Erbsensoup

„Uffe Arbeit“ nutzen wir ein Cisco VPN. Um sich da „einwählen“ zu können, verwenden die Windows’ler und OS X’ler entweder den „original Cisco“ AnyConnect v2.3.0254 / v2.5.2019 oder den VPN Client v4.9.01.0280 / v5.0.07.0290. Klappt auch leidlich gut… Es gibt für Linux zwar auch einen vpnclient-linux-x86_64-4.8.01.0640-k9.tar.gz, aber………

Trotzdem habe ich’s nun hinbekommen, mich auch mit Linux (dh. Xubuntu 11.10 64bit) mit unserem VPN zu verbinden.

Die erste kleine Hürde fing schon damit an, das wir uns nicht bloß mit Benutzername + Kennwort verbinden können, sondern das wir auch ein persönliches Zertifikat zu verwenden haben. Alleine schon das sorgte dafür, das der „simple“ vpnc Client, den man so auf Linuxen leicht findet, ausscheidet, denn der unterstützt scheinbar keine Anmeldung mit Zertifikat (zumindest nicht die Version, die Xubuntu Oneiric Ocelot dabei ist).

Damit aber nicht genug der „Zertifikatsprobleme“ – wir bekommen unser Zertifikat als EINE „.p12″ PKCS12 Datei. Diese „Binärdatei“ ist erstmal nach  PEM zu konvertieren, z.B. mit den OpenSSL Tools so:

openssl pkcs12 -in cert.p12 -out cert.p12.cer -nodes

Damit aber nicht genug der „Zertifikatsprobleme“ – aus der „cert.p12.cer“ Datei schneide man, manuell mit einem Texteditor, die 3 Bestandteile aus:

1. persönliches Zertifikat → certificate.crt
2. Zertifikat der CA → CACert.cer
3. Zertifikatsschlüssel → privateKey.key

—–BEGIN RSA PRIVATE KEY—–
[…]
—–END RSA PRIVATE KEY—–

Endlich fertig mit den „Zertifikatsproblemen“

Zuerst habe ich versucht, den „original Cisco“ vpnclient auf Xubuntu zum laufen zu bekommen. Aber, beim Versuch ist es geblieben… Hatte „verschiedenste“ Probleme, das Teil kompiliert zu bekommen. Irgendwann habe ich aufgegeben, die Sache ein paar Tage liegen gelassen und neu angefangen.

Diesmal habe ich den OpenConnect VPN client verwendet. Der hat nämlich den immensen Vorteil, das er bei Xubuntu dabei ist (bzw. aus den offiziellen Ubuntu Quellen installiert werden kann) *G* Gesagt, getan:

apt-get install network-manager-openconnect-gnome

Man (dh. ICH) will’s ja bequem haben, darum eben das Network Manager „Plug In“ mit Gnome Support installiert – installiert dann im Endeffekt das einfache „openconnect“ Paket als Abhängigkeit mit.

Nun noch eben in NM konfigurieren, und fertig Zum testen ist es sicherlich auch nicht verkehrt, openconnect mal manuell aufzurufen, und zwar so:

sudo openconnect --certificate=certificate.crt --sslkey=privateKey.key --cafile=CACert.crt $vpn_gateway

Ganz einfach *G*

Hier noch ein paar Bilderchen, die zeigen, wie ich’s in Network Manager konfiguriert habe.