Anleitung zur Konfiguration der VPN-Anbindung

Anmerkung: Die bisherige Unterstützung von vpnc wurde vom ZDV aufgegeben. Für *nix Systeme empfehlen wir aber nicht den offiziellen Client zu verwenden, sondern die Open Source Variante OpenConnect, da dieser sicherer und benutzerfreundlicher ist.

Die Uni Tübingen oder besser gesagt das ZDV („Zentrum für Datenverarbeitung“) bietet allen Studenten die Möglichkeit mit einem WLAN-fähigen Computer (oder Handy, Handheld, wasauchimmer) oder einem Zugang über eine offene Datendose an vielen Bereichen der Uni ins Internet zu kommen. Für die Einrichtung bietet das ZDV auch Anleitungen für verschiedene Plattformen.

Was man braucht

Um den Zugang nutzen zu können, muss man folgendes haben:

  • einen Pool-Account des ZDV
    Das ist kein Problem, jeder Student dieser Uni sollte einen solchen Account haben. Einfach beim ZDV in der Wächterstrasse beantragen.
  • entweder ein WLAN-fähiges Gerät (Laptop, PDA, Armbanduhr, …) oder einfach ein Ethernet-fähiges Gerät für die (wenigen) Kabel-Anschlüsse
  • Funkverbindung zu einem Access-Point bzw. Kabelverbindung zu einer offenen Datendose
    Eine Liste der Access-Points und Datendosen gibt es unter http://www.uni-tuebingen.de/zdv/mobil/wo.html
  • Einen VPN-Client

Die ersten drei Punkte sind hoffentlich verständlich, letzterer wird unten weiter erläutert.

VPN-Client

Wenn man mit seinem Rechner über eine der oben genannten Zugänge online geht, dann bekommt man per DHCP eine Adresse zugewiesen. Dann hat man sofort Zugriff auf die Homepage der Uni (http://www.uni-tuebingen.de/), aber auch nicht (viel) mehr.

Um diesen Zugang in einen brauchbaren Internet-Zugang umzuwandeln muss man sich über das VPN-System identifizieren und darüber erhält man dann einen (nicht ganz) vollwertigen Zugang.

Einschränkungen

Auch wenn man per VPN-Client angemeldet ist, sind einige Dienste nicht nutzbar, weil die entsprechenden Ports vom ZDV gefiltert werden. Das betrifft zum einen viele bekannte Ports der P2P-Netzwerke und zum anderen den Port 25 (SMTP). Ja, den Port, den manche Leute brauchen, um Mails über einen Provider zu versenden und der wurde gesperrt um der (durch massiven Windows-Einsatz) hausgemachten Virenproblematik zu begegnen. Spätestens wenn man das VPN-Gateway nutzen will, sollte man also seinen Mailversand gleich auf SMTP über SSL umstellen (Port 465). POP3 bzw. IMAP natürlich auch gleich. Oder man versendet über einen SSH-Tunnel, das ist aber bekanntermaßen ziemlich umständlich.

Clients

Da das ZDV das proprietäre Cisco-VPN-System nutzt, kann man dieses offiziell nur mit dem offiziellen Cisco-VPN-Client nutzen. Der Client hierfür ist nach Anmeldung mit dem ZDV Username unter RAS Uni Tübingen erhältlich und kann dort heruntergeladen und konfiguriert werden. Mehr Informationen hier: VPN

Für Linux/Unix basierende Betriebssysteme empfiehlt sich der Einsatz des „openconnect“ Clients, welcher in denn allermeisten gängigen Distributionen bereits als Paket vorliegt. Dieser Client kann einfach installiert werden und ermöglicht anschließend eine Verbindung mit dem VPN Server der Uni. Zur Konfiguration gibt es mehrere CLI Parameter, welche sich in der man Page finden lassen.

Am einfachsten verbindet man sich per Kommandozeile mittels

  • sudo openconnect ras.uni-tuebingen.de

Will man die Root-Zertifikate auf das der Telekom beschränken, so verwendet man

  • sudo openconnect --no-system-trust --cafile /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem ras.uni-tuebingen.de

Falls ihr das Zertifikat benötigt, so könnt ihr Euch dieses auch in jeder Firefox Installation unter „Einstellungen -Sicherheit“ exportieren und an einem Pfad Eurer Wahl abspeichern. Alternativ lässt sich das Zertifikat auch online finden, beim ZDV gibt es hierzu genauere Informationen. Für die Gnome3 bzw. Ubuntu User unter Euch gibt es übrigens auch ein Networkmanager Paket namens „networkmanager-openconnect“, wo ihr euch die Verbindung auch direkt einrichten könnt.

Will man die Verbindung wieder beenden, so kann man folgenden Befehl verwenden:

  • sudo pkill -SIGINT openconnect

OpenConnect beendet dann die Sitzung und stellt die normale Netzwerkkonfiguration wieder her.

Probleme?

Wie gesagt, wird man vom ZDV keine Hilfe bei Problemen bekommen (ist aber auch nicht anders, wenn man den Cisco-Client nutzt). Bei Problemen hilft die Fachschaft aber in der Regel eh schneller. fsi@fsi.uni-tuebingen.de

Für andere VPN-Clients können wir derzeit keine Anleitungen anbieten, jedoch einen kleinen Hinweis: Der Nokia-VPN-Client und wohl auch einige andere Clients für Mobilgeräte scheitern am Cisco-Loadbalancing. Hier muss explizit eines der VPN-Gateways ausgewählt werden, also vpn1 oder vpn2 anstelle von vpn.uni-t…

Alternativen

Wer „nur“ das WLAN der Uni benutzt kann sich alternativ auch stattdessen im Netz „802.1x“ einloggen (mit seinem ZDV Useraccount) und dieses ohne VPN Client nutzen. Dieser Weg funktioniert allerdings nur auf neueren Betriebssystemen ohne zusätzliche Zertifikate, welche allerdings hier auch nachträglich heruntergeladen werden können.

studium/tipps/vpnc.txt · Zuletzt geändert: 2019-03-24 11:15 von michael
[unknown link type]Nach oben

Eine Webseite der Fachschaft Informatik
Wilhelm-Schickard-Institut für Informatik - Universität Tübingen