VPN mit Linux und vpnc (IPsec Client)

siehe auch Anleitung unter http://www.lrz.de/services/netz/mobil/vpn/ipsec-linux/ .

Der Cisco AnyConnect Clients ist am einfachsten zu installieren und benötigt keine Konfiguration. Daher ist er das Mittel der Wahl. Die Altrnativen vpnc und openconnect ermöglichen erfahrenen Nutzern erweiterte Möglichkeiten. Dazu gehört zum Beispiel eine modifizierte Routingtabelle, die den Zugriff auf mehrere lokale Subnetze ermöglicht.

vpnc IPsec Client:

Alternativ zum Cisco VPN-Client kann auch die OpenSource-Lösung vpnc eingesetzt werden. Diese Software ist unter http://www.unix-ag.uni-kl.de/~massar/vpnc/erhältlich. Sie hat den Vorteil, dass sie auch unter anderen als Intel-Plattformen läuft. Nach unseren Erfahrungen ist sie nicht schwieriger als der Cisco-Client zu installieren, es muss nur das IPsec secret  (=Gruppenpasswort) manuell eingetragen werden, dieses kann (nach Validierung) von der Seite https://www.lrz.de/services/netz/mobil/vpnpda geholt werden.

Bei neueren Linux-Distributionen ist vpnc schon integriert und kann problemlos als Paket nachinstalliert werden. Es muss dann noch die Konfigurationsdatei vpnc.conf erstellt werden. Diese kann man unter https://www.lrz.de/services/netz/mobil/vpnclient herunterladen und unter /etc/vpnc.conf oder /etc/vpnc/vpnc.conf abspeichern.

/etc/vpnc.conf:
IPSec gateway ipsec.lrz.de
IPSec ID mwnpda
IPSec secret <Shared secret>
Xauth username <KENNUNG>

Vor dem Start mit vpnc-connect /etc/vpnc.conf oder einfach vpnc (/etc/vpnc.conf und /etc/vpnc/vpnc.conf sind als Konfigurationsdaten voreingestellt) sind gegebenenfalls noch folgende Kommandos nötig:
cd /dev
/sbin/MAKEDEV tun

Das Programm läuft vollständig im Userspace und benutzt den tun/tap-Treiber, dieser sollte vom Kernel unterstützt werden. Es muss mit SU-Rechten gestartet werden, weil Netzwerkports <1024 verwendet werden.

Unterstützt werden Linux IA32, Linux PPC und NetBSD IA32, Mac OS X, weitere Portierungen sind in Arbeit.

Cisco IPsec Client:

Die Version 4.8.0.490 des Cisco VPN-Client unterstützt Kernelversionen bis 2.6.18. Ab 2.6.19 muss der Sourcecode des Cisco Clients gepatcht werden (http://tuxx-home.at/archives/2007/04/10/T15_55_43/, ext. Link).