Wer mit einem Manjaro Linux auf dem Rechner die verschiedenen angebotenen scc.ovpn Konfigurationsdateien ausprobiert, der bekommt nur eine Reihe von Fehlermeldungen zu Gesicht — zu einem Verbindungsversuch kommt es erst gar nicht. Entweder fehlt das Zertifikat deutsche-telekom-root-ca-2.pem oder es scheitert am Fehlen des Skripts /etc/openvpn/update-resolv-conf. Bei erster Fehlermeldung habt ihr euch die falsche Konfigurationsdatei besorgt, die Zweite lässt sich relativ einfach mit dem Arch-Linux-Wiki lösen.

Verbindungsaufbau zum OpenVPN scheitert

$ sudo openvpn scc.ovpn
Sat Dec 13 19:12:26 2014 DEPRECATED OPTION: --tls-remote, please update your configuration
Options error: --ca fails with '/etc/ssl/certs/deutsche-telekom-root-ca-2.pem': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

$ sudo openvpn scc.ovpn
Options error: --up script fails with '/etc/openvpn/update-resolv-conf': No such file or directory
Options error: Please correct this error.
Use --help for more information.

Bei Manjaro (und vermutlich auch bei Arch selber und den anderen Arch-Derivaten wie Antergos oder Netrunner) müsst ihr nun ein wenig mehr Arbeit investieren. Ist diese allerdings einmal getan, funktioniert der VPN-Zugang ohne Probleme. Installiert daher nun das Paket Openresolv aus den Paketquellen und spielt dann das im Arch-Wiki verlinkte Skript update-resolv-conf.sh ein. Zum Abschluss besorgt ihr euch noch die OpenVPN-Konfiguration für Debian Jessie und Ubuntu ab 13.10, damit sollte der VPN-Zugang dann eigentlich stehen.

OpenVPN der Uni-Karlsruhe einrichten

### Openresolv aus den Paketquellen installieren...
$ sudo pacman -S openresolv

### Resolv-Skript herunterladen und nach /etc/openvpn schieben...
$ wget https://raw.githubusercontent.com/masterkorp/openvpn-update-resolv-conf/master/update-resolv-conf.sh
$ sudo mv update-resolv-conf.sh /etc/openvpn/update-resolv-conf
$ sudo chmod +x /etc/openvpn/update-resolv-conf

### VPN-Konfiguration herunterladen und testen...
$ wget http://www.scc.kit.edu/scc/sw/openvpn/linux/scc.ovpn
$ sudo openvpn scc.ovpn
Sat Dec 13 19:14:25 2014 OpenVPN 2.3.6 x86_64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Dec 2 2014
Sat Dec 13 19:14:25 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Enter Auth Username: *****
Enter Auth Password: *******
Sat Dec 13 19:14:31 2014 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
...

Funktioniert der OpenVPN-Zugang zur Uni Karlsruhe über den Openvpn-Kommando im Terminal, könnt ihr die Verbindung natürlich auch im Networkmanager einrichten. Öffnet dazu unter Menü | Einstellungen die Netzwerkverbindungen und fügt eine neue Verbindung hinzu. Als Verbindungungstyp lasst ihr eine Gespeicherte VPN-Konfiguration importieren, hier wählt ihr wieder die zuvor abgespeicherte scc.ovpn-Datei des Terminal-Tests aus. Nun gebt ihr der Verbindung einen ordentlichen Namen und gebt eure Zugangsdaten ein. Anschließend ruft ihr die Verbindung dann über das Netzwerk-Icon im Panel auf.

Unter Ubuntu-Linux oder auch Debian ist der Zugang jetzt wirklich trivial. Da der Network-Manager der graphischen Desktopumgebung auch mit VPNs umgehen kann, braucht es zum Einrichten der Verbindung nur ein paar Minuten. Allerdings muss nach einer Standard-Installation noch ein Paket nachinstalliert werden, um dem NetworkManager auch den Umgang mit OpenVPN zu erklären. Alle anderen Pakete werden automatisch nachgezogen.

