Email
Hauptinhalt

VPN unter Linux (OpenConnect, empfohlen) 

VPN auf dem Linux-Desktop mit dem Open Source VPN-Klienten OpenConnect

Aktuell 2023-05-21: Grafisches Login funktioniert nur eingeschränkt, Kommandozeile verwenden

Die unten beschriebene Lösung funktioniert wegen eines Fehlers in einem benötigten Hilfsprogramm auf einigen Rechnern nicht korrekt. Bitte verwenden Sie in diesem Fall im Terminal den Aufruf:

sudo openconnect --authgroup=unimr-vpn-staff-Passwort+2FA -u username vpn.uni-marburg.de
bzw.
sudo openconnect --authgroup=unimr-vpn-students-Passwort+2FA -u Username vpn.uni-marburg.de
Dabei ersetzen Sie username durch Ihren Staff- bzw. Students-Username.  Als Passwort verwenden Sie bitte Ihr reguläres Staff/Students-Passwort, hängen aber unmittelbar einen zweiten Faktor (TAN aus Liste, TAN aus App oder Yubikey-Ausgabe) an, vgl. https://www.uni-marburg.de/de/hrz/dienste/vpn/zwei-faktor-authentisierung-2fa-im-vpn. Das Programm läuft im Terminal weiter und bleibt im Vordergrund, das Terminal muss geöffnet bleiben. CTRL-C beendet den Prozess und die VPN-Verbindung.

Eingangsvoraussetzungen

  • Betriebssystem, Vorkenntnisse, Internet, Username

    • Betriebssystem: Ihr Linux sollte auf dem aktuellen Stand sein, d. h. alle notwendigen Updates sollten installiert sein. Diese Anleitung wurde am Beispiel von Ubuntu Linux 20.04.4 LTS (Focal Fossa) erstellt.
    • Wurzelzertifikat: Das Zertifikat USERTrust_RSA_Certification_Authority, d. h. die Datei /etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem muss vorhanden sein. Die meisten modernen Distributionen bringen das Zertifikat bereits mit.
    • Vorkenntnisse: Sie verfügen über grundlegende Kenntnisse der Systemadministration unter Linux, d. h. Sie kennen die grundsätzliche Bedeutung von Administrator-Rechten und wissen, wie man Programme installiert.
    • Ihr Internet-Zugang funktioniert zuverlässig. Sie sind mit dem Auf- und Abbau von Verbindungen vertraut und haben einen Überblick über die beteiligten Geräte (z. B. ADSL-Modem, Kabelmodem, WLAN-fähige Router etc.).
    • Username (Benutzername) und Passwort (Kennwort) Ihres Uni-Accounts (staff bzw. students) liegen Ihnen vor.

Installation

Um die OpenConnect-Fähigkeit (externer Link zum Anbieter) des Gnome Network Managers sicherzustellen, müssen über den Software Paket Manager der Linux-Distribution die entsprechenden Pakete für OpenConnect installiert werden.

Für Debian und Ubuntu installieren Sie die Pakete network-manager-openconnect und network-manager-openconnect-gnome:

  1. Stellen Sie sicher, dass Ihr Computer für die Installation über eine aktive Internet-Verbindung verfügt.
  2. Starten Sie ein Terminal. Dies kann je nach verwendetem Desktop Manager auf unterschiedlichem Wege erfolgen:
    • Unity Desktop, Gnome 2 Desktop: Drücken Sie die Tastenkombination Alt + F2, geben Sie im Suchfeld nach "gnome-terminal" ein und starten Sie das entprechende Programm.
    • Gnome 3 Desktop: Drücken Sie die Tastenkombination Alt + F2, geben Sie im Suchfeld nach "gnome-terminal" ein und starten Sie das entprechende Programm. Falls nach der Tastenkombination kein Eingabedialog erscheint, starten Sie über die üblichen Menüs das Programm "Terminal"
  3. Im Terminal geben Sie anschließend einen der folgenden Befehle ein. Für neuere auf Debian basierende Distributionen gilt:

    sudo apt-get install network-manager-openconnect-gnome

    Für ältere auf Debian basierende Distributionen gilt:

    sudo apt-get install network-manager-openconnect

  4. Geben Sie anschließend das Passwort für Ihren Linux-Account auf dem Computer ein, drücken Sie <Return> oder <Enter> um den Befehl mit Administrator-Rechten auszuführen.
  5. Nach einigen Sekunden sollte die Installation abgeschlossen sein.

Einstellungen

  1. Wählen Sie Panel → Netzwerk Einstellungen.










  2. Im Dialog Netzwerk wählen Sie +, um eine neue VPN-Verbindung einzurichten.













  3. Im Dialog VPN hinzufügen wählen Sie den VPN-Klienten aus.
    • Wählen Sie als Typ Multiprotokoll-VPN-Client (Openconnect).










