Mit dem Umstieg auf Ubuntu Jaunty war es auch mal wieder an der Zeit alte Themen in meinem Blog aufzugreifen und zu aktualisieren. Eine wichtige Sache ist der Zugang zum VPN der Universität Karlsruhe. Die Uni verwendet leider einen Cisco Zugang mit HybridAuth. Aus Lizenzgründen muss man daher nach wie vor vpnc selber compilieren. Meine Anfrage, ob man denn vpnc nicht schon mit dieser Unterstützung ausliefern könne, ist leider seit mehr als einem Jahr unbeantwortet. Allerdings möchte ich kurz eine von Steffen Röcker angepasste Version des Paketes network-manager-vpnc vorstellen, damit kann man auch direkt über den NetworkManager die VPN Verbindung auf- und abbauen.

Damit dies funktioniert, muss man meinen Beitrag zu vpnc bis inklusive dem Abschnitt Das Zertifikat durchmachen. Man muss also vpnc compilieren und das Zertifikat der Universität holen. Ohne die selbst compilierte Version von vpnc fehlt dem NM die Grundlage die VPN-Verbindung aufbauen zu können. Danach kann man hier weiter machen. Man muss nun diese Paketquelle zu seiner Paketverwaltung hinzufügen. Also die Zeilen…

deb http://ppa.launchpad.net/sroecker/ppa/ubuntu jaunty main
deb-src http://ppa.launchpad.net/sroecker/ppa/ubuntu jaunty main

…mittels bspw…

$ sudo gedit /etc/apt/sources.list

…oder jedem anderen Editor mit Root-Rechten in die /etc/apt/sources.list einfügen. Die Paketquelle ist mit einem Schlüssel signiert, so dass die Paketverwaltung meckert, falls dieser Schlüssel nicht auf dem System zu finden ist. Mittels…

$ sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 588AC16B

…holt man den Schlüssel vom Keyserver. Nun kann man das Paket aus dem PPA installieren. Wer mag, der benutzt apt-get:

$ sudo apt-get update
$ sudo apt-get install network-manager-vpnc 

Nun ist alles nötige installiert. Klickt man auf das Icon des NetworkManagers im Panel, so erscheint der Eintrag VPN-Verbindungen | VPN konfigurieren… Klickt man darauf, so kann man nun das VPN der Uni hinzufügen. Als Verbindungstyp gibt man vpnc an.

vpnc auswählen...
vpnc auswählen…

Danach kann man die für die Uni benötigten Daten eingeben

Zugangsdaten eingeben
Zugangsdaten eingeben
  • Gateway: vpn.uni-karlsruhe.de
  • Gruppenname: vpn
  • Benutzerpasswort: Euer Passwort vom RZ
  • Gruppenpasswort: vpnvpn
  • Benutzername: Euer RZ Account
  • Hybrid authentification: Aktivieren
  • CA-File: /etc/ssl/certs/rootcert.crt

Weiteres muss man nicht angeben. Nun kann man das VPN über den NM

VPN aufbauen
VPN aufbauen

auf- und wieder abbauen. Wer an einem automatischen Verbindungsaufbau interessiert ist, also bspw. dass das VPN automatisch startet, wenn man sich ins WLAN der Uni einloggt, der sollte sich noch die weiteren Tipps aus VPN der Uni-Karlsruhe mit vpnc ansehen. Diese können nach wie vor optional umgesetzt werden.

28 Kommentare

  1. Hallo Tobias, um dir helfen zu können bräuchte ich mehr Informationen.

    • Was für ein Linux benutzt du?
    • Bist du hier an der Uni Karlsruhe?
    • Hast du vpnc selber compiliert und dabei auch das einkommentieren der angesprochenen Passagen nicht vergessen?
    • Hast du das Zertifikat an die richtige Stelle kopiert?
    • Hast die die angepasste Version von network-manager-vpnc
      installiert?
    • Hast du den Pfad zum Zertifikat richtig angegeben?

    Schick mir mal die Infos, dann sehen wir weiter 🙂

  2. Hallo!
    Ich verwende Ubuntu 9.04.
    Ja, ich bin an der Uni Karlsruhe.
    vpnc habe ich selber compiliert und vpnc funktioniert auch mittels sudo vpnc und sudo vpnc-disconnect in der Konsole
    Zertifikat ist an der richtigen Stelle (so wie in der Anleitung beschrieben) – den Pfad habe ich auch angegeben
    Ob ich allerdings die richtige Version vom network-manager-vpnc installiert habe, weiß ich nicht … aber ich denke schon, denn sonst hätte ich doch nicht den Zertifikatspfad angeben können oder doch?
    Wie finde ich raus ob die alternative Version installiert ist?
    Vielen Dank für die Hilfe,
    Tobias

  3. > Ob ich allerdings die richtige Version vom network-manager-vpnc installiert habe, weiß ich nicht…

    Darum gehts doch hier in diesem Beitrag 🙂 Du musst network-manager-vpnc aus der Paketquelle von Steffen Röcker installieren. Den Pfad zum Zertifikat kannst du in jedem Fall eingeben, nur HybridAuth kannst du nur mit der „richtigen“ Version aktivieren.

