Voraussetzungen

Sie haben die Konfigurationsdatei runtergeladen. Standardmäßig über https://mfa.vpn.hhu.de

 

Sie wissen wie Sie eine Shell verwenden

  Inhalt der Seite:


Die folgende Anleitung beschreibt, wie Sie das HHU VPN auf einem Linux-Rechner über den OpenVPN3 CLI Client einrichten können. 

The following instructions describe how to set up the HHU VPN via the OpenVPN3 CLI client on a Linux computer. 

Es gibt eine GUI für OpenVPN 3, allerdings befindet sich diese in einem Zustand, dass sie von uns derzeit nicht empfohlen werden kann.

There is a GUI for OpenVPN 3, but it is in such a state that we cannot recommend it at present.

Einrichtung mit dem OpenVPN 3 CLI Client

Installation

Die folgende Anleitung funktioniert für Debian und Ubuntu. Für die Installation anderer Linux-Distributionen schauen Sie sich bitte die Anleitungen unter https://community.openvpn.net/openvpn/wiki/OpenVPN3Linux an.

The following instructions work for Debian and Ubuntu. For the installation of other Linux distributions, please refer to the instructions at https://community.openvpn.net/openvpn/wiki/OpenVPN3Linux.

Schritt 1: Öffnen Sie ein Terminal und geben Sie folgenden Befehl ein um den OpenVPN repository key zu installieren, der für die OpenVPN 3 Linux Pakete benötigt wird. Dieser Befehl installiert den OpenVPN repository key, der für die OpenVPN 3 Linux Pakete benötigt wird:

Step 1: Open a terminal and enter the following command to install the OpenVPN repository key, which is required for the OpenVPN 3 Linux packages. This command installs the OpenVPN repository key, which is required for the OpenVPN 3 Linux packages.:

sudo mkdir -p /etc/apt/keyrings && curl -fsSL https://packages.openvpn.net/packages-repo.gpg | sudo tee /etc/apt/keyrings/openvpn.asc


Schritt 2: Führen Sie anschließend den folgenden Befehl aus um den Namen des Betriebssystems in eine Variable zu speichern. Dies wird für den nächsten Schritt benötigt.

Step 2: Then execute the following command to save the name of the operating system in a variable. This is required for the next step.

DISTRO=$(lsb_release -c | awk '{print $2}')

Schritt 3: Mit dem nächsten Befehl wird das Repository für OpenVPN 3 zu den Paketquellen hinzugefügt:

Step 3: The next command adds the repository for OpenVPN 3 to the package sources:

echo "deb [signed-by=/etc/apt/keyrings/openvpn.asc] https://packages.openvpn.net/openvpn3/debian $DISTRO main" | sudo tee /etc/apt/sources.list.d/openvpn-packages.list

Schritt 4: Die neu hinzugefügte Paketquelle muss initial eingelesen werden. Dazu muss der folgende Befehl ausgeführt werden:

Step 4: The newly added package source must be read in initially. To do this, the following command must be executed:

sudo apt update

Schritt 5: Wurden die Paketquellen aktualisiert kann man abschließend mit folgendem Befehl OpenVPN 3 installieren:

Step 5: Once the package sources have been updated, you can install OpenVPN 3 with the following command:

sudo apt install openvpn3

Konfiguration

Schritt 6: Zu diesem Zeitpunkt sollten Sie über https://mfa.vpn.hhu.de die .ovpn Datei heruntergeladen haben:


Mit dem folgenden Befehl kann eine Konfigurationsdateien in OpenVPN 3 importieren werden:

The following command can be used to import a configuration file into OpenVPN 3:

 openvpn3 config-import --config ~/Downloads/HHU-VPN.ovpn --name HHU-VPN --persistent

In dem oben genannten Befehl wird davon ausgegangen, dass die runtergeladene Konfigurations Datei "HHU-VPN.ovpn" heißt und im Downloads-Ordner liegt.

The above command assumes that the downloaded configuration file is called “HHU-VPN.ovpn” and is located in the Downloads folder.

