Gelegentlich benötige ich eine openVPN-Verbindung zu einer Einrichtung, die ich hier mal nicht weiter kritisieren möchte. Dazu wurden mir eine Zertifikatsdatei (.p12), ein Passwort (geheim) und eine Konfigurationsdatei (.ovpn) übermittelt, außerdem eine überaus gründliche Anleitung für Windows (XP), die genau erklärte, dass man eigentlich nur die Konfiguration importieren musste, dafür aber sogar mit Pfeilen illustrierte, wo genau der »OK« Knopf jeweils sitzt.
Gut, ich verwende Linux, aber das ist ja mittlerweile mindestens so komfortabel wie Windows und außerdem erheblich sicherer (kommen wir gleich noch zu) – es sollte also nicht allzu schwer sein, die Konfiguration auch hier zu importieren und zu nutzen.
Zunächst mal war ein bisschen überraschend, dass Gnome in den Einstellungen unter "Netzwerk" die Option, eine opnenVPN-Verbindung einzurichten, prinzipiell anbietet, dann aber konkret doch nichts für mich machen kann: Das Paket network-manager-openvpn-gnome muss manuell nachinstalliert werden. Kein Problem, aber muss man erst mal drauf kommen, wenn die Menüoptionen schon sichtbar und aktiv sind.
Danach sah alles ganz gut aus: Bei Einstellungen -> Netzwerk -> VPN auf das »+« klicken und dann nicht etwa mühselig »OpenVPN« zu Fuß erstellen, sondern "Aus Datei importieren" wählen und die .ovpn Datei anbieten. Jetzt noch das Passwort eingetragen, und alles sieht wie eine funktionierende openVPN-Verbindung aus. Sieht aber leider nur so aus, jeder Versuch der Verbindung schlägt nämlich fehl.
Ärgerlicherweise gibt der Gnome Network-Manager auch keine spezifische Fehlermeldung aus, sondern berichtet nur vom Fehlschlag. Es begann eine lange und fruchtlose Suche nach möglichen Ursachen, die mangels genauer Fehlerkenntnis zu nichts führte, bis ein Tipp auf den Befehl journalctl -b -u NetworkManager verwies, der in einem Terminal eben doch spezifische Fehlermeldungen verrät. Das Ergebnis (Ausschnitt):
Rot ist meistens kein gutes Zeichen (außer vielleicht in der Politik), und in der Tat: Die Verschlüsselung der Zertifikatsdateien war dem Network-Manager schlicht nicht stark genug. Hier war es dann vergleichsweise einfach, weiterzugoogeln. Eine einfache Lösung scheint es nicht zu geben, der einfachste Workaround ist die Installation einer alten Version von openvpn – 2.3.4 war alt genug. Die Installation mittels dpkg war problemlos, danach ließ sich die openVPN-Verbindung durch einen simplen Klick im Systemmenü problemlos herstellen. Wer Lust hat, kann die neue alte Paketversion noch apt-pinnen, damit sie beim nächsten Systemupdate nicht gleich wieder überspielt wird.
Das ist irgendwie nicht sehr befriedigend, und auch wenn die Intention, schwache Verschlüsselungen abzulehnen, sicher gut ist, führt sie im Ergebnis zu viel Ärger und letztlich sicher keiner höheren Sicherheit, wenn dadurch veraltete Paketversionen zum Einsatz kommen.
Am besten wäre natürlich, die Organisation ohne Namen würde ihre Zertifikate aktualisieren.
(c) Foto: pixabay / TanteTati