Befrager
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
Hallo, meine Uni bietet einen VPN-Zugriff für Studierende an, der sich unter Linux nach folgender Anleitung mit einrichten lässt: https://www.uni-bamberg.de/fileadmin/rz/vpn/Linux/VPN_Linux_FortiClient.pdf Erkennt ihr bei der Anleitung irgendwelche potenziellen Gefahrenquellen? Sind dabei irgendwelche Fremdquellen involviert? Beste Grüße Befrager Moderiert von kB: In besser passendes Forum verschoben.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17442
|
Fremdquellen nicht, aber es wird halt irgendwas aus dem Internet als Administrator ausgeführt. Frag eventuell bei deinem lokalen Hackerspace in Bamberg nach, dort sollte es mehrere Studenten geben die das teil vermutlich auch kennen 😉 mfg Stefan
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8558
Wohnort: Münster
|
Es wird die Software eines kommerziellen Anbieters für Sicherheitslösungen installiert. Das muss nicht schlecht sein, aber man kann nicht – auch nicht prinzipiell – prüfen, wie es funktioniert. Aus den Beschreibungen kann man nur erahnen, dass
für Linux-Endgeräte ein SSL-Tunnel verwendet wird – das ist aus technischer Sicht jedenfalls OK, Daten an den Anbieter (und/oder des Herstellers?) des Dienstes übermittelt werden: Angriffe gegen einen Teilnehmer werden ausgewertet; die Ergebnisse sollen alle anderen Teilnehmer am Dienst schützen. Sowohl der Client wie auch die Cloud-basierten Komponenten scheinen nicht quelloffen zu sein.
|
Befrager
(Themenstarter)
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
encbladexp schrieb: Fremdquellen nicht, aber es wird halt irgendwas aus dem Internet als Administrator ausgeführt. Frag eventuell bei deinem lokalen Hackerspace in Bamberg nach, dort sollte es mehrere Studenten geben die das teil vermutlich auch kennen 😉
Das mach ich sehr gerne (ich kenn den Laden)! ☺ kB schrieb: Es wird die Software eines kommerziellen Anbieters für Sicherheitslösungen installiert. Das muss nicht schlecht sein, aber man kann nicht – auch nicht prinzipiell – prüfen, wie es funktioniert. Aus den Beschreibungen kann man nur erahnen, dass
für Linux-Endgeräte ein SSL-Tunnel verwendet wird – das ist aus technischer Sicht jedenfalls OK, Daten an den Anbieter (und/oder des Herstellers?) des Dienstes übermittelt werden: Angriffe gegen einen Teilnehmer werden ausgewertet; die Ergebnisse sollen alle anderen Teilnehmer am Dienst schützen. Sowohl der Client wie auch die Cloud-basierten Komponenten scheinen nicht quelloffen zu sein.
Ok, das ist gut zu wissen. Vielen Dank! Ich werde nochmal die Leute im Hackerspace konsultieren und ggf. davon absehen.
|
Dark_Wolf
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
Ist zwar schon länger her, aber mittlerweile gibt es von uns die Openfortigui was auf Openfortivpn aufsetzt. https://hadler.me/linux/openfortigui Das Paket kannst du direkt von unserem Repo installieren. https://apt.iteas.at
|
Befrager
(Themenstarter)
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
Hallo Dark_Wolf, Danke für die Nachricht. Kannst Du einem vollkommenen Laien wie mir erklären, was es damit auf sich hat, und welche Vorteile das bietet? Beste Grüße Befrager
|
Dark_Wolf
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
Befrager schrieb: Hallo Dark_Wolf, Danke für die Nachricht. Kannst Du einem vollkommenen Laien wie mir erklären, was es damit auf sich hat, und welche Vorteile das bietet? Beste Grüße Befrager
Fortclient an sich ist vom Hersteller ClosedSource, sprich da kann man sich den Code nicht ansehen, und es gibt so gut wie keine Möglichkeit herauszufinden was das Programm den sonst noch alles vielleicht tut. Bedeutet, du musst zum Hersteller vertrauen haben. Hier funktioniert die der Zeit freie Version des Clients nicht. Die kostenpflichtige, oder eben die wo man auch nen FortclientEMS Server benötigt schon. OpenFortiGUI ist OpenSource. Hier hast du die Möglichkeit jeden Codeschnipsel genau unter die Lupe zu nehmen. Somit hat man volle Transparents, nicht wird versteckt. Bedeutet man kann ganz genau herausfinden was die Applikation tut oder nicht tut. Außerdem kannst du mit der OpenFortigui mehr als nur eine Verbindung zur selben Zeit öffnen. Somit sind mehrere Verbindungen zu verschiedenen Standorten zur selben Zeit möglich. Da wir das Paket selbst bei ZIG Rechner täglich aktiv im Einsatz haben wird es sehr gut gepflegt und integriert sich z.B. auch voll in den Krunner von KDE.
|
Befrager
(Themenstarter)
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
Vielen Dank! Das Konzept Quelloffenheit war mir immerhin bekannt, aber ich hab mich trotzdem über Deine Erklärung gefreut, und freue mich natürlich, dass es nun anscheinend eine quelloffene Lösung für VPN gibt! Ich habe mich nämlich bisher immer über irgendwelche von den Unis selbst empfohlenen Lösungen mit geschlossenen Fremdquellen in den VPNs angemeldet - hierfür allerdings auf einen ausrangierten Rechner zurückgegriffen. Wenn ich nun eine quelloffenen Lösung für meinen Hauptrechner gibt, würde ich die natürlich gerne nutzen. Ich gehe davon aus, dass ich dafür zunächst dieses deb-Paket installieren muss?
