VPN zu Hochschulserver einrichten [gelöst]

[pekabe]

Hallo,

ich brauche bitte mal wieder eure Hilfe.
Meine Tochter kann sich über VPN mit dem Server ihrer Hochschule verbinden, nur leider habe ich überhaupt keine Ahnung, wie ich das auf ihrem Laptop einrichte. Ich habe das ganz einfach bisher noch nie gemacht. Die Hochschule bietet verschiedene Anleitungen für Windows, Mac und Android, aber leider nicht für Linux. Aber ich denke mir, so schwer kann das doch nicht sein.

Auf dem HP-Laptop läuft Debian 9 "Stretch" mit KDE.

Könnt ihr mir bitte einen Link zu einer gut verständlichen Anleitung nennen? Googeln hat mir leider nichts gebracht, was mir wirklich weiterhilft.

Vielen Dank schon mal!

Gruß pekabe

[scientific]

Poste doch mal die Anleitungen für die anderen OS. Dann könnte man klüger werden und helfen, welche Technik verwendet wird.

Lg scientific

[pekabe]

Okay, die hier für Windows 10 zum Beispiel:

http://www.hochschule-kempten.de/filead ... ows_10.pdf

[dufty2]

Wir g**geln:
Hochschule Kempten VPN
=> www.hochschule-kempten.de/services/rech ... ungen.html
Aha, android, windows aber kein Linux unter "VPN"
Aber da steht was von "Shrewsoft", also nochmals g**geln:
shrewsoft vpn debian
=> https://packages.debian.org/ike
=> https://packages.debian.org/stretch/ike
Cool, also installieren:

Code: Alles auswählen

# apt-get install ike

Auf jener Seite findet sich auch die Homepage
=> www.shrew.net
Weiter mit "Software" => "Linux and BSD Platforms": VPN Client Documentation
https://www.shrew.net/static/help-2.1.x/vpnhelp.htm

Mit den Einstellungen/Daten für die Hochschule aus einer der anderen Anleitungen sollte es nun klappen, oder?

IKE v1, wenn ich mich recht entsinne, ist nicht mehr sicher
=> sollte man die Hochschule mal anstupsen

[pekabe]

Super, danke! Damit werde ich mich dann mal übers Wochenende beschäftigen...

[uname]

Etwas offtpic:

In der einen Anleitung stand der vorinstallierte Schlüssel "rechenzentrum" und die Option "unverschlüsseltes Kennwort (PAP)".
In der anderen Anleitung das WLAN-Passwort "fhk0123456789".

Ist das alles trotzdem sicher? Wenn diese Werte fast unwichtig sind (bzw. im Internet stehen) warum muss man sie dann überhaupt verwenden?

a.)
Dass man vielleicht überhaupt einen vorinstallierten Schlüssel bei VPN angeben muss kann ich ja fast noch nachvollziehen.
Aber wenn der Schlüssel bekannt ist und das Passwort anschließend unverschlüsselt übertragen wird (PAP?), kann es nicht evtl. mitgelesen werden?
b.)
Macht es zudem Sinn ein WLAN mit einem weltweit bekannten Passwort zu verschlüsseln, wenn (hoffentlich) sowieso nur VPN-Verbindungen erlaubt werden? Da braucht man doch keine WLAN-Verschlüsselung, oder? Würde man kabelgebundene Verbindungenn nutzen wären die doch auch unverschlüsselt und die Verwendung von VPN würde die Daten schützen.

[dufty2]

Dass man vielleicht überhaupt einen vorinstallierten Schlüssel bei VPN angeben muss kann ich ja fast noch nachvollziehen.
Aber wenn der Schlüssel bekannt ist und das Passwort anschließend unverschlüsselt übertragen wird (PAP?), kann es nicht evtl. mitgelesen werden?

Vermute mal, Du beziehst Dich auf die Anleitung "Einrichten der Hochschul-VPN- Verbindung unter Windows 10", richtig?
Da ist von einem VPN-Typ "L2TP/IPsec mit vorinstalliertem Schlüssel" die Rede.
Das "L2TP/IPsec" ist ein L2TP over IPSec: Zuerst wird ein (sicheres) IPsec aufgespannt und darueber nochmal das (unsichere) L2TP (mit PAP).

Zum WLAN-PW kann ich nichts sagen, hab' nicht alle Anleitungen gelesen

Wie immer bei (vermeindlichen) Sicherheits-Luecken: Melde es doch der IT-Abteilung der Hochschule

[BenutzerGa4gooPh]

b.)
Macht es zudem Sinn ein WLAN mit einem weltweit bekannten Passwort zu verschlüsseln, wenn (hoffentlich) sowieso nur VPN-Verbindungen erlaubt werden? Da braucht man doch keine WLAN-Verschlüsselung, oder? ...