$ sudo apt-get install network-manager-openvpn-gnome

Hab ihr die GNOME-Shell auf dem Rechner, dann ruft ihr über den Network-Manager aus dem Panel das „modern“ Konfigurationswerkzeug auf, leider kann das keine Konfigurationsdateien importieren. Ruft daher entweder die Anwendung „Netzwerkeinstellungen“ aus der Anwendungsübersicht auf, oder tippt einfach $ nm-connection-editor in einem Terminal ein, das ruft das gute alte Konfigurations-Backend auf.

Geht dort dann in die Lasche „VPN“ und importiert über die entsprechende Schaltfläche die zuvor von der Homepage des SCC heruntergeladene ovpn-Datei. Achtet bitte drauf, dass es im Moment zwei Varianten der Datei gibt, einmal für aktuelle Ubuntus und einmal für ältere Ausgaben der Distribution.

Danach hat sich der Keks gegessen. Ihr findet sofort euren VPN-Eintrag in der Liste eurer Netzwerkverbindungen. Von dort aus könnt ihr dann das VPN aktivieren und findet euch im Netz des KIT wieder. Falls ihr wollt, dass nur Verbindungen zum KIT über das VPN laufen und der Rest nach wie vor direkt ins Internet geht, dann aktiviert ihr in den Routing-Optionen der IPv4-VPN-Einstellung eurer OpenVPN-Verbindung noch die Option „Diese Verbindung nur für Ressourcen dieses Netzwerks verwenden“.

Damit dies funktioniert, muss man meinen Beitrag zu vpnc bis inklusive dem Abschnitt Das Zertifikat durchmachen. Man muss also vpnc compilieren und das Zertifikat der Universität holen. Ohne die selbst compilierte Version von vpnc fehlt dem NM die Grundlage die VPN-Verbindung aufbauen zu können. Danach kann man hier weiter machen. Man muss nun diese Paketquelle zu seiner Paketverwaltung hinzufügen. Also die Zeilen…

deb http://ppa.launchpad.net/sroecker/ppa/ubuntu jaunty main
deb-src http://ppa.launchpad.net/sroecker/ppa/ubuntu jaunty main

…mittels bspw…

$ sudo gedit /etc/apt/sources.list

…oder jedem anderen Editor mit Root-Rechten in die /etc/apt/sources.list einfügen. Die Paketquelle ist mit einem Schlüssel signiert, so dass die Paketverwaltung meckert, falls dieser Schlüssel nicht auf dem System zu finden ist. Mittels…

$ sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 588AC16B

…holt man den Schlüssel vom Keyserver. Nun kann man das Paket aus dem PPA installieren. Wer mag, der benutzt apt-get:

$ sudo apt-get update
$ sudo apt-get install network-manager-vpnc 

Nun ist alles nötige installiert. Klickt man auf das Icon des NetworkManagers im Panel, so erscheint der Eintrag VPN-Verbindungen | VPN konfigurieren… Klickt man darauf, so kann man nun das VPN der Uni hinzufügen. Als Verbindungstyp gibt man vpnc an.

Danach kann man die für die Uni benötigten Daten eingeben

• Gateway: vpn.uni-karlsruhe.de
• Gruppenname: vpn
• Benutzerpasswort: Euer Passwort vom RZ
• Gruppenpasswort: vpnvpn
• Benutzername: Euer RZ Account
• Hybrid authentification: Aktivieren
• CA-File: /etc/ssl/certs/rootcert.crt

Weiteres muss man nicht angeben. Nun kann man das VPN über den NM

auf- und wieder abbauen. Wer an einem automatischen Verbindungsaufbau interessiert ist, also bspw. dass das VPN automatisch startet, wenn man sich ins WLAN der Uni einloggt, der sollte sich noch die weiteren Tipps aus VPN der Uni-Karlsruhe mit vpnc ansehen. Diese können nach wie vor optional umgesetzt werden.

