Zusammenfassung

Einer VPN-Verbindung mit Bordmitteln von Debian-basierten Linux-Betriebssystemen kann wie folgt eingerichtet werden.

Diese Anleitung richtet sich besonders an folgende Zielgruppen: -Nicht zutreffende Zielgruppen bitte löschen-

Studierende
Lehrende
Mitarbeitende
Wissenschaftliche Mitarbeitende und Hilfskräfte
Einrichtungen und Gremien (z.B. Fachschaftsräte)
Arbeitsbereiche / Gruppen (z.B. Projekte)
Gäste der Friedrich-Schiller-Universität

Voraussetzungen

ein aktives Nutzerkonto der Universität Jena
aktuelles Debian-basierendes Linux-Betriebssystem
SuperUser-Rechte auf dem Zielsystem
Internetverbindung

Unter VPN - Zugang zum internen Universitätsnetz (uni-jena.de) finden Sie weitere Informationen zu Voraussetzungen und Leistungsumfang des VPN-Services.

Installation und Nutzung des VPN-Dienstes

1. Schritt: VPN-Komponenten installieren

Öffnen Sie das Terminal und tippen /kopieren Sie folgende Befehle um die neuesten Paketlisten mit deren Abhängigkeiten zu laden (hintereinander ausführen):

sudo apt-get update
sudo apt-get upgrade

Nach Eingabe des Befehls wird das Gerätepasswort (sudo) abgefragt, wundern Sie sich nicht, dass bei Eingabe des Passwortes keine Zeichen zu sehen sind.

Anschließend müssen zusätzliche Komponenten des OpenConnect SSL Clients installiert werden. Diese sind für die Verbindung zum VPN-Gateway der Uni Jena erforderlich.

sudo apt-get install openconnect network-manager-openconnect network-manager-openconnect-gnome

Bestätigen Sie die Installation der neuen Komponenten.

Installieren Sie anschließend das Sicherheitszertifikat (hintereinander ausfühen):

sudo -i
cd /etc/ssl/certs
wget https://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.pem

Derzeit kein Support für grafische Oberfläche bei Ubuntu

Derzeit fehlt eine notwendige Option in der grafischen Oberfläche unter Debian (Ubuntu, Mint, etc).

Die benötigte Version des nework-manager-openconnect lautet 1.2.10.

Nutzen Sie daher den Cisco AnyConnect oder führen Sie OpenConnect per Kommandozeile mit den Parametern:

(Tipp, nutzen Sie ein neues Terminal-Fenster)

sudo openconnect -b --useragent 'AnyConnect' --user=ab12cde@uni-jena.de --pid-file=/var/run/vpn.pid --timestamp --syslog vpn.uni-jena.de

aus.

Achtung. "ab12cde" muss mit Ihrem Loginkürzel ersetzt werden!

Nach Eingabe des Befehls wird das Gerätepasswort (sudo) abgefragt, wundern Sie sich nicht, dass bei Eingabe des Passwortes keine Zeichen zu sehen sind. Anschließend wird Ihr Passwort des URZ-Logins abgefragt.

Knowledgebase Universitätsrechenzentrum > Ubuntu (Linux) - VPN einrichten (OpenConnect) > image-2024-2-29_14-36-31.png

Der VPN-Dienst läuft nach erfolgreichem Login im Hintergrund

Die verlässlichste Variante, das VPN zu beenden ist ein Neustart des Systems.

2. Schritt: VPN-Profil über den nativen Network-Manager konfigurieren

sudo openconnect -b --useragent 'AnyConnect' --user=ab12cde@uni-jena.de --pid-file=/var/run/vpn.pid --timestamp --syslog vpn.uni-jena.de

(zum Vergrößern auf das Bild klicken)

Unter Einstellungen (bei Ubuntu) finden Sie links einen Menüpunkt "Netzwerk" unter diesem ist der Abschnitt "VPN" zu finden. Über das kleine "+" können neue Verbindungen eingerichtet werden.

Jetzt ist der durch die Installation von OpenConnect hinzugekommene Punkt "Multiprotocol-VPN-Client (OpenConnect)" auszuwählen.