Durch WPA2-CCMP (AES) wäre die Payload der Nutzer verschlüsselt und man könnte auch Client-Isolation innerhalb einer SSID einsetzen. Also könnte zwar jeder das trotz Pre Shared Key (PSK) öffentliche WLAN benutzen (Internet only) - aber andere Nutzer zumindest schlechter/aufwändiger (*) "belauschen" als in einem offenen, unverschlüsselten WLAN. Vielleicht ist das Spasswort aber auch nur ein Platzhalter/Beispiel in Anleitungen wie example.com und die Nutzer erhalten geregelt den richtigen, ab und an geänderten PSK.


(*)

Communications Interception: If a user intercepts the user authentication process with a Wi-Fi sniffer called 4 way handshake and cracks the Wi-Fi network password, or rather knows the password, he or she could decrypt the traffic of any other user connected to the Wi-Fi network. This is why WPA or WPA2 should be used only in home networks, where normally no network user would attempt to spy on other users’ traffic.

https://www.acrylicwifi.com/en/blog/is- ... rk-secure/

Wie man Client-Isolation innerhalb einer SSID bricht, habe ich noch nicht geschaut.

[dufty2]

Weils doch nicht ganz so einfach ist, und pekabe (und seine Tochter) nicht das ganze WE damit verbringen wollen

Das Commandlinetool "ikec" scheint (zumindest unter testing/buster (nehme mal an, unter stretch ist es auch so)) buggy zu sein, deshalb holt man sich die GUI:

Code: Alles auswählen

# apt-get install ike-qtgui

Unter
http://www.hochschule-kempten.de/servic ... n-vpn.html
ist ein Tipp: "Ubuntu"
So holen wir uns die Configdatei für die GUI für Ubuntu ähem Debian:

Code: Alles auswählen

$ qikea
( einfach wieder beenden via: File -> Exit )
$ cd .ike/sites/
$ wget http://www.hochschule-kempten.de/fileadmin/fh-kempten/ZRZ/Hochschule_Kempten
$ qikea
( -> Connect  )

[pekabe]

Ihr seid echt gut, ganz so leicht ist es wirklich nicht!
Mittlerweile habe ich die VPN-Verbindung hinbekommen, mit der GUI und dem Skript, wie auch von dufty2 erwähnt, hat es funktioniert.
Damit nehmen die Probleme aber natürlich noch kein Ende... Ich habe einfach keine Ahnung von Netzwerken, bin halt reiner Desktop-User. Nachdem der VPN-Tunnel steht muss ich ja die Laufwerke der Hochschule einbinden. Das habe ich als root versucht mit:

Code: Alles auswählen

mount -t smbfs -o username=USER,password=PASSWORD //fs1.hs-kempten.de/n /home/marina/shrew

USER und PASSWORD natürlich entsprechend ersetzt. Ich bekomme aber die Fehlermeldung

mount: unknown filesystem type 'smbfs'

Auch ein

Code: Alles auswählen

smbmount -o username=USER,password=PASSWORD //fs1.hs-kempten.de/n /home/marina/shrew

kommt

bash: smbmount: Kommando nicht gefunden.

Die Pakete "samba" und "cifs-utils" habe ich nachträglich installiert, weil ich dachte, es liegt daran, dass diese fehlen.
Könnt ihr mir bitte nochmal helfen? Danke!

[uname]

Ich denke die Anleitung ist veraltet. Statt Samba nutzt man heute Cifs.

https://wiki.ubuntuusers.de/Samba_Client_cifs/

Installiere cifs-utils und verwende als root /sbin/mount.cifs
Unter Umständen ist es möglich bzw. sinnvoller die Verbindung als Anwender durchzuführen. Leider kenne ich mich damit noch weniger aus.

[pekabe]

Ich hab's hinbekommen, ich bin stolz auf mich
Dank eurer Hilfe und den genannten Links (vor allem die Ubuntu-Hilfe war sehr nützlich) bin ich auf folgende Lösung gekommen:

Das Herstellen der VPN-Verbindung mit shrew hat ja schon funktioniert.
Das Einbinden des Laufwerks N auf dem Hochschulserver passiert dann mit dem Befehl

Code: Alles auswählen

sudo mount -t cifs -o user=USER,password=PASSWORD //fs1.hs-kempten.de/n /home/marina/Hochschulserver

natürlich wieder mit dem richtigen Usernamen und Passwort.

Und nach getaner Arbeit wird das Laufwerk mit

Code: Alles auswählen

sudo umount /home/marina/Hochschulserver

wieder entfernt.

Vielen Dank nochmal für eure Hilfe!!