Konfiguration für Linux
Unter Linux gibt es verschiedene Möglichkeiten, eine OpenVPN-Verbindung zu konfigurieren. Zuvor muss in allen Fällen das OpenVPN-Paket über den Paket-Manager Ihrer Linux-Distribution installiert werden. OpenVPN ist in jeder Distribution enthalten. Sie benötigen mindestens die Programmversion 2.1rc8.
1. Graphische Konfiguration
... mit dem NetworkManager
Falls Sie den NetworkManager zur graphischen Verwaltung Ihrer Netzwerkverbindungen verwenden, bietet es sich an, hiermit auch VPN-Verbindungen zu konfigurieren. Das NetworkManager-Plugin für OpenVPN ist bei manchen Distributionen in ein separates Paket ausgelagert, welches zuerst installiert werden muss (z.B. network-manager-openvpn im Falle von Debian GNU Linux, Ubuntu oder Kubuntu).
Um ein neues OpenVPN-Profil anzulegen, klicken Sie bitte die rechte Maustaste über dem NetworkManager Taskleisten-Symbol, wählen Sie anschließend "Edit Connections":
Im Menü "New Connection" bitte "VPN" auswählen:
Bei "Service" muss "openvpn" ausgewählt werden. Bitte nehmen Sie die weiteren Einstellungen wie in der Abbildung dargestellt vor.
Bei "CA file" wählen Sie bitte das Zertifikat "Deutsche Telekom Root CA 2" aus Ihrem Zertifikatspeicher aus (dieser wird z.B. unter Debian GNU Linux, Ubuntu oder Kubuntu mit dem Paket "ca-certificates" bereitgestellt). Im Tab "Optional Information" bitte "LZO Compression" aktivieren.
Wichtig: Ersetzen Sie "username" durch Ihren RHRK-Benutzernamen. Diesem muss "@rhrk.uni-kl.de" angefügt werden.
Geben Sie dem neuen Verbindungsprofil einen Namen, z.B. "TU Kaiserslautern".
Die VPN-Verbindung kann nun durch Drücken der rechten Maustaste über dem NetworkManager-Taskleisten-Symbol und anschließender Auswahl von "Start VPN Connection" und "TU Kaiserslautern" gestartet werden. Sie werden zur Eingabe ihres RHRK-Passworts aufgefordert.
Bitte denken Sie daran, die VPN-Verbindung wieder zu beenden, sobald diese nicht mehr benötigt wird.
2. Text-basiert
... nicht distributionsspezifisch
Zuerst wird das Zertifikat "Deutsche Telekom Root CA 2" benötigt. Dieses Zertifikat wird inzwischen von den meisten Distributionen im Zertifikatspeicher bereitgestellt (meist in /etc/ssl/certs/ zu finden). Falls Ihre Distribution dies nicht bietet, bitte das Zertifikat herunterladen und nach /etc/ssl/certs/ kopieren:
Weitere Informationen zur PKI des RHRK sowie die Fingerprints zur Validierung der Zertifikate erhalten Sie hier.
Laden Sie bitte des Weiteren nachfolgende Konfigurationsdateien für OpenVPN herunter (Achtung: Der Pfad zum CA-Zertifikat muss, je nach Zertifikatspeicher, in der Konfigurationsdatei angepasst werden) und legen Sie diese in /etc/openvpn/ ab:
Mit dem Profil rhrk-split werden nur Daten zu Zielen innerhalb der TU Kaiserslautern getunnelt. |
Mit dem Profil rhrk-full werden jegliche Daten über die TU Kaiserslautern getunnelt, also auch Daten zu externen Zielen. |
Die VPN-Verbindung kann nun (als root!) mit folgendem Kommando aufgebaut werden:
$ openvpn --config /etc/openvpn/rhrk-split.conf
Der Benutzername muss in der Form username@rhrk.uni-kl.de eingegeben werden, als Passwort ist Ihr RHRK-Passwort zu verwenden.
3. Text-basiert, spezifisch
... für Debian GNU Linux, Ubuntu oder Kubuntu
Nutzer von Debian GNU Linux, Ubuntu oder Kubuntu können die Zertifikat-Kette und die Client-Konfigurationsdateien auch direkt als Debian Packages installieren, so dass der obige manuelle Kopiervorgang komplett entfällt. Dazu muss zunächst unser lokales APT Repository eingerichtet werden. Eine Beschreibung hierzu finden Sie in der eduroam-Konfigurationsanleitung für Debian GNU Linux. Anschließend können die vorgefertigten OpenVPN Konfigurationsdateien einfach als Paket installiert werden:
$ apt-get install rhrk-openvpn-config
Der Verbindungsaufbau erfolgt dann (als root!) mit:
$ openvpn --config /etc/openvpn/rhrk-split.conf
Einrichtung