(zum Vergrößern auf das Bild klicken)

Anschließend kann der Name für dieses VPN-Profil vergeben werden. Weiterhin sollten die Einstellungen wie abgebildet lauten:

VPN-Protokoll: Cisco AnyConnect oder OpenConnect
Gateway: vpn.uni-jena.de
CA-Zertifikat: /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem

Sollte das Zertifikat nicht an diesem Speicherort zu finden sein, kann es über das Terminal nachinstalliert werden:

sudo -i
cd /etc/ssl/certs
wget https://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.pem

(Befehle hintereinander ausführen)

Knowledgebase Universitätsrechenzentrum > Ubuntu (Linux) - VPN einrichten (OpenConnect) > Bildschirmfoto von 2021-11-08 14-22-53.png

(zum Vergrößern auf das Bild klicken)

In das Root-Verzeichnis "/" (vergleichbar mit Festplatte C:\ unter Windows) gelangen Sie über das Festplattensymbol, welches Sie über den kleinen Pfeil links neben dem Namen Ihres Nutzerprofils sichtbar machen können.

Über die Schaltfläche "Hinzufügen" ist das neue VPN-Profil gespeichert.

3. Schritt: VPN-Verbindung über eingerichtetes Profil aufbauen

(zum Vergrößern auf das Bild klicken)

Unter "Netzwerk" in den "Einstellungen" wird das jüngst eingerichtete Profil angezeigt. Über den Schalter kann die VPN-Verbindung aufgebaut werden.

(zum Vergrößern auf das Bild klicken)

Bei der Abfrage der Credentials (Anmelde-Informationen) ist folgendes Schema zu beachten:

Username: sh36lei@uni-jena.de
Password: password

Nutzername und Passwort sind hier beispielhaft angegeben, ersetzen Sie diese bitte mit Ihren.

Nach einem Klick auf [Login] sind Sie mit dem VPN der Friedrich-Schiller-Universität Jena verbunden und können auf interne Inhalte zugreifen.

4. (optional) Schritt: VPN-Verbindung Schnellzugriff - Trennen /Verbinden

(zum Vergrößern auf das Bild klicken)

Über den kleinen Pfeil rechts oben ist das aktuelle VPN-Profil schnell zu erreichen und kann hier ein- und ausgeschaltet werden.

Es kann zu DNS-Problemen mit dem "openconnect Plugin" kommen.
Leider werden die Uni-DNS Server, die korrekt mittels "X-CSTP-DNS: 10.138.193.193" Header an den openconnect-Client übermittelt werden, nicht ins eigene System übernommen.
Das Problem tritt bei Archlinux mit dem NetworkManger-Plugin und auch der CLI-Version von openconnect auf. Auch ein aktuelles Ubuntu 20.04 zeigt mit dem NM-openconnect
das gleiche Problem. Somit können dann universitätsinterne Server nicht aufgelöst und damit nicht erreicht werden.

Ein möglicher Workaround ist, im IPv4 Tab der Verbindungseinstellungen (siehe Abbildung) des VPN Profils unter "DNS Server" die Uni-DNS Server händisch einzutragen.
Dann werden diese auch beim Verbinden mit dem VPN im System übernommen und der Zugriff auf universitätsinterne Server ist per VPN möglich.

(zum Vergrößern auf das Bild klicken)

Titel: "Ubuntu (Linux) - VPN einrichten (OpenConnect)"

Stand: 11.11.2021

Summary

Establish a VPN connection to the intranet of the University of Jena using the built in VPN funcionalities of a Debian based Linux.

This guide is aimed at the following target groups: -Nicht zutreffende Zielgruppen bitte löschen-

Students
Teachers
Employees
Scientific employees and assistants
Institutions and Commitees (e.g. student councils)
Working groups (e.g. projects)
Guests of the University of Jena

Requirements

an activated user account of the University of Jena
a recent Debian based Linux OS
administrator privileges (sudo)
internet connection

For further information and requirements for VPN service look at VPN - Zugang zum internen Universitätsnetz (uni-jena.de).

