OpenConnect VPN client

Ab dem 11.01.2024 wird das VPN Gateway ein neues Serverzertifikat haben und AnyConnect wird dessen Vertrauenswürdigkeit mit dem neuen Root-Zertifikat der TU Dresden abgleichen:
SectigoChain.pem
Wenn Sie eine Fehlermeldung wie "Untrusted VPN server certificate" erhalten, können Sie diese Root-Zertifikatskette in den vertrauenswürdigen Stammzertifikatsspeicher auf Ihrem lokalen System importieren.

VPN an der TU-Dresden kann statt mit dem AnyConnect Secure Mobility Client von Cisco auch mit der freien Software Openconnect VPN Client genutzt werden.

Anleitung für Linux (Ubuntu 18.10 LTS und neuer):

Installation von openconnect / network-manager-openconnect / network-manager-openconnect-gnome

Öffnen Sie unter Ubuntu das "Ubuntu Software Center", suchen dort nach "openconnect", "network-manager-openconnect" und " network-manager-openconnect-gnome" und  installieren Sie diese. Oder installieren Sie die Pakete über das APT auf der Kommandozeile:

sudo apt-get install openconnect network-manager-openconnect  network-manager-openconnect-gnome

Rebooten Sie Ihren Computer und loggen Sie sich wieder ein.

Starten Sie den Einstellungsmanager, indem Sie auf das Toolbox-Icon (Schraubendreher/Maulschlüssel) klicken:
 

01_opc_1810 © Ubuntu18.10

In dem folgenden Fenster klicken Sie auf "Network" und dann auf das "+" neben "VPN":
 

02_opc_1810 © Ubuntu18.10

In diesem Fenster wählen Sie den Connection-Typ aus und klicken auf "Cisco AnyConnect Compatible VPN (openconnect)":

03_opc_1810 © Ubuntu18.10

Füllen Sie das dann erscheinende Formular aus. Geben Sie für die Verbindung einen "Name" (z.B. "TU Dresden") ein und den Namen des VPN-Gatewas ("vpn2.zih.tu-dresden.de"). Für das "CA Certificate" kopieren Sie die Zertifikatskette der TU-DFN-PKI von hier herunter, speichern Sie diese als TUD-CACert.pem ab und verweisen Sie in dem Formularfeld "CA Certificate" auf diese Datei.
Klicken Sie dann auf  den "Add"-Button:
 

04_opc_1810 © Ubuntu18.10


Um die VPN-Verbindung aufzubauen, klicken Sie nochmals auf das Toolbox-Icon und unter "Network" schalten Sie bei "VPN" die neue Verbindung "TU Dresden VPN" ein (von OFF auf ON). Dazu muss Ihr Computer eine aktive Netzwerkverbindung über WLAN oder Ethernet aufgebaut haben.
 

05_opc_1810 © Ubuntu18.10

Im Fenster "Connect to VPN 'TU Dresden'" wählen Sie bei "GROUP" eine Split-Group (z.B. A-Tunnel-TU-Networks) aus. Dann geben Sie Ihre Credentials ein: "Username:" (<ZIH-Username>@tu-dresden.de) und "Password:", dabei ist "user" durch Ihren persönlichen Usernamen am ZIH zu ersetzen. Und bei "Password" geben Sie Ihr ZIH-Passwort ein. 
Klicken Sie dann auf den Button "Login":

Openconnect_06 © Openconnect_06


Danach sollte die VPN Verbindung aufgebaut werden. In der Linux-Statusleiste oben ist dann ein kleines Vorhängeschloss-Symbol sichtbar:

07_opc_1810 © Ubuntu18.10


Um die VPN Verbindung zu trennen, klicken Sie wieder auf das Toolbox-Icon und schalten unter "Network" --> "VPN" die Verbindung "TU Dresden VPN" aus (von ON auf OFF)

Die VPN Verbindung kann auch mit einem einfachen CLI-Kommando hergestellt werden:
sudo openconnect -u <ZIH-Username>@tu-dresden.de --authgroup=A-Tunnel-TU-Networks vpn2.zih.tu-dresden.de

Anstelle der GROUP "A-Tunnel-TU-Networks" können andere Gruppen ausgewählt werden. Eine Erläuerung finden Sie hier

FAQ:

  • SSL connection failure: The Diffie-Hellman prime sent by the server is not acceptable (not long enough).
    (SSL-Verbindung versagt: Die Diffie-Hellman-Primzahl, die vom Server gesendet wurde, ist nicht akzeptabel (zu kurz).)
    LÖSUNG: im Linux als root dieses Kommando ausführen
    # update-crypto-policies --set LEGACY
     

Anleitung für MacOSX:

openconnect benötigt root-Rechte (sudo) 

  • openconnect lässt sich über die Paketmanager nix, MacPorts und homebrew installieren, bspw. via:
    nix-env -iA nixpkgs.openconnect_openssl
    Openconnect kann danach über die Kommandozeile gestartet werden:

    openconnect -u user@tu-dresden.de --cafile /<pfad-zum-zertifikat>/tu_vpn_cert.pem --authgroup=A-Tunnel-TU-Networks vpn2.zih.tu-dresden.de
  • openconnect unter MacOS setzt in der Tunnel-Group A-Tunnel-TU-Networks die DNS-server nicht korrekt auf die DNS-Server der TU Dresden. Um das zu beheben nutzt  man entweder die Tunnel-Group C-Tunnel-All-Networks oder das Kommando "networksetup" , um die DNS Server anzupassen.  
    Ein Script oc-dns.sh löst das Problem mit dem Aufruf
    openconnect --script oc-dns.sh -u user@tu-dresden.de --cafile /<pfand-zum-zertifikat>/tu_vpn_cert.pem --authgroup=A-Tunnel-TU-Networks vpn2.zih.tu-dresden.de

    Das Script:

!/bin/sh

# Get the name of the primary network interface
IFACE=$( echo 'show State:/Network/Global/IPv4' | scutil | grep PrimaryInterface | cut -d: -f2 | xargs echo )
SERVICE_NAME=$( networksetup -listnetworkserviceorder | grep "$IFACE" | cut -d: -f2 | cut -d, -f1 | xargs echo )

case "$reason" in
  pre-init)
    ;;
  connect|reconnect)
    echo "(Re-)Connecting ..."
    vpnc-script
    echo "Set DNS servers: $INTERNAL_IP4_DNS"
    networksetup -setdnsservers "$SERVICE_NAME" $INTERNAL_IP4_DNS
    ;;
  disconnect)
    echo "Disconnecting ..."
    vpnc-script
    echo "Clear DNS servers"
    networksetup -setdnsservers "$SERVICE_NAME" Empty
    ;;
  *)
    echo "Unknown reason '$reason'. Maybe vpnc-script is out of date" 1>&2
    exit 1
    ;;
esac
 

Zu dieser Seite

ZIH Web
Letzte Änderung: 03.01.2024