VPN Einrichtung unter Linux
1. Voraussetzungen
Falls Sie eine Firewall verwenden, sollte folgendes erlaubt sein:
- UDP Port 500
- IP Protokoll 50 (ESP)
- UDP Port 4500 (NAT-T) bzw. TCP Port 10000 (NAT over TCP)
2. Installation des Cisco Clients
1. Wechsel in das Download Verzeichnis und Entpacken der Sourcen (tar xfvz source.tar.gz
2. Root werden durch Eingabe von su - und Wechsel in neues Verzeichnis vpnclient
3. Start der Client Installation durch Eingabe von ./vpn_install . Installer verlangt folgende Eingaben:
- Pfad für die ausführbaren Dateien
- Autostart des VPN Kernel Moduls. Dies bedeutet nur, daß das Kernel Modul geladen wird, nicht aber den Start des Clients
- Pfad zu den Kernel Quellcodes (diese müssen installiert sein)
Sie können die Angaben natürlich auch ändern, falls Sie z.B. ein anderes Verzeichnis für die ausführbaren Dateien wünschen oder der Pfad zu den Kernel Quelldateien nicht zutrifft
4. Ohne Neustart des Systems läßt sich das Kernel Modul durch Eingabe von /etc/rc.d/init.d/vpnclient_init start
starten. Dies geschieht bei jedem Neustart des Systems automatisch,
falls diese Option gewählt wurde. Eventuelle Meldungen der Art tainted Kernel können getrost ignoriert werden.
5. Überprüfen, ob Kernel Modul geladen wurde durch Eingabe des Kommandos lsmod | grep cisco_ipsec. Falls das Kommando eine Ausgabe bewirkt, war das Laden des Kernel Moduls erfolgreich.
3. Nutzung des Cisco Clients
Wichtig: Sie benötigen zur Nutzung des Clients ein
gültiges Benuterzertifikat der Hochschule Landshut. Außerdem
benötigen Sie das DFN und das CA Zertifikat der Hochschule Landshut.
Zur Konfiguration des VPN Zugangs gehen sie bitte wie folgt vor:
- Import Ihres Benutzerzertifikats in den Cisco Zertifikatsspeicher mittels Kommando cisco_cert_mgr -U -op import
. Sie werden nun aufgeforder Ihr Benutzerzertifikat anzugeben
(cert.p12) und Ihr Onetimepad einzugeben. Sie können zur Sicherheit
noch ein Passwort für Ihr Zertifikat angeben. Dies wird bei jedem
Verbindungsversuch des Clients zum VPN Server abgefragt. Falls Sie hier
kein Passwort eingeben, können Sie bei der Passwortabfrage einfach Enter drücken.
- Import des Wurzelzertifikats der Telekom, des DFN Zertifikats und des Zertifikats der Hochschule Landshut in den Cisco Zertifikatsspeichers mittels Kommando cisco_cert_mgr -R -op import . Dies jeweils fürs Telekom, DFN und das Zertifikat der Hochschule. Ohne diesen Zertifikaten schlägt die VPN Verbindungsaufnahme fehl.
- Geben Sie das Kommando cisco_cert_mgr -U -op view ein und merken Sie sich den "Common Name" Ihres importierten Zertifikates
- Öffnen Sie die Datei /etc/opt/cisco-vpnclient/Profiles/Standard.pcf mit einem Editor Ihrer Wahl
- Suchen Sie den Eintrag "CertName=", geben Sie als Wert den "Common Name" Ihres Zertifikates an und schliessen Sie die Datei
- Aufbau der Verbindung durch Eingabe von vpnclient connect Standard .