Anleitung zur Einwahl über Cisco VPN

VPN
Anleitungen
Rechenzentrum
Anleitung zur Einwahl über Cisco VPN
Florian T. Huber
Rechenzentrum - Hochschule Biberach
2. Oktober 2012
Allgemeines
Was ist VPN und wozu dient es?
VPN steht für Virtual Private Network. Im Gegensatz zum normalen, unverschlüsselten
Zugriff über das Internet, wie dies der Fall ist wenn man nach der Internet-Einwahl per
Browser oder eMail-Client auf Internet-Resourcen zugreift, wird der Netzwerkverkehr über
ein VPN komplett verschlüsselt. Aus diesem Grund ist es möglich Zugriff auf sensible Resourcen eines Firmennetzwerks zu gewähren, was bei einer unverschlüsselten Verbindung
nicht zu empfehlen wäre. Der eigene Rechner wird nach Einwahl über eine spezielle Software – dem sogenannten VPN-Client – zum Bestandteil des Firmen- bzw. Hochschulnetzes.
Die Daten werden über einen gesicherten Tunnel zwischen den Endpunkten Benutzer und
VPN-Einwahlgerät ausgetauscht.
Abbildung 1: Schema einer VPN-Verbindung
1
VPN
Anleitungen
Rechenzentrum
Damit nicht jede x-beliebige Person einen solchen Tunnel aufbauen kann, um auf die
Firmendaten zugreifen zu können, wird eine Authentifizierung benötigt. Hierzu authentifiziert sich zunächst der VPN-Client gegenüber dem VPN-Einwahlgerät, wodurch die
zugehörige Gruppe (Mitarbeiter/Professoren, Student, RZ-Mitarbeiter) festgelegt wird
und anschließend wird der Benutzer aufgefordert sich gegenüber dem System auszuweisen. Hierzu wird ein gültiger Account im RZ benötigt.
Sobald der VPN-Tunnel aufgebaut wurde, ist eine normale Internetnutzung nicht mehr
möglich. Es können nur Resourcen der eingewählten Institution genutzt werden – externe
Resourcen nur noch eingeschränkt und dann auch nur über den Tunnel. Hintergrund
dieser Einschränkung liegt daran, daß die normale Internetverbindung gekappt wird sobald
der Tunnel steht, um zu verhindern das Hacker, Trojaner, Viren vom Internet auf den
Rechner des Benutzers gelangen und dort dann den aufgebauten Tunnel nutzen, um in
die Institution zu gelangen (siehe Abschnitt ).
An dieser Stelle wird deutlich, daß dem Benutzer eine gewisse Verantwortung obligt seinen
Rechner bereits vor der Nutzung eines VPN-Zugangs entsprechend gegen Virenbefall und
Hackerübergriffe abzusichern. Denn wenn der Rechner bereits vor der Einwahl kompromittiert wurde, dann nutzt es auch nichts mehr nach Aufbau des Tunnels den Internetzugriff
zu beschränken.
Welche Plattformen werden unterstützt?
Cisco bietet VPN-Clients für folgende Plattformen an, die über das Rechenzentrum bezogen werden können:
Windows
Windows
Windows
Windows
98/ME
NT/2000/XP
Vista (32-bit)
7 (32-bit)
Mac OS X, 10.2, 10.3, 10.4
Linux (Intel)
Solaris (UltraSparc 32- und 64-bit)
Wichtig: Das Rechenzentrum kann nur für die Windowsplattformen Installationssupport
bieten. Hierzu existiert ein vorkonfiguriertes Installationspaket! Die Nutzer anderer Plattformen können VPN-Client und Einwahlprofil über das RZ beziehen, müssen die einzelnen
Installations- und Konfigurationsschritte jedoch eigenständig durchführen!
Windows Vista und Windows 7 (64-bit)
Für die 64-bit Versionen von Windows Vista und dem Nachfolger Windows 7 existieren
keine fertigen Installationspakete, da der Hersteller diese Plattformen nicht mehr unterstützt. Allerdings gibt es unter http://www.shrew.net/download einen kostenlosen
VPN-Client für diese Systeme, in den man das Cisco VPN-Profil importieren kann und
welcher für die Einwahl in die Hochschule Biberach freigeschaltet wurde.
2
VPN
Anleitungen
Rechenzentrum
Sicherheitscheck und Absichern des eigenen Rechners
Da über den VPN-Tunnel auch schreibender Zugriff auf bestimmte Netzwerkfreigaben
möglich ist, sollte bereits vor der ersten Einwahl sichergestellt werden, daß der Rechner
nicht mir Viren oder Trojaner infiziert ist, die dann über den VPN-Tunnel Resourcen der
Hochschule kompromittieren.
Bitte gehen Sie folgende Fragen durch und beantworten Sie diese für sich. Sollten Sie bei
einer Frage mit nein antworten müssen, so ergreifen Sie bitte entsprechende Maßnahmen!
1. Ist das aktuellste Servicepack installiert?1
2. Wurden die neusten Patches über www.windowsupdate.com geladen und installiert?
3. Ist ein Virenscanner installiert?2
4. Sind die Virensignaturen aktuell? Ô Prüfen ob Signaturdatum nicht älter als 4 Tage!
5. Ist der On-Access-Scanner aktiviert?
6. Ist ein Malwareschutz installiert (Spybot, Spywareblaster, Ad-Aware, etc.)?3
7. Sind die Signaturen des Malwareschutzes aktuell?
8. Liegt der letzte Scan nach Malware nicht länger als 14 Tage zurück?
9. Ist bei Windows XP/Vista/Win7 die Firewall aktiviert?
Auch wenn Sie alle Fragen mit Ja beantworten konnten, bietet es sich an dieser Stelle an
noch mal einen manuellen Virenscan des Systems durchzuführen (On-Demand-Scan) und
auf Malware zu scannen.
1 Windows
2000 = Servicepack 4, Windows XP = Servicepack 2
Virenscanner unter http://www.avira.de
3 Kostenloser Malwarescanner http://www.spybot.info
2 Kostenloser
3
VPN
Anleitungen
Rechenzentrum
Installation des Cisco VPN-Clients für Windows
Bitte besorgen Sie sich den aktuellen Cisco VPN-Client falls Sie es bisher noch nicht getan
haben vom Rechenzentrum. Im weiteren wird auf die Installation des vorkonfigurierten
Windowsclients eingegangen, der in wenigen Schritten zu installieren ist.
Schritt 1: Start des Installationsprogramms
Doppelklicken Sie das Installationsprogramm und bestätigen Sie die Abfrage mit OK.
Abbildung 2: Bestätigen der Installation
Schritt 2: Neustarten des Systems
Da der Cisco VPN-Client einen zusätzlichen Netzwerkadapter installiert, wird nach Beendigung der Installation nach einem Neustart gefragt. Natürlich können Sie Ihren Rechner
auch zu einem späteren Zeitpunkt neustarten - bis dahin können Sie jedoch noch kein
VPN nutzen.
Abbildung 3: Bestätigen des Neustarts
4
VPN
Anleitungen
Rechenzentrum
Schritt 3: Starten des VPN-Clients
Nach erfolgreicher Installation und dem benötigtem Neustart finden Sie eine neue Programmgruppe im Windows-Startmenü. Sie können nun unter Start|Programme|Hochschule
Biberach VPN den VPN-Client starten.
Abbildung 4: Start des VPN-Clients
Schritt 4: Starten des VPN-Clients
Nach Start des Clients sehen Sie den Verbindungsbildschirm. Das Profil der Hochschule
ist vorausgewählt, so daß Sie nur noch auf Connect drücken müssen, um den VPN-Tunnel
zu erzeugen.
Abbildung 5: Connect-Bildschirm
Schritt 5: Benutzeranmeldung
Nachdem Connect werden die Sicherheitseinstellungen ausgehandelt und Sie werden aufgefordert sich mit Benutzernamen und Paßwort zu authentifizieren. Geben Sie hier Ihre
Logindaten an, die Sie auch für den Login an den PCs der Hochschule verwenden (siehe
Abbildung 6 auf nächster Seite).
5
VPN
Anleitungen
Rechenzentrum
Abbildung 6: Benutzeranmeldung
Schritt 6: Begrüßungsmeldung
Nach der erfolgreichen Einwahl per VPN erscheint ein Begrüßungsschirm. Sie erhalten hier
eine kurze Information über Ihre Nutzungsmöglichkeiten. Ebenso werden hier Informationen hinterlegt über geplante Wartungsfenster des VPN oder ob Updates der Clientsoftware
verfügbar sind.
Abbildung 7: Begrüßung
Schritt 7: Verbindungssymbol
Nachdem Sie erfolgreich eingewählt sind, werden Sie sehen daß sich nun ein gelbes Schloß
in der Systray-Leiste (unten rechts) befindet. Bei geschlossenem Zustand sind Sie eingewählt, bei geöffnetem Schloß besteht kein VPN-Tunnel. Über Rechtsklick erhalten Sie
ein Kontextmenü über das Sie diverse Informationen (Begrüßungsmeldung, Statistiken)
abrufen können und auch den Tunnel beenden können (Disconnect).
Abbildung 8: Verbindungssymbol
Gratulation! Mit der Durchführung der Schritte 1-7 haben Sie nun einen einen VPNTunnel erzeugt und können auf die freigegebenen, internen Ressourcen der Hochschule
Biberach zugreifen.
6
VPN
Anleitungen
Rechenzentrum
Verfügbare Ressourcen im VPN
Microsoft Exchange (eMail)
Die Nutzung des VPN zum Zugriff auf das Exchange Mailsystem bringt keine weiteren
Vorteile, wie die direkte Nutzung über das Internet. Ein Zugriff auf den Mailserver ist
auch ohne bestehenden VPN-Tunnel möglich!
Neben dem direkten Zugriff über Outlook Webaccess 4 (https://mserv01.fh-biberach.
de), können Sie auch über beliebige eMail-Clients Ihre eMails abfragen5 .
Folgende Daten werden zur Konfiguration benötigt:
Ausgehender Mailserver
Eingehender Mailserver
SMTP-Port
SMTP-Port verschlüsselt
POP3-Port
POP3-Port verschlüsselt
IMAP-Port
IMAP-Port verschlüsselt
mserv01.fh-biberach.de
mserv01.fh-biberach.de
25
145 (empfohlen)
110
995
143
993 (empfohlen)
Lotus Domino Notes (eMail)
Neu: Lotus Notes kann seit 2012 auch ohne VPN-Tunnel in vollem Funktionsumfang
über den Lotus Client genutzt werden! Aber natürlich können Sie auch weiterhin Lotus
über VPN nutzen.
Folgende Daten werden zur Konfiguration benötigt:
Ausgehender Mailserver
Eingehender Mailserver
SMTP-Port
SMTP-Port verschlüsselt
POP3-Port
POP3-Port verschlüsselt
IMAP-Port
IMAP-Port verschlüsselt
4 Um
mserv01.fh-biberach.de
notes.fh-biberach.de
25
145 (empfohlen)
110
995
143
993 (empfohlen)
die volle Funktionalität zu erlangen, verwenden Sie bitte den Internet Explorer
Informationen zum Thema eMail finden sich unter http://www.hochschule-bc.de/web/
rechenzentrum/mail
5 Mehr
7
VPN
Anleitungen
Rechenzentrum
Daten zur Nutzung des Lotus Notes-Clients
Servername notes/notes
Verbindungstyp Netzwerk TCP
Serveradresse 193.196.2.11
Zugriff auf diverse Netzwerkresourcen
Folgende Resourcen lassen sich u.a. per VPN nutzen. Eingabe in Explorer-Leiste bzw.
dem Browser.
Bei der Frage nach den Zugangsdaten geben Sie bitte Ihre RZ-Logindaten an.
Für Freigaben in der RZ1-Domäne in der Form: RZ1\Loginname
Resource
Studiengangsordner
Semesterarbeiten
temp-daten (K-Server)
ILIAS-eLearning-Server
Typ
SMB/CIFS
SMB/CIFS
SMB/CIFS
HTTPS
Netzwerkpfad
\\fserv02\HBCDaten
\\ntserv04\Semsesterarbeiten
\\ntserv05\temp-daten
https://elearns02.fh-biberach.de
Terminalserver
Mit Hilfe des Remote Desktops haben Sie die Möglichkeit auf den Terminalserver zu
verbinden und über diesen Druckaufträge im RZ abzuschicken. Sie finden den Remote
Desktop unter: Start > Programme > Zubehör > Remotedesktopverbindung.
Als Server tragen Sie ein: rz-ts01.fh-biberach.de
ILIAS-Terminalserver
Ebenfalls über Remote-Desktop können Sie zum ILIAS-Terminalserver verbinden und
Skripte bestimmter Professoren drucken oder online betrachten. Ein Download/Speichern
dieser Skripte ist jedoch nicht möglich.
Als Server tragen Sie ein: ilias-ts.fh-biberach.de
ILIAS-eLearning-Server
Eine Anleitung zur Einbindung von ILIAS als WebDAV-Ordner findet sich unter https://
elearns02.fh-biberach.de/ilias3/webdav.php/HSBC/ILIAS?mount-instructions
8
VPN
Anleitungen
Rechenzentrum
Frequently Asked Questions (FAQ)
Ich nutze bereits anderweitig einen Cisco VPN-Client. Muß ich denn
den der Hochschule trotzdem installieren?
Nein! – Wenn Sie bereits einen aktuellen Cisco Client haben (mind. Version 4.8.01.300),
dann können Sie im RZ das VPN-Profil anfordern und über Connection Entries|Import
importieren. Nun können Sie dieses auswählen und sich in die Hochschule einwählen.
Ich kenne den Cisco VPN-Client und der von der Hochschule sieht
anders aus. Wieso?
Bei Nutzung des vorkonfigurierten Installationspakets für Windows wird eine angepaßte
Version des Cisco VPN-Clients auf das System aufgespielt. Um mögliche Anwenderfehler
möglichst gering zu halten, wird der Client standardmäßig im Simple-Mode gestarted und
die Nutzung bestimmter Optionen deaktiviert. Auf diese Weise wird ein Herumspielen
und die Möglichkeit der Fehlbedienung minimiert.
Ich kann meine Instant Messenger, Filesharingtools,
Software-Phones, Skype, etc. nicht nutzen. Wieso?
Wie auf Seite 2 schon angesprochen, wird einerseits aus Sicherheits- andererseits aus
Bandbreitengründen die Nutzung von Ressourcen geblockt, die auch ohne VPN-Tunnel
zu erreichen sind. Zudem sind diese Ressourcen ohne VPN-Tunnel schneller zu erreichen,
da die Verschlüsselung wegfällt.
Wieso kann ich nicht Einwählen? Es kommt eine Meldung in der Art
”Doppelte Einwahl”
Das RZ unterbindet die gleichzeitig VPN-Nutzung über den selben Account von verschiedenen Rechnern, da angenommen wird das eine physikalische Person auch nur gleichzeitig an einem physikalischen Gerät arbeiten kann. Soll also von einem anderen PC über
VPN eingewählt werden, so muß zunächst die alte bestehende VPN-Verbindung terminiert werden bevor am neuen PC ein VPN-Tunnel aufgebaut werden kann. Sollte Sie keine
VPN-Verbindung bewußt aufgebaut haben und erhalten denoch diese Meldung, besteht
die Gefahr das Ihr Paßwort kompromittiert wurde und von jemand anderem mißbräuchlich verwendet wird. In diesem Fall informieren Sie das Rechenzentrum und ändern Sie
umgehend das Paßwort Ihres Accounts!
9
VPN
Anleitungen
Rechenzentrum
Wieso wird meine Verbindung nach 30 bzw. 60 Minuten getrennt?
Jede VPN-Verbindung belegt Ressourcen auf dem VPN-Endgerät an der Hochschule.
Wenn Sie 30min (Studenten) bzw. 60min (Professoren) nichts tun, wird angenommen das
Sie inaktiv sind und die VPN-Verbindung nicht mehr nutzen. Aus diesem Grund wird die
Verbindung terminiert und die Ressourcen für andere VPN-Teilnehmer freigegeben.
Wieso werde ich nach 5 Stunden getrennt?
Da die Möglichkeit besteht das trotz Benutzerinaktivität noch Daten über den VPNTunnel fließen, wird spätestens nach 5 Stunden zwangsgetrennt. Hierdurch sollen einfach
vergessene VPN-Verbindungen getrennt werden, um Ressourcen freizugeben. Sollten Sie
bewußt 5 Stunden lang über den VPN-Tunnel gearbeitet haben und möchten Ihre Arbeit
fortsetzen, so können Sie ohne Wartezeit umgehend wieder einwählen und Ihr Arbeit
fortsetzen.
10
VPN
Anleitungen
Rechenzentrum
Inhaltsverzeichnis
Allgemeines
Was ist VPN und wozu dient es? . . . . . . . . . . . . . . . . . . . . . . . . . .
Welche Plattformen werden unterstützt? . . . . . . . . . . . . . . . . . . . . . .
Windows Vista und Windows 7 (64-bit) . . . . . . . . . . . . . . . . . . .
1
1
2
2
Sicherheitscheck und Absichern des eigenen Rechners
3
Installation des Cisco VPN-Clients für Windows
Schritt 1: Start des Installationsprogramms . . .
Schritt 2: Neustarten des Systems . . . . . . . .
Schritt 3: Starten des VPN-Clients . . . . . . .
Schritt 4: Starten des VPN-Clients . . . . . . .
Schritt 5: Benutzeranmeldung . . . . . . . . . .
Schritt 6: Begrüßungsmeldung . . . . . . . . . .
Schritt 7: Verbindungssymbol . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
4
4
5
5
5
6
6
Verfügbare Ressourcen im VPN
Microsoft Exchange (eMail) . . . . .
Lotus Domino Notes (eMail) . . . . .
Zugriff auf diverse Netzwerkresourcen
Terminalserver . . . . . . . . .
ILIAS-Terminalserver . . . . . .
ILIAS-eLearning-Server . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
7
7
7
8
8
8
8
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Frequently Asked Questions (FAQ)
9
Ich nutze bereits anderweitig einen Cisco VPN-Client. Muß ich denn den der
Hochschule trotzdem installieren? . . . . . . . . . . . . . . . . . . . . . . . 9
Ich kenne den Cisco VPN-Client und der von der Hochschule sieht anders aus.
Wieso? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Ich kann meine Instant Messenger, Filesharingtools, Software-Phones, Skype,
etc. nicht nutzen. Wieso? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Wieso kann ich nicht Einwählen? Es kommt eine Meldung in der Art ”Doppelte
Einwahl” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Wieso wird meine Verbindung nach 30 bzw. 60 Minuten getrennt? . . . . . . . . 10
Wieso werde ich nach 5 Stunden getrennt? . . . . . . . . . . . . . . . . . . . . . 10
Inhaltsverzeichnis
11
11