Wer das Zerina OpenVPN Addon beim IPCop benutzt, möchte so schnell nicht mehr davon weg. Unter Ubuntu 7.10 hatte ich nun das Problem, mich über den Gnome Network Manager auf den IPCop einwählen zu wollen.

Als erstes muss natürlich der Network Manager und die das OpenVPN Plugin für den Network Manager installert sein. Außerdem benötigt man das openssl Paket.

Vom IPCop holt man sich die Road Warrior Zip-Datei, die die ovpn Datei und den .p12 Schlüssel enthält.

Diese Zip datei entpack man in einen Ordner und erstellt an der Befehlszeile mit folgenden Befehlen aus der .p12 Datei drei Zertifikate:

openssl pkcs12 -nocerts -in default.p12 -out key.pem
openssl pkcs12 -nokeys -clcerts -in default.p12 -out cert.pem
openssl pkcs12 -nokeys -cacerts -in default.p12 -out ca.pem

Das Import Passwort ist leer. Bei dem ersten Befehl wird man nach einer Passphrase für den Schlüssel gefragt. Man sollte eine angeben, weil ohne funktionierte bei mir die Einwahl nicht. Außerdem sollte man in der Passphrase kein Leerzeichen verwenden, weil es dann wohl auch Probleme gibt.

Nun kann man im Network Manager eine neue OpenVPN Verbindung anlegen. Wichtig sind hier folgende Dinge:

  • Gateway Adresse ist der Name oder die Adresse des OpenVPN Servers.
  • Connection Type ist X.509 Certificates
  • CA File ist ca.pem
  • Certificate ist cert.pem
  • Schüssel ist key.pem
  • \“Only use VPN connection for these addresses\“ sollte man aktivieren und dort das Ziel Subnet angeben (nicht das OpenVPN Subnet). Ansonsten wird ein route Eintrag 0.0.0.0/0 tun0 erzeugt, der dazu führt das mein Gateway zum Internet futsch ist und damit dann auch die OpenVPN Verbindung. Alternativ kann man die Sache wohl auch mit einem entsprechendem push route Eintrag in der Server Config hinbiegen.
  • LZO cmpression machte bei mir Ärger, deshalb bei mir off.
  • \“Use Cipher\“ auf \“BF-CBC\“ stellen.

Es gibt wohl bei manchen Leuten Probleme, dass bei der Einwahl die Name Server Einträge in der /etc/resolv.conf gelöscht werden. Es gibt einen Weg diese dynamische Änderung zu deaktiveren, ich weis aber gerad nicht mehr wie. Wenn man danach googled, sollte das aber relativ schnell zu finden sein.

Das ist zwar nur eine grobe Anleitung, aber ich hoffe sie hilft schonmal weiter die gröbsten Abseitsfallen zu umgehen.

Von Jens Wagner, 15 März 2008, 15:39 Uhr

Kommentiere den Artikel oder setze einen Trackback

Bisher 1 Kommentar zum Artikel

  1. Kommentar von hauke

    Cool, ubuntu-Tipps finde ich immer sehr nützlich. Insofern wird auch dieser hier sofort ausprobiert!

    Viele Grüße und immer weiter so!

Kommentiere den Artikel



Kommentare zu diesem Artikel über RSS 2.0-Feed verfolgen