VPN unter Linux einrichten

Wie kann ich auf meinem Linux-Gerät MFA VPN einrichten?

 

Variante 1: Einsatz von openconnect und gp-saml-gui

Eine Alternative zum offiziellen GlobalProtect-Client für die Nutzung von VPN mit MFA unter Linux ist die Verwendung von gp-saml-gui in Verbindung mit einer Version von openconnect, die das GlobalProtect-Protokoll unterstützt.

Umgebung für diese Anleitung ist Ubuntu 24.04. Vorausgesetzt sind sudo-Berechtigungen, um Administratorrechte zu erlangen.

In dieser Anleitung wird angenommen, dass der aktuelle Benutzer example heißt. Die Befehle sollten entsprechend angepasst werden.

  1. Installieren Sie Openconnect. Die Installation einer passenden Version von openconnect kann in der Regel über den Paketmanager der Linux-Distribution erfolgen.

sudo apt install openconnect

  1. Installieren Sie benötigte Abhängigkeiten.

sudo apt install git python3-venv build-essential python3-dev gobject-introspection libgirepository-1.0-dev python3-gi gir1.2-gtk-3.0 'gir1.2-webkit2-4.*'

  1. Klonen Sie Git-Repository.

cd /home/example

git clone https://github.com/dlenski/gp-saml-gui

  1. Installieren Sie benötigte Abhängigkeiten in der virtuelle Umgebung.

python3 -m venv

/home/example/gpsamlgui-venv/home/example/gpsamlgui-venv/bin/pip install -r /home/example/gp-saml-gui/requirements.txt

  1. Bauen Sie die VPN-Verbindung mit gp-saml-gui auf.

/home/example/gpsamlgui-venv/bin/python /home/example/gp-saml-gui/gp_saml_gui.py --sudo-openconnect mfavpn.hs-hannover.de

Ein Browserfenster zur Anmeldung mit dem SSO-Account sollte erscheinen. Nach erfolgreicher Anmeldung wird die VPN-Verbindung durch Ausführen von openconnect aufgebaut.

 

Variante 2: Offizieller GlobalProtect-Client

Umgebung für diese Anleitung ist Ubuntu 24.04.

PaloAlto stellt den GlobalProtect-Client für die Linux-Distributionen Ubuntu, CentOS und RedHat bereit. Das dazugehörige Bundle kann über den DFS-Pfad

\\fh-h.de\HsH\Coop\HIT-Share\D5_Software\PaloAlto-GlobalProtect\LinuxClient

bezogen werden, oder über diesen Link auf unseren Service-Seiten heruntergeladen werden.

  1. Entpacken Sie das TAR-Archiv.

mkdir PanGPLinux

tar xzf PanGPLinux-6.2.0-c10.tgz -C PanGPLinux/

cd PanGPLinux

In dem TAR-Archiv finden sich neben *.deb, *.rpm und *.tgz-Pakete für jeweils die CLI-Komponente und die dazugehörige GUI-Komponente. Zusätzlich enthalten sind die Skripte gp_install.sh und gp_uninstall.sh, um die Installation automatisch durchzuführen.

2. Rufen Sie das Skript zur Installation als root auf.

sudo ./gp_install.sh

3. Starten Sie GlobalProtect und bauen Sie die VPN-Verbindung auf.

Die GlobalProtect-Oberfläche sollte sich über das Programmenü oder über den folgenden Befehl starten lassen:

globalprotect launch-ui

Weitere Informationen zu GlobalProtect finden sich auf der offiziellen Website des Herstellers

 

DNS-Probleme mit Snap-Anwendungen (z.B. Firefox)

Möglicherweise sind Snap-Anwendungen in Kombination mit dem GlobalProtect-Client (und ggf. auch anderen VPN-Clients) nicht in der Lage, Namen über DNS korrekt aufzulösen.

Abhilfe kann geschaffen werden, indem Sie den Dienst systemd-resolved konfigurieren, zusätzlich auf 127.0.0.1:53 DNS-Anfragen zu beantworten.

Editieren Sie die /etc/systemd/resolved.conf und fügen Sie die folgende Zeile unterhalb des [Resolve]-Bereichs ein:

DNSStubListenerExtra = 127.0.0.1:53

systemctl daemon-reload; systemctl restart systemd-resolved.service

Quelle: https://live.paloaltonetworks.com/t5/globalprotect-discussions/ubuntu-firefox-gp-web-issue/td-p/560821

Letzte Änderung: 6. Februar 2025