Inhaltsverzeichnis
- Systemvoraussetzungen für AnyConnect unter Linux
- Hardware
- Software
- Installation
- Benutzung
- Probleme und Lösungen
- Fehlende Libraries
- Der VPN-Client startet, kann sich aber nicht verbinden
- "The client agent has encountered an error" beheben
- KDE und Cisco AnyConnect
- Verbindung automatisieren
- Systemvoraussetzungen für AnyConnect unter Linux
Systemvoraussetzungen für AnyConnect unter Linux
Hardware
- x64/AMD64-CPU
- mindestens 32 MB RAM
- mindestens 50 MB feier Festplattenspeicher
Software
- Rootrechte auf dem System
- libstdc++ users must have libstdc++.so.6(GLIBCXX_3.4) or higher, but below version 4
- zlib - to support SSL deflate compression
- xterm - only required if you're doing initial deployment of AnyConnect via Weblaunch from ASA clientless portal
- gtk 2.0.0
- gdk 2.0.0
- libpango 1.0
- iptables 1.2.7a or later
- tun module supplied with kernel 2.4.21 or 2.6
All diese Voraussetzungen sollten auf modernen Linuxsystemen kein Problem sein. Unter Debian/Ubuntu lassen sich mit dem Befehl
sudo apt-get install libstdc++6 zlib1g zlibc xterm libgtk2.0-0 libgdk3.0-cil libpango-1.0-0 libpangox-1.0-0 iptables
die benötigten Abhängigkeiten installieren.
Installation
Laden Sie sich die aktuelleCisco AnyConnect Software herunter:
AnyConnect Download
Installieren Sie network-manager-openconnect z.B. mit
sudo apt-get install network-manager-openconnect
Öffnen Sie ein Terminal und entpacken und installieren Sie Anyconnect mit folgenden Befehlen:
tar xvzf anyconnect-linux64-[VERSION]-predeploy-k9.tgz
cd anyconnect-linux64-[VERSION]
cd vpn
sudo ./vpn_install.sh
(Statt [VERSION] muss die jeweilige Versionsnummer eingegeben werden)
Während der Installation müssen Sie der EULA mit "j" oder "y" und danach der Entertaste zustimmen, um die Software zu installieren.
Kopieren Sie die Root-Zertifikatskette der TU Dresden CA in das Verzeichnis /opt/.cisco/certificates/ca - die aktuelle Zertifikatskette können Sie hier https://pki.pca.dfn.de/tu-dresden-g2-ca/pub/cacert/chain.txt herunter laden. Nennen Sie die Datei z.B. TU-Dresden-CA.pem. Dies geht auch mit diesem Befehl:
sudo wget -O /opt/.cisco/certificates/ca/TU-Dresden-CA.pem https://pki.pca.dfn.de/tu-dresden-g2-ca/pub/cacert/chain.txt
Alternativ, wenn kein wget installiert ist, können Sie curl nutzen:
sudo curl -o /opt/.cisco/certificates/ca/TU-Dresden-CA.pem_curl https://pki.pca.dfn.de/tu-dresden-ca/pub/cacert/chain.txt
Benutzung
Sarten Sie bitte AnyConnect. Unter Ubuntu finden Sie AnyConnect im Menü Internet, unter KDE im KDE-Startmenü unter "Anwendungen" -> "Internet" -> "Cisco AnyConnect Secure Mobility Client" -> "Connect to a private Network using Cisco AnyConnect".
Geben Sie bitte im Feld Connect to: die URL des VPN-Gateway ein: vpn2.zih.tu-dresden.de. Klicken Sie bitte danach auf Connect.
Sollten Sie jetzt eine Fehlermeldung wie
Untrusted VPN Server Blocked!
AnyConnect cannot verify the VPN server: vpn2.zih.tu-dresden.de
Connecting to this server may result in a severe security compromise!
erhalten, versuchen Sie das Root-Zertifikat der Deutschen Telekom, das für die Prüfung der Vertrauen im Installations-Verzeichnis von AnyConnect zu verlinken: ln -s /etc/ssl/certs/<deutsche_telekom_root_zertifikat> /opt/.cisco/certificates/ca/ Der Dateiname kann je nach System Deutsche_Telekom_Root_CA_2.pem, g_rootcert.pem oder ähnlich lauten. Dieses können Sie unter Deutsche Telekom Root CA certificate downloaden. Danach konvertieren Sie die DER-Datei (.crt .cer .der) in das PEM-Format (setzt das Paket openssl voraus): openssl x509 -inform der -in g_rootcert.crt -out g_rootcert.pem
Im Feld Username geben Sie bitte Ihr ZIH-Login bei username@tu-dresden.de (bzw. Ihre VPN-Gruppe) und im Feld Password geben Sie bitte Ihr ZIH Passwort ein.
