VPN (Virtual Private Network) an der BOKU - BOKU

Zentraler Informatikdienst (ZID/BOKU-IT)
VPN (Virtual Private Network) an der BOKU
Diese Dokumentation beschreibt Einsatzmöglichkeiten von VPN an BOKU sowie
Anleitungen zur Installation von VPN-Clients.
Zielgruppe der
Dokumentation:
BOKU-Mitarbeiter/innen, BOKU-Studierende
Anfragen bitte an:
ZID Hotline [email protected]
Inhalt
1
2
Was ist VPN und wofür ist es sinnvoll? .................................................................................... 2
1.1
Voraussetzungen für die Nutzung von VPN ...................................................................... 3
1.2
Was bietet VPN – was ist zu beachten!............................................................................. 3
1.3
Hinweis zur Verwendung bzw. zum Einsatz von VPN: ...................................................... 3
1.4
Thema: Sicherheit! ............................................................................................................ 4
1.5
Wer kann VPN nutzen? .................................................................................................... 4
1.6
VPN was nun? .................................................................................................................. 4
VPN-Clients ............................................................................................................................. 5
2.1
AnyConnect-Client ............................................................................................................ 5
2.2
IPsec-Client ...................................................................................................................... 8
2.3
AnyConnect für mobile Geräte .......................................................................................... 9
Zentraler Informatikdienst (ZID/BOKU-IT)
1 Was ist VPN und wofür ist es sinnvoll?
Mittels VPN kann ein PC, der sich außerhalb des BOKU-Netzes befindet, temporär in das BOKUNetz hinein (also hinter die Firewall) geholt werden. Technisch gesprochen bekommt der Client-PC
während der VPN-Session eine IP-Adresse aus dem BOKU-Netz zugewiesen, und ist damit Teil
des BOKU-Netzes und nicht mehr Teil des Netzes, in dem er sich vorher befunden hat. Diese
Möglichkeit ist sinnvoll z.B. für Zugriff auf Messgeräte, Administration instituts-interner Server, und
Zugang zu anderen Services, die normalerweise außerhalb der BOKU-Firewall nicht verfügbar
sind.
Wichtig: Dieses Service ist eher für erfahrenere Benutzer/innen gedacht, und setzt voraus, dass
Sie sich im Klaren darüber sind, mit welchen Clients Sie auf welche Services zugreifen möchten.
Falls auf einem PC beispielsweise kein Novell-Client installiert ist, ändert natürlich auch eine VPNVerbindung nichts daran, dass die Novell-Laufwerke nicht im Windows-Explorer aufscheinen.
Beispiel: Der mit dem roten Pfeil bezeichnete PC befindet sich in einem anderen Netz:
Abbildung 1
Mittels VPN-Verbindung wird der PC virtuell in das BOKU-Netz geholt:
Abbildung 2
VPN (Virtual Private Network) an der BOKU
2 (10)
Zentraler Informatikdienst (ZID/BOKU-IT)
Voraussetzungen für die Nutzung von VPN
1.1



ein gültiger BOKU-Account (BOKU-Mitarbeiter/innen oder BOKU-Studierende)
installierter VPN-Client, siehe Abschnitt 0 Seite 5 dieser Dokumentation
BOKU-Mitarbeiter/innen brauchen dafür außerdem eine Berechtigung von ihren
zuständigen EDV-Verantwortlichen, weil Sie Zugriff damit auf den Netzbereich ihrer
Organisationseinheit erhalten.
Was bietet VPN – was ist zu beachten!
1.2
Es wird mit VPN (Virtual Private Network) für die Benutzer die Möglichkeit geschaffen, über ein
unsicheres Netzwerk (Internet, WLAN …) durch die Firewall ins interne BOKUnet zu gelang


