Development Site

Es hat mich lange genug gewurmt, dass ich für meinen Arbeitgeber eine VPN-Lösung betreue, sie mangels eines kompatiblen Betriebssystems und aufgrund meines Unwillens den Root-Benutzer zu aktivieren, selbst nicht nutzen konnte. Es geistern mehrere Rezepte durch das World Wide Web, meist in englisch und alle mit unterschiedlichen Einschränkungen: Eines fordert die Aktivierung des Benutzers Root, ein anderes arbeitet mit einem Skript "junipernc", kommt aber mit unterschiedlichen Anmelde-Realms nicht zurecht.

Knackpunkt an der ganzen Sache ist das Programm "Network Connect", das für Linux-Systeme als Java-Anwendung ausgeliefert wird und den Rechner quasi direkt in das Firmennetzwerk einhängen soll. Die Anwendung wird beim ersten Aufruf installiert, das Installations-Skript kann mit Ubuntus sudo-Mechanismus jedoch nicht umgehen, und fällt daher auf die Nase. Aber für Network Connect gibt es ja praktischerweise ein Installations-Paket.

Benötigte Pakete:
Die folgenden Pakete müssen, wenn nicht bereits vorhanden, installiert werden. openjdk-6 und icedtea6 führen bisweilen zu Konflikten und sollten entfernt werden.

• alien
• sun-java6-jre (multiverse)
• sun-java6-plugin (multiverse)

Java ist auch für den Host Checker, ein Programm das die Konformität des System anhand von Richtlinien des Betreibers des SSL-VPN-Dienstes überprüft, erforderlich. Auch die Konferenz-Funktionalität setzt für Linux-Systeme auf Java auf.

Installation:
Nun benötigt man das passende Linux-Installationspaket für Network Connect. Der Betreiber bzw. Administrator des Dienstes kann das zur aktuellen Firmware passende Paket zur Verfügung stellen. Dieses liegt jedoch unpassenderweise als RPM vor, deshalb kommt hier gleich mal alien zum Einsatz:

Das Ergebnis ist ein Paket, in diesem Falle ncui-6.3-1.i386.deb, welches sich nun mittels gdebi oder dpkg installieren lässt:

Network Connect ist nun installiert und wartet darauf, getestet zu werden.

Ausprobieren:
Nun kann die Anmeldung am SSL-VPN-Portal erfolgen.
(Der Übersicht halber sind hier nur Screenshots aufgeführt, die eventuell von der Anmeldung unter Windows abweichen.)

Nachdem der Start der ActiveX-Komponenten natürlich fehlschlägt, wird eine Java-Version des Host Checkers gestartet. Dies geschieht im Hintergrund, Eine Meldung erhält man in der Regel nur, wenn das Applet nicht gestartet werden kann oder die Systemprüfung nicht das vom Betreiber des VPN-Dienstes geforderte Ergebnis liefert.
Wurde das Java-Applet mit einem nicht vertrauenswürdigen Zertifikat signiert, so bekommt an bei der Anmeldung nebenstehende Anfrage zu Gesicht.
Höflicherweise fragt der Host Checker auch noch, ob er wirklich ausgeführt werden darf. Dem sollte stattgegeben werden, da der Betreiber des SSL-VPN-Dienstes den Zugriff ansonsten eventuell einschränkt oder unterbindet.
Nun kann Network Connect gestartet werden. Die grafische Oberfläche im Java-Stil gibt nach erfolgreicher Verbindung im Standard-Reiter "Sitzung" Auskunft über den Verbindungsstatus, die Sicherheitseinstellungen und die zugewiesene IP-Adresse. Im Reiter "Protokolle" kann das Log der aktiven Sitzung eingesehen werden, während der Reiter "Diagnose" eine Funktion bietet, mit dem die Funktionalität getestet werden kann. Über das Menü kann unter "Datei" Die gesamte Sitzung beendet (Abmelden) oder Network Connect geschlossen werden (Beenden).

Fazit:
Auch hier gibt es natürlich Beschränkungen. Zwar kann man auf den Benutzer Root verzichten und kann den normalen Weg zur Anmeldung am Portal gehen, ohne zusätzliche Skripte starten zu müssen. Allerdings ist man auf die Gnade des Administrators angewiesen, dass er das passende Paket zur Verfügung stellt und es auch aktuell hält, wenn die Firmware der VPN-Appliance aktualisiert wird.

Damit könnte ich eigentlich zufrieden sein. Leider verfüge ich nur noch über 64-Bit-Systeme und wie ich Network Connect dort zum Laufen bekomme, habe ich noch nicht herausgefunden.