VPN-Verbindung unter Linux konfigurieren (OpenVPN)
Voraussetzung!
Um das VPN einzurichten, benötigen Sie einen zweiten Faktor (Abkürzung: 2FA oder MFA). Dies ist eine zusätzliche Sicherheitsschicht neben Ihrem HTW-Account Passwort. Sie können den zweiten Faktor mit Hilfe der folgenden Anleitung im Accountservice einrichten:
Multi Faktor Authentifizierung
Es wird dringend empfohlen, keine weiteren VPN-Clients parallel zu betreiben!
Schritt 1: Download der OpenVPN Konfigurationsdatei
Laden Sie die Konfigurationsdatei von unserem Download-Portal herunter (Sie müssen sich dafür mit Ihrem HTW-Account anmelden). Kehren Sie danach zu dieser Anleitung zurück.
Schritt 2: Installation des VPN-Clients
Starten Sie das Terminal und Installieren Sie OpenVPN mit folgenden Befehl z. B.: unter Debian/Ubuntu:
sudo apt install openvpn
Auf anderen Distributionen, kann der Befehl abweichen.
Der Gnome/Ubuntu Network-Manager unterstützt zwar OpenVPN, aber leider kein MFA, weswegen es aktuell nur über die Konsole angeboten wird.
Schritt 3: VPN-Verbindung aufbauen
Rufen Sie OpenVPN auf mit folgenden Befehl auf und verweisen auf den Pfad zur Konfigurationsdatei (VPN-Profil aus Schritt 1).
sudo openvpn --config <OpenVPN Einwahl-Konfiguration> --dev tun0
Sollten Sie beim Verbindungsaufbau eine Fehlermeldung wie z.B. „Options error: Unrecognized option…“ erhalten, schauen Sie bitte in die entsprechende Infobox am unteren Ende dieser Seite.
Schritt 4: Login mit MFA
Loggen Sie sich mit Ihren HTW-Zugangsdaten ein (ohne @htw-berlin.de; z.B. s0000001 oder amuster) und geben den zweiten Faktor (Einmalpasswort; Zahlencode) aus Ihrer Authenticator-App ein. Diese App haben Sie mit unserer Anleitung eingerichtet.
Die Verbindung hat geklappt, wenn "Initialization Sequence Completed" ausgegeben wird.
Sollte Ihr Client keinen zweiten Faktor unterstützen, geben Sie im Passwortfeld Ihre Kennwort und direkt daran den Token ein.
KEIN openVPN im eduroam bzw. HTW-Netzwerk möglich!
Im gesamten HTW Berlin Netzwerk (einschließlich im eduroam WLAN) kann keine OpenVPN-Verbindung aufgebaut werden (es wird ein Timeout im OpenVPN-Client angezeigt).
Die Nutzung ist hauptsächlich für außerhalb der Hochschule vorgesehen.
Hinweis bei langsamer oder instabiler OpenVPN-Verbindung/Webseitenaufrufe nicht möglich
Nutzererfahrungen haben gezeigt, dass es bei OpenVPN zu Geschwindigkeits- oder Stabilitätsproblemen kommen kann, wenn Ihr Internetanschluss über keine öffentliche IPv4-Adresse verfügt, sondern Dual-Stack Lite eingesetzt wird, wodurch sich mehrere Kunden eine einzelne IPv4-Adresse teilen.
Wenn Sie feststellen, dass Ihre OpenVPN-Verbindung sehr langsam oder instabil ist, verwenden Sie bitte testweise einen anderen Internetanschluss (z.B. den mobiles Hotspot Ihres Smartphones via Mobilfunknetz). Besteht das Problem dort nicht, wenden Sie ggf. an Ihren Internetprovider und bitten um die Bereitstellung einer eigenen IPv4-Adresse für Ihren Internetanschluss. Eine dynamische IPv4-Adresse ist dafür ausreichend, eine (oft kostenpflichtig angebotene) feste IP-Adresse wird nicht benötigt.
Fehlermeldung: Options error: Unrecognized option…
Möglicherweise erhalten Sie beim Verbindungsversuch folgende oder eine ähnlich lautende Fehlermeldung:
Options error: Unrecognized option or missing or extra parameter(s) in Downloads/openvpn-HTW-mfa-connect-config.ovpn:3: data-ciphers (2.4.12)
Dies bedeutet, dass Sie eine ältere OpenVPN-Version benutzen, die den Parameter „data-ciphers“ in der Konfigurationsdatei noch nicht unterstützt.
Bearbeiten Sie in diesem Fall die heruntergeladene Konfigurationsdatei „openvpn-HTW-mfa-connect-config.ovpn“ mit einem Texteditor wie folgt:
Entfernen Sie diese beiden Zeilen:
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC und
data-ciphers-fallback AES-256-CBC
Fügen Sie an derselben Stelle die folgende Zeile ein:
ciphers AES-256-CBC
Speichern Sie die Datei anschließend. Danach sollte der Verbindungsaufbau auch mit älteren OpenVPN-Versionen funktionieren. Falls nicht, wenden Sie sich bitte mit der entsprechenden Fehlermeldung an uns.
Deinstallation alter VPN-Clients
Nach Abschluss der Installation empfehlen wir Ihnen, alte Installationen des Programms Cisco AnyConnect zu deinstallieren (sofern Sie unseren alten VPN-Client benutzt haben).