Neulich erreichte mich folgende Nachricht, wenn ich mit vpnc eine VPN-Verbindung zur Uni Karlsruhe aufbaute.
Ab Monatg den 29.09.2008 ist der VPN Verbindungsaufbau (aus dem WLANoder unterwegs) zum Campus Sued nur noch mit dem neuen Root Zertifikat der dt. Telekom moeglich. Dieses Zertifikat ist in dem Installationspaketdes RZ bereits enhalten, kann aber auch nachtraeglich heruntergeladen und importiert werden.
siehe: http://www.rz.uni-karlsruhe.de/rd/vpn.php
Juhu! Es ist also mal wieder Bastelarbeit angesagt. Meine alten Lösungen bzgl. vpnc und Uni-Karlsruhe sind wohl (zumindest teilweise) obsolet. Zeit das Thema wieder mal komplett neu aufzurollen…
vpnc selber compilieren
Nach wie vor gilt es vpnc selber zu compilieren, da vpnc mit Unterstützung für openssl (Zertifikate) gebraucht wird. Aufgrund von Problemen mit den Lizenzen bauen das die Distributoren üblicherweise jedoch nicht ein. Zuerst gilt es sich daher den Quellcode von vpnc herunterzuladen und das Archiv zu entpacken.
$ wget http://www.unix-ag.uni-kl.de/~massar/vpnc/vpnc-0.5.1.tar.gz
$ tar -xzf vpnc-0.5.1.tar.gz
Damit die Paketverwaltung das selbst compilierte vpnc später nicht mit der Version aus den Paketquellen ersetzt, fügt man an das Ende des Verzeichnisnamens, noch ein Kürzel an. Später beim Compilieren wird dieses Kürzel mit in die Versionsnummer übernommen. So ist das eigene vpnc-Paket vor der Paketverwaltung “sicher”.
$ mv vpnc-0.5.1 vpnc-0.5.1-christoph1
$ cd vpnc-0.5.1-christoph1
Anschließend muss der besagte, gegen die GPL verstoßende Teil, einkommentiert werden. Dazu öffnet man das Makefile in einem Editor. Also beispielsweise
$ gedit Makefile
und entfernt die Raute “#” vor den Zeilen 49 und 50, so dass dieser Abschnitt am Ende wie unten stehend aussieht.
…
OPENSSL_GPL_VIOLATION = -DOPENSSL_GPL_VIOLATION
OPENSSLLIBS = -lcrypto
…
aus. Nun muss man die zum Compilieren nötigen Pakete installieren. Dieses kann man bei Ubuntu über die Paketverwaltung machen. Dazu einfach
$ sudo apt-get install libssl-dev build-essential dh-make fakeroot
$ sudo apt-get build-dep vpnc
ausführen. Alle benötigten Pakete werden automatisch installiert. Nun geht es an das Compilieren. Der Reihe nach führt man diese Befehle aus.
$ make
$ dh_make -f ../vpnc-0.5.1.tar.gz
$ fakeroot debian/rules binary
$ sudo dpkg -i ../vpnc*.deb
Dies erstellt ein .deb Paket das sich über die Paketverwaltung installieren, und somit auch wieder einfach deinstallieren lässt. Die Frage bei “dh_make”, nach der Art des Binaries kann man mit “s” für eine “single binary” beantworten. Ob die Installation nun erfolgreich war, kann man mittels
$ vpnc --version
[...]
Built with openssl (certificate) support. Be aware of the
license implications.
Supported DH-Groups: nopfs dh1 dh2 dh5
Supported Hash-Methods: md5 sha1
Supported Encryptions: null des 3des aes128 aes192 aes256
Supported Auth-Methods: psk psk+xauth hybrid(rsa)
überprüfen. Hier muss vpnc “Built with openssl (certificate) support” ausgeben werden. Erst dann wurde vpnc korrekt mit Unterstützung für openssl gebaut.
Das Zertifikat
Seit Anfang Oktober 2008 benutzt die Universität Karlsruhe ein neues Root-Zertifikat der deutschen Telekom. Dieses Root-Zertifikat kann man sich wieder von der Uni herunterladen. Der Einfachheit halber hier der Weg über ein Terminal.
$ sudo wget --no-check-certificate https://pki.pca.dfn.de/uni-karlsruhe-ca/pub/cacert/rootcert.crt -O /etc/ssl/certs/rootcert.crt
Dies lädt das Zertifikat herunter und kopiert es gleich an die richtige Stelle im Dateisystem
Konfiguration
Schließlich muss noch vpnc konfiguriert werden. Dies geschieht über die Datei /etc/vpnc/default.conf. Über einen Editor
$ sudo gedit /etc/vpnc/default.conf
fügt man den Inhalt
IPSec gateway vpn.uni-karlsruhe.de
IPSec ID vpn
IPSec secret vpnvpn
IKE Authmode hybrid
Xauth username u...
Xauth password xxx
CA-File /etc/ssl/certs/rootcert.crt
ein. Natürlich müssen der Benutzername und das Passwort noch angepasst werden. Damit diese Daten vor dem Einblick Dritter geschützt sind, sollte man mit
$ sudo chmod 600 /etc/vpnc/default.conf
die Dateirechte entsprechend setzen.
Verbindungsaufbau
Von nun an kann man die Verbindung zum VPN über einen einfachen Befehl
$ sudo vpnc
$ sudo vpnc-disconnect
auf bzw. wieder abbauen. Da es sich in letzter Zeit gezeigt hat, dass die VPN Verbindung sehr instabil sein kann, sollte man den so genannten “DPD idle timeout” deaktivieren. Die Verbindung sollte man daher so
$ sudo vpnc --dpd-idle 0
aufbauen.
Skripte zum automatischen Aufbau des VPNs
Die VPN Verbindung via vpnc auf- und abzubauen ist nun alles andere als komfortabel. Ich habe mir ein kleines Skript für den Network-Manager geschrieben. Diese so genannten “Dispatcher”-Skript für den Network-Manager werden beim Auf- bzw. Abbau einer Netzwerkverbindung automatisch ausgeführt.
Das Skript wird also beim Aufbau der Netzwerkverbindung automatisch aus ausgeführt und überprüft, ob man sich im Netzwerk der Uni-Karlsruhe befindet. Sollte dies der Fall sein, so wird automatisch die VPN-Verbindung gestartet. Dies klappt wunderbar innerhalb der Bibliothek und auch beim WLAN-Zugang über die ESSID “VPN/WEB”.
$ sudo wget http://www.christoph-langner.de/static/02uni-ka-vpn-1.4.sh -O /etc/NetworkManager/dispatcher.d/02uni-ka-vpnc
$ chmod +x /etc/NetworkManager/dispatcher.d/02uni-ka-vpnc
Eventuell muss in den Skript noch die Zeile
...
WLANINTERFACE="eth1"
...
an die eigenen Bedürfnisse angepasst werden. Hier muss das WLAN-Interface eingetragen werden, also eventuell wlan0, ra0, ath0 usw…
Wer möchte, kann sich dabei auch Benachrichtigungen ausgeben lassen. So bekommt man im Fehlerfall Informationen ausgegeben, warum die VPN-Verbindung nicht aufgebaut werden konnte.
Voraussetzung dafür ist, dass das Paket libnotify-bin installiert wurde.
$ sudo apt-get install libnotify-bin
Meines Wissens nach funktioniert die Ausgabe von dieser kleinen Popups leider nur mit der GNOME Desktopumgebung. Das Skript an sich funktioniert auf allen Systemen, die den Network Manager benutzen. Also auf jeden Fall bei allen Ubuntu Derivaten.