Einrichtung einer VPN-Verbindung unter Linux

Nachstehend finden Linux-Nutzer eine Beschreibung für die Installation und den Betrieb einer VPN-Verbindung im Münchner Wissenschaftsnetz (MWN).

Im Allgemeinen ist der AnyConnect Client das Mittel der Wahl für Linux VPN-Verbindungen zu den LRZ VPN-Servern.

Der Cisco AnyConnect Clients ist am einfachsten zu installieren und benötigt keine Konfiguration. Daher ist er das Mittel der Wahl. Die Altrnativen vpnc und openconnect ermöglichen erfahrenen Nutzern erweiterte Möglichkeiten. Dazu gehört zum Beispiel eine modifizierte Routingtabelle, die den Zugriff auf mehrere lokale Subnetze ermöglicht.

vpnc IPsec Client:

Alternativ zum Cisco VPN-Client kann auch die OpenSource-Lösung vpnc eingesetzt werden. Diese Software ist unter http://www.unix-ag.uni-kl.de/~massar/vpnc/ erhältlich. Sie hat den Vorteil, dass sie auch unter anderen als Intel-Plattformen läuft. Nach unseren Erfahrungen ist sie nicht schwieriger als der Cisco-Client zu installieren, es muss nur das IPsec secret  (=Gruppenpasswort) manuell eingetragen werden, dieses kann (nach Validierung) von der Seite https://www.lrz.de/services/netz/mobil/vpnpda geholt werden.

Bei neueren Linux-Distributionen ist vpnc schon integriert und kann problemlos als Paket nachinstalliert werden. Es muss dann noch die Konfigurationsdatei vpnc.conf erstellt werden. Diese kann man unter https://www.lrz.de/services/netz/mobil/vpnclient herunterladen und unter /etc/vpnc.conf oder /etc/vpnc/vpnc.conf abspeichern. Andere Konfigurationen könne ebenfalls unter /etc/vpnc/ abgelegt werden

/etc/vpnc/vpnc.conf:
IPSec gateway ipsec.lrz.de
IPSec ID mwnpda
IPSec secret <Shared secret>
Xauth username <KENNUNG>

Vor dem Start mit vpnc-connect /etc/vpnc.conf oder einfach vpnc (/etc/vpnc.conf und /etc/vpnc/vpnc.conf sind als Konfigurationsdaten voreingestellt) sind gegebenenfalls noch folgende Kommandos nötig:
cd /dev
/sbin/MAKEDEV tun

Das Programm läuft vollständig im Userspace und benutzt den tun/tap-Treiber, dieser sollte vom Kernel unterstützt werden. Es muss mit SU-Rechten gestartet werden, weil Netzwerkports <1024 verwendet werden.

Unterstützt werden Linux IA32, Linux PPC und NetBSD IA32, Mac OS X, weitere Portierungen sind in Arbeit.

Verbindungsaufbau und Verbindungsabbau

sudo vpnc [Konfigurationsdatei]

lässt man die Konfigurationsdatei weg, wird standardmässig /etc/vpnc/vpnc.conf verwendet.

sudo vpnc-disconnect

Fragen, Probleme?

Weitere Hinweise finden Sie in der Rubrik VPN: Frequently Asked Questions (FAQ).
Fragen und Kommentare zu dieser Anleitung richten Sie bitte andas Servicedesk.