  4. Seit dem Umstieg auf Ubuntu 9.04 funktioniert der VPN-Aufbau zur Uni mit dem network-manager bei mir nicht mehr. Über den normalen Weg funktioniert es einwandfrei, ich hab vpnc auch selbst compiled mit openssl support und auch die network-manager-vpnc version von launchpad.
    Beim versuchten Aufbau kommt sofort VPN Connection failed, was mir schon merkwürdig vorkommt. Was mir außerdem aufgefallen ist, dass wenn ich die VPN settings bearbeite das CA-file leer ist, also nachdem ich es auswähle, Apply drücke und die settings neu aufrufe fehlt es wieder.
    Jemand ne Idee woran das liegen könnte?

  5. @Flash, hast du NACH dem Upgrade vpnc wieder neu kompiliert? Beim Upgrade wurde deine Version ja natürlich wieder mit der Version aus den Paketquellen überschrieben?

  6. Ja hab ich, sonst würde es ja auch manuell mit der vpn config nicht funktionieren. vpn –version gibt auch „Built with openssl (certificate) support. Be aware of the
    license implications.“ aus.
    Ich denke wie gesagt, dass es daran liegt, dass die Stelle wo sich das Zertifikat befindet nicht gespeichert wird, wofür ich aber keinerlei erklärung habe, readaccess auf das zertifikat haben zb alle..

  7. @flash: gleiches problem hier…
    ubuntu 9.04 amd64, vpnc mit hybrid selber kompiliert, network-manager-vpnc mit patch…

    unter 8.10 hats noch geklappt, nach dem upgrade nicht mehr…

  8. @Smoke
    Ich konnte das heute auf einem Rechner nachvollziehen, den ich von Intrepid auf Jaunty aktualisiert habe. Überprüfe erstmal ob vpnc noch mit openssl Support gebaut wurde.

    $ vpnc --version
    [...]
    Built with openssl (certificate) support. Be aware of the
    license implications.
    [...]
    

    Wenn das dort NICHT steht, dann mach bitte die Anleitung nochmal komplett neu durch. Bei mir gab vpnc aus, dass es nicht mehr mit openssl Support gebaut wurde.

    Wenn das überprüft wurde und der Verbindungsaufbau immer noch nicht geht, weil das Zertifikat nach dem Speichern der Einstellungen wieder weg ist, so öffne den gconf-Editor

    $ gconf-editor
    

    und geh nach /system/networking/connections/X/vpn/. Das X bitte ersetzen. Die Nummer hängt von der Anzahl eurer genutzen Netze ab. Ihr seid im richtigen Ordner, wenn ihr eure VPN-Einstellungen seht. Überprüft hier ob ihr einen Schlüssel CA-File seht, wenn nicht, so legt einen neuen Schlüssel mit den Werten

    • Name: CA-Cert
    • Typ: Zeichenkette
    • Wert: /etc/ssl/certs/rootcert.crt

    an. Solltest ihr ein anderes Zertifikat benutzen, so passt das Zertifikat oder den Pfad an. Danach ausloggen und wieder einloggen, dann sollte das VPN funktionieren.

  9. Interessant – der vpn-Zugang hat zwar bisher schon ohne Probleme funktioniert, aber erst jetzt nach Erstellen des gconf-Schlüssels zeigt das Plugin auch verlässlich den Pfad zum Zertifikat an. Danke!

    Für ein Split-Profil sollte es übrigens ausreichen, in den Routen „diese Verbindung nur für Ressourcen dieses Netzwerks verwenden“ zu aktivieren…

    Mal schauen wieviel Gebastel dann nach der Umstellung auf Juniper wieder nötig ist ;).

  10. Ja, hat funktioniert. Danke!

    Allerdings erst, nachdem ich die Profile neu angelegt habe. Ich habe dazu faulerweise die vom RZ zur Verfügung gestellte PCF-Profile importiert und die fehlenden Informationen ergänzt.

    Jetzt funktioniert die Verbindung mit WLan nur über das Split-Profil. Beim „Alles getunnelt“-Profil zeigt zwar der network-manager an, dass er korrekt verbunden wurde, aber das RZ reicht mir diese Proxy-Sperrseite an. Das tun0 Interface bekommt aber eine IP-Adresse. Sehr merkwürdig…

    @Julian: wenn ich den Haken “diese Verbindung nur für Ressourcen dieses Netzwerks verwenden” setze, bekomme ich auch die Login-Seite vom RZ angezeigt. deaktiviere ich diese Einstellung wieder, klappts wieder mit der Internet-Verbindung…