  4. Im Dialog VPN hinzufügen geben Sie im Tab Identität die folgenden Informationen ein:
    • Verbindungsname: vpn.uni-marburg.de
    • Gateway: vpn.uni-marburg.de
    • CA-Zertifikat: Suchen Sie im Dateibrowser des entsprechenden Feldes (mglw. abweichend von der Abbildung) die Datei /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem

















  5. Im Tab IPv4 unter DNS deaktivieren Sie Automatisch und tragen folgende Nameserver ein: 137.248.1.8, 137.248.1.5, 137.248.21.22

















  6. Bestätigen Sie die Einstellungen anschließend mit Anwenden.

Aufbau einer Verbindung

  1. Wählen Sie unter Panel → Netzwerk die Option Verbinden, um die von Ihnen zuvor eingerichtete VPN-Verbindung zu aufzubauen.















  2. Im Dialog Connect to VPN können Sie sich am VPN anmelden.
    • Wählen Sie als VPN-Host vpn.uni-marburg.de.















    • Als GROUP wählen Sie die von Ihnen gewünschte Gruppe (unimr-vpn-students oder unimr-vpn-staff-Passwort+2FA).
    • Als Username geben Sie Ihren Benutzernamen an.
    • Als Password geben Sie Ihr persönliches Passwort an.
    • Klicken Sie anschließend auf Login.

  3. Nach einigen Sekunden sollten Sie mit dem VPN der Philipps-Universität Marburg verbunden sein.

Abbau der Verbindung

  • Wählen Sie unter Panel → Netzwerk unterhalb der entsprechenden VPN-Verbindung Ausschalten, um die VPN-Verbindung zu beenden.
















Problembehebung (plattformübergreifend)

  • Einzelne Webseite/Zeitschrift/Datenbank nicht erreichbar

    Können Sie bei aktivem VPN die meisten zugriffsbeschränkten Webseiten, nicht aber Ihre gewünschte Seite erreichen (z.B. eine bestimmte Zeitschrift oder Datenbank), versuchen Sie bitte zunächst folgendes:

    1. Beenden Sie den Web-Browser vollständig, ggf. starten Sie den PC neu.
    2. Starten Sie den VPN-Client und bauen die Verbindung auf.
    3. Starten Sie den Web-Browser
    4. Löschen Sie zunächst den Cache des Browsers, z.B.:
      Firefox: Extras→ Neueste Chronik löschen ... → Details, alle Haken außer bei Cache entfernen → Jetzt löschen klicken
      Internet Explorer: Sicherheit → Browserverlauf löschen,  alle Haken außer bei Temporäre Internetdateien entfernen → Löschen klicken
      Safari: Menü Safari → Cache leeren..., dort auf Leeren klicken
      Chrome: Auf die Schraubenschlüssel-Symbolfläche klicken → Tools → Suchdaten löschen... → alle Haken außer bei Cache leeren entfernen → Internetdaten löschen klicken
    5. Rufen Sie die Seite erneut auf.

    Oft verhilft schon die oben beschriebene Startreihenfolge zum Aufruf der gewünschten Seite.

  • Der Zugriff auf Verlagsserver funktioniert, aber manche uni-internen Dienste (z. B. Netzlaufwerke, CMS, Drucker) sind nicht erreichbar

    Vermutlich besteht ein Adresskonflikt. Sofern ihr Router zuhause eine interne IP-Adressen der Form 192.168.x.y mit x ≥ 1 vergibt, kann es prinzipiell zu Adress- und Routingkonflikten kommen, da diese privaten Adressen (außer mit x=0)  auch im UMRnet verwendet werden. Konfigurieren Sie den DHCP-Server Ihres Routers so, dass er Adressen der Form 192.168.0.y oder andere private Adressen vergibt.

  •  Problembehebung für OpenConnect unter Linux

    Probleme Mögliche Ursachen und Lösungen
    Nach dem Verbindungsversuch meldet OpenConnect "Failed to open tun device" (auch: "Öffnen des tun-Geräts ist gescheitert"). Vermutlich wurde das TUN/TAP-Kernelmodul nicht geladen. Sie können das Kernelmodul manuell mit dem Befehl sudo modprobe tun nachladen. Versuchen Sie anschließend sich erneut zu verbinden. Damit das Kernelmodul zukünftig automatisch geladen wird, fügen Sie in die Datei /etc/modules den Eintrag tun ein.

Besteht das Problem immer noch, wenden Sie sich per E-Mail an . Bei Zeitschriften/Datenbankproblemen geben Sie bitte immer auch die URL bzw. Link der gewünschten Ressource an.