FH Köln VPN und Linux

Es hat lange gebraucht, bis ich unter Linux (genauer Ubuntu, aktuell in Version 9.04 „Jaunty Jackalope“ mit 2.6.28-11 Kernel) in der FH Köln ins Internet gekommen bin. Der dafür notwendige Cisco VPN-Client braucht fast bei jedem größeren Kernel-Update einen neuen Patch, damit er überhaupt kompiliert.

Inzwischen habe ich es aber auch geschafft, mit dem freien VPNC eine stabile Verbindung zu bekommen. Dafür musste ich allerdings erst zwei Dinge herausfinden:

1) Die FHK-VPN.pcf enthält das Gruppen-Passwort nur in einer verschlüsselten Form, die sich aber (dank einer schwachen Verschlüsselung) im Netz dekodieren lässt. Das Ergebnis ist das unverschlüsselte Gruppen-Passwort: „KoelnerDom

2) Der VPN-Server spricht erst mit unserem VPNC, wenn wir uns mit einem Kommandozeilen-Parameter als original Cisco-CLient ausgeben: --application-version „Cisco Systems VPN Client 4.8.0:Linux“

Mit diesen beiden Informationen kann man sich nun (als Root) eine funktionierende FHK-VPN.conf in /etc/vpnc/ bauen und für die Bequemlichkeit noch ein kleines Script in /sbin/.

/etc/vpnc/FHK-VPN.conf:

IPsec gateway vpn.fh-koeln.de
IPSec ID FHK-VPN
IPSec secret KoelnerDom

/sbin/fhvpn:

#! /bin/sh

case „$1“ in
start)
vpnc --application-version „Cisco Systems VPN Client 4.8.0:Linux“ FHK-VPN
;;
stop)
vpnc-disconnect
;;
*)
echo „Usage: fhvpn {start|stop}“
exit 1
;;
esac

exit 0

Mit sudo fhvpn start und sudo fhvpn stop kann nun die Verbindung kontrolliert werden. Beim Aufbau wird nach eurem Benutzernamen und Passwort gefragt.

Tipp: Sofern noch nicht bekannt: Solltet ihr nach einem Disconnect nicht mehr ins VPN kommen, scheint eine Art TimeOut-Sperre für etwa eine Stunde daran Schuld zu sein. Dies kann man einfach umgehen, indem man beim Benutzernamen die Groß-Klein-Schreibung variert! (xmeier -> Xmeier|xMEier|…)

Viel Spass beim Surfen! 🙂

10 Gedanken zu „FH Köln VPN und Linux

  1. Kirsch

    So, hat bei mir wunderbar geklappt.
    Sogar mit KVpnc, ist ein KDE-Frontend für vpnc und andere VPN-Tools.
    In KVpnc kann man auch die Anwendungsversion angeben, mit der sich vpnc ausgeben soll.

    Nur das „Network Management“-Widget was den KNetwork-Manager abgelöst hat, will keine VPN-Einstellungen speichern, sonst könnte ich mir den Kvpnc sparen.
    Mal schauen wo der seine Konfig-Dateien hat.

  2. Caracasa Beitragsautor

    Nach LSB war /sbin/ auch okay 😉

    Certain utilities used for system administration (and other privileged
    commands) may be stored in /sbin, /usr/sbin, and /usr/local/sbin.

    Immerhin muss ich den Kram ja leider mit root-Rechten ausführen.

  3. Kirsch

    Das stimmt schon, dass in /sbin, /usr/sbin, und /usr/local/sbin Programme liegen die Systemverwalterrechte benötigen.
    Aber in /usr/local gehören eigene Programme und Scripte sowie Nicht-Standard-Pakete.

  4. Lubomir

    Wieso schreibst du die Application Version nicht auch in die config rein?

    IPSec gateway vpn.fh-koeln.de
    IPSec ID FHK-VPN
    IPSec secret KoelnerDom
    Application Version Cisco Systems VPN Client 4.8.0:Linux

  5. Caracasa Beitragsautor

    Stimmt, das geht natürlich auch.
    Da ich parallel mit dem Gnome NetworkManager rumprobiert habe, der diese Option nicht in der Oberfläche anbietet, hab ich es zunächst als Kommandozeilen-Parameter ausprobiert.

  6. Chilimaera

    Heyho, funktionieren Eure Vorschläge auch nach diversen Kernel-Updates? Ich nutze auf meinem Netbook Karmic und auf meinem Desktop-PC vorsichtshalber noch Jaunty. Hab allerdings nicht so viel Lust, nach jedem Update alles noch mal von vorn zu machen, nur damit ich mal bestimmte Datenbanken der Bib abrufen kann …

  7. Caracasa Beitragsautor

    Ich bin auf meinem Laptop auch bei Karmic angekommen und es funktioniert ohne Probleme. Vom Kernel sollte das Ganze weniger abhängen – eher schon von der vpnc Version.

    Inzwischen scheint auch das Variieren des Benutzernamens nicht mehr nötig zu sein und paralleler Zugang über Laptop und WLAN-Handy ist auch möglich.

  8. Kirsch

    Man kann auch das verschlüsselte Gruppen-Passwort bei VPNC angeben. Man muss es nicht mehr entschlüsseln:

    conf-variable: IPSec obfuscated secret

    Gruß
    Kirsch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.