Hauptinhalt

Installation und Verbindungsaufbau einer VPN-Verbindung unter Linux

• Inhalt ausklappen Inhalt einklappen Eingangsvoraussetzungen

  - Die Zugangsdaten für Ihren Uni-Account (Staff bzw. Students) liegen Ihnen vor.

  - Betriebssystem: Linux sollte auf dem aktuellen Stand sein, d.h. alle Updates sollten installiert sein.

  - Wurzelzertifikat: Das Zertifikat T-Telesec Global Root Class 2 bzw. die Datei "/etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem" muss vorhanden sein. 
  Die meisten modernen Distributionen bringen das Zertifikat bereits mit (siehe Wurzelzertifikat).

Download und Installation

Um die OpenConnect-Fähigkeit des Gnome Network Managers sicherzustellen, müssen über den Software Paket Manager der Linux-Distribution die entsprechenden Pakete für OpenConnect installiert werden.

Für Debian und Ubuntu installieren Sie die Pakete network-manager-openconnect und network-manager-openconnect-gnome:

1. Stellen Sie sicher, dass Ihr Gerät für die Installation über eine aktive Internet-Verbindung verfügt.
2. Starten Sie ein Terminal (Kommandozeile).
3. Im Terminal geben Sie anschließend einen der folgenden Befehle ein. Für neuere auf Debian basierende Distributionen gilt:

   user@linux:~$ sudo apt-get install network-manager-openconnect-gnome

   Für ältere auf Debian basierende Distributionen gilt:

   user@linux:~$ sudo apt-get install network-manager-openconnect

4. Geben Sie anschließend das Passwort für Ihren Linux-Account auf dem Gerät ein, drücken Sie <Return> oder <Enter> um den Befehl mit Administrator-Rechten auszuführen.
5. Nach einigen Sekunden sollte die Installation abgeschlossen sein.

Einstellungen der VPN-Verbindung

1. Wählen Sie Panel → Netzwerk → Einstellungen.
2. Im Dialog Netzwerk wählen Sie +, um eine neue VPN-Verbindung einzurichten.

3. Im Dialog "VPN hinzufügen" wählen Sie den VPN-Client aus. Wählen Sie als Typ Multiprotokoll-VPN-Client (Openconnect).

4. Im Dialog "VPN hinzufügen" geben Sie im Tab "Identität" die folgenden Informationen ein:
- Verbindungsname: VPN Uni Marburg
- Gateway: vpn.uni-marburg.de
- CA-Zertifikat: T-TeleSec_GlobalRoot_Class_2.pem (Dateibrowser: /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem)

5. Bestätigen Sie anschließend die Einstellungen.

Aufbau einer Verbindung

1. Wählen Sie unter Panel → Netzwerk die Option Verbinden, um die von Ihnen zuvor eingerichtete VPN-Verbindung zu aufzubauen.

2. Wählen Sie anschließend die passende Benutzergruppe aus und geben Usernamen, Passwort + den Zwei-Faktor-Authentisierungs App-Token oder TAN-Token Ihres Accounts ein. Klicken Sie danach auf "Ok". Bestätigen Sie die Willkommensmeldung durch klicken auf "Accept."
- Beispiel: Passwort+Token = S!ch3r3sPW + 987654 ➔ S!ch3r3sPW987654

3. Bei erfolgreichem Verbindungsaufbau verschwindet das Anmeldefenster.

Verbindungsaufbau mit Terminal (Kommandozeile)

Die oben beschriebene Anleitung funktioniert wegen eines Fehlers in einem benötigten Hilfsprogramm auf einigen Rechnern nicht korrekt. Bitte verwenden Sie in diesem Fall im Terminal (Kommandozeile) den Aufruf:

- Staff: user@linux:~$ sudo openconnect --authgroup=unimr-vpn-staff-Passwort+2FA -u username vpn.uni-marburg.de

- Stundents: user@linux:~$ sudo openconnect --authgroup=unimr-vpn-students-Passwort+2FA -u Username vpn.uni-marburg.de

Dabei ersetzen Sie Username durch Ihren Staff- bzw. Students-Username.  Als Passwort verwenden Sie bitte Ihr reguläres Staff/Students-Passwort, hängen aber unmittelbar einen zweiten Faktor Das Programm läuft im Terminal weiter und bleibt im Vordergrund, das Terminal muss geöffnet bleiben. CTRL-C beendet den Prozess und die VPN-Verbindung.

Falls die Verbindung nicht funktioniert, melden Sie sich bitte beim Helpdesk-Team:
E-Mail: helpdesk@hrz.uni-marburg.de
Tel.: +49 6421 28-28282
Bitte geben Sie bei Anfragen Ihren Usernamen (uid) und möglichst die (WLAN-)MAC-Adresse des Geräts mit an.
Alle Anlaufstellen für Hilfe und Beratung finden Sie unter:
https://www.uni-marburg.de/de/hrz/hilfe-beratung/anlaufstellen

• Inhalt ausklappen Inhalt einklappen  Problembehebung

  Problem	Mögliche Ursachen und Lösungen
  Nach dem Verbindungsversuch meldet OpenConnect "Failed to open tun device" (auch: "Öffnen des tun-Geräts ist gescheitert").	Vermutlich wurde das TUN/TAP-Kernelmodul nicht geladen. Sie können das Kernelmodul manuell mit dem Befehl sudo modprobe tun nachladen. Versuchen Sie anschließend sich erneut zu verbinden. Damit das Kernelmodul zukünftig automatisch geladen wird, fügen Sie in die Datei /etc/modules den Eintrag tun ein.
  Der Zugriff auf Verlagsserver funktioniert, aber manche uni-internen Dienste (z. B. Netzlaufwerke, CMS, Drucker) sind nicht erreichbar	Vermutlich besteht ein Adresskonflikt. Sofern ihr Router zuhause eine interne IP-Adressen der Form 192.168.x.y mit x ≥ 1 vergibt, kann es prinzipiell zu Adress- und Routingkonflikten kommen, da diese privaten Adressen (außer mit x=0)  auch im UMRnet verwendet werden. Konfigurieren Sie den DHCP-Server Ihres Routers so, dass er Adressen der Form 192.168.0.y oder andere private Adressen vergibt.
  Einzelne Webseite/Zeitschrift/Datenbank ist nicht erreichbar	1. Beenden Sie den Web-Browser vollständig, ggf. starten Sie den PC neu. 2. Starten Sie den VPN-Client und bauen die Verbindung auf. 3. Starten Sie den Web-Browser. 4. Löschen Sie den Cache des Browsers. 5. Rufen Sie die Seite erneut auf.

• Inhalt ausklappen Inhalt einklappen Datenschutz

  Geben Sie niemals Ihr Passwort und/oder persönliche Daten an Angestellte des Helpdesk-Teams oder des HRZ weiter!

  Bitte stellen Sie sicher, dass Ihre persönlichen Anmeldedaten (Benutzername und Passwort des Uni-Accounts) nicht auf den Servern Ihres Dienste-Anbieters gespeichert werden. Andernfalls bestehen ernstzunehmende Sicherheitsrisiken! Folgen Sie dazu den entsprechenden Hinweisen der Anleitung.

  Bitte beachten Sie, dass die Nutzung von Anwendungen und Diensten auf mobilen Geräten immer auch ein Risiko für Ihre persönlichen Daten darstellt. Weitere Informationen zum Datenschutz auf mobilen Geräten finden Sie auf der Webseite des hessischen Datenschutzbeauftragten.

Stand: 01.2024