Linux: VPN Client und Profildateien: Unterschied zwischen den Versionen

Software

In gängigen Linux-Distributionen sind Cisco-kompatible VPN-Klienten vorhanden. Es ist also nicht nötig, einen der VPN-Klienten von Cisco zu installieren, sondern man kann einfach einen der passenden VPN-Klienten der Distribution mit Hilfe der Paketverwaltung (sei es RPM oder DEB) installieren. Man hat dabei die Wahl zwischen vpnc und openconnect.

Die Installation aus den Archiven der Distribution hat Vorteile: Der VPN-Klient ist dann gut in den grafischen NetworkManager integriert. Außerdem ist er für die vorhandene Architektur optimiert und nicht lediglich für i386 compiliert. Vor allem aber werden Security- und Bug-Fixes beim Systemupdate eingespielt und man muss sie nicht zusätzlich von Cisco holen. Zudem verweist die Website von openconnect auf mehrere Sicherheits-Vorteile.

Unter Ubuntu oder Debian verwendet man zur Installation den grafischen Paketmanager oder gibt Folgendes an der Kommandozeile ein:

$ sudo aptitude install vpnc

bzw.

$ sudo aptitude install openconnect

Dies sind die VPN-Klienten für die Kommandozeile. Wenn man eine Integration in die grafische Oberfläche will, muss man entsprechende Plugins für den NetworkManager installieren:

$ sudo aptitude install network-manager-vpnc

bzw.

$ sudo aptitude install network-manager-openconnect

vpnc

Profil-Dateien und Aufruf von vpnc

Für die VPN-Verbindung zur FernUni benötigt vpnc eine auf .conf endende Profil- oder Konfigurationsdatei im Verzeichnis /etc/vpnc/, also zum Beispiel /etc/vpnc/fernuni.conf, oder allgemein /etc/vpnc/PROFILNAME.conf.

Der Klient wird dann mit folgendem Kommando gestartet und die VPN-Verbindung aufgebaut:

$ sudo vpnc fernuni

Oder allgemeiner:

$ sudo vpnc PROFILNAME

Die Dateien /etc/vpnc/default.conf bzw. /etc/vpnc.conf sind zur Definition eines default-Profils vorgesehen. Der Verbindungsaufbau kann dann einfach mit $ sudo vpnc vorgenommen werden. Weitere Informationen auch über alternative Orte für Konfigurationsdateien findet man auf der man-Page von vpnc. Sie wird an der Kommandozeile aufgerufen mit

$ man vpnc

Inhalt der Profildatei

Was aber muss denn drinstehen in so einer Konfigurationsdatei? Es können nicht einfach die pcf-Dateien verwendet werden, die die Fernuni zur Verfügung stellt, z.B. [1]. Der Grund: Die Konfigurationsparameter von vpnc haben andere Namen als die des proprietären Cisco-VPN-Klienten. Es gibt aber glücklicherweise ein Programm, das Cisco's pcf-Dateien konvertieren kann, pcf2vpnc.

$ whatis pcf2vpnc 
pcf2vpnc (1)         - converts VPN-config files from pcf to vpnc-format

Dieser Konverter wird bei der Installation von vpnc gleich mitinstalliert. Zum Beispiel wird das Zugangsprofil für Studierende und MitarbeiterInnen mit privatem Netzwerk ohne split-Tunneling folgendermaßen konvertiert:

$ pcf2vpnc fu_vpn_stud_nat.pcf 
## generated by pcf2vpnc
IPSec ID FU-VPN-STUD-NAT
IPSec gateway 132.176.101.101
IPSec secret FU-VPN-STUD-NAT

Xauth username riess
IKE Authmode psk

Diese Ausgabe von pcf2vpnc ist jetzt in einer Konfigurationsdatei, z.B. in /etc/vpnc/fernuni.conf zu speichern und dabei 'riess' durch den sprechenden Benutzernamen zu ersetzen. Das geht mit dem Editor Ihrer Wahl oder einfach von der Kommandozeile:

$ sudo sh -c 'pcf2vpnc fu_vpn_stud_nat.pcf | sed s/riess/BENUTZERNAME/ > /etc/vpnc/fernuni.conf'

Man kann die Zeile Xauth username BENUTZERNAME übrigens auch fortlassen. Dann wird man bei Aufbau des VPN-Tunnels nach einem Benutzernamen gefragt.

Für die anderen pcf-Dateien geht man entsprechend vor.

Herstellen und Trennen der Verbindung von der Kommandozeile

Nach der Konfiguration kann die Verbindung folgendermaßen aufgebaut werden:

$ sudo vpnc fernuni
Enter password for BENUTZERNAME@132.176.101.101: 
VPNC started in background (pid: 17370)...

Jetzt ist der Rechner Teil des Netzes der Fernuni. Wer sich im Internet auf entsprechenden Seiten seine IP-Nummer anzeigen lässt, wird eine IP aus dem Range der Fernuni sehen: 132.176.0.0.

