Dieser Artikel wurde archiviert, da er - oder Teile daraus - nur noch unter einer älteren Ubuntu-Version nutzbar ist. Diese Anleitung wird vom Wiki-Team weder auf Richtigkeit überprüft noch anderweitig gepflegt. Zusätzlich wurde der Artikel für weitere Änderungen gesperrt.
Der Cisco-VPN-Client funktioniert nicht mehr ab Kernel 2.6.24. Es wird empfohlen die VPNC-Lösung des GNOME Network-Managers Network-Manager/VPN Plugins zu verwenden.
An vielen Hochschulen wird als Zugangssoftware zum Hochschul-Netz der Cisco VPN-Client verwendet. Als empfohlene Alternative zum hier beschriebenen offiziellen Kommandozeilen-Client bietet sich der Cisco-compatible VPN Client (kurz vpnc) an. Vpnc kann in Gnome durch ein Network-Manager-Plugin bequem über die grafische Benutzeroberfläche bedient werden. Kubuntu-Nutzer können das Programm kvpnc verwenden.
Hierbei ist zu beachten, dass vpnc die Verfahren hybride Authentifizierung (Server-Zertifikat + XAUTH), Pre-Shared-Key + XAUTH (unsicher) und Pre-Shared-Key unterstützt. Server+Client-Zertifikat wird bisher von vpnc nicht unterstützt, so dass man weiterhin auf den Cisco VPN-Client angewiesen ist.
Es muss mindestens Version 4.8 des Cisco-Clients verwendet werden. Versuche eine ältere Version zu installieren, scheitern beim Kompilieren des Moduls. Je höher die Version desto besser. Gegenwärtig (Nov. 2007) ist für Linux Version vpnclient-linux-x86_64-4.8.01.0640-k9 verfügbar.
Diese Version ist eine sogenannte "biarch Version" und unterstützt somit Intel 32Bit und Intel 64 Bit Prozessoren. Verschiedene Versionen des Clients können im Archiv der Uni-Konstanz heruntergeladen werden. Die jeweils aktuelle befindet sich im Ordner latest.
Falls es bei der Installation der aktuellen Version zu Fehlern kommt, kann auf andere Versionen zurück gegriffen werden. Siehe Problembehandlung.
Nutzer einer 64-bit Installation von Ubuntu Gutsy Gibbon müssen eine gepatchte Version des Cisco VPN Clients installieren. Hier bietet wieder die Universität Konstanz eine Version zum Download an, die bereits fertig gepatched ist und problemlos installiert werden kann.
Für die Installation sind noch folgende Pakete [1] nötig:
build-essential - Alles was zum Kompilieren von Programmen nötig ist
linux-headers-generic - Die zum installierten Kernel passende [6] Header-Dateien.
Nach dem Herunterladen entpackt [5] man das Archiv, in dem sich der Client befindet, wechselt in das entstandene Verzeichnis vpnclient und arbeitet im Terminal [2] mit Rootrechten weiter. Der Wechsel in das Verzeichnis ist wichtig, da sonst das Installationsscript mit einer Fehlermeldung abbricht.
Wichtig ist, dass sich im gesamten Pfad keine Leerzeichen befinden dürfen. Man startet das Installations-Script mit:
sudo ./vpn_install
Man kann Vorgaben des Intallationsassistenten übernehmen.
Nach der erfolgreichen Installation ist das VPN-Kernel-Modul manuell zu starten:
sudo /etc/init.d/vpnclient_init start
Im Archiv befindet sich eine Profil-Datei. Oft muss man das von der Uni herunterladen. Diese muss ins System mit den entsprechenden Rechten kopiert werden:
sudo cp profil.pcf /etc/CiscoSystemsVPNClient/Profiles/ sudo chmod 640 /etc/CiscoSystemsVPNClient/Profiles/profil.pcf
Jetzt kann die Verbindung testen:
vpnclient connect profil vpnclient disconnect
Dabei ist zu beachten, dass hier der Profilname ohne die Endung .pcf angegeben werden muss.
In den aktuellen VPN-Client Versionen kommt es zu folgender Fehlermeldungen, wenn man die Verbindung als normaler User herstellen möchte:
Cisco Systems VPN Client Version 4.8.00 (0490) Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux 2.6.15-23-386 #1 PREEMPT Tue May 23 13:49:40 UTC 2006 i686 Config file directory: /etc/opt/cisco-vpnclient privsep: unable to drop privileges: group set failed. The application was unable to communicate with the VPN sub-system.
Somit muss man die Verbindung mit Rootrechten herstellen:
sudo vpnclient connect profil
Das Terminalfenster geht dann bei erfolgreicher Verbindung nicht wieder in den Eingabemodus. Mit Strg + C kann man die Verbindung wieder beenden. Damit es möglich ist sich auch als normaler Benutzer zu verbinden ohne eine Fehlermeldung zu erhalten, muss folgender Befehl ausgeführt werden:
sudo chmod 4111 /opt/cisco-vpnclient/bin/cvpnd
Dabei liegt der VPN-Client in /opt (bei Bedarf anpassen).
Um die VPN Verbindung komfortabel mit einem Mausklick mit einer Verknüpfung zu starten, geht man folgendermaßen vor. Zuerst speichert man folgenden Script im Homeverzeichnis mit einem Texteditor z.B. mit dem Namen vpn.sh ab:
#!/bin/sh # Ein kurzer Neustart zum initialisieren sudo /etc/init.d/vpnclient_init restart # Verbindungsaufbau sudo vpnclient connect profil
chmod 700 vpn.sh
Nun sh vpn.sh
zum Menü oder Panel hinzufügen [4] und einen Haken bei "Im Terminal ausführen" setzen.
