[[Vorlage(Archiviert)]] {{{#!vorlage Hinweis Der Cisco-VPN-Client funktioniert nicht mehr ab Kernel 2.6.24. Es wird empfohlen die VPNC-Lösung des GNOME Network-Managers [:NetworkManager/VPN_Plugins:Network-Manager/VPN Plugins] zu verwenden. }}} {{{#!vorlage Wissen [:Pakete_installieren: Installation von Programmen] [:Terminal: Ein Terminal öffnen] [:Editor: Einen Editor öffnen] [:Menüeditor: Programme zum Menü hinzufügen] [:Packprogramme: Ein Archiv entpacken] [:Metapakete: Linux-Headers: welche Version?] }}} [[Inhaltsverzeichnis(2)]] An vielen Hochschulen wird als Zugangssoftware zum Hochschul-Netz der Cisco VPN-Client verwendet. Als empfohlene Alternative zum hier beschriebenen offiziellen Kommandozeilen-Client bietet sich der Cisco-compatible VPN Client (kurz [:VPNC:vpnc]) an. [:VPNC:Vpnc] kann in Gnome durch ein [:NetworkManager/VPN_Plugins:Network-Manager-Plugin] bequem über die grafische Benutzeroberfläche bedient werden. Kubuntu-Nutzer können das Programm [:Archiv/kvpnc:] verwenden. Hierbei ist zu beachten, dass [:VPNC:vpnc] die Verfahren hybride Authentifizierung (Server-Zertifikat + XAUTH), Pre-Shared-Key + XAUTH ([http://www.cisco.com/warp/public/707/cisco-sn-20040415-grppass.shtml unsicher]) und Pre-Shared-Key unterstützt. Server+Client-Zertifikat wird bisher von [:VPNC:vpnc] nicht unterstützt, so dass man weiterhin auf den Cisco VPN-Client angewiesen ist. = Herunterladen = Es muss mindestens Version 4.8 des Cisco-Clients verwendet werden. Versuche eine ältere Version zu installieren, scheitern beim Kompilieren des Moduls. Je höher die Version desto besser. Gegenwärtig (Nov. 2007) ist für Linux Version vpnclient-linux-x86_64-4.8.01.0640-k9 verfügbar. Diese Version ist eine sogenannte "biarch Version" und unterstützt somit Intel 32Bit und Intel 64 Bit Prozessoren. Verschiedene Versionen des Clients können im [http://www.rz.uni-konstanz.de/angebote/remote-access/vpn-client/ Archiv der Uni-Konstanz] {de} heruntergeladen werden. Die jeweils aktuelle befindet sich im Ordner '''latest'''. ## Für Hardy Heron wird [http://www.rz.uni-konstanz.de/uploads/media/vpnclient-linux-x86_64-4.8.02.0030-k9.tar Version 4.8.02.0030] {dl} benötigt. Falls es bei der Installation der aktuellen Version zu Fehlern kommt, kann auf andere Versionen zurück gegriffen werden. Siehe [#Problembehandlung Problembehandlung]. Nutzer einer 64-bit Installation von Ubuntu Gutsy Gibbon müssen eine gepatchte Version des Cisco VPN Clients installieren. Hier bietet wieder die [http://linux-support.uni-konstanz.de/ Universität Konstanz] {de} eine Version zum [http://linux-support.uni-konstanz.de/downloads/Cisco-VPN-Client-Linux-x86-4.8.01.0640-patched.tar.bz2 Download] {dl} an, die bereits fertig gepatched ist und problemlos installiert werden kann. = Installation = Für die Installation sind noch folgende Pakete [1] nötig: * '''build-essential''' - Alles was zum Kompilieren von Programmen nötig ist * '''linux-headers-generic''' - Die zum installierten Kernel passende [6] Header-Dateien. Nach dem Herunterladen entpackt [5] man das Archiv, in dem sich der Client befindet, wechselt in das entstandene Verzeichnis '''vpnclient''' und arbeitet im Terminal [2] mit [:sudo:Rootrechten] weiter. Der Wechsel in das Verzeichnis ist wichtig, da sonst das Installationsscript mit einer Fehlermeldung abbricht. Wichtig ist, dass sich im gesamten Pfad keine Leerzeichen befinden dürfen. Man startet das Installations-Script mit: {{{#!vorlage Befehl sudo ./vpn_install }}} Man kann Vorgaben des Intallationsassistenten übernehmen. = Erster Start = Nach der erfolgreichen Installation ist das VPN-Kernel-Modul manuell zu starten: {{{#!vorlage Befehl sudo /etc/init.d/vpnclient_init start }}} = Profileinrichtung und Test = Im Archiv befindet sich eine Profil-Datei. Oft muss man das von der Uni herunterladen. Diese muss ins System mit den entsprechenden Rechten kopiert werden: {{{#!vorlage Befehl sudo cp profil.pcf /etc/CiscoSystemsVPNClient/Profiles/ sudo chmod 640 /etc/CiscoSystemsVPNClient/Profiles/profil.pcf }}} Jetzt kann die Verbindung testen: {{{#!vorlage Befehl vpnclient connect profil vpnclient disconnect }}} Dabei ist zu beachten, dass hier der Profilname ohne die Endung .pcf angegeben werden muss. In den aktuellen VPN-Client Versionen kommt es zu folgender Fehlermeldungen, wenn man die Verbindung als normaler User herstellen möchte: {{{Cisco Systems VPN Client Version 4.8.00 (0490) Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux 2.6.15-23-386 #1 PREEMPT Tue May 23 13:49:40 UTC 2006 i686 Config file directory: /etc/opt/cisco-vpnclient privsep: unable to drop privileges: group set failed. The application was unable to communicate with the VPN sub-system. }}} Somit muss man die Verbindung mit [:sudo:Rootrechten] herstellen: {{{#!vorlage Befehl sudo vpnclient connect profil }}} Das Terminalfenster geht dann bei erfolgreicher Verbindung nicht wieder in den Eingabemodus. Mit [[Vorlage(Tasten, Strg+c)]] kann man die Verbindung wieder beenden. Damit es möglich ist sich auch als normaler Benutzer zu verbinden ohne eine Fehlermeldung zu erhalten, muss folgender Befehl ausgeführt werden: {{{#!vorlage Befehl sudo chmod 4111 /opt/cisco-vpnclient/bin/cvpnd }}} Dabei liegt der VPN-Client in '''/opt''' (bei Bedarf anpassen). = Etwas mehr Komfort = Um die VPN Verbindung komfortabel mit einem Mausklick mit einer Verknüpfung zu starten, geht man folgendermaßen vor. Zuerst speichert man folgenden Script im [:Homeverzeichnis:] mit einem Texteditor z.B. mit dem Namen vpn.sh ab: {{{#!/bin/sh # Ein kurzer Neustart zum initialisieren sudo /etc/init.d/vpnclient_init restart # Verbindungsaufbau sudo vpnclient connect profil }}} {{{#!vorlage Befehl chmod 700 vpn.sh }}} Nun ``sh vpn.sh`` zum Menü oder Panel hinzufügen [4] und einen Haken bei ''"Im Terminal ausführen"'' setzen. = Zertifikate importieren = Manche VPN-Verbindungen können erst hergestellt werden, wenn zuvor ein Zertifikat importiert worden ist. Zertifikate sind erkennbar an der Dateiendung '''.der'''. Der Import geschieht mittels dem integrierten Zertifikatmangager '''cisco_cert_mgr''' durch [2]: {{{#!vorlage Befehl sudo cisco_cert_mgr stdin -U -op import }}} Dann wird man nach dem Dateinamen des zu verwendenden Zertifikats gefragt. Es ist darauf zu achten, dass der Zertifikatsmanager in dem Verzeichnis nach der Datei sucht, aus der der Manager ausgeführt wird. Weitere Optionen können durch eine Aufruf des Programms ohne weitere Argumente erfragt werden. = Problembehandlung = == Kernel-Modul kann nach Kernel-Update nicht mehr gestartet werden == Kommt beim Laden des Kernelmoduls eine Fehlermeldung wie zum Beispiel diese hier: {{{#!vorlage Befehl Starting /opt/cisco-vpnclient/bin/vpnclient: module directory /lib/modules/2.6.27-11-generic/CiscoVPN not found. }}} wurde wahrscheinlich der Kernel upgedatet, weswegen das Kernelmodul, das sich ja im alten Kernel befindet, sich nicht mehr laden lässt. In diesem Fall genügt es, im CiscoVPN-Ordner {{{#!vorlage Befehl sudo ./vpn_uninstall }}} einzugeben, in der Deinstallationsroutine anzugeben, dass die Profile beibehalten werden sollen {{{#!vorlage Befehl Are you sure that you wish to uninstall