Linux: VPN Client und Profildateien: Unterschied zwischen den Versionen

Aus helpdesk
Zur Navigation springen Zur Suche springen
Zeile 11: Zeile 11:
VPN-Klient ist dann gut in den grafischen NetworkManager
VPN-Klient ist dann gut in den grafischen NetworkManager
integriert. Außerdem ist er für die vorhandene Architektur optimiert
integriert. Außerdem ist er für die vorhandene Architektur optimiert
und nicht lediglich für i386 compiliert. Zudem verweist die
und nicht lediglich für i386 compiliert. Vor allem aber werden
[http://www.infradead.org/openconnect/index.html Website von openconnect] auf mehrere Sicherheits-Vorteile.
Security- und Bug-Fixes beim Systemupdate eingespielt und man muss
sie nicht zusätzlich von Cisco holen. Zudem verweist die
[http://www.infradead.org/openconnect/index.html Website von openconnect]  
auf mehrere Sicherheits-Vorteile.


Unter Ubuntu oder Debian verwendet man zur Installation den grafischen
Unter Ubuntu oder Debian verwendet man zur Installation den grafischen
Paketmanager oder gibt Folgendes an der Kommandozeile ein:
Paketmanager oder gibt Folgendes an der Kommandozeile ein:


<code>$ sudo aptitude install vpnc</code>
<source lang="bash">$ sudo aptitude install vpnc</source>


bzw.
bzw.


<code>$ sudo aptitude install openconnect</code>
<source lang="bash">$ sudo aptitude install openconnect</source>


Dies sind die VPN-Klienten für die Kommandozeile. Wenn man eine
Dies sind die VPN-Klienten für die Kommandozeile. Wenn man eine
Zeile 27: Zeile 30:
Plugins für den NetworkManager installieren:
Plugins für den NetworkManager installieren:


<code>$ sudo aptitude install network-manager-vpnc</code>
<source lang="bash">$ sudo aptitude install network-manager-vpnc</source>


bzw.
bzw.


<code>$ sudo aptitude install network-manager-openconnect</code>
<source lang="bash">$ sudo aptitude install network-manager-openconnect</source>




Zeile 51: Zeile 54:
VPN-Verbindung aufgebaut:
VPN-Verbindung aufgebaut:


<code>$ sudo vpnc fernuni</code>
<source lang="bash">$ sudo vpnc fernuni</source>


Oder allgemeiner:
Oder allgemeiner:


<code>$ sudo vpnc PROFILNAME</code>
<source lang="bash">$ sudo vpnc PROFILNAME</source>


Die Dateien <tt>/etc/vpnc/default.conf</tt>
Die Dateien <tt>/etc/vpnc/default.conf</tt>
Zeile 64: Zeile 67:
von vpnc. Sie wird an der Kommandozeile aufgerufen mit
von vpnc. Sie wird an der Kommandozeile aufgerufen mit


<code>$ man vpnc</code>
<source lang="bash">$ man vpnc</source>


===Inhalt der Profildatei===
===Inhalt der Profildatei===
Zeile 77: Zeile 80:
kann, <tt>pcf2vpnc</tt>.
kann, <tt>pcf2vpnc</tt>.


<pre>
<source lang="bash">
$ whatis pcf2vpnc  
$ whatis pcf2vpnc  
pcf2vpnc (1)        - converts VPN-config files from pcf to vpnc-format
pcf2vpnc (1)        - converts VPN-config files from pcf to vpnc-format
</pre>  
</source>  


Dieser Konverter wird bei der Installation
Dieser Konverter wird bei der Installation
Zeile 86: Zeile 89:
[http://www.fernuni-hagen.de/imperia/md/content/zmi/produkte/fu_vpn_stud_nat.pcf Zugangsprofil für Studierende und MitarbeiterInnen mit privatem Netzwerk ohne split-Tunneling] folgendermaßen konvertiert:
[http://www.fernuni-hagen.de/imperia/md/content/zmi/produkte/fu_vpn_stud_nat.pcf Zugangsprofil für Studierende und MitarbeiterInnen mit privatem Netzwerk ohne split-Tunneling] folgendermaßen konvertiert:


<pre>
<source lang="bash">
$ pcf2vpnc fu_vpn_stud_nat.pcf  
$ pcf2vpnc fu_vpn_stud_nat.pcf  
## generated by pcf2vpnc
## generated by pcf2vpnc
Zeile 95: Zeile 98:
Xauth username riess
Xauth username riess
IKE Authmode psk
IKE Authmode psk
</pre>
</source>


