VPN - OpenConnect
Linux: Openconnect als Alternative zu AnyConnect
Für erfahrene Nutzer, die vor der manueller Konfiguration über die Kommandozeile nicht zurückschrecken, gibt es als Alternative das OpenConnect-Paket (http://www.infradead.org/openconnect/). Mit den entsprechenden Plugins wird es in den Networkmanager eingebunden. Damit funktioniert auch die Verbindung über IPv6 zu den VPN-Servern.
Installation
Für den Cisco AnyConnect Client kann als Alternative auch der OpenConnect client verwendet werden. Dieser wird über die Paketverwaltung der jeweiligen Linuxdistribution installiert. Zur Konfiguration der IP-Adresse und der Anpassung der Routingtabelle muss dazu das vpnc-script vorhanden sein, das entweder mit dem vpnc Paket installiert wird oder von der openconnect Webseite. Letzteres unterstützt dann auch IPv6 Adressen.
Ubuntu / Debian
sudo apt-get install openconnect
sudo apt-get install network-manager-openconnect
sudo apt-get install network-manager-openconnect-gnome
Der zweite und der dritte Befehl bindet openconnect in den (Gnome) Networkmananger ein. Doer kann man bei den VPN-Verbindungen nun auch openconnect auswählen. Erstellt man eine neue VPN-Verbindung, gibt man als Gateway asa-cluster.lrz.de an, stellt den Pfad für das Zertifikat ein, und gibt beim ersten Mal Benutzername und Kennwort ein.
Bebilderte Schritt-für-Schritt Anleitung:
1) In den Netzwerkeinstellungen eine neue Verbindung auswählen:
2) Als Verbindungstyp openconnect auswählen und auf Erzeugen klicken
3) VPN-Konfiguraionsfenster
Hier gibt man bei Gateway: asa-cluster.lrz.de und beim CA-Zertifikat das Root Zertifikat der Telekom (aktuell T-TeleSec GlobalRoot Class 2) ein. Damit kann der Client überprüfen, ob der VPN-Server auch der ist, für den er sich ausgibt. Die Root-Zertifikate befinden sich meist im Verzeichnis /etc/ssl/certs.
4) Hier muss nichts geändert werden.
|
Durch das Klicken auf Speichern wird die Konfiguration gesichert und man kann über das Network manager Menü in der Titelzeile den neuen VPN-Dienst LRZ ausswählen.
5) OpenConnect-VPN-Client
Für das Anmeldefenster muss erst Verbindung mit dem Server aufgenaommen werden. Dazu klickt man auf das Symbol (Einfüllstutzen für Benzin?)
6) OpenConect Anmeldefenster
Hier kann man seine benutzerdaten eingeben und die Verbindung starten.
Probleme:
Falls die DNS-Auflösung nicht funktionieren sollte, kann es helfen, den dnsmasq-Dienst im Network-Manager zu deaktivieren. Dazu wird in der Datei /etc/NetworkManager/NetworkManager.conf folgender Eintrag auskommentiert:
#dns=dnsmasq
Links:
Website: http://www.infradead.org/openconnect/
vpnc-script: http://git.infradead.org/users/dwmw2/vpnc-scripts.git/blob_plain/HEAD:/vpnc-script
dsnmasq: http://askubuntu.com/questions/631810/getting-openconnect-vpn-to-work-through-network-manager und https://www.stgraber.org/2012/02/24/dns-in-ubuntu-12-04/
Stand: 2016-04-26