|
Befrager
(Themenstarter)
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
Ich habe nun die Installation wie angewiesen vollzogen. Am Ende gab es diese Meldung: $ qmake openfortigui-project.pro -spec linux-g++ CONFIG+=debug CONFIG+=qml_debug && /usr/bin/make -j4
qmake: could not exec '/usr/lib/qt5/bin/qmake': No such file or directory
michael@michael-HP-EliteBook-840-G1:~/Schreibtisch/openfortigui$ Ist das irgendwie von Bedeutung?
|
Dark_Wolf
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
Wie jetzt, DEB Paket oder bauen aus den Quellen? Qmake sieht mir nach bauen aus. Hab gerade gesehen du hast Ubuntu 19.04. Das unterstützen wir nicht. Unterstützt wird 18.04 und 20.04. Bei letztern musst du lediglich das machen:
apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 2FAB19E7CCB7F415
echo "deb https://apt.iteas.at/iteas focal main" > /etc/apt/sources.list.d/iteas.list
apt update
apt install openfortigui
|
Befrager
(Themenstarter)
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
Die Themeneröffnung war letztes Jahr, inzwischen bin ich auf 20.04 umgestiegen. Ich kann OpenFortiGUI bereits ausführen, es scheint normal zu laufen. Jetzt muss ich nur noch herausfinden, wie ich mich darüber im VPN meiner Uni anmelde. Was den Installationsvorgang angeht, kenne ich mich mit den Details überhaupt nicht aus. Ich habe einfach stur die Schritte der Anleitung befolgt.
|
Befrager
(Themenstarter)
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
Bisher gelingt es mir nicht, mich im VPN der Uni Bamberg anzumelden.
Die Anleitung gibt es hier. Dort steht:
Name: VPN Uni Bamberg Gateway: vpn.uni-bamberg.de Benutzername: BAXXXX Passwort: Lassen Sie dieses Feld bitte leer Häkchen aktivieren bei Passwort anzeigen
Unter CA Certificate wählen Sie die Zertifikatsdatei chain.pem aus.
Bis hierhin verstehe ich alles, doch die folgenden Schritte kann ich nicht ausführen, da ich keine entsprechende Schaltfläche Advanced... finde, und der Reiter Optionen nicht die gleichen Optionen abfragt:
Klicken Sie anschließend auf die Schaltfläche Advanced...
Unter Authentification müssen Sie MSCHAP deaktivieren, indem Sie das Häkchen entfernen, und MSCHAPv2 aktivieren, indem Sie das Häkchen setzen. Unter Security and Compression aktivieren Sie außerdem die beiden Optionen
Bestätigen Sie mit OK und klicken Sie dann rechts oben auf die Schaltfläche Hinzufügen.
Könntest Du mir hier weiterhelfen? Muss ich darüber hinaus an den Netzwerkeinstellungen etwas ändern?
|
Befrager
(Themenstarter)
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
Jetzt zeigt sich bei mir folgende Kuriosität: In den bordeigenen Netwerkeinstellungen habe ich das VPN der Uni Bamberg hinzugefügt, wie es hier auf Seite 1 rechts ff. erklärt ist. Anschließend habe ich mich angemeldet, und erhalte Zugriff auf bspw. Literatur in der Bibliothek, die nur zugänglich ist über das VPN. Folglich muss ich mich ja erfolgreich angemeldet haben, sonst wäre das nicht möglich. Kurios daran ist, dass dabei OpenFortiGUI komplett außen vor blieb. Ich kann mich also auch anmelden im VPN, wenn OpenFortiGUI ausgeschaltet ist. Weiter war aber auch die Installation des von der Uni empfohlenen Software, wie in der Anleitung auf Seite 1 links beschrieben, überhaupt nicht nötig. Wozu brauche ich nun OpenFortiGUI?
|
Dark_Wolf
Anmeldungsdatum: 12. August 2006
Beiträge: 2588
Wohnort: Linuxland
|
Wozu brauche ich nun OpenFortiGUI?
Na das musst du selbst entscheiden 😉 Mit der zweiten Anleitung kannst du das alles auch mit Linux Bordmitteln Lösen. Wenn nur eine einzige Verbindung benötigst dann kann man sich den Aufwand natürlich antun. Ansonsten wirft man der OpenFortigui einfach seinen Benutzer, Passwort und ein Zertifikat rein (musst meist noch mit OpenSSL konvertieren). Und schon funktioniert das. Auch kannst du Konfig leicht sichern und auf nen anderen Rechner übertragen. Ich könnte mit Linux Bordmitteln nicht viel Anfangen, da ich hier gut 50 VPN's hab und diese auch mehrfach zur gleichen Zeit aktiv habe. Die OpenFortigui ist so konzepiert das man mit z.B. Puppet alle VPN's vollständig zentral verwalten kann, und er User die VPN Verbindungen automatisiert auf seine Geräte übertragen bekommt.
|
Befrager
(Themenstarter)
Anmeldungsdatum: 4. Februar 2014
Beiträge: 332
|
Da ich zum Winter die Uni wechsele, habe ich nun noch ein zweites VPN ausprobiert.
In beiden kann ich mich problemlos anmelden über die Bordmittel in Linux. Die Uni Erlangen schlägt neben einer proprieätren Lösung (Cisco Systems) sogar einen Weg über OpenVPN-Lösung explizit vor (im Gegensatz zu Bamberg). Ich komme damit zurecht, von daher sind für meine "normalsterblichen" Bedürfnisse die Bordmittel ausreichend. Dennoch vielen Dank für die Empfehlung OpenFortiGUI, denn nur durch diesen Versuch habe ich einen Weg gefunden, mich nun auf meinem Hauptrechner auch ohne proprietäre Lösungen in den VPNs der Universitäten anzumelden.
|