VPN-Zugang mit KVpnc (Linux)
This article also exists in English language:
VPN-access with KVpnc (Linux)
Kurzanleitung zum Aufbau von VPN-Verbindungen zum VPN-Gateway des ZIV mit Hilfe des KDE-Frontends KVpnc.
Im Folgenden soll beschrieben werden, wie man mit Hilfe der Open-Source-Kombination vpnc/kvpnc (d.h. ohne den proprietären Cisco-Treiber zu verwenden)
eine VPN-Verbindung zum
VPN-Server der Universität Münster einrichtet.
Im Folgenden wird angenommen, dass sowohl
vpnc wie auch
KVpnc installiert sind. Beide Programme stehen
zumindest bei den neueren Distributionen bereits als Pakete zur Verfügung und können mit Hilfe von
apt-get (Ubuntu) bzw.
yast (Suse) installiert werden. Alternativ findet man die Quellcodes unter
http://www.unix-ag.uni-kl.de/~massar/vpnc/ bzw. bei
http://home.gna.org/kvpnc/en/index.html.
Anleitung:
Aufruf von
kvpnc
(es wird dabei nach dem Root-Passwort gefragt). Es erscheint die Oberfläche vom KVpnc.
Im Menu
Profil/Neues Profil (Assistent) wählen.
Weiter drücken.
Als VPN-Typ
Cisco(frei) auswählen und
Weiter drücken.
PCF-Datei importieren wählen und
Weiter drücken.
Im folgenden wird nach dem VPN-Profile (PCF-Datei) gefragt. Die vom ZIV zur Verfügung gestellten VPN-Profile
können
hier heruntergeladen werden.
Die von dort heruntergeladene Datei muss jetzt ausgewählt werden. (Normalerweise heisst diese Datei
vpnstandard.pcf.)
Es wird nach der Nutzerkennung und dem
Netzzugangspasswort (
nicht das Standard-Passwort) gefragt.
Die Passwörter können am Portal
MeinZIV geändert werden.
Vorsicht: Das Passwort wird im Klartext gespeichert, ist aber nur mit Root-Rechten lesbar. Die Passworteingabe an dieser Stelle
ist optional. Werden hier keine Angaben gemacht, fragt KVpnc jedesmal danach, wenn eine Verbindung aufgebaut werden soll.
Jetzt 3x auf
weiter klicken
Wenn bis hierhin alles geklappt hat, erscheint wieder die KVpnc-Oberfläche.
Um die restlichen Einstellungen vorzunehmen, im Menu
Einstellungen/kvpnc einrichten wählen:
Die Rubrik
Profile/Network/NAT wählen.
Den Knopf
Use UDP (NAT-T) aktivieren. Als
UDP port for NAT-T beispielsweise
10000 eintragen.
Hinweis: Bei Benutzung eines Routers mit integrierter Firewall ist es unter Umständen notwendig den entsprechenden Port weiterzuleiten.
Wie das geht, entnehme man dem Routerhandbuch. Auch kann es unter Umständen nötig sein, die Linux-Firewall (wenn vorhanden)
entsprechend zu konfigurieren.
Soll eine VPN-Verbindung aufgebaut werden, kann jetzt das gewünschte Profil ausgewählt (in diesem Fall:
vpnstandard) und auf
Verbinden gedrückt werden.
Es wird jetzt nach dem Gruppenpasswort gefragt:
Das Gruppenpasswort zu erhalten ist etwas schwieriger. Zunächst öffne man mit einem Text-Editor die Datei
vpnstandard.pcf. In dieser findet man den String:
!enc_GroupPwd=*PASSWORT*
Das
Passwort muss jetzt noch dechriffiert werden, indem man es auf
http://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode einträgt und das entschlüsselte Passwort als Gruppenpasswort verwendet.
(für vpnstandard.pcf derzeit: Der_preshardkey_$4$_vpnstandard%
Nach ggf. noch einzugebendem Netzzugangspasswort (s.o.) wird eine verschlüsselte
VPN-Verbindung zum VPN-Gateway des ZIV hergestellt. Fertig.
Durch drücken auf
Disconnect kann die Verbindung wieder getrennt werden.
Die vorgenommenen Konfigurationen werden unter
~root/.kde/share/config/kvpnrc
gespeichert.
Soll komplett von vorne begonnen werden, kann diese Datei auch gelöscht werden (ein erneuter Aufruf von KVpnc legt sie wieder an).
Probleme mit (k)vpnc bei spezifischeren Kundengateways
Das ZIV betreibt neben dem allgemeinen VPN-Gateway ("vpnstandard") auch noch viele spezifischere Gateways zum Verbinden in andere Netzzonen (vgl.
http://www.uni-muenster.de/ZIV/Technik/Netz/VPN.html).
Dazu werden speziell zur Verfügung gestellte VPN-Profile benötigt und die Nutzer müssen für diese Einwahl speziell autorisiert sein.
Um diese Dateien zu verwenden geht man wie folgt vor:
1) Öffnen Sie die .pcf Datei und kopieren Sie den Passwort-Eintrag unter
!enc_GroupPwd=*PASSWORT*
(Also den Text rechts vom Gleichheitszeichen.)
2) Gehen Sie auf die Seite
http://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode und geben Sie das kopierte
Passwort dort ein.
3) Sie erhalten ein Klartextpasswort, dass Sie in die .pcf-Datei unter
GroupPwd=*KLARTEXTPASWORT*
eintragen.
4) Achten Sie darauf, dass in der .pcf-Datei unter
Username=USERNAME@PROFILNAME
Ihr Benutzername (an der Stelle USERNAME) steht.
5) Wandeln Sie die .pcf-Datei mit Hilfe des Befehls
pcf2vpnc "DATEINAME".pcf > "DATEINAME".ovpn
in ein
OpenVPN-Format um. ("DATEINAME" steht hier für den speziellen Dateinamen, den Ihr Profil besitzt.)
6) Importieren Sie die Datei "DATEINAME".ovpn
OpenVPN-Datei in kvpnc.
Fertig.
Leider funktioniert die Verwendung dieser spezifischeren Kundengateways mit dem (k)vpnc zur Zeit leider nicht. Es könnte an der für diese Gateways nötigen
Authentifizierung mit "user@xyz" liegen: In der
TODO-Liste für den
vpnc 0.5.3 steht: "research/bugs: - usernames containing "@" unable to login".<---!>