Diese Ausgabe von <tt>pcf2vpnc</tt> ist jetzt in einer
Diese Ausgabe von <tt>pcf2vpnc</tt> ist jetzt in einer
Zeile 103: Zeile 106:
Kommandozeile:
Kommandozeile:


<code>$ sudo sh -c 'pcf2vpnc fu_vpn_stud_nat.pcf | sed s/riess/BENUTZERNAME/ > /etc/vpnc/fernuni.conf'</code>
<source lang="bash">
$ sudo sh -c 'pcf2vpnc fu_vpn_stud_nat.pcf | sed s/riess/BENUTZERNAME/ > /etc/vpnc/fernuni.conf'
</source>


Man kann die Zeile <tt>Xauth username BENUTZERNAME</tt> übrigens auch
Man kann die Zeile <tt>Xauth username BENUTZERNAME</tt> übrigens auch
Zeile 117: Zeile 122:
werden:
werden:


<pre>
<source lang="bash">
$ sudo vpnc fernuni
$ sudo vpnc fernuni
Enter password for BENUTZERNAME@132.176.101.101:  
Enter password for BENUTZERNAME@132.176.101.101:  
VPNC started in background (pid: 17370)...
VPNC started in background (pid: 17370)...
</pre>
</source>


Jetzt ist der Rechner Teil des Netzes der Fernuni. Wer sich im
Jetzt ist der Rechner Teil des Netzes der Fernuni. Wer sich im
Zeile 129: Zeile 134:
Deaktiviert wird die Tunnelung über VPN durch  
Deaktiviert wird die Tunnelung über VPN durch  


<pre>
<source lang="bash">
$ sudo vpnc-disconnect
$ sudo vpnc-disconnect
Terminating vpnc daemon (pid: 17370)
Terminating vpnc daemon (pid: 17370)
</pre>
</source>




Zeile 138: Zeile 143:
ansehen. Sie sollte ungefähr so aussehen:
ansehen. Sie sollte ungefähr so aussehen:


<pre>
<source lang="bash">
$ sudo vpnc fernuni
$ sudo vpnc fernuni
Enter password for BENUTZERNAME@132.176.101.101:  
Enter password for BENUTZERNAME@132.176.101.101:  
Zeile 149: Zeile 154:
132.176.134.0  *              255.255.255.0  U    0      0        0 tun0
132.176.134.0  *              255.255.255.0  U    0      0        0 tun0
localnet        *              255.255.255.0  U    0      0        0 eth0
localnet        *              255.255.255.0  U    0      0        0 eth0
</pre>
</source>


Das besagt Folgendes: Zeile 1: Jedes Paket mit Ziel Internet wird über
Das besagt Folgendes: Zeile 1: Jedes Paket mit Ziel Internet wird über
Zeile 192: Zeile 197:
auszuwählen und Benutzernamen und Passwort anzugeben:
auszuwählen und Benutzernamen und Passwort anzugeben:


<pre>
<source lang="bash">
$ sudo openconnect https://webvpn.fernuni-hagen.de -b
$ sudo openconnect https://webvpn.fernuni-hagen.de -b
Attempting to connect to 132.176.101.101:443
Attempting to connect to 132.176.101.101:443
Zeile 212: Zeile 217:
Continuing in background; pid 20999
Continuing in background; pid 20999
Established DTLS connection
Established DTLS connection
</pre>
</source>


Mit der Option <tt>-b</tt> wird der Client als Hintergrundprozess
Mit der Option <tt>-b</tt> wird der Client als Hintergrundprozess
Zeile 221: Zeile 226:
wiederhergestellt. Also:
wiederhergestellt. Also:


<pre>
<source lang="bash">
$ sudo kill -SIGINT 20999
$ sudo kill -SIGINT 20999
Send BYE packet: Client received SIGINT
Send BYE packet: Client received SIGINT
</pre>
</source>


Wer die Handhabung der Prozess-IDs (hier 20999) scheut, der hat
Wer die Handhabung der Prozess-IDs (hier 20999) scheut, der hat
Zeile 253: Zeile 258:
ungefähr so aus:
ungefähr so aus:


