OvGU-VPN schmerzfrei

Für den Zugang zu internen Maschinen braucht man an der Univerität Magdeburg wie bei viele anderen eine VPN-Einwahl. Man setzt dabei aus unerfindlichen Gründen auf Cisco AnyConnect, und damit fangen die Probleme an.

Dort gibt es eine Policy-Einstellung, die dafür sorgt, dass der AC-Client eine Route für 0.0.0.0/255.255.255.255 setzt – sich also alle Verbindungen krallt, nicht nur die, die an Server der Uni gehen. Das macht sogar teilweise Sinn, so funktioniert zum Beispiel die Netblock-Authentifizierung für den Zugang zu den Archiven mancher Journals. Meistens allerdings bringt das nur Ärger – nämlich dann, wenn man durch diese Verbindung aus dem eigenen LAN gekegelt wird und z.B. an seine Dateien nicht mehr rankommt.

Zum Glück ist aber auch IPsec verfügbar, und mit etwas Tricksen funktioniert das dann auch.

Als IPSec-Client verwende ich den Shrew Soft VPN Client. Windows enthält zwar selbst einen, der ist aber so gut wie nicht konfigurierbar.

Die Grundeinstellungen sind relativ einfach und mit dem bebilderten Teil hier und den vom URZ genannten Daten recht einfach eingerichtet. Ist man etwas fauler (also Student), existierten früher auch mal PCF-Files, die die komplette Konfiguration enthalten. Mittlerweile werden nicht mehr angeboten, aber mit etwas Googelei findet man da durchaus noch etwas. Nach Laden der Datei UniMDVPN.pcf sind nur noch zwei Einstellungen notwendig: Auf der Seite „Phase 1“ muss der Hash Algorithm von Default auf SHA1 umgestellt werden. Default ist nämlich MD5 (auch bei Windows, da kann man das aber nicht einfach umstellen), verwendet man das allerdings im Handshake wird die Verbindung direkt in der Luft hängen gelassen.
Außerdem umzustellen ist auf der letzten Seite („Policy“) die Routen-Generierung. Hier sind wir bei der erwähnten Einstellung von AnyConnect, alle Verbindungen zu kapern. Das passiert auch hier standardmäßig, wenn „Obtain toplogy automatically or tunnel all“ gesetzt ist. Dort also den Haken entfernen und Routen von Hand eintragen. Da ich das nur für Uniserver brauche, habe ich hier Include:141.44.0.0/255.255.0.0 gesetzt, so dass alle anderen Verbindungen unbeeinflusst bleiben.

Die Verbindung sollte sich jetzt herstellen lassen und z.B. SSH auf die richtige Maschine funktionieren. Wenn nicht – überprüfen, ob der Router auch so eingestellt ist, dass L2TP und IPSec durchgelassen werden 😉

One thought on “OvGU-VPN schmerzfrei

Comments are closed.