$ man vpnc
[...]
       --dpd-idle <0,10-86400>
              Send DPD packet after not receiving anything for  seconds.  Use 0 to disable DPD
              completely (both ways).
              Default: 300
       conf-variable: DPD idle timeout (our side) <0,10-86400>
[...]

…meine VPN-Verbindung via $ sudo vpnc --dpd-idle 0 so habe ich eine absolut stabile Verbindung. Ich habe daher meinen aktuelle Guide zum Netzwerkzugang zur Uni-Karlsruhe mit vpnc daraufhin angepasst und auch das Dispatcher-Skript ergänzt. Wer will kann es sich mittels den folgenden Kommandos herunterladen.

$ sudo wget http://www.linuxundich.de/static/02uni-ka-vpn-1.4.sh -O /etc/NetworkManager/dispatcher.d/02uni-ka-vpnc
$ chmod +x /etc/NetworkManager/dispatcher.d/02uni-ka-vpnc

Ab Monatg den 29.09.2008 ist der VPN Verbindungsaufbau (aus dem WLANoder unterwegs) zum Campus Sued nur noch mit dem neuen Root Zertifikat der dt. Telekom moeglich. Dieses Zertifikat ist in dem Installationspaketdes RZ bereits enhalten, kann aber auch nachtraeglich heruntergeladen und importiert werden.

siehe: http://www.rz.uni-karlsruhe.de/rd/vpn.php

Juhu! Es ist also mal wieder Bastelarbeit angesagt. Meine alten Lösungen bzgl. vpnc und Uni-Karlsruhe sind wohl (zumindest teilweise) obsolet. Zeit das Thema wieder mal komplett neu aufzurollen…

vpnc selber compilieren

Nach wie vor gilt es vpnc selber zu compilieren, da vpnc mit Unterstützung für openssl (Zertifikate) gebraucht wird. Aufgrund von Problemen mit den Lizenzen bauen das die Distributoren üblicherweise jedoch nicht ein. Zuerst gilt es sich daher den Quellcode von vpnc herunterzuladen und das Archiv zu entpacken.

$ wget http://www.unix-ag.uni-kl.de/~massar/vpnc/vpnc-0.5.3.tar.gz
$ tar -xzf vpnc-0.5.3.tar.gz

Damit die Paketverwaltung das selbst compilierte vpnc später nicht mit der Version aus den Paketquellen ersetzt, fügt man an das Ende des Verzeichnisnamens, noch ein Kürzel an. Später beim Compilieren wird dieses Kürzel mit in die Versionsnummer übernommen. So ist das eigene vpnc-Paket vor der Paketverwaltung “sicher”.

$ mv vpnc-0.5.3 vpnc-0.5.3-christoph1
$ cd vpnc-0.5.3-christoph1

Anschließend muss der besagte, gegen die GPL verstoßende Teil, einkommentiert werden. Dazu öffnet man das Makefile in einem Editor. Also beispielsweise

$ gedit Makefile

und entfernt die Raute “#” vor den Zeilen 49 und 50, so dass dieser Abschnitt am Ende wie unten stehend aussieht.

OPENSSL_GPL_VIOLATION = -DOPENSSL_GPL_VIOLATION
OPENSSLLIBS = -lcrypto

aus. Nun muss man die zum Compilieren nötigen Pakete installieren. Dieses kann man bei Ubuntu über die Paketverwaltung machen. Dazu einfach

$ sudo apt-get install libssl-dev build-essential dh-make fakeroot
$ sudo apt-get build-dep vpnc

ausführen. Alle benötigten Pakete werden automatisch installiert. Nun geht es an das Compilieren. Der Reihe nach führt man diese Befehle aus.