Installation and the use of the VPN service

1. Step: Install the VPN components

Open the terminal and type/copy the following commands to load the latest packages with their dependencies (run commands line by line):

sudo apt-get update
sudo apt-get upgrade

After entering the command, the device password (sudo) is requested, do not be surprised that no characters are visible when entering the password.

Then additional components of the OpenConnect SSL client must be installed. These are required for the connection to the VPN gateway of the University of Jena.

sudo apt-get install openconnect network-manager-openconnect network-manager-openconnect-gnome

Confirm the installation of the new components.

Then install the security certificate (execute line by line):

sudo -i
cd /etc/ssl/certs
wget https://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.pem

Currently a necessary option is missing in the graphical user interface under Debian (Ubuntu, Mint, etc).

The required version of nework-manager-openconnect is 1.2.10.

Therefore, use Cisco AnyConnect or run OpenConnect via command line with the parameters:

(Hint: Run it in a new terminal window.)

sudo openconnect -b --useragent 'AnyConnect' --user=ab12cde@uni-jena.de --pid-file=/var/run/vpn.pid --timestamp --syslog vpn.uni-jena.de

Attention. "ab12cde" must be replaced with your login name!

After entering the command, the device password (sudo) is requested, do not be surprised that no characters are visible when entering the password. You will then be asked for your URZ login password.

The most reliable way to terminate the VPN is to restart the system.

2. Step: Configure the VPN profile using the native network manager

(click to enlarge the picture)

In the Settings (for Ubuntu) you will find a menu item "Network" on the left, here you will find the "VPN" section. New connections can be set up by clicking on the "+" button.

Now select the item "Multiprotocol VPN Client (OpenConnect)", which was added by installing OpenConnect.

(click to enlarge the picture)

Afterwards, a name can be assigned for this VPN profile. Furthermore, the settings should be look like this:

VPN Protocol: Cisco AnyConnect oder OpenConnect
Gateway: vpn.uni-jena.de
CA Certificate: /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem

If thecertificate cannot be foundin this storage location, it must be installed additionally by using the terminal. The commands for the installation are:

sudo -i
cd /etc/ssl/certs
wget https://www.pki.dfn.de/fileadmin/PKI/zertifikate/T-TeleSec_GlobalRoot_Class_2.pem

(Execute commands line by line)

Knowledgebase Universitätsrechenzentrum > Ubuntu (Linux) - VPN einrichten (OpenConnect) > Bildschirmfoto von 2021-11-08 14-22-53.png

(click to enlarge the picture)

You can access the root directory "/"(comparable to hard disk C:\ on Windows) via the hard disk icon, which you can make visible via the small arrow to the left of the name of your user profile.

The new VPN profile is saved by clicking on the "Add" button.

3. Step: Establish a VPN connection using the profile that has been set up

(click to enlarge the picture)

The profile recently setted up is displayed in the tab "Network" in "Settings". The VPN connection can there be established via the switch.

(click to enlarge the picture)

Now you have configured the dial-in point of the University of Jena and the system asks for your username.

Enter your URZ loginabbreviation and add "@uni-jena.de" directly. Without this addition, dialling into the VPN will not be possible.

Username for example: sh36lei@uni-jena.de
Password: password

After entering the associated password, you can set up the VPN connection using the [Login] button.

4. (optional) VPN connection quick access -disconnect /connect

(click to enlarge the picture)

The current VPN profile can be quickly reached using the small arrow at the top right and can be switched on and off here.

DNS problems with the "openconnect plugin" can occur. Unfortunately, the Uni-DNS servers, which are correctly transmitted to the openconnect client using the "X-CSTP-DNS: 10.138.193.193" header, are not transferred to the own system. The problem occurs with Archlinux with the NetworkManger plug-in and also the CLI version of openconnect. Ubuntu 20.04 shows the same problem with the NM-openconnect. This means that university-internal servers cannot be resolved and thus cannot be reached.

A possible workaround is to manually enter the Uni-DNS server in the IPv4 tab of the connection settings of the VPN profile in the section "DNS Server". Then these are written over in the system while connecting and access to the university-internal servers is possible via VPN.

(click to enlarge the picture)

Title: "Ubuntu 20.04 LTS (Linux) - installing VPN (OpenConnect)"

Edited: 29.02.2024