VPN in der Hochschule OWL mit Linux

Einrichtung eines OpenConnect-VPN unter Linux

Um es vorweg zu nehmen: Die einfachste Variante ist diejenige, die von der Shell oder vom Skript aus aufgerufen wird. Notwendig ist dazu nir das Paket "openconnect". Der Befehl dazu, der als root ausgeführt werden muss:

openconnect -u <username> <vpn-gateway>

Der Benutzer entspricht dem dialin-Recht und muss voll qualifiziert angegeben werden, das VPN-Gateway ist immer gleich. Beispiel:

openconnect -u abc-123 vpn.hs-owl.de

# openconnect vpn.hs-owl.de                                                                                                                                  
POST https://vpn.hs-owl.de/                                                                                                                                                                
Verbindungsversuch mit Server 193.174.116.66:443
SSL-Verhandlung mit vpn.hs-owl.de
Verbunden mit HTTPS auf vpn.hs-owl.de
Server forderte ein SSL Client-Zertifikat an. Es ist keines eingerichtet
POST https://vpn.hs-owl.de/
XML POST aktiviert
Please enter your username and password.
GROUP: [1-HS-OWL|2-Fraunhofer|3-Artsystems|4-Sternenwarte|6-IWT|7-MPDV|8-Axians]:1
POST https://vpn.hs-owl.de/
Server forderte ein SSL Client-Zertifikat an. Es ist keines eingerichtet
POST https://vpn.hs-owl.de/
XML POST aktiviert
Please enter your username and password.
Username:abc-123
Password:
POST https://vpn.hs-owl.de/
CONNECT-Antwort erhalten: HTTP/1.1 200 OK
CSTP verbunden. DPD 30, Keepalive 20
Connect Banner:
| Willkommen im LAN an der
| Hochschule Ostwestfalen-Lippe.
| Mit Bestaetigung dieses Fensters erkennen Sie die aktuelle Benutzerordnung an.
| Bei Fragen wenden Sie sich bitte per Mail an:
| Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! / +49-5261-702-5044
| Welcome to the LAN at the
| OWL University of Applied Sciences.
| With confirming this notice you accept the latest revision of our terms of use.
| If you have questions please send an email to:
| Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! / +49-5261-702-5044
|

Einrichten von DTLS schlug fehl. Stattdessen wird SSL verwendet
Connected tun0 as 193.174.116.197, using SSL

Für diejenigen, die sich lieber mit der grafischen Oberfläche beschäftigen, ist der folgende Text gedacht.

1. Voraussetzungen

Um eine Verbindung zum Universitätsnetz zu bekommen, kann über eine beliebige Internet-Verbindung ein verschlüsselter Kommunikationskanal (VPN-Tunnel) aufgebaut werden. Auf diese weise erscheint der betroffene Rechner als „Universitäts-Intern“ und bekommt damit Zugang zu Ressourcen, die anderenfalls nur innerhalb der Universität erreichbar sind. Wichtiger jedoch ist die Verschlüsselung der Daten, die dafür sorgt, dass auf der Übertragungsstrecke zur Universität ein „Abhören“ nicht beziehungsweise nur mit (unvertretbar) hohem Aufwand möglich ist.

Dieser Dienst wird durch Komponenten der Firma Cisco angeboten, der wiederum nur über spezielle Software (VPN-Client) nutzbar ist.

Für die Windows-Welt bietet Cisco selbst einen Software-Client an, der hinreichend gepflegt wird. Für Linux wird zwar auch ein Client angeboten, doch ist dieser separat zu installieren, nicht über ein Paketsystem der jeweiligen Distribution.

Als Alternative bietet sich das Paket „OpenConnect“ an, das nicht nur besser gepflegt und stabiler als die AnyConnect-Variante ist, sondern als OpenSource flexibler und mit der Distribution gepflegt werden kann.