the VPN Client? [no] y Do you wish to remove all existing profiles and certificates? [no] n - Existing Profiles and Certificates will be preserved - Binary uninstall directory set to /usr/local/bin }}} und mit {{{#!vorlage Befehl sudo ./vpn_install }}} CiscoVPN neu zu installieren. Der Client müsste sich dann wieder normal nutzen lassen. == Installation mit aktuellerem Kernel == Sollte die Installation beim Kompilieren fehlschlagen, da der VPN-Client nicht mehr mit der Kernelversion kompatibel ist, finden sich relativ aktuelle Patches folgender Seite, die [http://projects.tuxx-home.at/?id=cisco_vpn_client Unofficial Cisco VPN client updates for Linux]{en} anbietet. == Installation unter Ubuntu Hardy Heron == Falls bei aktuellen Versionen des Cisco VPN-Clients die Installation scheitert, kann es helfen auf Version vpnclient-linux-x86_64-4.8.01.0640-k9 zurückzugreifen. Diese kann [http://www.uni-konstanz.de/RZ/wlan/ipsec/software/cisco-vpnclient-4.8/vpnclient-linux-x86_64-4.8.01.0640-k9.tar hier] {dl} aus dem Archiv der Uni Konstanz heruntergeladen werden. Man benötigt hier ebenfalls den Patch für den 2.6.24 Kernel wie weiter unten bei [#feisty_patch Feisty Fawn] beschrieben ist.\\ Sollte dies auch nicht funktionieren, kann noch die Lösung von [http://www.lamnk.com/blog/domain/how-to-install-cisco-vpn-client-on-ubuntu-hardy-heron-804/ dort] ausprobiert werden. == Installation unter Ubuntu Gutsy Gibbon == Falls bei aktuellen Versionen des Cisco VPN-Clients die Installation scheitert, kann es helfen auf Version vpnclient-linux-x86_64-4.8.01.0640-k9 zurückzugreifen. Diese kann [http://www.uni-konstanz.de/RZ/wlan/ipsec/software/cisco-vpnclient-4.8/vpnclient-linux-x86_64-4.8.01.0640-k9.tar hier] {dl} aus dem Archiv der Uni Konstanz heruntergeladen werden. [[Anker(feisty_patch)]] == Installation unter Ubuntu Feisty Fawn == Bei neueren [:Kernel:]-Versionen, wie z.B. 2.6.20 von [:Feisty_Fawn:Feisty Fawn], kommt eine Fehlermeldung, dass die Datei '''linux/config.h''' nicht gefunden werden kann. Abhilfe schafft der folgende Patch nach [http://tuxx-home.at/archives/2007/05/29/T16_34_26/ http://tuxx-home.at/archives/2007/05/29/T16_34_26/] {en} : {{{#!vorlage Befehl cd vpnclient wget http://projects.tuxx-home.at/ciscovpn/patches/vpnclient-linux-2.6.22.diff patch < vpnclient-linux-2.6.22.diff sudo ./vpn_install }}} Spätestens seit Version 4.8.01.0640 des Cisco VPN Clients ist dieser Patch nicht mehr notwendig. Falls die Kompilierung scheitert, die Kernelversion überprüfen, den Pfad auf Leerzeichen überprüfen und die neueste Version des Clients benutzen. Versucht man den neuesten Cisco VPN-Client (v4.8.01.0640) mit einem Linux-Kernel der Version 2.6.24 zu betreiben, erhält man allerdings wieder eine Fehlermeldung beim Kompilieren des Kernelmoduls. Während der Fertigstellungsphase des 2.6.24er Kernels gab es ein paar Änderungen die mit -rc1 eingeführt wurden und in der finalen Version wieder entfernt wurden, daher gilt die unten beschriebene Anleitung nur für die finale Version des 2.6.24er Kernels. Wer immernoch einen -rc Kernel verwendet und trotzdem einen Patch für den Cisco VPN Client sucht, verwendet bitte den Patch von [http://tuxx-home.at/archives/2008/01/11/T19_40_26/ hier] {en} . Auch hierfür gibt es inzwischen einen Patch, der die mit 2.6.24 eingeführten Neuerungen auf den Cisco VPN-Client überträgt: [http://tuxx-home.at/archives/2008/01/25/T09_54_46/Cisco VPN Client Patch update for 2.6.24 final] {en} . {{{#!vorlage Befehl cd vpnclient wget http://projects.tuxx-home.at/ciscovpn/patches/vpnclient-linux-2.6.24-final.diff patch