welche oft nicht in den verwendeten Distributionen vorinstalliert sind.
openconnect
network-manager-openconnect
Diese können manuell in der Konsole (Terminal) mit folgendem Befehl installiert werden:
sudo apt-get install openconnect network-manager-openconnect
Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.
Weiterhin wird das Deutsche Telekom Root CA 2 Zertifikat benötigt. Dieses ist unter allen gängigen Linux Systemen im Ordner /etc/ssl/certs zu finden. Es kann auch direkt beim DFN heruntergeladen werden. Legen Sie es bitte an einem Ort ab, an dem Sie es wieder finden:
wget -O <Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem https://pki.pca.dfn.de/tu-ba-freiberg-ca/pub/cacert/cacert.pem
Anschließend wird die VPN-Verbindung über den Network-Manager konfiguriert:
Klicken Sie mit der rechten Maustaste auf das Netzwerksymbol und dann mit der linken Maustaste auf den Einstellungsbutton.
Im nun geöffneten Verbindungs-Editor klicken Sie auf den Button "Hinzufügen" und wählen Sie im Kontextmenü den Eintrag "VPN kompatibel mit Cisco AnyConnect (openconnect)" aus.
Nun werden die Parameter für die Verbindung abgefragt. Der Verbindungsname kann beliebig gewählt werden.
Tragen Sie als Gateway die Adresse vpnserver.vpn.tu-freiberg.de ein.
Als CA-Zertifikat wählen Sie nun entweder das Zertifikat Deutsche Telekom Root CA2 aus dem Ordner /etc/ssl/certs aus oder das Zertifikat der TU Bergakademie Freiberg, falls Sie es wie oben beschrieben heruntergeladen haben.
Schließen Sie den Dialog mit einem Klick auf "OK"
Anschließend können Sie sich mit dem VPN verbinden, indem Sie im Netzwerk-Editor die eben erstellte VPN-Verbindung auswählen und auf den Button "Verbinden" klicken.
Es öffnet sich nun ein Fenster, in welchem Ihre Zugangsdaten abgefragt werden. Klicken Sie zuerst auf den Button rechts neben dem Auswahlmenü "VPN-Rechner" (in welchem der Eintrag "vpnserver.vpn.tu-freiberg.de" ausgewählt sein muss).
Hier wählen Sie nun als GROUP "world" aus. Als Username tragen Sie Ihre zentrale URZ-Kennung ein, als Password verwenden Sie Ihr zentrales URZ-Kennwort.
Nach erfolgreicher Anmeldung wird rechts unten am Bildschirm eine entsprechende Meldung angezeigt. Zudem wird im Netzwerk-Editor ein neues Gerät "vpn0" erzeugt, welches nach Trennung der VPN-Verbindung automatisch wieder entfernt wird.
Die folgende Anleitung ist ein Zusatz zur allgemeinen Installationsanleitung des VPN-Clienten unter Linux und soll einige Schritte vereinfachen. Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.
Installation des Clienten
sudo apt-get install openconnect(Ubuntu, Kubuntu, Xubuntu...)
sudo pacman -S openconnect (Arch Linux)
Download des Zertifikats der TU Bergakademie Freiberg
Es wird empfohlen die Verbindung zum VPN-Gateway mit Hilfe des entsprechenden Zertifikats der TU Bergakademie Freiberg zu verifizieren. Hierfür laden Sie das Zertifikat in einen Ordner Ihrer Wahl herunter:
wget -O <Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem https://pki.pca.dfn.de/tu-ba-freiberg-ca/pub/cacert/cacert.pem
Aufruf und Stoppen
Starten des Clients als Vordergrundprozess (Internetverbindung oder WLAN Verbindung an der Uni erforderlich):
sudo openconnect --cafile=<Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem vpnserver.vpn.tu-freiberg.de
Damit bleibt der der Prozess im aktuellen Terminal im Vordergrund und die Sitzung kann über ein SIGINT (Strg+C) gestoppt werden.
Soll der Prozess im Hintergrund laufen, so ist dies mit dem Schalter "-b" möglich:
sudo openconnect -b --cafile=<Pfad/zu/bevorzugtem/Ort>/tubaf-ca.pem vpnserver.vpn.tu-freiberg.de
Nach dem Start des Clients wird die aktuelle ProcessID angezeigt. Alternativ kann man über den Schalter --pid-file=<Pfad/zum/file> auch eine Datei angeben, in welcher die PID abgelegt wird.
Die Verbindung lässt sich durch den Aufruf von kill und der entsprechenden ProcessID
sudo kill <pid>
oder über
sudo killall -s SIGINT openconnect
beenden.
Eintragen der Verbindungsdaten
Die Eingabe unterscheidet sich zwischen den unterschiedlichen Distributionen nicht und ist daher für alle gleich:
- Group: world
- Username: Ihr URZ-Login
- Password: Ihr URZ-Kennwort
Verwendung von Config-Files
OpenConnect kann natürlich auch über ein Config-File mit den nötigen Verbindungsparametern gestartet werden.
Das Config-File sollte folgende Einträge beinhalten:
- background
- authgroup=world
- user=<Ihr URZ Login>
- cafile=</Pfad/zum/TUBAF/Cert/>tubaf-ca.pem
sudo openconnect --config=<Pfad/zum/Config/File> vpnserver.vpn.tu-freiberg.de
GUI "Network-Manager" und VPNC
Für die Nutzung des Network-Managers mit VPNC werden zuerst zwei Pakete benötigt, welche oft nicht in den verwendeten Distributionen vorinstalliert sind.
network-manager-vpnc
network-manager-vpnc-gnome
Diese können manuell in einer Kommandozeilenumgebung mit folgendem Befehl installiert werden:
sudo apt-get install network-manager-vpnc network-manager-vpnc-gnome
Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.
