Anleitung zur Einwahl über Cisco VPN
Transcrição
Anleitung zur Einwahl über Cisco VPN
VPN Anleitungen Rechenzentrum Anleitung zur Einwahl über Cisco VPN Florian T. Huber Rechenzentrum - Hochschule Biberach 2. Oktober 2012 Allgemeines Was ist VPN und wozu dient es? VPN steht für Virtual Private Network. Im Gegensatz zum normalen, unverschlüsselten Zugriff über das Internet, wie dies der Fall ist wenn man nach der Internet-Einwahl per Browser oder eMail-Client auf Internet-Resourcen zugreift, wird der Netzwerkverkehr über ein VPN komplett verschlüsselt. Aus diesem Grund ist es möglich Zugriff auf sensible Resourcen eines Firmennetzwerks zu gewähren, was bei einer unverschlüsselten Verbindung nicht zu empfehlen wäre. Der eigene Rechner wird nach Einwahl über eine spezielle Software – dem sogenannten VPN-Client – zum Bestandteil des Firmen- bzw. Hochschulnetzes. Die Daten werden über einen gesicherten Tunnel zwischen den Endpunkten Benutzer und VPN-Einwahlgerät ausgetauscht. Abbildung 1: Schema einer VPN-Verbindung 1 VPN Anleitungen Rechenzentrum Damit nicht jede x-beliebige Person einen solchen Tunnel aufbauen kann, um auf die Firmendaten zugreifen zu können, wird eine Authentifizierung benötigt. Hierzu authentifiziert sich zunächst der VPN-Client gegenüber dem VPN-Einwahlgerät, wodurch die zugehörige Gruppe (Mitarbeiter/Professoren, Student, RZ-Mitarbeiter) festgelegt wird und anschließend wird der Benutzer aufgefordert sich gegenüber dem System auszuweisen. Hierzu wird ein gültiger Account im RZ benötigt. Sobald der VPN-Tunnel aufgebaut wurde, ist eine normale Internetnutzung nicht mehr möglich. Es können nur Resourcen der eingewählten Institution genutzt werden – externe Resourcen nur noch eingeschränkt und dann auch nur über den Tunnel. Hintergrund dieser Einschränkung liegt daran, daß die normale Internetverbindung gekappt wird sobald der Tunnel steht, um zu verhindern das Hacker, Trojaner, Viren vom Internet auf den Rechner des Benutzers gelangen und dort dann den aufgebauten Tunnel nutzen, um in die Institution zu gelangen (siehe Abschnitt ). An dieser Stelle wird deutlich, daß dem Benutzer eine gewisse Verantwortung obligt seinen Rechner bereits vor der Nutzung eines VPN-Zugangs entsprechend gegen Virenbefall und Hackerübergriffe abzusichern. Denn wenn der Rechner bereits vor der Einwahl kompromittiert wurde, dann nutzt es auch nichts mehr nach Aufbau des Tunnels den Internetzugriff zu beschränken. Welche Plattformen werden unterstützt? Cisco bietet VPN-Clients für folgende Plattformen an, die über das Rechenzentrum bezogen werden können: Windows Windows Windows Windows 98/ME NT/2000/XP Vista (32-bit) 7 (32-bit) Mac OS X, 10.2, 10.3, 10.4 Linux (Intel) Solaris (UltraSparc 32- und 64-bit) Wichtig: Das Rechenzentrum kann nur für die Windowsplattformen Installationssupport bieten. Hierzu existiert ein vorkonfiguriertes Installationspaket! Die Nutzer anderer Plattformen können VPN-Client und Einwahlprofil über das RZ beziehen, müssen die einzelnen Installations- und Konfigurationsschritte jedoch eigenständig durchführen! Windows Vista und Windows 7 (64-bit) Für die 64-bit Versionen von Windows Vista und dem Nachfolger Windows 7 existieren keine fertigen Installationspakete, da der Hersteller diese Plattformen nicht mehr unterstützt. Allerdings gibt es unter http://www.shrew.net/download einen kostenlosen VPN-Client für diese Systeme, in den man das Cisco VPN-Profil importieren kann und welcher für die Einwahl in die Hochschule Biberach freigeschaltet wurde. 2 VPN Anleitungen Rechenzentrum Sicherheitscheck und Absichern des eigenen Rechners Da über den VPN-Tunnel auch schreibender Zugriff auf bestimmte Netzwerkfreigaben möglich ist, sollte bereits vor der ersten Einwahl sichergestellt werden, daß der Rechner nicht mir Viren oder Trojaner infiziert ist, die dann über den VPN-Tunnel Resourcen der Hochschule kompromittieren. Bitte gehen Sie folgende Fragen durch und beantworten Sie diese für sich. Sollten Sie bei einer Frage mit nein antworten müssen, so ergreifen Sie bitte entsprechende Maßnahmen! 1. Ist das aktuellste Servicepack installiert?1 2. Wurden die neusten Patches über www.windowsupdate.com geladen und installiert? 3. Ist ein Virenscanner installiert?2 4. Sind die Virensignaturen aktuell? Ô Prüfen ob Signaturdatum nicht älter als 4 Tage! 5. Ist der On-Access-Scanner aktiviert? 6. Ist ein Malwareschutz installiert (Spybot, Spywareblaster, Ad-Aware, etc.)?3 7. Sind die Signaturen des Malwareschutzes aktuell? 8. Liegt der letzte Scan nach Malware nicht länger als 14 Tage zurück? 9. Ist bei Windows XP/Vista/Win7 die Firewall aktiviert? Auch wenn Sie alle Fragen mit Ja beantworten konnten, bietet es sich an dieser Stelle an noch mal einen manuellen Virenscan des Systems durchzuführen (On-Demand-Scan) und auf Malware zu scannen. 1 Windows 2000 = Servicepack 4, Windows XP = Servicepack 2 Virenscanner unter http://www.avira.de 3 Kostenloser Malwarescanner http://www.spybot.info 2 Kostenloser 3 VPN Anleitungen Rechenzentrum Installation des Cisco VPN-Clients für Windows Bitte besorgen Sie sich den aktuellen Cisco VPN-Client falls Sie es bisher noch nicht getan haben vom Rechenzentrum. Im weiteren wird auf die Installation des vorkonfigurierten Windowsclients eingegangen, der in wenigen Schritten zu installieren ist. Schritt 1: Start des Installationsprogramms Doppelklicken Sie das Installationsprogramm und bestätigen Sie die Abfrage mit OK. Abbildung 2: Bestätigen der Installation Schritt 2: Neustarten des Systems Da der Cisco VPN-Client einen zusätzlichen Netzwerkadapter installiert, wird nach Beendigung der Installation nach einem Neustart gefragt. Natürlich können Sie Ihren Rechner auch zu einem späteren Zeitpunkt neustarten - bis dahin können Sie jedoch noch kein VPN nutzen. Abbildung 3: Bestätigen des Neustarts 4 VPN Anleitungen Rechenzentrum Schritt 3: Starten des VPN-Clients Nach erfolgreicher Installation und dem benötigtem Neustart finden Sie eine neue Programmgruppe im Windows-Startmenü. Sie können nun unter Start|Programme|Hochschule Biberach VPN den VPN-Client starten. Abbildung 4: Start des VPN-Clients Schritt 4: Starten des VPN-Clients Nach Start des Clients sehen Sie den Verbindungsbildschirm. Das Profil der Hochschule ist vorausgewählt, so daß Sie nur noch auf Connect drücken müssen, um den VPN-Tunnel zu erzeugen. Abbildung 5: Connect-Bildschirm Schritt 5: Benutzeranmeldung Nachdem Connect werden die Sicherheitseinstellungen ausgehandelt und Sie werden aufgefordert sich mit Benutzernamen und Paßwort zu authentifizieren. Geben Sie hier Ihre Logindaten an, die Sie auch für den Login an den PCs der Hochschule verwenden (siehe Abbildung 6 auf nächster Seite). 5 VPN Anleitungen Rechenzentrum Abbildung 6: Benutzeranmeldung Schritt 6: Begrüßungsmeldung Nach der erfolgreichen Einwahl per VPN erscheint ein Begrüßungsschirm. Sie erhalten hier eine kurze Information über Ihre Nutzungsmöglichkeiten. Ebenso werden hier Informationen hinterlegt über geplante Wartungsfenster des VPN oder ob Updates der Clientsoftware verfügbar sind. Abbildung 7: Begrüßung Schritt 7: Verbindungssymbol Nachdem Sie erfolgreich eingewählt sind, werden Sie sehen daß sich nun ein gelbes Schloß in der Systray-Leiste (unten rechts) befindet. Bei geschlossenem Zustand sind Sie eingewählt, bei geöffnetem Schloß besteht kein VPN-Tunnel. Über Rechtsklick erhalten Sie ein Kontextmenü über das Sie diverse Informationen (Begrüßungsmeldung, Statistiken) abrufen können und auch den Tunnel beenden können (Disconnect). Abbildung 8: Verbindungssymbol Gratulation! Mit der Durchführung der Schritte 1-7 haben Sie nun einen einen VPNTunnel erzeugt und können auf die freigegebenen, internen Ressourcen der Hochschule Biberach zugreifen. 6 VPN Anleitungen Rechenzentrum Verfügbare Ressourcen im VPN Microsoft Exchange (eMail) Die Nutzung des VPN zum Zugriff auf das Exchange Mailsystem bringt keine weiteren Vorteile, wie die direkte Nutzung über das Internet. Ein Zugriff auf den Mailserver ist auch ohne bestehenden VPN-Tunnel möglich! Neben dem direkten Zugriff über Outlook Webaccess 4 (https://mserv01.fh-biberach. de), können Sie auch über beliebige eMail-Clients Ihre eMails abfragen5 . Folgende Daten werden zur Konfiguration benötigt: Ausgehender Mailserver Eingehender Mailserver SMTP-Port SMTP-Port verschlüsselt POP3-Port POP3-Port verschlüsselt IMAP-Port IMAP-Port verschlüsselt mserv01.fh-biberach.de mserv01.fh-biberach.de 25 145 (empfohlen) 110 995 143 993 (empfohlen) Lotus Domino Notes (eMail) Neu: Lotus Notes kann seit 2012 auch ohne VPN-Tunnel in vollem Funktionsumfang über den Lotus Client genutzt werden! Aber natürlich können Sie auch weiterhin Lotus über VPN nutzen. Folgende Daten werden zur Konfiguration benötigt: Ausgehender Mailserver Eingehender Mailserver SMTP-Port SMTP-Port verschlüsselt POP3-Port POP3-Port verschlüsselt IMAP-Port IMAP-Port verschlüsselt 4 Um mserv01.fh-biberach.de notes.fh-biberach.de 25 145 (empfohlen) 110 995 143 993 (empfohlen) die volle Funktionalität zu erlangen, verwenden Sie bitte den Internet Explorer Informationen zum Thema eMail finden sich unter http://www.hochschule-bc.de/web/ rechenzentrum/mail 5 Mehr 7 VPN Anleitungen Rechenzentrum Daten zur Nutzung des Lotus Notes-Clients Servername notes/notes Verbindungstyp Netzwerk TCP Serveradresse 193.196.2.11 Zugriff auf diverse Netzwerkresourcen Folgende Resourcen lassen sich u.a. per VPN nutzen. Eingabe in Explorer-Leiste bzw. dem Browser. Bei der Frage nach den Zugangsdaten geben Sie bitte Ihre RZ-Logindaten an. Für Freigaben in der RZ1-Domäne in der Form: RZ1\Loginname Resource Studiengangsordner Semesterarbeiten temp-daten (K-Server) ILIAS-eLearning-Server Typ SMB/CIFS SMB/CIFS SMB/CIFS HTTPS Netzwerkpfad \\fserv02\HBCDaten \\ntserv04\Semsesterarbeiten \\ntserv05\temp-daten https://elearns02.fh-biberach.de Terminalserver Mit Hilfe des Remote Desktops haben Sie die Möglichkeit auf den Terminalserver zu verbinden und über diesen Druckaufträge im RZ abzuschicken. Sie finden den Remote Desktop unter: Start > Programme > Zubehör > Remotedesktopverbindung. Als Server tragen Sie ein: rz-ts01.fh-biberach.de ILIAS-Terminalserver Ebenfalls über Remote-Desktop können Sie zum ILIAS-Terminalserver verbinden und Skripte bestimmter Professoren drucken oder online betrachten. Ein Download/Speichern dieser Skripte ist jedoch nicht möglich. Als Server tragen Sie ein: ilias-ts.fh-biberach.de ILIAS-eLearning-Server Eine Anleitung zur Einbindung von ILIAS als WebDAV-Ordner findet sich unter https:// elearns02.fh-biberach.de/ilias3/webdav.php/HSBC/ILIAS?mount-instructions 8 VPN Anleitungen Rechenzentrum Frequently Asked Questions (FAQ) Ich nutze bereits anderweitig einen Cisco VPN-Client. Muß ich denn den der Hochschule trotzdem installieren? Nein! – Wenn Sie bereits einen aktuellen Cisco Client haben (mind. Version 4.8.01.300), dann können Sie im RZ das VPN-Profil anfordern und über Connection Entries|Import importieren. Nun können Sie dieses auswählen und sich in die Hochschule einwählen. Ich kenne den Cisco VPN-Client und der von der Hochschule sieht anders aus. Wieso? Bei Nutzung des vorkonfigurierten Installationspakets für Windows wird eine angepaßte Version des Cisco VPN-Clients auf das System aufgespielt. Um mögliche Anwenderfehler möglichst gering zu halten, wird der Client standardmäßig im Simple-Mode gestarted und die Nutzung bestimmter Optionen deaktiviert. Auf diese Weise wird ein Herumspielen und die Möglichkeit der Fehlbedienung minimiert. Ich kann meine Instant Messenger, Filesharingtools, Software-Phones, Skype, etc. nicht nutzen. Wieso? Wie auf Seite 2 schon angesprochen, wird einerseits aus Sicherheits- andererseits aus Bandbreitengründen die Nutzung von Ressourcen geblockt, die auch ohne VPN-Tunnel zu erreichen sind. Zudem sind diese Ressourcen ohne VPN-Tunnel schneller zu erreichen, da die Verschlüsselung wegfällt. Wieso kann ich nicht Einwählen? Es kommt eine Meldung in der Art ”Doppelte Einwahl” Das RZ unterbindet die gleichzeitig VPN-Nutzung über den selben Account von verschiedenen Rechnern, da angenommen wird das eine physikalische Person auch nur gleichzeitig an einem physikalischen Gerät arbeiten kann. Soll also von einem anderen PC über VPN eingewählt werden, so muß zunächst die alte bestehende VPN-Verbindung terminiert werden bevor am neuen PC ein VPN-Tunnel aufgebaut werden kann. Sollte Sie keine VPN-Verbindung bewußt aufgebaut haben und erhalten denoch diese Meldung, besteht die Gefahr das Ihr Paßwort kompromittiert wurde und von jemand anderem mißbräuchlich verwendet wird. In diesem Fall informieren Sie das Rechenzentrum und ändern Sie umgehend das Paßwort Ihres Accounts! 9 VPN Anleitungen Rechenzentrum Wieso wird meine Verbindung nach 30 bzw. 60 Minuten getrennt? Jede VPN-Verbindung belegt Ressourcen auf dem VPN-Endgerät an der Hochschule. Wenn Sie 30min (Studenten) bzw. 60min (Professoren) nichts tun, wird angenommen das Sie inaktiv sind und die VPN-Verbindung nicht mehr nutzen. Aus diesem Grund wird die Verbindung terminiert und die Ressourcen für andere VPN-Teilnehmer freigegeben. Wieso werde ich nach 5 Stunden getrennt? Da die Möglichkeit besteht das trotz Benutzerinaktivität noch Daten über den VPNTunnel fließen, wird spätestens nach 5 Stunden zwangsgetrennt. Hierdurch sollen einfach vergessene VPN-Verbindungen getrennt werden, um Ressourcen freizugeben. Sollten Sie bewußt 5 Stunden lang über den VPN-Tunnel gearbeitet haben und möchten Ihre Arbeit fortsetzen, so können Sie ohne Wartezeit umgehend wieder einwählen und Ihr Arbeit fortsetzen. 10 VPN Anleitungen Rechenzentrum Inhaltsverzeichnis Allgemeines Was ist VPN und wozu dient es? . . . . . . . . . . . . . . . . . . . . . . . . . . Welche Plattformen werden unterstützt? . . . . . . . . . . . . . . . . . . . . . . Windows Vista und Windows 7 (64-bit) . . . . . . . . . . . . . . . . . . . 1 1 2 2 Sicherheitscheck und Absichern des eigenen Rechners 3 Installation des Cisco VPN-Clients für Windows Schritt 1: Start des Installationsprogramms . . . Schritt 2: Neustarten des Systems . . . . . . . . Schritt 3: Starten des VPN-Clients . . . . . . . Schritt 4: Starten des VPN-Clients . . . . . . . Schritt 5: Benutzeranmeldung . . . . . . . . . . Schritt 6: Begrüßungsmeldung . . . . . . . . . . Schritt 7: Verbindungssymbol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4 4 5 5 5 6 6 Verfügbare Ressourcen im VPN Microsoft Exchange (eMail) . . . . . Lotus Domino Notes (eMail) . . . . . Zugriff auf diverse Netzwerkresourcen Terminalserver . . . . . . . . . ILIAS-Terminalserver . . . . . . ILIAS-eLearning-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7 7 8 8 8 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Frequently Asked Questions (FAQ) 9 Ich nutze bereits anderweitig einen Cisco VPN-Client. Muß ich denn den der Hochschule trotzdem installieren? . . . . . . . . . . . . . . . . . . . . . . . 9 Ich kenne den Cisco VPN-Client und der von der Hochschule sieht anders aus. Wieso? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Ich kann meine Instant Messenger, Filesharingtools, Software-Phones, Skype, etc. nicht nutzen. Wieso? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Wieso kann ich nicht Einwählen? Es kommt eine Meldung in der Art ”Doppelte Einwahl” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Wieso wird meine Verbindung nach 30 bzw. 60 Minuten getrennt? . . . . . . . . 10 Wieso werde ich nach 5 Stunden getrennt? . . . . . . . . . . . . . . . . . . . . . 10 Inhaltsverzeichnis 11 11