Open­VPN unter Linux

Installation

Falls noch nicht vorhanden, installieren sie zunächst das OpenVPN-Paket. Zum Beispiel via Kommandozeile mit dem Kommando sudo apt-get install openvpn.

Grafische Konfiguration

Vorbereitung

Die grafische Konfiguraions des Mathe-VPNs erfolgt über den NetworkManager. Dafür wird zusätzlich die Erweiterung network-manager-openvpn benötigt. Unter manchen Systemen zudem auch network-manager-openvpn-gnome. Beides kann wieder über den sudo apt-get-Befehl, unter Angabe der beiden Erweiterungen, installiert werden. Danach muss der Dienst mit dem Kommando sudo service network-manager restart neugestartet werden.

Konfiguration

Die Konfiguration an sich findet im besagten NetworkManager statt, welcher sowohl im Startmenü unter Verbindungen als auch über das Verbindungssymbol in der Symbolleiste zu öffnen ist. Dort soll eine neue Verbindung erstellt werden, wo unter den VPN-Verbindungsarten die OpenVPN Option ausgewählt wird. Folgende Einstellungen müssen vorgenommen werden:

Wichtig: Es handelt sich hierbei nicht um das normale Passwort (z.B. für Webmail) sondern um ein separats. Falls Sie noch keine VPN-Zugangsdaten haben oder falls Sie Ihr Passwort vergessen haben, wenden Sie sich bitte an eine mitarbeitende Person des Rechnerbetriebs.

Das für das Feld CA-Zertifikat benötigte Zertifikat kann hier heruntergeladen werden und kann z.B. in einem separaten VPN Ordner abgelegt werden.

Unter Erweitert müssen zudem auch noch ein paar Anpassungen vorgenommen werden.

1. Allgemein: Die Punkte Benutzerdefinierte UDP-Fragmentgröße verwenden (1300) und Maximale TCP-Segmentgröße (MMS) begrenzen auswählen, während alle anderen Punkte deaktiviert bleiben müssen.

2. Sicherheit: Chiffre auf Standard und HMAC-Authentifizierung auf SHA-384 stellen sowie Benutzerdefinierte Größe des Codeschlüssels verwenden deaktivieren.

3. TLS-Legitimierung: Überprüfung des Server-Zertifikates wird nicht mehr verwendet und kann somit auf nicht überprüfen gestellt werden. Stattdessen muss die Option Zertifikat der Gegenstelle mithilfe der Signatur überprüfen aktiviert und beim TLS-Typ der Gegenstelle Server ausgewählt werden.

 

Nach Sicherung der Einstellungen kann nun entweder über die App an sich oder wieder über das Menü in der Symbolleiste eine VPN-Verbindung aufgebaut werden.

Kom­mandozei­len Kon­fig­ur­a­tion

Legen Sie dazu in Ihrem Benutzerverzeichnis ein Verzeichnis an, in dem die Konfigurationsdateien gespeichert werden, z.B. VPN.

Legen Sie dort die Konfigurations- und Zertifikatsdatei aus dem ZIP-Archiv ab. 

Um die VPN-Verbindung zu starten, wechseln Sie mit cd in das zuvor angelegte Verzeichnis und starten den Client mit Root-Rechten über sudo openvpn math.opvn

Sie werden dann nach einem Benutzernamen und einem Passwort gefragt.

Wichtig: Dies ist nicht das normale Passwort (z.B. für Webmail), sondern ein separates. Wenn Sie noch keine VPN-Zugangsdaten haben oder Ihr Passwort vergessen haben, wenden Sie sich bitte an eine mitarbeitende Person des RBM.

Lassen Sie das Terminalfenster mit dem OpenVPN-Client so lange geöffnet, wie Sie die VPN-Verbindung benötigen.

Important: This is not the normal password (e.g. for webmail) but a separate one. If you do not yet have VPN access data or if you have forgotten your password, please contact a member of the RBM.

The certificate needed for the CA certificate field can be downloaded here and can be stored e.g. in a separate VPN folder.

Under Advanced, a few adjustments must also be made.

Enlarge image
Enlarge image

1. General: select the Use custom UDP fragment size (1300) and Restrict TCP maximum  segment size (MMS) items, while all other items must remain unchecked.

Enlarge image
Enlarge image

2. Security: set Cipher to default and HMAC Authentication to SHA-384 as well as disabling Use custom size of cipher key.

Enlarge image
Enlarge image

3. TLS authentication: Server Certificate Check is no longer used and can therefore be set to Don't verify. Instead, the option Verify peer certificate usage signature must be enabled and Server must be selected for the Remote TLS type.

 

 

After saving the settings, a VPN connection can now be established either via the app itself or again via the menu in the toolbar.

Con­fig­ur­a­tion via Com­mand­line

To do this, create a directory in your user directory where the configuration files are stored, e.g. VPN.

Place the configuration and certificate file from the ZIP archive there. 

To start the VPN connection, change to the previously created directory using cd and start the client with root rights via sudo openvpn math.opvn

You will then be asked for a username and password.

Important: This is not the normal password (e.g. for webmail) but a separate one. If you do not have VPN access data yet or if you have forgotten your password, please contact a member of the RBM.

Leave the terminal window with the OpenVPN client open as long as you need the VPN connection.