ubuntuusers.de

ubuntuusers.deWikiArchivCisco-VPN-Client

Cisco-VPN-Client

Archivierte Anleitung

Dieser Artikel wurde archiviert, da er - oder Teile daraus - nur noch unter einer älteren Ubuntu-Version nutzbar ist. Diese Anleitung wird vom Wiki-Team weder auf Richtigkeit überprüft noch anderweitig gepflegt. Zusätzlich wurde der Artikel für weitere Änderungen gesperrt.

Hinweis:

Der Cisco-VPN-Client funktioniert nicht mehr ab Kernel 2.6.24. Es wird empfohlen die VPNC-Lösung des GNOME Network-Managers Network-Manager/VPN Plugins zu verwenden.

An vielen Hochschulen wird als Zugangssoftware zum Hochschul-Netz der Cisco VPN-Client verwendet. Als empfohlene Alternative zum hier beschriebenen offiziellen Kommandozeilen-Client bietet sich der Cisco-compatible VPN Client (kurz vpnc) an. Vpnc kann in Gnome durch ein Network-Manager-Plugin bequem über die grafische Benutzeroberfläche bedient werden. Kubuntu-Nutzer können das Programm kvpnc verwenden.

Hierbei ist zu beachten, dass vpnc die Verfahren hybride Authentifizierung (Server-Zertifikat + XAUTH), Pre-Shared-Key + XAUTH (unsicher) und Pre-Shared-Key unterstützt. Server+Client-Zertifikat wird bisher von vpnc nicht unterstützt, so dass man weiterhin auf den Cisco VPN-Client angewiesen ist.

Herunterladen

Es muss mindestens Version 4.8 des Cisco-Clients verwendet werden. Versuche eine ältere Version zu installieren, scheitern beim Kompilieren des Moduls. Je höher die Version desto besser. Gegenwärtig (Nov. 2007) ist für Linux Version vpnclient-linux-x86_64-4.8.01.0640-k9 verfügbar.

Diese Version ist eine sogenannte "biarch Version" und unterstützt somit Intel 32Bit und Intel 64 Bit Prozessoren. Verschiedene Versionen des Clients können im Archiv der Uni-Konstanz {de} heruntergeladen werden. Die jeweils aktuelle befindet sich im Ordner latest.

Falls es bei der Installation der aktuellen Version zu Fehlern kommt, kann auf andere Versionen zurück gegriffen werden. Siehe Problembehandlung.

Nutzer einer 64-bit Installation von Ubuntu Gutsy Gibbon müssen eine gepatchte Version des Cisco VPN Clients installieren. Hier bietet wieder die Universität Konstanz {de} eine Version zum Download {dl} an, die bereits fertig gepatched ist und problemlos installiert werden kann.

Installation

Für die Installation sind noch folgende Pakete [1] nötig:

  • build-essential - Alles was zum Kompilieren von Programmen nötig ist

  • linux-headers-generic - Die zum installierten Kernel passende [6] Header-Dateien.

Nach dem Herunterladen entpackt [5] man das Archiv, in dem sich der Client befindet, wechselt in das entstandene Verzeichnis vpnclient und arbeitet im Terminal [2] mit Rootrechten weiter. Der Wechsel in das Verzeichnis ist wichtig, da sonst das Installationsscript mit einer Fehlermeldung abbricht.

Wichtig ist, dass sich im gesamten Pfad keine Leerzeichen befinden dürfen. Man startet das Installations-Script mit:

sudo ./vpn_install 

Man kann Vorgaben des Intallationsassistenten übernehmen.

