| Anleitung | |
|---|---|
 Linux | |
| Informationen | |
| Betriebssystem | Linux |
| Service | Netzwerk |
| Interessant für | Gäste, Angestellte und Studierende |
| Linux Portalseite | |
 | Linux wird nur rudimentär vom ZIM unterstützt. Infos sind an "Profis" gerichtet,
Benutzung auf eigene Gefahr. |
⚠ Falls Sie bei der Verbindung eine Fehlermeldung wie Decoding PKCS12 failed. Probably wrong password or unsupported/legacy encryption oder ähnlich erhalten:
Passen Sie nicht Ihre OpenSSL-Konfiguration an! Erstellen Sie stattdessen ein neues Zertifikat in der Version 2 (AES-256 Container). Details dazu unten. Durch Anpassung der OpenSSL-Konfiguration können Sicherheitsrisiken entstehen.
VPN (Virtual Private Network) brauchen Sie, wenn Sie mit Ihrem Computer von zu Hause aus Dienste benutzen wollen, die nur innerhalb des Universitätsnetzes zugänglich sind. VPN gewährleistet den sicheren Zugang zum Universitätsnetz aus fremden Netzen heraus (Einwahl über andere Provider, externe Unternehmens- oder Hochschulnetze).
Diese Anleitung basiert auf Ubuntu 22.04.2 LTS. Andere Distributionen könnnen ähnlich funktionieren. Wir können nicht für jede Distribution eine Anleitung anbieten.
Gleichzeitige Verbindungen[Bearbeiten | Quelltext bearbeiten]
🛈
Möchten Sie neben Ihrem PC auch Ihren Laptop und Ihr Handy mit dem VPN-Verbinden? Sie können auf mehreren Endgeräten VPN-Verbindungen einrichten. Jede Person kann jedoch zur gleichen Zeit nur eine Verbindung pro VPN aufbauen.
Was bedeutet das konkret?
Uni-VPN
- Wenn Sie das Uni-VPN nutzen, können Sie gleichzeitig nur eine Verbindung aufbauen.
- Sie können parallel auf einem weiteren Endgerät keine Verbindung zum Uni-VPN aufbauen.
- Sie müssen die bestehende Verbindung vorher trennen.
Gruppen-VPN
- Wenn Sie ein Gruppen-VPN nutzen, können Sie zur gleichen Zeit auf einem anderen Gerät keine zweite VPN-Verbindung zu diesem Gruppen-VPN herstellen.
- Sie müssen die bestehende Verbindung vorher trennen.
- Sie können jedoch parallel auf einem anderen Gerät eine Verbindung zum Uni-VPN oder einem anderen Gruppen-VPN herstellen.
Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]
- Persönliches Netzwerkzertifikat herunterladen.
- Konfigurationsdatei herunterladen:
- Netzwerkzertifikat und Konfigurationsdatei in einem festen Ordner speichern.
- Netzwerkzertifikat umbennen.
- VPN einrichten.
Schritt-für-Schritt-Anleitung[Bearbeiten | Quelltext bearbeiten]
Zertifikat erstellen[Bearbeiten | Quelltext bearbeiten]
Sie brauchen für die VPN-Verbindung ein Netzwerkzertifikat. Wenn Sie bereits ein Zertifikat für Eduroam haben, können Sie auch dieses verwenden und diesen Schritt überspringen.
Öffnen Sie das Serviceportal und melden Sie sich mit Ihrem Uni-Account an.
- Gehen Sie auf Benutzerverwaltung und anschließend auf Netzwerk Einstellungen.
- Klicken Sie auf "Neues Zertifikat erstellen".
- Geben Sie dem Zertifikat einen eindeutigen Namen (Bsp: Laptop VPN)
- Wählen Sie als Dateiformat Version 2 aus.
- Klicken Sie anschließend auf "Neues Zertifikat zusenden".
- Ein neues Netzwerkzertifikat wurde für Sie erstellt.
- Kopieren Sie zuerst das Import Passwort in die Zwischenablage.
- Klicken Sie nun auf "Netzwerkzertifikat herunterladen".
VPN unter Linux konfigurieren[Bearbeiten | Quelltext bearbeiten]
Laden Sie die Konfigurationsdatei herunter, wählen Sie hierzu das VPN mit dem Sie sich verbinden wollen aus und klicken Sie auf Download.
Im Normalfall sollte "Uni-VPN (Standard)" die richtige Wahl sein, sollten Sie jedoch Probleme mit der Verbindung haben, versuchen Sie es mit "Uni-VPN-TCP" noch einmal.
Hinweis: Sie können hier auf "Download" klicken und Ihre Konfiguationsdatei herunterladen. Dies ist kein Screenshot ;-)
Den gesamten Internetverkehr durch den Tunnel leiten?
- Der Zugriff auf Online-Ressourcen setzt unter Umständen vorraus, dass Sie den gesamenten Netzwerkverkehr durch den Tunnel leiten.