Manche VPN-Verbindungen können erst hergestellt werden, wenn zuvor ein Zertifikat importiert worden ist. Zertifikate sind erkennbar an der Dateiendung .der. Der Import geschieht mittels dem integrierten Zertifikatmangager cisco_cert_mgr durch [2]:
sudo cisco_cert_mgr stdin -U -op import
Dann wird man nach dem Dateinamen des zu verwendenden Zertifikats gefragt. Es ist darauf zu achten, dass der Zertifikatsmanager in dem Verzeichnis nach der Datei sucht, aus der der Manager ausgeführt wird. Weitere Optionen können durch eine Aufruf des Programms ohne weitere Argumente erfragt werden.
Kommt beim Laden des Kernelmoduls eine Fehlermeldung wie zum Beispiel diese hier:
Starting /opt/cisco-vpnclient/bin/vpnclient: module directory /lib/modules/2.6.27-11-generic/CiscoVPN not found.
wurde wahrscheinlich der Kernel upgedatet, weswegen das Kernelmodul, das sich ja im alten Kernel befindet, sich nicht mehr laden lässt. In diesem Fall genügt es, im CiscoVPN-Ordner
sudo ./vpn_uninstall
einzugeben, in der Deinstallationsroutine anzugeben, dass die Profile beibehalten werden sollen
Are you sure that you wish to uninstall the VPN Client? [no] y Do you wish to remove all existing profiles and certificates? [no] n - Existing Profiles and Certificates will be preserved - Binary uninstall directory set to /usr/local/bin
und mit
sudo ./vpn_install
CiscoVPN neu zu installieren. Der Client müsste sich dann wieder normal nutzen lassen.
Sollte die Installation beim Kompilieren fehlschlagen, da der VPN-Client nicht mehr mit der Kernelversion kompatibel ist, finden sich relativ aktuelle Patches folgender Seite, die Unofficial Cisco VPN client updates for Linux anbietet.
Falls bei aktuellen Versionen des Cisco VPN-Clients die Installation scheitert, kann es helfen auf Version vpnclient-linux-x86_64-4.8.01.0640-k9 zurückzugreifen. Diese kann hier aus dem Archiv der Uni Konstanz heruntergeladen werden. Man benötigt hier ebenfalls den Patch für den 2.6.24 Kernel wie weiter unten bei Feisty Fawn beschrieben ist.
Sollte dies auch nicht funktionieren, kann noch die Lösung von dort ausprobiert werden.
Falls bei aktuellen Versionen des Cisco VPN-Clients die Installation scheitert, kann es helfen auf Version vpnclient-linux-x86_64-4.8.01.0640-k9 zurückzugreifen. Diese kann hier aus dem Archiv der Uni Konstanz heruntergeladen werden.
Bei neueren Kernel-Versionen, wie z.B. 2.6.20 von Feisty Fawn, kommt eine Fehlermeldung, dass die Datei linux/config.h nicht gefunden werden kann. Abhilfe schafft der folgende Patch nach http://tuxx-home.at/archives/2007/05/29/T16_34_26/ :
cd vpnclient wget http://projects.tuxx-home.at/ciscovpn/patches/vpnclient-linux-2.6.22.diff patch < vpnclient-linux-2.6.22.diff sudo ./vpn_install
Spätestens seit Version 4.8.01.0640 des Cisco VPN Clients ist dieser Patch nicht mehr notwendig. Falls die Kompilierung scheitert, die Kernelversion überprüfen, den Pfad auf Leerzeichen überprüfen und die neueste Version des Clients benutzen.
Versucht man den neuesten Cisco VPN-Client (v4.8.01.0640) mit einem Linux-Kernel der Version 2.6.24 zu betreiben, erhält man allerdings wieder eine Fehlermeldung beim Kompilieren des Kernelmoduls. Während der Fertigstellungsphase des 2.6.24er Kernels gab es ein paar Änderungen die mit -rc1 eingeführt wurden und in der finalen Version wieder entfernt wurden, daher gilt die unten beschriebene Anleitung nur für die finale Version des 2.6.24er Kernels. Wer immernoch einen -rc Kernel verwendet und trotzdem einen Patch für den Cisco VPN Client sucht, verwendet bitte den Patch von hier . Auch hierfür gibt es inzwischen einen Patch, der die mit 2.6.24 eingeführten Neuerungen auf den Cisco VPN-Client überträgt: VPN Client Patch update for 2.6.24 final .
cd vpnclient wget http://projects.tuxx-home.at/ciscovpn/patches/vpnclient-linux-2.6.24-final.diff patch <vpnclient-linux-2.6.24-final.diff sudo ./vpn_install
Die Deinstallation des Cisco VPN Client erfolgt ähnlich wie die Installation. Im heruntergeladenen .tar.gz Archiv befindet sich nicht nur das Skript zum Installieren, sondern auch für die Deinstallation. Dieses muss mittels
sudo ./vpn_uninstall
aufgerufen werden [2] und die Fragen, was alles deinstalliert werden soll, entsprechend beantwortet werden.
Diese Revision wurde am 15. Oktober 2011 18:41 von frustschieber erstellt.