Danach klicken Sie bitte auf Connect.
Anstelle der Standard-Group"A-Tunnel-TU-Networks" kann auch eine andere Gruppeausgewählt werden. Eine Erläuerung finden Siehier
Nach erfolgreichem Aufbau der VPN-Verbindung bekommen Sie eine IP aus dem zugehörigen Netz der TU Dresden zugewiesen. In der Menü-Leiste von Linux wird die Verbindung mit einem eingehängten Schloss-Symbol angezeigt.
Zum Beenden der VPN-Verbindung klicken Sie auf das AnyConnect-Symbol in der Menü-Leiste und danach auf Disconnect.
Probleme und Lösungen
Fehlende Libraries
Sollte aus dem Startmenü heraus die Anwendung nicht starten, öffnen Sie eine Konsole und wechseln in den Pfad
cd /opt/cisco/anyconnect/bin
um dort manuell die vpnui zu starten:
./vpnui
In der Konsole geöffnet werden Meldungen angezeigt, die helfen können, Probleme zu beheben. Eine Möglichkeit wäre, dass die Meldung
./vpnui: error while loading shared libraries: libpangox-1.0.so.0: cannot open shared object file: No such file or directory
erscheint. Die Lösung dafür ist es, das Paket "libpangox-1.0-0" zu installieren:
sudo apt-get install libpangox-1.0-0
Weitere fehlende Pakete dieser Art können unter Debian/Ubuntu per apt-cache gesucht werden. Wenn das Paket libpangox fehlt z.B. reicht die Kommandozeile
apt-cache search libpangox
um eine Liste der möglichen Paketquellen zu finden, in denen die Bibliothek "libpangox" vorhanden ist. Diese ist dann testweise zu installieren und der Prozess ist erneut zu starten.
Der VPN-Client startet, kann sich aber nicht verbinden
Manchmal ist es nötig, den VPN-Client mit Root-Rechten zu starten. Dies geht z.B. über
cd /opt/cisco/anyconnect/bin
sudo ./vpnui
"The client agent has encountered an error" beheben
Dieser Fehler kann auftreten, wenn nach der Installation kein Systemneustart vorgenommen worden ist. Starten Sie Ihr System neu und versuchen Sie es erneut, eventuell mit Root-Rechten.
KDE und Cisco AnyConnect
Unter einigen Linux-Systemen kommt es zu Problemen mit KDE (die Taskleiste hängt, Fensternamen updaten sich nicht, ...). Diese Probleme können umgangen werden, indem die Command-Line-Version der Software benutzt wird.
Diese kann gestartet werden mit
cd /opt/cisco/anyconnect/bin/
./vpn
In diesem Programm müssen folgende Befehle zum Verbinden eingegeben werden:
connect vpn2.zih.tu-dresden.de <Enter>
0 (für TUD-vpn-all) <Enter>
s1234567@tu-dresden.de <Enter>
Geben Sie dann Ihr Passwort ein und drücken Sie nocheinmal <Enter>. Die Software sollte sich nun verbinden und die Verbindung zum TU-Netz herstellen.
Zum Beenden der Verbindung geben Sie die Befehle
disconnect
quit
ein.
Verbindung automatisieren
Das Verbinden mit dem VPN lässt sich per Skript automatisieren. Mit folgendem Befehl können automatisch Verbindungen hergestellt werden:
cd /opt/cisco/anyconnect/bin; echo "connect vpn2.zih.tu-dresden.de\n0\ns123456@tu-dresden.de\nMyPassword" | ./vpn -s
Nach dem Verbinden schließt sich das Programm automatisch wieder, aber die Verbindung bleibt erhalten. Zum Beenden der Verbindung ist der Befehl
cd /opt/cisco/anyconnect/bin; echo "disconnect" | ./vpn -s
nötig.
