OpenV­PN un­ter Li­nux

Hinweis 2025

Infolge eines Zertifikat-Anbieterwechsels muessen bis 12/2025 wieder die Configs angepasst werden:

  • zusaetzliche Datei, welche die neue Certificate-Authority (CA) enthaelt: HARICA_CA_Chain.pem [bereits vorliegend: Sectigo_CA_Chain.pem]
  • Aenderung in Datei math.ovpn: Austausch von Sectigo_CA_Chain.pem zu HARICA_CA_Chain.pem

Aktuell kann bereits der Server vpn2.math.uni-paderborn.de mit den neuen Daten genutzt werden.

 

Installation

Falls noch nicht vorhanden, installieren sie zunächst das OpenVPN-Paket. Zum Beispiel via Kommandozeile mit dem Kommando sudo apt-get install openvpn.

Grafische Konfiguration

Vorbereitung

Die grafische Konfiguraions des Mathe-VPNs erfolgt über den NetworkManager. Dafür wird zusätzlich die Erweiterung network-manager-openvpn benötigt. Unter manchen Systemen zudem auch network-manager-openvpn-gnome. Beides kann wieder über den sudo apt-get-Befehl, unter Angabe der beiden Erweiterungen, installiert werden. Danach muss der Dienst mit dem Kommando sudo service network-manager restart neugestartet werden.

Konfiguration

Die Konfiguration an sich findet im besagten NetworkManager statt, welcher sowohl im Startmenü unter Verbindungen als auch über das Verbindungssymbol in der Symbolleiste zu öffnen ist. Dort soll eine neue Verbindung erstellt werden, wo unter den VPN-Verbindungsarten die OpenVPN Option ausgewählt wird. Folgende Einstellungen müssen vorgenommen werden:

Bild vergrößern

Wichtig: Es handelt sich hierbei nicht um das normale Passwort (z.B. für Webmail) sondern um ein separats. Falls Sie noch keine VPN-Zugangsdaten haben oder falls Sie Ihr Passwort vergessen haben, wenden Sie sich bitte an einen Mitarbeiter des Rechnerbetriebs.

Das für das Feld CA-Zertifikat benötigte Zertifikat kann hier heruntergeladen werden und kann z.B. in einem separaten VPN Ordner abgelegt werden.

Unter Erweitert müssen zudem auch noch ein paar Anpassungen vorgenommen werden.

Bild vergrößern

1. Allgemein: Die Punkte Benutzerdefinierte UDP-Fragmentgröße verwenden (1300) und Maximale TCP-Segmentgröße (MMS) begrenzen auswählen, während alle anderen Punkte deaktiviert bleiben müssen.

Bild vergrößern

2. Sicherheit: Chiffre auf Standard und HMAC-Authentifizierung auf SHA-384 stellen sowie Benutzerdefinierte Größe des Codeschlüssels verwenden deaktivieren.

Bild vergrößern

3. TLS-Legitimierung: Überprüfung des Server-Zertifikates wird nicht mehr verwendet und kann somit auf nicht überprüfen gestellt werden. Stattdessen muss die Option Zertifikat der Gegenstelle mithilfe der Signatur überprüfen aktiviert und beim TLS-Typ der Gegenstelle Server ausgewählt werden.

 

Nach Sicherung der Einstellungen kann nun entweder über die App an sich oder wieder über das Menü in der Symbolleiste eine VPN-Verbindung aufgebaut werden.

Kom­man­do­zei­len Kon­fi­gu­ra­ti­on

Legen Sie dazu in Ihrem Benutzerverzeichnis ein Verzeichnis an, in dem die Konfigurationsdateien gespeichert werden, z.B. VPN.

Legen Sie dort die Konfigurations- und Zertifikatsdatei aus dem ZIP-Archiv ab. 

Um die VPN-Verbindung zu starten, wechseln Sie mit cd in das zuvor angelegte Verzeichnis und starten den Client mit Root-Rechten über sudo openvpn math.opvn

Sie werden dann nach einem Benutzernamen und einem Passwort gefragt.

Wichtig: Dies ist nicht das normale Passwort (z.B. für Webmail), sondern ein separates. Wenn Sie noch keine VPN-Zugangsdaten haben oder Ihr Passwort vergessen haben, wenden Sie sich bitte an ein Mitglied des RBM.

Lassen Sie das Terminalfenster mit dem OpenVPN-Client so lange geöffnet, wie Sie die VPN-Verbindung benötigen.

Sie interessieren sich für: