Einrichtung eines OpenConnect-VPN unter Linux

Um es vorweg zu nehmen: Die einfachste Variante ist diejenige, die von der Shell oder vom Skript aus aufgerufen wird. Notwendig ist dazu nir das Paket "openconnect". Der Befehl dazu, der als root ausgeführt werden muss:

openconnect -u <username> <vpn-gateway>

Der Benutzer entspricht dem dialin-Recht und muss voll qualifiziert angegeben werden, das VPN-Gateway ist immer gleich. Beispiel:

openconnect -u Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. vpn-gate-1.uni-bielefeld.de

Für diejenigen, die sich lieber mit der grafischen Oberfläche beschäftigen, ist der folgende Text gedacht.

1. Voraussetzungen

Um eine Verbindung zum Universitätsnetz zu bekommen, kann über eine beliebige Internet-Verbindung ein verschlüsselter Kommunikationskanal (VPN-Tunnel) aufgebaut werden. Auf diese weise erscheint der betroffene Rechner als „Universitäts-Intern“ und bekommt damit Zugang zu Ressourcen, die anderenfalls nur innerhalb der Universität erreichbar sind. Wichtiger jedoch ist die Verschlüsselung der Daten, die dafür sorgt, dass auf der Übertragungsstrecke zur Universität ein „Abhören“ nicht beziehungsweise nur mit (unvertretbar) hohem Aufwand möglich ist.

Dieser Dienst wird durch Komponenten der Firma Cisco angeboten, der wiederum nur über spezielle Software (VPN-Client) nutzbar ist.

Für die Windows-Welt bietet Cisco selbst einen Software-Client an, der hinreichend gepflegt wird. Für Linux wird zwar auch ein Client angeboten, doch ist dieser separat zu installieren, nicht über ein Paketsystem der jeweiligen Distribution.

Als Alternative bietet sich das Paket „OpenConnect“ an, das nicht nur besser gepflegt und stabiler als die AnyConnect-Variante ist, sondern als OpenSource flexibler und mit der Distribution gepflegt werden kann.

1.1 Root-Zertifikat

Als Voraussetzung muss zunächst sichergestellt sein, dass das DFN-Root-Zertifikat von der Deutschen Telekom im System bereit steht. Es kann unter der Adresse http://www.pki.dfn.de/fileadmin/PKI/zertifikate/deutsche-telekom-root-ca-2.pem herunter geladen werden und sollte im Verzeichnis /etc/ssl/certs abgelegt werden. Die meisten Distributionen haben dieses allerdings bereits an Bord.

1.2 OpenConnect

Die Software selbst sollte aus dem Distributions-Paketmanager installiert werden. Für eine manuelle Einrichtung reicht das Paket „openconnect“. In den meisten Fällen wird ein VPN Tunnel jedoch von Dektops und Notebooks benötigt und interaktiv vom Benutzer angelegt. In diesem Fall wird das Verwaltungs-Werkzeug benötigt, das üblicherweise über den NetworkManager erreicht wird.

1.3 Aktive Internetverbindung

Ein VPN Tunnel kann nur aufgebaut werden, wenn das „andere Ende“ erreichbar ist. Daher muss vor der Aktivierung des VPN eine Verbindung zum Internet vorhanden sein.

2. Installation von OpenConnect

Die Installation erfolgt über den Paketmanager. Auf der Shell geschieht das mit dem jeweiligen Paket-Manager- Werkzeug, wobei für die Integration in die Dektop-Oberfläche die jeweilige Network-Manager-Komponente ebenfalls installiert werden muss.

Debian / Ubuntu:

apt-get install network-manager-openconnect-gnome

openSuSE

zypper install networkmanager-openconnect-kde4

RedHat

yum install networkmanager-openconnect-gnome

Durch die automatische Auflösung der Abhängigkeiten werden die notwendigen zusätzlichen Pakete (openconnect, networ-manager-openconnect etc.)ebenfalls installiert

Falls der Desktop-Manager KDE verwendet wird (openSuSE, Kubuntu), sollte statt networkmanager-openconnect-gnome das Paket networkmanager-openconnect-kde4 installiert werden

Alternativ kann auch die grafische Variante des Paketmanagers (Software-Center, Synaptic, Yast ...) verwendet werden.

3. Anlegen einer VPN-Definition

Nachdem die Pakete installiert wurden, wird zunächst die VPN-Verbindung konfiguriert, was üblicherweise über Systemeinstellungen oder über die Netzwerk-Kontextmenüs geschehen kann. Im Unity-Desktop von Ubuntu existiert en entsprechender Menüpunkt „VPN konfigurieren“, der zu dem passenden Dialog führt.

Innerhalb des Dialoges öffnet sich unter „Neu“ ein weiteres Fenster, in dem der Typ des Netzwerkes ausgewählt werden kann. Hie ist die „AnyConnect kompatible VPN-Verbindung“ die richtige Wahl.

Im nachfolgenden Dialog kann der Name (hier: „Uni Bielefeld“) frei festgelegt werden. Unter diesem Namen wird die VPN-Verbindung im Netzwerk-Menü zu finden sein. Das Gateway für die VPN-Einwahl ist „vpn-gate-1.uni-bielefeld.de“, als Zertifikat wird das Telekom-Root-Zertifikat verwendet, das im Verzeichnis /etc/ssl/certs zu finden ist.

Nach Beendigung des Dialoges ist die VPN-Verbindung vollständig

4. Starten der Verbindung

Ist bereits eine Internet-Verbindung aktiv, kann die VPN-Verbindung etabliert werden. Dazu wird der neu generierte men-Eintrag ausgewählt, was den Anmeldedialog startet.

Zunächst erscheint in der Maske kein Feld für Benutzername und Passwort. Um dieses zu erreichen muss der „Connect“-Knopf rechts neben dem vpn-host-Eintrag aktiviert werden.

Verwenden Sie als Username Ihre Login-Kennung, wie sie in der Benutzerverwaltung unter „dialin-Recht“ zu finden ist.

Das Login erfolgt vollqualifiziert, also mit angehängter Domäne „@uni-bielefeld.de“ zusammen mit dem dort hinterlegten Passwort.

Ein Klick auf „Login“ baut den VPN-Tunnel auf, so dass der Rechner ab sofort als Teil des Campus-Netzwerkes erscheint.

Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.