$ make
$ dh_make -f ../vpnc-0.5.3.tar.gz
$ fakeroot debian/rules binary
$ sudo dpkg -i ../vpnc*.deb

Dies erstellt ein .deb Paket das sich über die Paketverwaltung installieren, und somit auch wieder einfach deinstallieren lässt. Die Frage bei dh_make, nach der Art des Binaries kann man mit s für eine single binary beantworten. Ob die Installation nun erfolgreich war, kann man mittels

$ vpnc --version
[...]
Built with openssl (certificate) support. Be aware of the
license implications.

Supported DH-Groups: nopfs dh1 dh2 dh5
Supported Hash-Methods: md5 sha1
Supported Encryptions: null des 3des aes128 aes192 aes256
Supported Auth-Methods: psk psk+xauth hybrid(rsa)

überprüfen. Hier muss von vpnc die Meldung „Built with openssl (certificate) support“ ausgeben werden. Erst dann wurde vpnc korrekt mit Unterstützung für openssl gebaut.

Das Zertifikat

Seit Anfang Oktober 2008 benutzt die Universität Karlsruhe ein neues Root-Zertifikat der deutschen Telekom. Dieses Root-Zertifikat kann man sich wieder von der Uni herunterladen. Der Einfachheit halber hier der Weg über ein Terminal.

$ sudo wget --no-check-certificate https://pki.pca.dfn.de/uni-karlsruhe-ca/pub/cacert/rootcert.crt -O /etc/ssl/certs/rootcert.crt

Dies lädt das Zertifikat herunter und kopiert es gleich an die richtige Stelle im Dateisystem. [UPDATE 27.04.09: Der nun folgende Abschnitt dieses Beitrages richtet sich an Anwender, die die Verbindung zum VPN der Uni Karlsruhe automatisieren wollen. Will man die Verbindung nur bei Bedarf aufbauen, so kann man dazu ein angepasstes Modul für den NetworkManager benutzen. Für viele Anwender ist dies sicherlich ausreichen. Weitere Informationen dazu findet man hier in meinem Blog unter NetworkManager, vpnc und HybridAuth.]

Konfiguration

Schließlich muss noch vpnc konfiguriert werden. Dies geschieht über die Datei /etc/vpnc/default.conf. Über einen Editor sudo gedit /etc/vpnc/default.conf fügt man den Inhalt…

IPSec gateway vpn.uni-karlsruhe.de
IPSec ID vpn
IPSec secret vpnvpn
IKE Authmode hybrid
Xauth username u...
Xauth password xxx
CA-File /etc/ssl/certs/rootcert.crt

…ein. Natürlich müssen der Benutzername und das Passwort noch angepasst werden. Damit diese Daten vor dem Einblick Dritter geschützt sind, sollte man mit sudo chmod 600 /etc/vpnc/default.conf die Dateirechte entsprechend setzen.

Verbindungsaufbau

Von nun an kann man die Verbindung zum VPN über einen einfachen Befehl

$ sudo vpnc
$ sudo vpnc-disconnect

auf bzw. wieder abbauen. Da es sich in letzter Zeit gezeigt hat, dass die VPN Verbindung sehr instabil sein kann, sollte man den so genannten „DPD idle timeout“ deaktivieren. Die Verbindung sollte man daher so…

$ sudo vpnc --dpd-idle 0

…aufbauen.

Skripte zum automatischen Aufbau des VPNs

Die VPN Verbindung via vpnc auf- und abzubauen ist nun alles andere als komfortabel. Ich habe mir ein kleines Skript für den Network-Manager geschrieben. Diese so genannten „Dispatcher“-Skript für den Network-Manager werden beim Auf- bzw. Abbau einer Netzwerkverbindung automatisch ausgeführt.

Das Skript wird also beim Aufbau der Netzwerkverbindung automatisch aus ausgeführt und überprüft, ob man sich im Netzwerk der Uni-Karlsruhe befindet. Sollte dies der Fall sein, so wird automatisch die VPN-Verbindung gestartet. Dies klappt wunderbar innerhalb der Bibliothek und auch beim WLAN-Zugang über die ESSID „VPN/WEB“.