BOKU-Mitarbeiter und BOKU-Studierende haben Zugang zu den allgemeinen, internen
(FileService, PrintService, …) und externen Bereichen (WebService, …).
BOKU-Mitarbeiter haben darüber hinaus auch auf das Netzsegment ihres eigenen
Departments (bzw. mehrere, siehe Abbildung unten).
Der Zugang ins Internet über die VPN-Verbindung ist ebenfalls möglich. Die (temporäre)
Anbindung eines Rechners via VPN ist netzwerktechnisch eine Einbindung des Rechners ins
BOKUnet (Topologieänderung) und das muss aus Gründen der Netzwerksicherheit berücksichtigt
werden. Daher ist während einer bestehenden VPN-Verbindung zur BOKU keine Verbindung zum
lokalen Netz, in dem sich der Rechner befindet, möglich – „split tunnel“ ist nicht erlaubt. Somit ist
der Zugriff auf lokale Ressourcen (Netzwerkdrucker, Server, …) während einer bestehenden VPNVerbindung zur BOKU nicht möglich.
1.3
Hinweis zur Verwendung bzw. zum Einsatz von VPN:
Bei VPN geht es in erster Linie um den Zugang ins interne Netz (BOKUnet) und damit ums Nutzen
von Services, die bewusst „hinter“ den Firewalls angesiedelt sind. Über die VPN-Verbindung ist
auch der Zugriff ins Internet möglich und gedacht für Situationen, in denen sowohl interne als auch
externe Quellen benötigt werden. Es ist jedoch wenig sinnvoll Verbindungen, die ausschließlich in
Richtung Internet gehen, über den VPN-Zugang abzuwickeln. In diesem Fall wird der
Datenverkehr unnötigerweise über den VPN-Tunnel - damit über die BOKU – geführt, muss dabei
ver- bzw. entschlüsselt werden, um dann ins Internet zu gelangen.
VPN (Virtual Private Network) an der BOKU
3 (10)
Zentraler Informatikdienst (ZID/BOKU-IT)
Thema: Sicherheit!
1.4
Da mit einer VPN-Client-Verbindung eine temporäre. Einbindung des Client-Rechners ins
BOKUnet erfolgt und damit der Rechner Teil des BOKUnet ist, darf auf die Security nicht
vergessen werden. Aktuell gehaltenen Virenscanner, sowie ein aktuell gepatchtes
Betriebssystem müssen vorhanden sein!
Die Regeln und wichtige Hinweise dazu finden Sie hier:

1.5
Sicherheit und Virenschutz
Wer kann VPN nutzen?
1.5.1 Studierende
Für BOKU-Studierende ist VPN automatisch aktiviert.
1.5.2 Mitarbeiter/innen
BOKU-Mitarbeiterinnen und Mitarbeitern können VPN nach Freigabe der Rechte im AccountManager durch die/den EDV-Verantwortlichen der entsprechenden Organisationseinheit nutzten.
Abhängig von der Departmentzugehörigkeit werden die Berechtigungen für den Zugriff auf die
Netzwerkbereiche gesetzt. Für Spezialfälle, in denen die standardmäßig vergebenen Rechte zu
umfangreich sind (z.B. Wartungstechniker, die nur einen Dienst auf einer ganz bestimmten
Adresse erreichen können sollen) nimmt der ZID die gewünschte Anpassung vor (E-mail an
hotline(at)BOKU.ac.at).
1.6
VPN was nun?
Der VPN-Zugang stellt „nur“ die temporäre Einbindung des Client-Rechners ins BOKUnet auf
netzwerktechnischer Ebener her!
Daher sind für die Nutzung von Diensten (Novell-File-Service, Remotedesktop, VNC, ssh, …) über
die VPN-Verbindung die dafür notwendigen Client-Programme lokal auf dem Rechner zu
installieren
VPN (Virtual Private Network) an der BOKU
4 (10)
Zentraler Informatikdienst (ZID/BOKU-IT)
2 VPN-Clients
Für die VPN-Verbindung muss zunächst ein AnyConnect-Client (empfohlen) oder ein IPSec-Client
installiert werden. Dafür sind administrative Rechte am Client-PC erforderlich.
(Links nur nach Login auf dieser Webseite aktiv.)


AnyConnect-Client
IPSec-Client
< == vom ZID empfohlen!
BOKU-Mitarbeiter/innen müssen sich vor der Client-Installation mit der/dem EDV-Verantwortlichen
Ihrer Organisationseinheit in Verbindung setzen!