<pre>
<source lang="bash">
$ cat /etc/resolv.conf
$ cat /etc/resolv.conf
#@VPNC_GENERATED@ -- this file is generated by vpnc
#@VPNC_GENERATED@ -- this file is generated by vpnc
Zeile 261: Zeile 266:
nameserver 132.176.129.201
nameserver 132.176.129.201
nameserver 132.176.129.203
nameserver 132.176.129.203
</pre>
</source>


Eine intakte <tt>/etc/resolv.conf</tt> bei Betrieb des Rechners hinter
Eine intakte <tt>/etc/resolv.conf</tt> bei Betrieb des Rechners hinter
Zeile 267: Zeile 272:
Nameserver (Weiterleitung vom ISP) dient, sieht eher so aus:
Nameserver (Weiterleitung vom ISP) dient, sieht eher so aus:


<pre>
<source lang="bash">
$ cat /etc/resolv.conf
$ cat /etc/resolv.conf
search homelinux.org
search homelinux.org
nameserver 192.168.0.1
nameserver 192.168.0.1
</pre>
</source>


(Anmerkung: homelinux.org ist bei mir die lokale Domain, das ist
(Anmerkung: homelinux.org ist bei mir die lokale Domain, das ist
Zeile 285: Zeile 290:
auf, wenn der Tunnel aufgrund von Störungen des ISP oder bei der
auf, wenn der Tunnel aufgrund von Störungen des ISP oder bei der
Fernuni zusammenbricht.
Fernuni zusammenbricht.
[[Kategorie: {VPN}{Linux}]]


[[Kategorie:VPN]]
[[Kategorie:VPN]]
[[Kategorie:Zugang_FUNet_Internet-Dienste]]
[[Kategorie:Zugang_FUNet_Internet-Dienste]]

Version vom 10. Januar 2015, 19:43 Uhr

Software

In gängigen Linux-Distributionen sind Cisco-kompatible VPN-Klienten vorhanden. Es ist also nicht nötig, einen der VPN-Klienten von Cisco zu installieren, sondern man kann einfach einen der passenden VPN-Klienten der Distribution mit Hilfe der Paketverwaltung (sei es RPM oder DEB) installieren. Man hat dabei die Wahl zwischen vpnc und openconnect.

Die Installation aus den Archiven der Distribution hat Vorteile: Der VPN-Klient ist dann gut in den grafischen NetworkManager integriert. Außerdem ist er für die vorhandene Architektur optimiert und nicht lediglich für i386 compiliert. Vor allem aber werden Security- und Bug-Fixes beim Systemupdate eingespielt und man muss sie nicht zusätzlich von Cisco holen. Zudem verweist die Website von openconnect auf mehrere Sicherheits-Vorteile.

Unter Ubuntu oder Debian verwendet man zur Installation den grafischen Paketmanager oder gibt Folgendes an der Kommandozeile ein:

$ sudo aptitude install vpnc

bzw.

$ sudo aptitude install openconnect

Dies sind die VPN-Klienten für die Kommandozeile. Wenn man eine Integration in die grafische Oberfläche will, muss man entsprechende Plugins für den NetworkManager installieren:

$ sudo aptitude install network-manager-vpnc

bzw.

$ sudo aptitude install network-manager-openconnect



vpnc

Profil-Dateien und Aufruf von vpnc

Für die VPN-Verbindung zur FernUni benötigt vpnc eine auf .conf endende Profil- oder Konfigurationsdatei im Verzeichnis /etc/vpnc/, also zum Beispiel /etc/vpnc/fernuni.conf, oder allgemein /etc/vpnc/PROFILNAME.conf.

Der Klient wird dann mit folgendem Kommando gestartet und die VPN-Verbindung aufgebaut:

$ sudo vpnc fernuni

Oder allgemeiner:

$ sudo vpnc PROFILNAME

Die Dateien /etc/vpnc/default.conf bzw. /etc/vpnc.conf sind zur Definition eines default-Profils vorgesehen. Der Verbindungsaufbau kann dann einfach mit $ sudo vpnc vorgenommen werden. Weitere Informationen auch über alternative Orte für Konfigurationsdateien findet man auf der man-Page von vpnc. Sie wird an der Kommandozeile aufgerufen mit

$ man vpnc

Inhalt der Profildatei

Was aber muss denn drinstehen in so einer Konfigurationsdatei? Es können nicht einfach die pcf-Dateien verwendet werden, die die Fernuni zur Verfügung stellt, z.B. [1]. Der Grund: Die Konfigurationsparameter von vpnc haben andere Namen als die des proprietären Cisco-VPN-Klienten. Es gibt aber glücklicherweise ein Programm, das Cisco's pcf-Dateien konvertieren kann, pcf2vpnc.