$ sudo wget http://www.linuxundich.de/static/02uni-ka-vpn-1.4.sh -O /etc/NetworkManager/dispatcher.d/02uni-ka-vpnc
$ chmod +x /etc/NetworkManager/dispatcher.d/02uni-ka-vpnc

Eventuell muss in den Skript noch die Zeile…

[...]
WLANINTERFACE="eth1"
[...]

…an die eigenen Bedürfnisse angepasst werden. Hier muss das WLAN-Interface eingetragen werden, also eventuell wlan0, ra0, ath0 usw. Wer möchte, kann sich dabei auch Benachrichtigungen ausgeben lassen. So bekommt man im Fehlerfall Informationen ausgegeben, warum die VPN-Verbindung nicht aufgebaut werden konnte.

Voraussetzung dafür ist, dass das Paket libnotify-bin installiert wurde. Meines Wissens nach funktioniert die Ausgabe von dieser kleinen Popups leider nur mit der GNOME Desktopumgebung. Das Skript an sich funktioniert auf allen Systemen, die den Network Manager benutzen. Also auf jeden Fall bei allen Ubuntu Derivaten [UPDATE 25.04.09: Auf vpnc 0.5.3 aktualisiert[/UPDATE].

$ sudo apt-get install libnotify-bin

[UPDATE: Dieser Artikel ist veraltet! Sollten Sie über eine Internetsuche auf diesen Artikel gestoßen sein, so schauen Sie sich bitte besser den Artikel VPN der Uni-Karlsruhe mit vpnc (überarbeitet)… an. Dieser enthält die selben Informationen, ist jedoch auf einem aktuellen Stand! [/UPDATE]

#!/bin/bash

## 02uni-ka-vpnc 1.1 by Christoph Langner
## 2008 by Christoph Langner, published under the GPL v3
##
## Changelog
## 1.1: Ermöglicht nun auch den automatischen Aufbau des VPN über WLAN
##      Sollte man eine andere ESSID als "VPN/WEB" nutzen, so passt man dazu
##      die Variable $ESSID_VPN an.
## 1.0: Erstes Release. VPN Zugang nur via Kabel.

## INITIALISIERUNG
#Diese Werte werden vom NetworkManager an das Skript übergeben
INTERFACE=$1
ACTION=$2

## DEBUGGING
# Falls DBG_MODE=1 werden verschiedene Angaben nach $LOG ausgegeben
DBG_MODE=0
LOG=/tmp/dispatcher.log

## ESSID des Universitäts Netzwerkes
# In diesem Fall das VPN WLAN der Universität Karlsruhe
ESSID_VPN="VPN/WEB"

## NETWORKING
#IP des Rechners herausfinden
IP=$(ifconfig $INTERFACE | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://')
IP_START=$(echo $IP | awk -F. '{print $1}')

#ESSID des verbundenen Netzwerks bestimmen
ESSID=$(iwconfig $INTERFACE | grep ESSID | awk {'print $4'} | sed -e 's/ESSID://g' | sed -e 's/"//g')


## DEBUG Funktionen
log() {
if [ $DBG_MODE=1 ]; then
	echo IP: $IP >> $LOG
	echo IP_START: $IP_START >> $LOG
	echo ESSID: $ESSID >> $LOG
fi
}

log_action() {
if [ $DBG_MODE=1 ]; then
	echo ========= >> $LOG
	echo $(date) >> $LOG
	echo ACTION: $ACTION, Device: $INTERFACE >> $LOG
fi
}

#Funktionen durchführen, je nach Aktion eine andere
case "$2" in
    up)
        #vpnc starten, falls im Uni Netzwerk
        log_action
        log
        if [ $IP_START=129 ]; then
                vpnc
        elif [ $ESSID=$ESSID_VPN ]; then
        	sleep 15
         	vpnc
        fi
        ;;

    down)
        #vpnc stoppen
        log_action
        if [ "$(pidof vpnc)" ]; then
                vpnc-disconnect
        fi
        ;;

    pre-up)
        #einen vorher laufenden vpnc stoppen
        log_action
        if [ "$(pidof vpnc)" ]; then
                vpnc-disconnect
                killall vpnc
        fi
        ;;

    post-down)
        #vpnc wirklich stoppen, falls abgestürzt
        log_action
        if [ "$(pidof vpnc)" ]; then
                vpnc-disconnect
                killall -9 vpnc
        fi
        ;;