  11. Bin Fedora 11 user und habe mir erfolgreich vpnc mit opensll support gebaut. Allerdings hab ich probleme innerhalb des RZs und dessen WLan mich via vpn zugang einzuloggen. Es gibt bei mir immer timeouts. Verschiedene anlaufstellen konnten mir nicht wirklich weiterhelfen, außer dass ich in einer broschüre nachlesen sollte die auf WinBadVista user zugeschnitten war…
    Danke für jeden Hinweis.
    MfG
    Bernhard

  12. Hallo Bernhard. Das Thema könnte schlicht und einfach „…Wlan…“ sein. Ich habe schon öfters bemerkt, dass der WLAN Empfang innerhalb der Uni miserabel ist. Selbst in der Uni Bib geht WLAN kaum. Die meisten haben ein LAN-Kabel dabei. Woran es liegt kann ich nicht genau sagen

    • Entweder ist das WLAN wirklich so miserabel
    • Oder der WLAN Empfang unter Linux ist nicht so gut wie unter Win
    • Es liegt an meinem Notebook
  13. Vielen Dank für den ausführlichen Artikel! Auch das Kompilieren von vpnc ist super erklärt. Warum muss nur die vpn Verbindung in die Uni so kompliziert einzurichten sein…

  14. Hallo Paul, leider ist das aufwändiger als es sein müsste. Der Hintergrund sind Lizenzen und Patente, die nicht zueinander passen. Dadurch können sich es Distributoren nicht leisten vpnc „passend“ compiliert zu verteilen. Über Bug Bug 195848 habe ich schon vor mehr als 1,5 Jahren angefragt ob es möglich sei vpnc mit Hybrid-Auth auszuliefern, doch bis dato hat sich noch keine Lösung gefunden.

    PS: Bei Windows ist das VPN auch nicht wirklich gut zu nutzen. Der Cisco-VPN Client ist nen ziemliches Mistteil, das gerne das System völlig durcheinander bringt. Ich habe schon viele Leute klagen hören. Daher, lieber ein bisschen Handarbeit, als regelmäßig ein kaputtes System.

  15. Hi,
    die Anleitung funktioniert auch unter Version 9.10 sehr gut.
    Ich hatte ein Problem, den Schlüssel für die neue Paketquelle mit dem oben stehenden Befehl anzufordern (timeout…).
    Ich konnte den Schlüssel schließlich aber mit dem Befehl

    gpg --keyserver subkeys.pgp.net --recv 588AC16B
    gpg --export --armor 588AC16B | sudo apt-key add -
    

    hinzufügen.

    Grüße
    Sebastian

  16. Hallo Sebastian, die Befehle bewirken das selbe. Allerdings sind die Server von Canonical kurz vor/nach einem Release ziemlich ausgelastet. Darunter leiden auch die Keyserver… Es kommt oft vor dass dann etwas was mit der Paketverwaltung zusammenhängt nicht will. Btw, unter Karmic kannst du das PPA via

    $ sudo add-apt-repository ppa:sroecker/ppa
    

    zu deiner Paketverwaltung hinzufügen. Siehe http://linuxundich.de/de/ubuntu/ubuntu-karmic-koala-9-10-aus-meiner-sicht/#wptoc_1_1_1

  17. Diese Seite ist spitze! vpnc habe ich sehr gut zum laufen bekommen, jedoch habe ich ein Problm mit dem NetworkManager. Ich verwende KDE. Weiß jemand, ob es den Networkmanager auch für KDE schon gepatcht gibt?

  18. Hallo Christian,

    seit einiger Zeit schon bietet das SCC einen Juniper VPN-Zugang an, der wohl irgendwann den den Cisco VPN Zugang ersetzen wird.
    Gibt es eine Möglichkeit den Client in das Network-Manager-Applet so wie VPNC zu integrieren?

    Grüße
    Sebastian

  19. Hi Sebastian, ja das neu „Ding“ habe ich auch schon gesehen, aber noch nicht benutzt. Der NM kann nicht mit Juniper VPN umgehn. Ob das irgendwann mal kommt, kann ich nicht sagen. Eventuell kann man aber auch wieder mit NM Dispatcher Skripten arbeiten.

  20. Hi,
    ich habe am Wochenende wieder einmal den KIT VPN Zugang unter Ubuntu 10.04 eingerichtet.
    Mittlerweile ist der VPN Zugang mit vpnc deutlich vereinfacht worden. Es ist weder dieses HybridAuth noch ein Zertifikat notwendig. Lediglich Gateway, Benutzer- und Gruppenname müssen angegeben werden. Damit entfällt auch das Neukompilieren von vpnc. Eine genaue Anleitung gibt es hier.
    Ich hoffe, dass die Sicherheit darunter nicht leidet.

    Leider ist die Geschwindigkeit mit vpnc immer noch auf 2 Mbit/s begrenzt.
    Hoffentlich lässt sich der Juniper Client irgendwann mal so schön wie vpnc in den Network-Manager integrieren. Der ist in der Geschwindigkeit nicht begrenzt.

    Grüße
    Sebastian

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein