OpenConnect VPN client
Ab dem 11.01.2024 wird das VPN Gateway ein neues Serverzertifikat haben und AnyConnect wird dessen Vertrauenswürdigkeit mit dem neuen Root-Zertifikat der TU Dresden abgleichen:
SectigoChain.pem
Wenn Sie eine Fehlermeldung wie "Untrusted VPN server certificate" erhalten, können Sie diese Root-Zertifikatskette in den vertrauenswürdigen Stammzertifikatsspeicher auf Ihrem lokalen System importieren.
VPN an der TU-Dresden kann statt mit dem AnyConnect Secure Mobility Client von Cisco auch mit der freien Software Openconnect VPN Client genutzt werden.
Anleitung für Linux (Ubuntu 18.10 LTS und neuer):
Installation von openconnect / network-manager-openconnect / network-manager-openconnect-gnome
Öffnen Sie unter Ubuntu das "Ubuntu Software Center", suchen dort nach "openconnect", "network-manager-openconnect" und " network-manager-openconnect-gnome" und installieren Sie diese. Oder installieren Sie die Pakete über das APT auf der Kommandozeile:
sudo apt-get install openconnect network-manager-openconnect network-manager-openconnect-gnome
Rebooten Sie Ihren Computer und loggen Sie sich wieder ein.
Starten Sie den Einstellungsmanager, indem Sie auf das Toolbox-Icon (Schraubendreher/Maulschlüssel) klicken:
In dem folgenden Fenster klicken Sie auf "Network" und dann auf das "+" neben "VPN":
In diesem Fenster wählen Sie den Connection-Typ aus und klicken auf "Cisco AnyConnect Compatible VPN (openconnect)":
Füllen Sie das dann erscheinende Formular aus. Geben Sie für die Verbindung einen "Name" (z.B. "TU Dresden") ein und den Namen des VPN-Gatewas ("vpn2.zih.tu-dresden.de"). Für das "CA Certificate" kopieren Sie die Zertifikatskette der TU-DFN-PKI von hier herunter, speichern Sie diese als TUD-CACert.pem ab und verweisen Sie in dem Formularfeld "CA Certificate" auf diese Datei.
Klicken Sie dann auf den "Add"-Button:
Um die VPN-Verbindung aufzubauen, klicken Sie nochmals auf das Toolbox-Icon und unter "Network" schalten Sie bei "VPN" die neue Verbindung "TU Dresden VPN" ein (von OFF auf ON). Dazu muss Ihr Computer eine aktive Netzwerkverbindung über WLAN oder Ethernet aufgebaut haben.
Im Fenster "Connect to VPN 'TU Dresden'" wählen Sie bei "GROUP" eine Split-Group (z.B. A-Tunnel-TU-Networks) aus. Dann geben Sie Ihre Credentials ein: "Username:" (<ZIH-Username>@tu-dresden.de) und "Password:", dabei ist "user" durch Ihren persönlichen Usernamen am ZIH zu ersetzen. Und bei "Password" geben Sie Ihr ZIH-Passwort ein.
Klicken Sie dann auf den Button "Login":
Danach sollte die VPN Verbindung aufgebaut werden. In der Linux-Statusleiste oben ist dann ein kleines Vorhängeschloss-Symbol sichtbar:
Um die VPN Verbindung zu trennen, klicken Sie wieder auf das Toolbox-Icon und schalten unter "Network" --> "VPN" die Verbindung "TU Dresden VPN" aus (von ON auf OFF)
Die VPN Verbindung kann auch mit einem einfachen CLI-Kommando hergestellt werden:
sudo openconnect -u <ZIH-Username>@tu-dresden.de --authgroup=A-Tunnel-TU-Networks vpn2.zih.tu-dresden.de
Anstelle der GROUP "A-Tunnel-TU-Networks" können andere Gruppen ausgewählt werden. Eine Erläuerung finden Sie hier
FAQ:
- SSL connection failure: The Diffie-Hellman prime sent by the server is not acceptable (not long enough).
(SSL-Verbindung versagt: Die Diffie-Hellman-Primzahl, die vom Server gesendet wurde, ist nicht akzeptabel (zu kurz).)
LÖSUNG: im Linux als root dieses Kommando ausführen
# update-crypto-policies --set LEGACY
Anleitung für MacOSX:
openconnect benötigt root-Rechte (sudo)
- openconnect lässt sich über die Paketmanager nix, MacPorts und homebrew installieren, bspw. via:
nix-env -iA nixpkgs.openconnect_openssl
Openconnect kann danach über die Kommandozeile gestartet werden:
openconnect -u user@tu-dresden.de --cafile /<pfad-zum-zertifikat>/tu_vpn_cert.pem --authgroup=A-Tunnel-TU-Networks vpn2.zih.tu-dresden.de - openconnect unter MacOS setzt in der Tunnel-Group A-Tunnel-TU-Networks die DNS-server nicht korrekt auf die DNS-Server der TU Dresden. Um das zu beheben nutzt man entweder die Tunnel-Group C-Tunnel-All-Networks oder das Kommando "networksetup" , um die DNS Server anzupassen.
Ein Script oc-dns.sh löst das Problem mit dem Aufruf
openconnect --script oc-dns.sh -u user@tu-dresden.de --cafile /<pfand-zum-zertifikat>/tu_vpn_cert.pem --authgroup=A-Tunnel-TU-Networks vpn2.zih.tu-dresden.de
Das Script:
!/bin/sh # Get the name of the primary network interface case "$reason" in |