Deaktiviert wird die Tunnelung über VPN durch

$ sudo vpnc-disconnect
Terminating vpnc daemon (pid: 17370)

Wer möchte, kann sich auch die routing-Tabelle des Kernels ansehen. Sie sollte ungefähr so aussehen:

$ sudo vpnc fernuni
Enter password for BENUTZERNAME@132.176.101.101: 
VPNC started in background (pid: ...
$ sudo route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 tun0
vpn-public-r1.f 192.168.0.1     255.255.255.255 UGH   0      0        0 eth0
132.176.134.0   *               255.255.255.0   U     0      0        0 tun0
localnet        *               255.255.255.0   U     0      0        0 eth0

Das besagt Folgendes: Zeile 1: Jedes Paket mit Ziel Internet wird über den Tunnel tun0 geschickt. Zeile 2: Pakete mit Ziel vpn-public-r1.f[...ernuni-hagen.de] (= 132.176.101.101), also mit Ziel Tunnel-Endpunkt gehen über die Netzwerkschnittstelle eth0 und den Gateway 192.168.0.1 (einen Router im lokalen Netz); diese Route ist ein Gateway (G-Flag). Zeile 3: Pakete mit einem Ziel im Fernuni-IP-Range 132.176.134.0 gehen auch über tun0. Zeile 4: Pakete für das lokale Netzwerk gehen über die Netzwerkschnittstelle eth0. - Wer mehr davon verstehen will, lese unter [2] nach.

Integration in den NetworkManager (Gnome)

Wer eine Integration in den grafischen NetworkManager bevorzugt, installiere das Paket network-manager-vpnc wie oben beschrieben. Dieses Plugin für das NetworkManager-Framework stellt eine komfortable grafische Schnittstelle zum oben beschriebenen vpnc zur Verfügung. vpnc wird bei der Installation des Plugins durch die Paketverwaltung übrigens automatisch mitinstalliert. Erfahrungsberichte über eine Verwendung des NetworkManagers finden sich unter Ubuntu_und_VPN.

Integration mittels kvpnc (KDE)

Alternativ kann man auch das grafische Frontend für vpnc von KDE nehmen. Eine Beschreibung findet sich unter Installation_des_VPN-Clients_unter_Kubuntu_Linux_7.04_(feisty). Die dort beschriebene Konfiguration ist aber nicht sinnvoll, weil die Konfigurationsdatei für das grafische Frontend für die Konfiguration des Backends verwendet wird.

openconnect

Mit openconnect ist die Herstellung eines VPN-Tunnels sehr einfach. Nach Eingabe des Befehls wird man aufgefordert, ein Profil auszuwählen und Benutzernamen und Passwort anzugeben:

$ sudo openconnect https://webvpn.fernuni-hagen.de -b
Attempting to connect to 132.176.101.101:443
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/
Got HTTP response: HTTP/1.0 302 Object Moved
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Please enter your username and password.
GROUP: [FeU-Hagen-SSL-VPN|FeU-Hagen-SSL-VPN-Split|FeU-Hagen-SSL-VPNLLA|FeU-Personal|HomeIPPhone|IPPhone|Reserviert]:FeU-Hagen-SSL-VPN
Username:lueck
Password:
POST https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 30, Keepalive 20
Connected tun0 as 132.176.134.98, using SSL
Continuing in background; pid 20999
Established DTLS connection

Mit der Option -b wird der Client als Hintergrundprozess gestartet. Wenn man den VPN-Tunnel wieder abschalten möchte, beendet man nicht einfach brachial den Prozess, sondern sendet ihm statt SIGTERM besser SIGINT. Das beendet den Prozess sauber und es werden die vorherigen Netzwerk-Einstellungen wiederhergestellt. Also:

$ sudo kill -SIGINT 20999
Send BYE packet: Client received SIGINT

Wer die Handhabung der Prozess-IDs (hier 20999) scheut, der hat folgende Möglichkeiten: Man kann openconnect ohne die Option -b aufrufen, um den Tunnel aufzubauen, und mit der Tastenkombination 'Strg' + 'c' den Prozess und den VPN-Tunnel beenden (sendet auch SIGINT). Oder man kann auf den konfortablen NetworkManager zurückgreifen.

Integration in den grafischen NetworkManager

Wer die Verwaltung des Netzwerks unter Gnome o.ä. vorzieht, der installiere das openconnect-Plugin für den NetworkManager: network-manager-openconnect.

Fehlerbehebung

Internet wie tot - keine Namensauflösung

Wird ein VPN-Tunnel unsauber beendet wird, kann es zu dem unangenehmen Problem kommen, dass beim Surfen im Netz keine URLs mehr gefunden (aufgelöst) werden. Das liegt unter Umständen daran, dass die Konfiguration der Namensauflösung nicht wieder hergestellt worden ist, sondern noch wie beim Betrieb des VPN-Tunnel konfiguriert ist. In der Datei /etc/resolv.conf stehen dann noch die Nameserver der Fernuni und nicht der/die Nameserver des Internet-Service-Providers (ISP) bzw. die Adresse des Routers im Heimnetz. Die Datei sieht dann ungefähr so aus:

$ cat /etc/resolv.conf
#@VPNC_GENERATED@ -- this file is generated by vpnc
# and will be overwritten by vpnc
# as long as the above mark is intact
search homelinux.org fernuni-hagen.de
nameserver 132.176.129.201
nameserver 132.176.129.203

Eine intakte /etc/resolv.conf bei Betrieb des Rechners hinter einem wlan-Router mit lokalem Netzwerk, wobei dieser Router auch als Nameserver (Weiterleitung vom ISP) dient, sieht eher so aus:

$ cat /etc/resolv.conf
search homelinux.org
nameserver 192.168.0.1

(Anmerkung: homelinux.org ist bei mir die lokale Domain, das ist beliebig und nicht aussagekräftig.)

vpnc erstellt glücklicherweise ein Backup der ursprünglichen Datei unter /var/run/vpnc/resolv.conf-backup. Mit Hilfe dieses Backups muss /etc/resolv.conf dann manuell wieder hergestellt werden (kopieren). Ein Neustart des Systems hilft hingegen nicht.

Dieses Problem taucht bei Verwendung von vpnc schon einmal auf, wenn der Tunnel aufgrund von Störungen des ISP oder bei der Fernuni zusammenbricht.