Schritt 7: Man kann sich mit folgendem Befehl alle importierten Konfigurationen anzeigen lassen:

Step 7: You can display all imported configurations with the following command:

openvpn3 configs-list

Die Ausgabe sollte in etwa wie folgt aussehen:

The output should look something like this:

Configuration Name                                        Last used
------------------------------------------------------------------------------
HHU-VPN                                                   2025-01-23 12:40:00
------------------------------------------------------------------------------

Schritt 8: Man muss den root user Zugang zu der importierten Konfiguration gewähren. Dazu führt man folgenden Befehl aus:

Step 8: The root user must be granted access to the imported configuration. To do this, execute the following command:

openvpn3 config-acl --show --lock-down true --grant root --config HHU-VPN

Hiermit ist die Konfiguration abgeschlossen.

This completes the configuration.


Starten der Verbindung

Wurde OpenVPN 3 installiert und konfiguriert, kann man von nun an eine VPN Verbindung mit dem folgendem Befehl starten:

Once OpenVPN 3 has been installed and configured, you can now start a VPN connection with the following command:


openvpn3 session-start --config HHU-VPN

Es wird nach einem Auth User name und einem Auth Password gefragt. Diese entsprechen der Unikennung und dem Uni-Passwort.

You will be asked for an Auth User name and an Auth Password. These correspond to the university ID and the university password.


Wichtig ist hier zu beachten, dass die Unikennung (je nach Konfiguration) ggf. mit .intern oder .zim enden muss.

It is important to note here that the university ID (depending on the configuration) may have to end with .intern or .zim


Gibt man alles korrekt ein, wird die Ausgabe Connected angezeigt und die VPN-Verbindung ist aktiv.

If you enter everything correctly, the output Connected is displayed and the VPN connection is active.




HHU-VPN mit MFA:

Wenn Sie beides richtig eingegeben haben, dann öffnet sich anschließend der Browser und Sie werden gebeten sich über Shibboleth anzumelden und aufgefordert, den zweiten Faktor zu aktivieren. Erfolg können Sie das Fenster schließen und sind mit dem VPN verbunden.


If you have entered both correctly, the browser will then open and you will be asked to log in via Shibboleth and enter the second factor. If successful, you can close the window and are connected to the VPN.

Trennen der Verbindung

Will man die Verbindung wieder trennen muss man folgenden Befehl ausführen:

If you want to disconnect again, you must execute the following command:

openvpn3 session-manage --config HHU-VPN --disconnect

Man kriegt in etwa folgende Ausgabe angezeigt (die Zahlen werden variieren) und die Verbindung ist getrennt:

You get approximately the following output (the numbers will vary) and the connection is disconnected:

Initiated session shutdown.

Connection statistics:
     BYTES_IN...................15927
     BYTES_OUT...................7325
     PACKETS_IN....................72
     PACKETS_OUT...................83
     TUN_BYTES_IN................3715
     TUN_BYTES_OUT...............7942
     TUN_PACKETS_IN................47
     TUN_PACKETS_OUT...............35

Weitere Hinweise

NetworkManager unter Linux

(warning) Nicht zu Empfehlen

Im NetworkManager gibt es leider immer noch keine vollständige Unterstützung für die Mehr-Faktor-Authentifizierung (MFA), sodass nur kurzzeitge Einmalpasswörter (auch TOTP genannt) möglich sind.

Die VPN-Konfiguration kann ganz regulär importiert werden. Jedoch werden manche Felder falsch importiert, sodass manuelle Nacharbeit notwendig ist:

  • Funktioniert möglicherweise nicht auf Anhieb → Fehlermeldung: AUTH: Received control message: AUTH_FAILED,Data channel cipher negotiation failed (no shared cipher)  →  Es funktioniert, wenn in der Config manuell den Cipher von AES-128-CBC auf AES-128-GCM umgestellt wird.

  • Config Netzwerk →  IPv4 → "Diese Verbindung nur für Ressourcen in deren Netzwerk verwenden"
  • Es kann sein (insbesondere bei KDE), dass der Port separiert werden muss: Falls es ein separates Feld für den Port gibt: trennen von Gateway: vpn.hhu.de:PORT