Alternativ kann folgende apturl verwendet werden: apt://network-manager-vpnc,network-manager-vpnc-gnome
Ubuntu mit Unity (Beispielversion 15.10)
Klicken Sie in der Menüleiste auf das Netzwerksymbol und wählen Sie unter VPN-Verbindungen "VPN konfigurieren" aus.
Im Fenster Netzwerkverbindungen wählen Sie "Hinzufügen"
Als Verbindungstyp wählen Sie nun unter VPN "Cisco-kompatibler VPN-Client (vpnc)" aus und klicken auf "Erzeugen"
Tragen Sie einen Aussagekräftigen Namen für Ihre neue VPN-Verbindung ein, zum Beispiel "uni vpn". Tragen Sie für Gateway "vpnserver.vpn.tu-freiberg.de" ein. In die Felder für Gruppenname und Gruppenpasswort tragen Sie "world" ein und wählen für das Gruppenpasswort die Option "Gespeichert". Unter Benutzername tragen Sie bitte Ihren Uni-Login Nutzernamen ein.
Befinden Sie sich innerhalb des eduroam Netzes der TU Bergakademie Freiberg, so müssen Sie noch die Art des NAT-Traversals ändern.
Klicken Sie auf "Erweitert..." um weitere Verbindungsparameter zu definieren.
Wählen Sie als NAT-Traversal die Option "Cisco-UDP" aus.
Danach klicken Sie auf "Anwenden" und anschließend auf "Speichern".
Ihre VPN-Verbindung ist damit eingerichtet.
Zur Nutzung Ihrer VPN-Verbindung klicken Sie wieder in der Menüleiste auf das Netzwerksymbol und wählen Sie unter VPN-Verbindungen Ihre gerade eingetragene Verbindung aus.
Tragen Sie nun noch Ihr Uni-Login Passwort ein und bestätigen mit "Ok".
Gratulation! Sie sind nun mit dem Uni-Netzwerk verbunden.
Linux Mint mit Cinnamon (Beispielversion 17.3)
Klicken Sie in der Menüleiste auf das Netzwerksymbol und wählen Sie "Netzwerkverbindungen" aus.
Verfahren Sie nun analog zur Ubuntu Anleitung Schritt 2 bis 4.
Zur Nutzung Ihrer VPN-Verbindung klicken Sie wieder in der Menüleiste auf das Netzwerksymbol und wählen Sie unter VPN-Verbindungen Ihre gerade eingetragene Verbindung aus.
Verfahren Sie nun analog zur Ubuntu Anleitung Schritt 6.
Debian mit GNOME 3 (Beispielversion 8.3)
Klicken Sie in der Menüleiste auf das Konfigurationssymbol und wählen Sie nach dem klicken auf das Netzwerksymbol, "LAN-Einstellungen" aus.
Wählen Sie links unten im Fenster "Netzwerk" das + Symbol aus.
Im Fenster Netzwerk-Verbindung hinzufügen wählen Sie erst "VPN" und dann "Cisco-kompatibler VPN-Client (vpnc)" aus.
Verfahren Sie nun analog zur Ubuntu Anleitung Schritt 4.
Zur Nutzung Ihrer neuen VPN-Verbindung klicken Sie nun noch einmal in der Menüleiste auf das Konfigurationssymbol und wählen Sie nach dem klicken auf das VPN Symbol, Ihre gerade eingetragene Verbindung aus.
Verfahren Sie nun analog zur Ubuntu Anleitung Schritt 6.
CLI vpnc
Die folgende Anleitung ist ein Zusatz zur allgemeinen Installationsanleitung des VPN-Clienten unter Linux und soll einige Schritte vereinfachen. Bitte bedenken Sie, die Paket-Quellen vorher zu updaten. Der sudo-Befehl ist nicht bei allen Distributionen notwendig.
Installation des Clienten
sudo apt-get install vpnc (Ubuntu, Kubuntu, Xubuntu...)
sudo pacman -S vpnc (Arch Linux)
Aufruf
Starten des Clients (Internetverbindung oder WLAN Verbindung an der Uni erforderlich)
sudo vpnc
Eintragen der Daten (World, außerhalb des Uni-Netzwerks)
Die Eingabe unterscheidet sich zwischen den unterschiedlichen Distributionen nicht und ist daher für alle gleich.
- IPSec gateway: vpnserver.vpn.tu-freiberg.de
- IPSec ID: world
- IPSec secret: world
- Xauth username: <URZ Login>
- Xauth password: <URZ Passwort>
Beenden
Beenden des Clients mittels
sudo vpnc-disconnect
Alternative
Alternativ kann unter /etc/vpnc/ eine neue Datei angelegt werden und diese beim Start vom VPNC einfach übergeben werden.
Erstellen der Konfigurationsdatei mittels
sudo nano /etc/vpnc/world.conf
Eintragen der folgenden Daten am Ende der Datei:
- IPSec gateway vpnserver.vpn.tu-freiberg.de
- IPSec ID world
- IPSec secret world
- Xauth username <URZ Login>
- Xauth password <URZ Passwort>
- NAT Traversal Mode cisco-udp
Aufruf mit Config
sudo vpnc world.conf
Beenden
Beenden des Clients mittels
sudo vpnc-disconnect