$ whatis pcf2vpnc 
pcf2vpnc (1)         - converts VPN-config files from pcf to vpnc-format

Dieser Konverter wird bei der Installation von vpnc gleich mitinstalliert. Zum Beispiel wird das Zugangsprofil für Studierende und MitarbeiterInnen mit privatem Netzwerk ohne split-Tunneling folgendermaßen konvertiert:

$ pcf2vpnc fu_vpn_stud_nat.pcf 
## generated by pcf2vpnc
IPSec ID FU-VPN-STUD-NAT
IPSec gateway 132.176.101.101
IPSec secret FU-VPN-STUD-NAT

Xauth username riess
IKE Authmode psk

Diese Ausgabe von pcf2vpnc ist jetzt in einer Konfigurationsdatei, z.B. in /etc/vpnc/fernuni.conf zu speichern und dabei 'riess' durch den sprechenden Benutzernamen zu ersetzen. Das geht mit dem Editor Ihrer Wahl oder einfach von der Kommandozeile:

$ sudo sh -c 'pcf2vpnc fu_vpn_stud_nat.pcf | sed s/riess/BENUTZERNAME/ > /etc/vpnc/fernuni.conf'

Man kann die Zeile Xauth username BENUTZERNAME übrigens auch fortlassen. Dann wird man bei Aufbau des VPN-Tunnels nach einem Benutzernamen gefragt.

Für die anderen pcf-Dateien geht man entsprechend vor.


Herstellen und Trennen der Verbindung von der Kommandozeile

Nach der Konfiguration kann die Verbindung folgendermaßen aufgebaut werden:

$ sudo vpnc fernuni
Enter password for BENUTZERNAME@132.176.101.101: 
VPNC started in background (pid: 17370)...

Jetzt ist der Rechner Teil des Netzes der Fernuni. Wer sich im Internet auf entsprechenden Seiten seine IP-Nummer anzeigen lässt, wird eine IP aus dem Range der Fernuni sehen: 132.176.0.0.

Deaktiviert wird die Tunnelung über VPN durch

$ sudo vpnc-disconnect
Terminating vpnc daemon (pid: 17370)


Wer möchte, kann sich auch die routing-Tabelle des Kernels ansehen. Sie sollte ungefähr so aussehen:

$ sudo vpnc fernuni
Enter password for BENUTZERNAME@132.176.101.101: 
VPNC started in background (pid: ...
$ sudo route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 tun0
vpn-public-r1.f 192.168.0.1     255.255.255.255 UGH   0      0        0 eth0
132.176.134.0   *               255.255.255.0   U     0      0        0 tun0
localnet        *               255.255.255.0   U     0      0        0 eth0

Das besagt Folgendes: Zeile 1: Jedes Paket mit Ziel Internet wird über den Tunnel tun0 geschickt. Zeile 2: Pakete mit Ziel vpn-public-r1.f[...ernuni-hagen.de] (= 132.176.101.101), also mit Ziel Tunnel-Endpunkt gehen über die Netzwerkschnittstelle eth0 und den Gateway 192.168.0.1 (einen Router im lokalen Netz); diese Route ist ein Gateway (G-Flag). Zeile 3: Pakete mit einem Ziel im Fernuni-IP-Range 132.176.134.0 gehen auch über tun0. Zeile 4: Pakete für das lokale Netzwerk gehen über die Netzwerkschnittstelle eth0. - Wer mehr davon verstehen will, lese unter [2] nach.


Integration in den NetworkManager (Gnome)

Wer eine Integration in den grafischen NetworkManager bevorzugt, installiere das Paket network-manager-vpnc wie oben beschrieben. Dieses Plugin für das NetworkManager-Framework stellt eine komfortable grafische Schnittstelle zum oben beschriebenen vpnc zur Verfügung. vpnc wird bei der Installation des Plugins durch die Paketverwaltung übrigens automatisch mitinstalliert. Erfahrungsberichte über eine Verwendung des NetworkManagers finden sich unter Ubuntu_und_VPN.

