Linux

Linux Einstellungen

Bei Problemen lesen Sie bitte auch unsere FAQ zu OpenVPN.


Getestet unter Debian/Ubuntu und Fedora.

Sie können OpenVPN sowohl auf der Kommandozeile installieren und ausführen als auch über eine grafische Benutzeroberfläche (Network Manager).

Auf der Kommandozeile

  1. Installieren des VPN Clients:

    Die einfachste Möglichkeit den OpenVPN Client zu installieren ist das Paketmanagment System der jeweiligen Linux Distribution zu verwenden. Geben Sie eines der folgenden Befehle mit Administratorrechten (root) ein:

    • Ubuntu/Debian: (sudo) apt install openvpn
    • Fedora: (sudo) yum install openvpn
  2. Herunterladen der passenden Konfigurationsdatei: kit.ovpn bzw. kit-split.ovpn 
                                         bzw. für VPN2VLAN: kit-vpn2vlan.ovpn

    Suchen Sie sich oben die zu Ihrem System passende Konfigurationsdatei heraus. Rechtsklicken Sie auf die passende Konfigurationsdatei und wählen Sie "Ziel speichern unter" aus. Speichern Sie die Datei in einen beliebigen Ordner (z.B. legen Sie sich einen neuen Ordner in ihrem Benutzerordner an z.B. "VPN").

  3. Starten des OpenVPN Clients mit der heruntergeladenen Konfigurationsdatei:

    Die einfachste Möglichkeit den OpenVPN Client zu installieren ist das --config Argument zu benutzen, um den Ort der Konfigurationsdatei zu spezifizieren. Führen Sie folgenden Befehl aus:

    • sudo openvpn --config /pfad/zu/kit.ovpn
      (wobei /pfad/zu die Datei ist in der die Konfigurationsdatei gespeichert wurde z.B. ~/VPN/)
    Sie werden aufgefordert Ihren Benutzernamen einzugeben. Melden Sie sich mit ihrem KIT-Account an. Also geben Sie als Benutzernamen ihr Mitarbeiter-/Studentenkürzel ein (z.B. ab123 bzw. uxxxx) und drücken "Enter". Geben Sie nun das dazugehörige Passwort ein und drücken wieder "Enter". Die VPN-Verbindung wird aufgebaut. Wollen Sie die Verbindung wieder trennen, drücken Sie "Strg-C".

Unter Umständen (zum Beispiel beim Zugriff auf das Home- oder OE-Laufwerk über VPN) müssen Sie noch sicherstellen, dass die KIT-Resolver für die DNS-Auflösung im VPN konfiguriert werden. Die funktioniert auf der Kommandozeile nicht ohne Weiteres.
Weitere Informationen zum Starten des OpenVPN-Clients auf der Kommandozeile gibt es hier.

Über eine grafische Benutzeroberfläche (NetworkManager)


Es gibt ein OpenVPN Plugin für NetworkManager. Eventuell ist dieses bereits installiert. Wie Sie dieses ansonsten installieren, finden Sie im Folgenden unter dem jeweiligen System.

Achtung bei Network Manager mit den Konfigurationsdateien: Network Manager unterstützt keine Konfigurationsblöcke. Wenn Sie Network Manager verwenden, müssen Sie die Einzelkonfigurationsdateien herunterladen. Zu empfehlen sind kit-v6.ovpn, kit-v6-split.ovpn bzw. kit-vpn2vlan-v6.ovpn. Wenn IPv6 bei Ihnen nicht verfügbar ist, wählen sie stattdessen die Dateien mit v4 statt v6. Für sehr restriktive Umgebungen wählen Sie kit-v4-tcp-443 bzw. kit-vpn2vlan-v4-tcp-443.

Die Konfigurationsdatei bzw. die Konfigurationsdateien Ihrer Wahl importieren Sie dann in den Network Manager. Das Vorgehen ist unten für das jeweilige System beschrieben.

Hinweis bzgl. Split-Tunneling: Bei Verwendung von Split-Tunneling muss etwas extra im NetworkManager gesetzt werden: sowohl unter IPv4 Settings als auch unter IPv6 Settings → Routes... dort den Haken setzen bei "Use this connection only for resources on its network".