     *)
        echo $"Usage: $0 {up|down|pre-up|post-down}"
        exit 1
esac

Das Skript habe ich auch zum Download hochgeladen. Via…

$ sudo wget -P  /etc/NetworkManager/dispatcher.d/ http://www.linuxundich.de/static/2uni-ka-vpnc
$ sudo chmod +x /etc/NetworkManager/dispatcher.d/02uni-ka-vpnc

…kann man es herunterladen und ausführbar machen. Spätestens bei einem Neustart wird nun das Dispatcher Skript ausgeführt. Achtung: vpnc muss neu compiliert werden. Das bei Ubuntu aus den Paketquellen installierte vpnc kann sich nicht zu Cisco VPN Router mit hybrider Verschlüsselung verbinden. Daher bitte diesen Artikel VPN der Universität Karlsruhe über vpnc beachten.

UPDATE: Dieser Artikel ist veraltet! Sollten Sie über eine Internetsuche auf diesen Artikel gestoßen sein, so schauen Sie sich bitte besser den Artikel VPN der Uni-Karlsruhe mit vpnc (überarbeitet)… an. Dieser enthält die selben Informationen, ist jedoch auf einem aktuellen Stand!

Ich möchte es nochmal kurz betonen. Es ist für den Zugang zum VPN der Uni Karlsruhe zwingend notwendig eine selbst kompilierte Version von vpnc zu nutzen. Eine Anleitung dazu findet sich im oben beschriebenen Artikel. Ist vpnc in der aktuellen Version installiert, legt man über…

$ gksudo gedit /etc/NetworkManager/dispatcher.d/02uni-vpnc

…ein Skript an, dass beim Aufbau einer Verbindung über den NetworkManager automatisch ausgeführt wird. Als Inhalt fügt man dieses hier ein.

#!/bin/bash
#/etc/NetworkManager/dispatcher.d/02uni-vpnc

# Aktion einlesen
INTERFACE=$1
ACTION=$2

# IP herausfinden
IP=$(ifconfig eth0 | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://')
IP_START=$(echo $IP | awk -F. '{print $1}')

# Funktionen durchführen, je nach Aktion eine andere
case "$2" in
  up)
    # vpnc starten, falls im Uni Netzwerk
    if [ $IP_START = 129 ]; then
      vpnc
    fi
    ;;
    
  down)
    # vpnc stoppen
    if [ "$(pidof vpnc)" ]; then
      vpnc-disconnect
    fi
    ;;
    
  pre-up)
    # einen vorher laufenden vpnc stoppen
    if [ "$(pidof vpnc)" ]; then
      vpnc-disconnect
      killall vpnc
    fi
    ;;
    
  post-down)
    # vpnc wirklich stoppen, falls abgestürzt
    if [ "$(pidof vpnc)" ]; then
      vpnc-disconnect
      killall -9 vpnc
    fi
    ;;
    
  *)
    echo $"Usage: $0 {up|down|pre-up|post-down}"
    exit 1
    ;;
esac

Hat man die Dateirechte über…

$ sudo chmod +x /etc/NetworkManager/dispatcher.d/02uni-vpnc

…angepasst, dann wird spätestens nach einem Neustart des System bei einem Verbindungsaufbau überprüft, ob man eine IP aus dem Bereich 192.* bekommen hat. Falls dies der Fall sein sollte, wird vpnc ausgeführt und die Verbindung zum VPN steht. Man muss jetzt also keinen Finger mehr krümmen um in das Netzwerk der Uni zu kommen. Rechner anschließen und Fertig.