1.1 Root-Zertifikat

Als Voraussetzung muss zunächst sichergestellt sein, dass das DFN-Root-Zertifikat von der Deutschen Telekom im System bereit steht. Es kann unter der Adresse http://www.pki.dfn.de/fileadmin/PKI/zertifikate/deutsche-telekom-root-ca-2.pem herunter geladen werden und sollte im Verzeichnis /etc/ssl/certs abgelegt werden. Die meisten Distributionen haben dieses allerdings bereits an Bord.

1.2 OpenConnect

Die Software selbst sollte aus dem Distributions-Paketmanager installiert werden. Für eine manuelle Einrichtung reicht das Paket „openconnect“. In den meisten Fällen wird ein VPN Tunnel jedoch von Dektops und Notebooks benötigt und interaktiv vom Benutzer angelegt. In diesem Fall wird das Verwaltungs-Werkzeug benötigt, das üblicherweise über den NetworkManager erreicht wird.

1.3 Aktive Internetverbindung

Ein VPN Tunnel kann nur aufgebaut werden, wenn das „andere Ende“ erreichbar ist. Daher muss vor der Aktivierung des VPN eine Verbindung zum Internet vorhanden sein.

2. Installation von OpenConnect

Die Installation erfolgt über den Paketmanager. Auf der Shell geschieht das mit dem jeweiligen Paket-Manager- Werkzeug, wobei für die Integration in die Dektop-Oberfläche die jeweilige Network-Manager-Komponente ebenfalls installiert werden muss.

Debian / Ubuntu:

apt-get install network-manager-openconnect-gnome

openSuSE

zypper install networkmanager-openconnect-kde4

RedHat

yum install networkmanager-openconnect-gnome

Durch die automatische Auflösung der Abhängigkeiten werden die notwendigen zusätzlichen Pakete (openconnect, networ-manager-openconnect etc.)ebenfalls installiert

Falls der Desktop-Manager KDE verwendet wird (openSuSE, Kubuntu), sollte statt networkmanager-openconnect-gnome das Paket networkmanager-openconnect-kde4 installiert werden

Alternativ kann auch die grafische Variante des Paketmanagers (Software-Center, Synaptic, Yast ...) verwendet werden.

3. Anlegen einer VPN-Definition

Nachdem die Pakete installiert wurden, wird zunächst die VPN-Verbindung konfiguriert, was üblicherweise über Systemeinstellungen oder über die Netzwerk-Kontextmenüs geschehen kann. Im Unity-Desktop von Ubuntu existiert en entsprechender Menüpunkt „VPN konfigurieren“, der zu dem passenden Dialog führt.

Innerhalb des Dialoges öffnet sich unter „Neu“ ein weiteres Fenster, in dem der Typ des Netzwerkes ausgewählt werden kann. Hie ist die „AnyConnect kompatible VPN-Verbindung“ die richtige Wahl.

Im nachfolgenden Dialog kann der Name (hier: „Uni Bielefeld“) frei festgelegt werden. Unter diesem Namen wird die VPN-Verbindung im Netzwerk-Menü zu finden sein. Das Gateway für die VPN-Einwahl ist „vpn.hs-owl.de“, als Zertifikat wird das Telekom-Root-Zertifikat verwendet, das im Verzeichnis /etc/ssl/certs zu finden ist.

Nach Beendigung des Dialoges ist die VPN-Verbindung vollständig

4. Starten der Verbindung

Ist bereits eine Internet-Verbindung aktiv, kann die VPN-Verbindung etabliert werden. Dazu wird der neu generierte vpn-Eintrag ausgewählt, was den Anmeldedialog startet.

Zunächst erscheint in der Maske kein Feld für Benutzername und Passwort. Um dieses zu erreichen muss der „Connect“-Knopf rechts neben dem vpn-host-Eintrag aktiviert werden.

Verwenden Sie als Username Ihre Login-Kennung, wie sie im IDM-Portal zu finden ist.

Das Login erfolgt mit dem eigenen Login zusammen mit dem dort hinterlegten Passwort.

Ein Klick auf „Login“ baut den VPN-Tunnel auf, so dass der Rechner ab sofort als Teil des Campus-Netzwerkes erscheint.