Integration mittels kvpnc (KDE)

Alternativ kann man auch das grafische Frontend für vpnc von KDE nehmen. Eine Beschreibung findet sich unter Installation_des_VPN-Clients_unter_Kubuntu_Linux_7.04_(feisty). Die dort beschriebene Konfiguration ist aber nicht sinnvoll, weil die Konfigurationsdatei für das grafische Frontend für die Konfiguration des Backends verwendet wird.


openconnect

Mit openconnect ist die Herstellung eines VPN-Tunnels sehr einfach. Nach Eingabe des Befehls wird man aufgefordert, ein Profil auszuwählen und Benutzernamen und Passwort anzugeben:

$ sudo openconnect https://webvpn.fernuni-hagen.de -b
Attempting to connect to 132.176.101.101:443
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/
Got HTTP response: HTTP/1.0 302 Object Moved
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Please enter your username and password.
GROUP: [FeU-Hagen-SSL-VPN|FeU-Hagen-SSL-VPN-Split|FeU-Hagen-SSL-VPNLLA|FeU-Personal|HomeIPPhone|IPPhone|Reserviert]:FeU-Hagen-SSL-VPN
Username:lueck
Password:
POST https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 30, Keepalive 20
Connected tun0 as 132.176.134.98, using SSL
Continuing in background; pid 20999
Established DTLS connection

Mit der Option -b wird der Client als Hintergrundprozess gestartet. Wenn man den VPN-Tunnel wieder abschalten möchte, beendet man nicht einfach brachial den Prozess, sondern sendet ihm statt SIGTERM besser SIGINT. Das beendet den Prozess sauber und es werden die vorherigen Netzwerk-Einstellungen wiederhergestellt. Also:

$ sudo kill -SIGINT 20999
Send BYE packet: Client received SIGINT

Wer die Handhabung der Prozess-IDs (hier 20999) scheut, der hat folgende Möglichkeiten: Man kann openconnect ohne die Option -b aufrufen, um den Tunnel aufzubauen, und mit der Tastenkombination 'Strg' + 'c' den Prozess und den VPN-Tunnel beenden (sendet auch SIGINT). Oder man kann auf den konfortablen NetworkManager zurückgreifen.

Integration in den grafischen NetworkManager

Wer die Verwaltung des Netzwerks unter Gnome o.ä. vorzieht, der installiere das openconnect-Plugin für den NetworkManager: network-manager-openconnect.

Fehlerbehebung

Internet wie tot - keine Namensauflösung

Wird ein VPN-Tunnel unsauber beendet wird, kann es zu dem unangenehmen Problem kommen, dass beim Surfen im Netz keine URLs mehr gefunden (aufgelöst) werden. Das liegt unter Umständen daran, dass die Konfiguration der Namensauflösung nicht wieder hergestellt worden ist, sondern noch wie beim Betrieb des VPN-Tunnel konfiguriert ist. In der Datei /etc/resolv.conf stehen dann noch die Nameserver der Fernuni und nicht der/die Nameserver des Internet-Service-Providers (ISP) bzw. die Adresse des Routers im Heimnetz. Die Datei sieht dann ungefähr so aus:

$ cat /etc/resolv.conf
#@VPNC_GENERATED@ -- this file is generated by vpnc
# and will be overwritten by vpnc
# as long as the above mark is intact
search homelinux.org fernuni-hagen.de
nameserver 132.176.129.201
nameserver 132.176.129.203

Eine intakte /etc/resolv.conf bei Betrieb des Rechners hinter einem wlan-Router mit lokalem Netzwerk, wobei dieser Router auch als Nameserver (Weiterleitung vom ISP) dient, sieht eher so aus:

$ cat /etc/resolv.conf
search homelinux.org
nameserver 192.168.0.1

(Anmerkung: homelinux.org ist bei mir die lokale Domain, das ist beliebig und nicht aussagekräftig.)

vpnc erstellt glücklicherweise ein Backup der ursprünglichen Datei unter /var/run/vpnc/resolv.conf-backup. Mit Hilfe dieses Backups muss /etc/resolv.conf dann manuell wieder hergestellt werden (kopieren). Ein Neustart des Systems hilft hingegen nicht.

Dieses Problem taucht bei Verwendung von vpnc schon einmal auf, wenn der Tunnel aufgrund von Störungen des ISP oder bei der Fernuni zusammenbricht.