Archiv für November 2008

Update 2: In den Kommentaren ist ein Link zu krischer.org, welcher das VPN-Script wesentlich verbessert hat. Wenn ich es getestet habe, werde ich meins auch aktualisieren.
Update: Die Anführungszeichen bei Application Version in der fhkoeln.conf dürfen da nicht stehen, ich habe das im Listing unten korrigiert.

Erfolg! Endlich habe ich es geschafft mit minimal-invasiven Mitteln ins WLAN der FH-Köln am Campus Gummersbach zu kommen, ohne von Hand Scripte starten zu müssen. Das Zauberwort hieß NetworkManager Dispatcher Skripte und Application Version.
Direkt ans eingemachte:
1. vpnc installieren
2. Einstellungen vom ZVD-Account herunterladen
3. Die Cisco-Konfigurationsdatei in eine openvpn-Config konvertieren. Da gibt es Tools für, aber man kann sie auch einfach selber schreiben, ich habe sie unter /etc/vpnc/fhkoeln.conf abgelegt:

IPSec gateway vpn.fh-koeln.de
IPSec ID FHK-VPN
IPSec secret KoelnerDom
Xauth username sbullock
Xauth password bradP1tt$
Application Version Cisco Systems VPN Client 4.8.0:Linux

Ein Trick, damit der Open Source Client vpnc überhaupt funktioniert, ist die letzte Zeile. Dort wird der Identifier, mit dem sich der Client beim VPN-Server anmeldet, angegeben. Den Usernamen und das Passwort unter Xauth muss durch das Eigene ersetzt werden. Das IPSec secret oder auch Gruppenpasswort genannt ist hier un-obfuskiert angegeben. Auch das eigene Passwort muss hier im Klartext stehen, sonst fragt vpnc das Dispatcher-Skript danach. Auf Dateirechte achten, ein chmod 600 /etc/vpnc/fhkoeln.conf ist Pflicht.

Wenn bis hierher alles geklappt hat, sollte uns ein sudo vpnc-connect fhkoeln ins VPN befördern. Der Parameter fhkoeln bezieht sich auf die Konfigurationsdatei unterhalb von /etc/vpnc/. In meinem Beispiel heißt sie fhkoeln.conf, wenn sie default.conf heißt, kann der Parameter sogar komplett weggelassen werden. Eventuell ist hier ein symlink angebracht: ln -s /etc/vpnc/fhkoeln.conf /etc/vpnc/default.conf. Dann genügt ein vpnc-connect um ins VPN zu kommen.

Nun zum Dispatcher-Skript. Es muss unter /etc/NetworkManager/dispatcher.d/ liegen. Ich habe es 02fhkoeln-vpnc genannt. Alle Skripte in dem Ordner werden, sofern sie executable sind, bei jeder Änderung des Netzwerks durchgeführt. Den Skripten werden dabei zwei Parameter übergeben: $1 ist das Interface, bei dem sich was getan hat und $2 ist die durchgeführte Aktion.
Das machen wir uns zunutze, um unsere eigene vpnc-Konfiguration mit vpnc zu verwenden, wenn wir uns mit dem FH-Netz verbinden.


#!/bin/bash
## INITIALISIERUNG
#Diese Werte werden vom NetworkManager an das Skript übergeben
INTERFACE=$1
ACTION=$2
 
## ESSID des Universitäts-Netzwerkes
ESSID_VPN="PUBLIC-CIT.FH-Koeln.DE"
 
## ESSID des verbundenen Netzwerks bestimmen
ESSID=$(iwconfig $INTERFACE | grep ESSID | cut -d":" -f2 | sed -e 's/"//g')
 
## Funktionen durchführen, je nach Aktion eine andere
case "$2" in
up)
if [ "$ESSID" = "$ESSID_VPN" ]; then
sleep 15
vpnc /etc/vpnc/fhkoeln.conf
fi
;;
 
down)
if [ "$(pidof vpnc)" ]; then
vpnc-disconnect
fi
;;
 
pre-up)
if [ "$(pidof vpnc)" ]; then
vpnc-disconnect
killall vpnc
fi
;;
 
post-down)
if [ "$(pidof vpnc)" ]; then
vpnc-disconnect
killall -9 vpnc
fi
;;
 
*)
echo $"Usage: $0 {up|down|pre-up|post-down}"
exit 1
esac

Eine Anmerkung zum Titel: Ein Linux-System befindet sich im Status “tained” (verschmutzt), wenn sich ein nicht unter GPL-befindliches Kernelmodul geladen wurde. Dieses Flag dient dazu einem Support-Dienstleister wie SuSE mitzuteilen, dass unwartbarer Code im Spiel ist, der für Fehler verantwortlich sein könnte. Der Cisco-VPN-Client läd beispielsweise solch ein Modul.