Erster Start

Nach der erfolgreichen Installation ist das VPN-Kernel-Modul manuell zu starten:

sudo /etc/init.d/vpnclient_init start 

Profileinrichtung und Test

Im Archiv befindet sich eine Profil-Datei. Oft muss man das von der Uni herunterladen. Diese muss ins System mit den entsprechenden Rechten kopiert werden:

sudo cp profil.pcf /etc/CiscoSystemsVPNClient/Profiles/
sudo chmod 640 /etc/CiscoSystemsVPNClient/Profiles/profil.pcf 

Jetzt kann die Verbindung testen:

vpnclient connect profil
vpnclient disconnect 

Dabei ist zu beachten, dass hier der Profilname ohne die Endung .pcf angegeben werden muss.

In den aktuellen VPN-Client Versionen kommt es zu folgender Fehlermeldungen, wenn man die Verbindung als normaler User herstellen möchte:

Cisco Systems VPN Client Version 4.8.00 (0490)
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Linux
Running on: Linux 2.6.15-23-386 #1 PREEMPT Tue May 23 13:49:40 UTC 2006 i686
Config file directory: /etc/opt/cisco-vpnclient
privsep: unable to drop privileges: group set failed.
The application was unable to communicate with the VPN sub-system.

Somit muss man die Verbindung mit Rootrechten herstellen:

sudo vpnclient connect profil 

Das Terminalfenster geht dann bei erfolgreicher Verbindung nicht wieder in den Eingabemodus. Mit Strg + C kann man die Verbindung wieder beenden. Damit es möglich ist sich auch als normaler Benutzer zu verbinden ohne eine Fehlermeldung zu erhalten, muss folgender Befehl ausgeführt werden:

sudo chmod 4111 /opt/cisco-vpnclient/bin/cvpnd 

Dabei liegt der VPN-Client in /opt (bei Bedarf anpassen).

Etwas mehr Komfort

Um die VPN Verbindung komfortabel mit einem Mausklick mit einer Verknüpfung zu starten, geht man folgendermaßen vor. Zuerst speichert man folgenden Script im Homeverzeichnis mit einem Texteditor z.B. mit dem Namen vpn.sh ab:

#!/bin/sh
# Ein kurzer Neustart zum initialisieren
sudo /etc/init.d/vpnclient_init restart
# Verbindungsaufbau
sudo vpnclient connect profil
chmod 700 vpn.sh 

Nun sh vpn.sh zum Menü oder Panel hinzufügen [4] und einen Haken bei "Im Terminal ausführen" setzen.

Zertifikate importieren

Manche VPN-Verbindungen können erst hergestellt werden, wenn zuvor ein Zertifikat importiert worden ist. Zertifikate sind erkennbar an der Dateiendung .der. Der Import geschieht mittels dem integrierten Zertifikatmangager cisco_cert_mgr durch [2]:

sudo cisco_cert_mgr stdin -U -op import 

Dann wird man nach dem Dateinamen des zu verwendenden Zertifikats gefragt. Es ist darauf zu achten, dass der Zertifikatsmanager in dem Verzeichnis nach der Datei sucht, aus der der Manager ausgeführt wird. Weitere Optionen können durch eine Aufruf des Programms ohne weitere Argumente erfragt werden.

Problembehandlung

Kernel-Modul kann nach Kernel-Update nicht mehr gestartet werden

Kommt beim Laden des Kernelmoduls eine Fehlermeldung wie zum Beispiel diese hier:

Starting /opt/cisco-vpnclient/bin/vpnclient: module directory /lib/modules/2.6.27-11-generic/CiscoVPN not found. 

wurde wahrscheinlich der Kernel upgedatet, weswegen das Kernelmodul, das sich ja im alten Kernel befindet, sich nicht mehr laden lässt. In diesem Fall genügt es, im CiscoVPN-Ordner

sudo ./vpn_uninstall 

einzugeben, in der Deinstallationsroutine anzugeben, dass die Profile beibehalten werden sollen

Are you sure that you wish to uninstall the VPN Client?  [no] y

Do you wish to remove all existing profiles and certificates?  [no] n
 - Existing Profiles and Certificates will be preserved
 - Binary uninstall directory set to /usr/local/bin 

und mit

sudo ./vpn_install 

CiscoVPN neu zu installieren. Der Client müsste sich dann wieder normal nutzen lassen.

Installation mit aktuellerem Kernel

Sollte die Installation beim Kompilieren fehlschlagen, da der VPN-Client nicht mehr mit der Kernelversion kompatibel ist, finden sich relativ aktuelle Patches folgender Seite, die Unofficial Cisco VPN client updates for Linux{en} anbietet.

Installation unter Ubuntu Hardy Heron

Falls bei aktuellen Versionen des Cisco VPN-Clients die Installation scheitert, kann es helfen auf Version vpnclient-linux-x86_64-4.8.01.0640-k9 zurückzugreifen. Diese kann hier {dl} aus dem Archiv der Uni Konstanz heruntergeladen werden. Man benötigt hier ebenfalls den Patch für den 2.6.24 Kernel wie weiter unten bei Feisty Fawn beschrieben ist.
Sollte dies auch nicht funktionieren, kann noch die Lösung von dort ausprobiert werden.

Installation unter Ubuntu Gutsy Gibbon

Falls bei aktuellen Versionen des Cisco VPN-Clients die Installation scheitert, kann es helfen auf Version vpnclient-linux-x86_64-4.8.01.0640-k9 zurückzugreifen. Diese kann hier {dl} aus dem Archiv der Uni Konstanz heruntergeladen werden.

Installation unter Ubuntu Feisty Fawn

Bei neueren Kernel-Versionen, wie z.B. 2.6.20 von Feisty Fawn, kommt eine Fehlermeldung, dass die Datei linux/config.h nicht gefunden werden kann. Abhilfe schafft der folgende Patch nach http://tuxx-home.at/archives/2007/05/29/T16_34_26/ {en} :

cd vpnclient
wget http://projects.tuxx-home.at/ciscovpn/patches/vpnclient-linux-2.6.22.diff
patch < vpnclient-linux-2.6.22.diff
sudo ./vpn_install 

Spätestens seit Version 4.8.01.0640 des Cisco VPN Clients ist dieser Patch nicht mehr notwendig. Falls die Kompilierung scheitert, die Kernelversion überprüfen, den Pfad auf Leerzeichen überprüfen und die neueste Version des Clients benutzen.

Versucht man den neuesten Cisco VPN-Client (v4.8.01.0640) mit einem Linux-Kernel der Version 2.6.24 zu betreiben, erhält man allerdings wieder eine Fehlermeldung beim Kompilieren des Kernelmoduls. Während der Fertigstellungsphase des 2.6.24er Kernels gab es ein paar Änderungen die mit -rc1 eingeführt wurden und in der finalen Version wieder entfernt wurden, daher gilt die unten beschriebene Anleitung nur für die finale Version des 2.6.24er Kernels. Wer immernoch einen -rc Kernel verwendet und trotzdem einen Patch für den Cisco VPN Client sucht, verwendet bitte den Patch von hier {en} . Auch hierfür gibt es inzwischen einen Patch, der die mit 2.6.24 eingeführten Neuerungen auf den Cisco VPN-Client überträgt: VPN Client Patch update for 2.6.24 final {en} .

cd vpnclient
wget http://projects.tuxx-home.at/ciscovpn/patches/vpnclient-linux-2.6.24-final.diff
patch <vpnclient-linux-2.6.24-final.diff
sudo ./vpn_install 

Deinstallation

Die Deinstallation des Cisco VPN Client erfolgt ähnlich wie die Installation. Im heruntergeladenen .tar.gz Archiv befindet sich nicht nur das Skript zum Installieren, sondern auch für die Deinstallation. Dieses muss mittels

sudo ./vpn_uninstall 

aufgerufen werden [2] und die Fragen, was alles deinstalliert werden soll, entsprechend beantwortet werden.

  • VPN {Übersicht} Artikelübersicht

Diese Revision wurde am 15. Oktober 2011 18:41 von frustschieber erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit, Netzwerk, VPN