Auf der genannten Webseite bekommt man den Cisco VPN Client. Die Linux Version lädt man nun herunter. Nutzer eines 64-bit Ubuntus werfen bitte einen kurzen Blick in meinen Blog Cisco VPN Client auf Ubuntu Gutsy 64-bit installieren. Denn der auf der Uni Homepage verfügbare Client lässt sich nicht auf einem 64-bit System installieren… Nachdem man die Datei heruntergeladen hat, kann man sie entpacken und die Installation starten. Die bei der Installation gestellten Fragen, kann man einfach mit einem Return beantworten.

$ tar -xzf vpnclient-linux-4.8.00.0490-k9.tar.gz
$ cd vpnclient
$ sudo ./vpn_install

Nun ist der Client installiert. Bevor eine Verbindung aufgebaut werden kann müssen die Profile, sowie das Zertifikat heruntergeladen und installiert werden. Dazu müssen wieder auf der oben genannten Webseite die entsprechenden Dateien erstmal heruntergeladen werden.

• dfnpca-02.der: Das DFN-Wurzelzertifikat
• vpn-v1.pcf: Jeglicher Datenverkehr geht über die VPN-Verbindung
• vpn-split-v1.pcf: Nur der Datenverkehr zu Universitäts-Servern geht über die VPN-Verbindung)

Die Profile müssen einfach nur an den richtigen Ort kopiert werden.

$ sudo cp *.pcf /etc/CiscoSystemsVPNClient/Profiles/

Das Zertifikat muss etwas aufwändiger vom VPN Client importiert werden. Dazu ruft man in dem Verzeichnis, wo man die dfnpca-02.der abgelegt hat, die Importroutine auf…

$ sudo cisco_cert_mgr stdin -U -op import
Cisco Systems VPN Client Version 4.8.01 (0640)
Copyright (C) 1998-2007 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Linux
Running on: Linux 2.6.22-14-generic #1 SMP Sun Oct 14 21:45:15 GMT 2007 x86_64

[ Importing Certificate ]

Enter filename: dfnpca-02.der
Import Password:

Enter a password to protect your certificate.
Choose a password that you can remember.

Password:
Confirm Password:
Success: certificate imported from path: /home/ubuntu/Desktop/dfnpca-02.der

Das Passwort kann man frei setzen. Nun ist alles fertig. Der VPN Client ist installiert, die Profile eingerichtet und das Zertifikat importiert. Mittels…

$ sudo /etc/init.d/vpnclient_init start

…muss man nach der Installation einmal den VPN Dienst starten. So muss man den Rechner nicht neu starten. Anschließend baut man mit…

$ sudo vpnclient connect vpn-v1

…beziehungsweise…

$ sudo vpnclient connect vpn-split-v1

…die Verbindung auf. Von nun an ist man im Netz der Universität und sollte sofort auf das Internet und Rechner innerhalb der Uni zugreifen können. Wer möchte kann noch die Zugriffsrechte zur ausführbaren Datei des Cisco VPN Clienten ändern. Nach einem…

$ sudo chmod 4111 /opt/cisco-vpnclient/bin/cvpnd

…braucht man keine Root-Rechte mehr um „vpnclient“ auszuführen.

UPDATE: Dieser Artikel ist veraltet! Sollten Sie über eine Internetsuche auf diesen Artikel gestoßen sein, so schauen Sie sich bitte besser den Artikel VPN der Uni-Karlsruhe mit vpnc (überarbeitet)… an. Dieser enthält die selben Informationen, ist jedoch auf einem aktuellen Stand!

Darüber hinaus enthält vpnc Codeteile, die der GPL widersprechen würden. Daher ist dieser Teil meist nicht in den Distributionen enthalten. Aus diesem Grunde muss man vpnc selber kompilieren. Ich möchte dies am Beispiel unter Ubuntu und anhand der Universität Karlsruhe durchführen.

Installation

Von der Homepage (s.o.) des Projektes muss man zunächst die aktuelle Version herunterladen. Im Moment ist dies die Version 0.5.1. Diese muss erst entpackt werden.

$ tar -xzf vpnc-0.5.1.tar.gz

Damit die Paketverwaltung das selbst compilierte vpnc nicht mit der Version aus den Paketquellen ersetzt, fügt man an das Ende des Verzeichnisnamens, noch ein Kürzel an. Später beim Compilieren wird dieses Kürzel mit in die Versionsnummer übernommen. So ist das eigene vpnc-Paket vor der Paketverwaltung „sicher“.

$ mv vpnc-0.5.1 vpnc-0.5.1-christoph1
$ cd vpnc-0.5.1-christoph1

Anschließend muss der besagte, gegen die GPL verstoßenende Teil, einkommentiert werden. Dazu öffnet man das Makefile in einem Editor. Also beispielsweise gedit Makefile und entfernt die Raute „#“ vor den Zeilen 49,50 so dass dieser Abschnitt am Ende so…

OPENSSL_GPL_VIOLATION = -DOPENSSL_GPL_VIOLATION
OPENSSLLIBS = -lcrypto

…aussieht. Nun muss man die zum Compilieren nötigen Pakete installieren. Dieses kann man bei Ubuntu über die Paketverwaltung machen. Dazu einfach…

$ sudo apt-get install libssl-dev build-essential dh-make fakeroot
$ sudo apt-get build-dep vpnc

…ausführen. Alle benötigten Pakete werden installiert. Nun geht es an das Compilieren. Der Reihe nach führe man diese Befehle aus.

$ make
$ dh_make -f ../vpnc-0.5.1.tar.gz
$ fakeroot debian/rules binary
$ sudo dpkg -i ../vpnc_0.5.1-1*.deb

Dies erstellt ein DEB-Paket das sich über die Paketverwaltung installieren, und somit auch wieder einfach deinstallieren lässt. Die Frage bei dh_make, nach der Art des Binaries kann man mit S für eine single binary beantworten.

Zertifikat

Nun ist vpnc in der nötigen Version installiert, so dass man es benutzen könnte. Doch bevor man eine Verbindung zum VPN aufbauen kann, benötigt man noch das Zertifikat des VPN. Im Fall der Universität Karlsruhe bekommt man dieses über die Homepage des Rechenzentrums www.rz.uni-karlsruhe.de. In der unteren rechten Ecke findet man eine Box, wo man „Smartlinks“ eingeben kann. Mit dem Code „dfnpem“ erhält man das Zertifikat, das man als Download einfach abspeichern kann, beispielsweise auf dem Desktop. Von dort muss man es mit dem folgenden Befehl an die passende Stelle kopieren.

$ sudo cp ~/Desktop/dfnpca-02.pem /etc/ssl/certs/

Konfiguration

Schließlich muss noch vpnc konfiguriert werden. Dies geschieht über die Datei /etc/vpnc/default.conf. Über einen Editor sudo gedit /etc/vpnc/default.conf fügt man den Inhalt…

IPSec gateway vpn.uni-karlsruhe.de
IPSec ID vpn
IPSec obfuscated secret ABED22A5C87C97A1A46DCF3B7318FF31A3DCF07E1714F1F0A62DA51456D94BD62FCC576D465E24FD55463E2E5E673BA8
IKE Authmode hybrid
Xauth username u...
Xauth password xxx
CA-File /etc/ssl/certs/dfnpca-02.pem

…ein. Natürlich müssen der Benutzername und das Passwort noch angepasst werden. Damit diese Daten vor dem Einblick Dritter geschützt sind, sollte man mit

$ sudo chmod 600 /etc/vpnc/default.conf

die Dateirechte entsprechend setzen.

Verbindungsaufbau

Von nun an kann die Verbindung zum VPN über die folgenden einfachen Befehle auf- beziehungsweise wieder abgebaut werden.

$ sudo vpnc
$ sudo vpnc-disconnect