- Kernel 2.2.12 oder neuer
- Glibc 2.1.1 oder neuer
- libstdc++
- Installierte Kernel-Quellen
(das Installationsskript muss ein zum Kernel passendes Modul kompilieren).
- Firewall:
Wenn Sie eine Linux-Firewall betreiben, müssen Sie sicherstellen,
dass folgende TCP-Ports und IP-Protokolle freigeschaltet werden:
* UDP-Port 500 (IKE: Internet Key Exchange)
* UDP-Port 10000 (IPSec Transport über UDP)
* IP-Protocol 50 (ESP:Encapsulating Security Payload)
* TCP-Port 10000 (IPSec Transport über TCP)
* NAT-T (Standards-Based NAT Transparency) Port 4500
Der Cisco-Client besteht aus einigen
Kommandozeilen-Programmen: eine graphische Oberfläche wie bei Windows gibt es
nicht. Alle Aktionen (Installation, Verbindungsauf- und -abbau) müssen daher an
der Konsole oder in einem Terminal durchgeführt werden.
Installation
Die Installation ist als Benutzer root
auszuführen.
- Archiv in einem temporären Verzeichnis entpacken:
tar xzf vpnclient-linux-4.0.1.A-k9.tar.gz - In das erstellte Verzeichnis wechseln:
cd vpnclient - Installationsskript starten:
./vpn_install - Das Skript stellt jetzt einige Fragen zur Installation.
Im Normalfall kann man hier einfach mit "Return" den Vorschlag
übernehmen.
- Directory where binaries will be installed
In dieses Verzeichnis werden cvpnd, vpnclient, ipsec_log und cisco_cert_mgr installiert. - Automatically start the VPN service at boot time
Wenn hier mit "no" geantwortet wird, muss vor dem Aufbau einer VPN-Verbindung "/etc/xxx/vpnclient_init start" ausgeführt werden (xxx steht je nach Distribution für "init.d", "rc.d" oder "rc.d/init.d").
Achtung Suse-Benutzer:
Bei dieser Frage antworten Sie mit no, da
die Startup-Scripts möglicherweise an falscher Stelle installiert werden.
Wollen Sie den VPN Client beim Booten aufstarten, verwenden Sie statt dessen
nach der Installation
ln
-s /etc/init.d/vpnclient_init /etc/init.d/rc3.d/S85vpnclient_init
ln -s /etc/init.d/vpnclient_init /etc/init.d/rc5.d/S85vpnclient_init
Zusätzlich
editieren Sie das File /etc/init.d/vpnclient_init und fügen Sie ca. an
Zeile 15 (ans Ende des ersten Komentarblockes) die Zeile ein (inklusive
#-Zeichen):
#
Required-Start: splash_late
- Directory containing linux kernel source code
Wenn hier kein Vorschlag kommt, sind wahrscheinlich die Kernelquellen nicht installiert. In diesem Fall sollte das Skript mit "Strg-C" abgebrochen, die Kernelquellen installiert und dann das Installationsskript wieder gestartet werden.
Anschließend
bestätigt man die gemachten Angaben noch einmal.
- Das Installationsskript erstellt jetzt das Modul und
kopiert die Dateien.
- Die vom Installationsskript vergebenen Zugriffsrechte
sollten noch korrigiert werden: /etc/opt/cisco-vpnclient für jeden
schreibbar ist. Sinnvollere Rechteregelungen sind z.B.: (/etc/CiscoSystemsVPNClient = /etc/opt/cisco-vpnclient)
- Verzeichnis kann von allen Mitgliedern der Gruppe
"users" gelesen und geändert werden:
chown -R root.users /etc/CiscoSystemsVPNClient
chmod -R ug=rwX,o= /etc/CiscoSystemsVPNClient - Verzeichnis kann nur von root geändert werden,
Benutzer der Gruppe "users" können lesen:
chown -R root.users /etc/CiscoSystemsVPNClient
chmod -R u=rwX,g=rX,o= /etc/CiscoSystemsVPNClient
Eventuell
vorhandene Zertifikate (die nach der Installation nicht vorhanden sind und für
den TU-Zugang nicht gebraucht werden) sollten Sie außerdem gegen unbefugtes
Lesen schützen.
Anschließend
kann der VPN-Dienst per Hand mit "/etc/init.d/vpnclient_init
start"
gestartet werden.
Mobiler
Netzzugang
- IP-Adresse des internen
Gateways für Wireless-LAN, Netzwerksteckdosen : vpngw1.net.hrz.tu-darmstadt.de
- DNS-Name des externen Gateways Zugang
über einen Internet-Provider (ISP) in das TUD-Netz : dialin.tu-darmstadt.de
- IPSec-Gruppenname : mobiletu
- IPSec-Secret : tu2go
Wenn Sie sich bereits einen noch
nicht konfigurierten Cisco-VPN-Client geladen haben, so können Sie sich dafür
noch folgende vorkonfigurierten Profile hier laden. In den vorkonfigurierten
VPN-Clients (d.h. TUD-Version) sind diese Profile bereits enthalten.
Diese Dateien müssen Sie dann im
Profile-Verzeichnis des Cisco-VPN-Clients speichern:
- Windows: c:\Programme\Cisco
Systems\VPN Client\profiles\
- Linux: /etc/CiscoSystemsVPNClient/Profiles/
- Die Zugriffsrechte sollten noch etwas angepaßt werden:
chmod 755 /etc/CiscoSystemsVPNClient
chmod 755 /etc/CiscoSystemsVPNClient/Profiles
chmod 644 /etc/CiscoSystemsVPNClient/Profiles/campus.pcf
Verbindungsaufbau
Vor dem Verbindungsaufbau muss der
VPN-Client möglicherweise mit "/etc/init.d/vpnclient_init
start" (s. o.) gestartet werden.
Führen Sie "vpnclient connect
campus" oder "vpnclient connect
extern" aus. Anschließend wird nach
Benutzernamen und Paßwort gefragt.
Zum Verbindungsabbau geben Sie
"vpnclient
disconnect" ein.
·
Achtung:
Unter Versionsnummern 4.6 und 4.7.00.640 (ev. auch späteren) : Wenn man
versucht den Klient als normaler User zu starten, kommt es zu der
Fehlermeldung:
privsep:
unable to drop privileges: group set failed.
Loggen Sie sich stattdessen als root
ein:
xc1@tphiwi:~>
su -
Password:
tphiwi:~
# vpnclient connect campus
Cisco VPN-Client ohne Root-Rechte
ausführen
Um die Fehlermeldung: "privsep:
unable to drop privileges: group set failed"
auszuschließen, loggen Sie sich als root ein (siehe oben) und geben Sie in der
Konsole
chmod 4111 /opt/cisco-vpnclient/bin/cvpnd ein.
Dadurch verschwindet nicht nur die Fehlermedlung, sondern der VPN-Client kann
auch ohne Root-Rechte ausgeführt werden.
·
Im danach folgenden Dialog werden die URZ-Nutzerkennung/Login-ID und das
URZ-Unix-Kennwort abgefragt. Ob danach die Verbindung hergestellt ist, kann man
an den weiteren Ausgaben ablesen.
·
Das Konsolenfenster muss solange geöffnet bleiben, wie die
IPsec-Verbindung ins URZ benötigt wird. Mit Abbruch des vpnclient wird auch die
sichere Verbindung unterbrochen.
·
Der Status der Verbindung und die IP-Adresse kann in einem anderen
Fenster auch jederzeit mit
vpnclient stat
abgefragt werden.
댓글 없음:
댓글 쓰기