- Für den reinen Zugriff auf die Netzlaufwerke brauchen Sie diese Option nicht.
Ordner erstellen[Bearbeiten | Quelltext bearbeiten]
- Erstellen Sie einen Ordner und legen Sie dort das Netzwerkzertifikat und die Konfigurationsdatei ab.
- Unter Distributionen, die SELinux (z.B. RedHad, Fedora, CentOS etc.) verwenden, muss sichergestellt werden, dass der Ablageort die korrekten Labels hat
- Diese können mit
ls -laZ PFADüberprüft werden und benötigen ein Label in der Form vonunconfined_u:object_r:home_cert_t:s0 - Standardmäßig sollte das Verzeichnis
~/.cert/die korrekten Labels für das Netzwerkzertifikat haben - Debian/Ubuntu basierte Distributionen nutzen normalerweise kein SELinux und sollten hiervon daher nicht betroffen sein
- Wählen Sie den Speicherort sorgfältig - Sie dürfen den Ordner später nicht verschieben oder umbenennen.
- Bennen Sie das Netzwerkzertifikat um in
Network_Certificate.p12
- So sollte der Inhalt des Ordners aussehen.
VPN einrichten[Bearbeiten | Quelltext bearbeiten]
- Klicken Sie auf das "Netzwerksymbol".
- Klicken Sie anschließend auf "Einstellungen".
- Klicken Sie im Bereich VPN auf das
+zum Hinzufügen.
- Wählen Sie "Aus Datei importieren...".
- Öffnen Sie den Ordner, den wir eben neu angelegt haben.
- Wählen Sie die "Konfigurationsdatei" aus.
- Klicken Sie anschließend auf "Öffnen".
- Die VPN-Einstellungen wurden aus der Konfigurationsdatei übernommen.
- Geben Sie das "Import-Passwort" für das Netzwerkzertifikat ein. (1)
- Klicken Sie anschließend auf "Hinzufügen". (2)
- Mit einem Klick auf den Schalter können Sie sich mit dem VPN verbinden.
VPN verbinden[Bearbeiten | Quelltext bearbeiten]
- Oder stellen Sie die Verbindung über das Netzwerkmenü her.
VPN trennen[Bearbeiten | Quelltext bearbeiten]
- Über das Netzwerkmenü können Sie die VPN-Verbindung trennen.
Container entpacken[Bearbeiten | Quelltext bearbeiten]
Falls es Probleme gibt, das Zertifikat in seinem Containerformat mit dem bereitgestellten Exportpasswort zu verwenden, kann es helfen, den Container in Zertifikat und Schlüssel auszupacken.
Diese Probleme treten z.B. mit dem alten Containerformat unter Distributionen auf, die OpenSSL 3 oder neuer verwenden. Hier kann entweder der bisherige Container ausgepackt werden (um dann Schlüssel und Zertifikat direkt zu referenzieren) oder ein neues Zertifikat mit dem neuen Containerformat im Serviceportal beantragt werden.
Die OpenSSL Version kann wie folgt überprüft werden:
$ openssl version
Das Auspacken des Container kann wie folgt ausgeführt werden:
$ openssl pkcs12 -in Network_Certificate.p12 -out Network_Certificate_cert.pem -clcerts -nokeys $ openssl pkcs12 -in Network_Certificate.p12 -out Network_Certificate_key.pem -nocerts -nodes
Die beiden neuen Dateien werden mit dem Netzwerkzertifikat an einen sicheren Ort im Benutzerverzeichnis kopiert.
Beim Auspacken des alten Containerformates ist unter OpenSSL 3 ein zusätzlicher Parameter -legacy notwendig, da dies ansonsten verweigert wird.
Konfiguration bearbeiten[Bearbeiten | Quelltext bearbeiten]
Falls Sie die Zertifikate nicht über die GUI auswählen, sondern die Konfigurationsdatei über die Kommandozeile nutzen, müssen Sie darauf achten, dass die Dateien passend zur Konfigurationsdatei benannt sind. Falls Sie den Container entpackt haben, müssen Sie die Konfigurationsdatei entsprechend anpassen.
Unveränderte Konfigurationsdatei:
#### Betriebssystemanpassungen für Linux #################### pkcs12 Network_Certificate.p12 resolv-retry 5 auth-nocache # oder getrennt: # cert Network_Certificate_cert.pem # key Network_Certificate_key.pem
Falls Sie den Container in Zertifikat und Schlüssel entpackt haben:
#### Betriebssystemanpassungen für Linux #################### # pkcs12 Network_Certificate.p12 resolv-retry 5 auth-nocache # oder getrennt: cert Network_Certificate_cert.pem key Network_Certificate_key.pem
VPN prüfen[Bearbeiten | Quelltext bearbeiten]
Sie können die Funktion des VPN prüfen durch aufrufen von:
Dort wird Ihre IP angezeigt und ob Sie im Uninetz sind.