Hinweis bzgl. DNS-Auflösung: Network Manager stellt im Normalfall sicher, dass die KIT-Resolver für die DNS-Auflösung im VPN konfiguriert werden. Es sollten hier also keine weiteren Aktionen nötig sein.

Debian/Ubuntu mit GNOME

Wenn nicht bereits installiert, muss das Paket network-manager-openvpn-gnome installiert werden. Die obige Konfigurationsdatei kann dann in den NetworkManager importiert werden. Klicken Sie auf "VPN-Verbindung hinzufügen" und dann scrollen Sie im Auswahl-Menü ganz herunter bis zu "Konfiguration importieren".

 

Fedora mit GNOME

Es reicht aus, das Paket NetworkManager-openvpn-gnome zu installieren, der Rest wird dann mitinstalliert. Wenn nicht bereits installiert, muss das Paket NetworkManager-openvpn-gnome installiert werden. Die obige Konfigurationsdatei kann dann in den NetworkManager importiert werden:

  • NetzwerkManager starten
  • Netzwerkeinstellungen
  • "+" (für hinzufügen)
  • VPN
  • "aus Datei importieren"
  • vorher gespeicherte Konfigurationsdatei auswählen
  • Benutzername und Passwort eintragen
  • abspeichern

Um das VPN zu starten, auf das NetworkManager Icon klicken und "kit" von "0" auf "1" stellen (oder in anderen Systemen von "aus" auf "ein").

Verwendung der KIT-Resolver für die DNS-Auflösung

Es gibt am KIT ein paar DNS-Namen (insbesondere der Fileservice), die nur mit den KIT-Resolvern aufgelöst werden können. Der OpenVPN-Server teilt dem Client die KIT-Resolver mit. Diese müssen dann allerdings noch im System konfiguriert werden, damit sie verwendet werden.
Bei der Nutzung von Network Manager sollte dies durch Network Manager selbst durchgeführt werden und keine weitere Aktion nötig sein.
Auf der Kommandozeile passiert dies nur, wenn man die folgende Anleitung zu resolvconf oder systemd-resolved durchführt.
 

Debian/Ubuntu/Mint: resolvconf (ohne systemd-resolved)

Unter Debian/Ubuntu/Mint gibt es das Paket resolvconf. Wenn dieses installiert ist, kann man OpenVPN wie folgt aufrufen:
sudo openvpn --config kit.ovpn --config /etc/openvpn/update-resolv-conf.conf

Wobei zunächst die zweite OpenVPN-Konfigurationsdatei /etc/openvpn/update-resolv-conf.conf angelegt werden muss mit folgendem Inhalt:

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Dies funktioniert allerdings nur dann, wenn auf dem System nicht systemd-resolved aktiviert ist. Dies ist ab Ubuntu 16.10 der Fall. Wie hier zu verfahren ist, steht im nächsten Abschnitt. Falls Sie ihr Betriebssystem von älteren Versionen aus aktualisiert haben, kann es sein, dass systemd-resolved nicht aktiviert wurde.

Falls bei Ihnen systemd-resolved nicht aktiviert ist, installieren Sie ggf. das Paket resolvconf, falls es nicht bereits installiert ist.

systemd-resolved

Ab Ubuntu 16.10 und Fedora 33 ist standardmäßig systemd-resolved aktiviert. Man kann den Service aber natürlich auch nachträglich aktivieren.

In diesem Fall können Sie das Skript update-systemd-resolved zur Aktualisierung der DNS-Resolver vewenden:
https://github.com/jonathanio/update-systemd-resolved

Der Aufruf von OpenVPN sieht dann so aus:
sudo openvpn --config kit.ovpn --config /etc/openvpn/update-systemd-resolved.conf

Wobei zunächst die zweite OpenVPN-Konfigurationsdatei /etc/openvpn/update-systemd-resolved.conf angelegt werden muss mit folgenden Inhalt:

script-security 2
setenv PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
up /usr/bin/update-systemd-resolved
up-restart
down /usr/bin/update-systemd-resolved
down-pre