Informationen für EDV-Verantwortliche
AnyConnect-Client
2.1
Abbildung 3
2.1.1 AnyConnect-Client-Installation
2.1.1.1 Installation direkt via Verbindung zum VPN-Server:







HINWEIS: AnyConnect für 64-bit Linux Plattformen wird vom Hersteller nicht offiziell
unterstützt.
Für die erfolgreiche Installation des AnyConnect Clients müssen folgende
Voraussetzungen erfüllt sein:
o Administrator-Rechte (nur für die Installation !!!)
o http/https Verbindung zu bokuvpn.boku.ac.at muss möglich sein
o Java & ActiveX erlaubt
o Pop-up erlaubt
Verbinden Sie sich mit einem Web-Browser (Firefox, IE) zu http://bokuvpn.boku.ac.at
Tragen sie in die "Login- Aufforderung" Ihren Novell-Benutzername und Password ein
Der VPN-Server führt die Installation des AnyConnect Clients durch
Nach erfolgreicher Installation wird autom. eine VPN-Verbindung aufgebaut.
Beim Aufbau zukünftiger AnyConnect-Verbindungen gehen sie wie unter "Verwendung des
AnyConnect-Clients" vor.
VPN (Virtual Private Network) an der BOKU
5 (10)
Zentraler Informatikdienst (ZID/BOKU-IT)
2.1.1.2 Installation von einem vorher heruntergeladenen Installations-Image:

Wichtige Information zu den Systemvoraussetzungen bzw. unterstützten Betriebsystemen
(Auszug aus den Release Notes).

Für die erfolgreiche Installation des AnyConnect Clients müssen folgende
Voraussetzungen erfüllt sein:
o Administrator-Rechte (nur für die Installation !!!)

Laden Sie bitte den AnyConnect Client für Ihr Betriebssystem herunter:
o AnyConnect Download (nur für BOKU-Angehörige nach Login)

Starten Sie die Installation durch Doppelklick auf das heruntergeladene
Installationsprogramm

Klicken Sie auf 'Next >', 'I accept ...', 'Next >', 'Install'.
2.1.2 Verwendung des AnyConnect-Clients


Starten Sie den AnyConnect-Client mittels 'Start' > 'Alle Programme' > 'Cisco' >
'AnyConnect VPN Client' > 'AnyConnect VPN Client'.
Beim ersten Start des Client tragen Sie im Feld 'Connect to' bitte 'bokuvpn.boku.ac.at' ein:
Abbildung 4
VPN (Virtual Private Network) an der BOKU
6 (10)
Zentraler Informatikdienst (ZID/BOKU-IT)

Durch Klick auf 'Connect' wird die VPN-Verbindung hergestellt, und Sie sehen rechts unten
am Bildschirm das Icon:

Mit dem Icon rechts in der Task-Leiste können Sie kontrollieren, ob eine VPN-Verbindung
besteht, und die Verbindung auch wieder trennen:
Abbildung 5
VPN (Virtual Private Network) an der BOKU
7 (10)
Zentraler Informatikdienst (ZID/BOKU-IT)
IPsec-Client
2.2
2.2.1 VPN-Client-Installation mit IPsec

Hinweis: der ZID empfiehlt die Verwendung des AnyConnect-Clients.
Der IPSec-Client steht nur als Alternative zur Verfügung.
Bei Verwendung des IPSec-Clients z.B. auf Tagungen etc. sind Sie davon abhängig, ob die
dortige Firewall dieses Protokoll zulässt, während AnyConnect überall funktionieren sollte,
wo man Webseiten aufrufen kann. Weiters können nicht mehrere IPSec-Versionen
nebeneinander installiert sein, falls Sie also bereits einen VPN-Client für SAP installiert
haben, sollten Sie diesen Client hier nicht zusätzlich installieren (Sie können aber das
Profile mit dem bestehende Client verwenden).

Laden Sie bitte den IPSec Client für Ihr Betriebssystem sowie die Konfiguationsdatei
herunter:
o Cisco VPN Client (IPsec) Download (nur für BOKU-Angehörige nach Login)

Starten Sie die Installation durch Doppelklick auf das heruntergeladene
Installationsprogramm.
'Next', 'I accept ...', 'Next', 'Next', 'Finish'

Importieren Sie die heruntergeladene Konfigurationsdatei:
Abbildung 6
VPN (Virtual Private Network) an der BOKU
8 (10)
Zentraler Informatikdienst (ZID/BOKU-IT)
2.2.2 Verwendung des VPN-Client


Starten Sie den VPN-Client mittels 'Start' > 'Alle Programme' > 'Cisco Systems VPN-Client'
> 'VPN-Client'.
Wählen Sie das vorkonfigurierte Profil, und klicken Sie auf 'Connect', um die VPNVerbindung herzustellen:
Abbildung 7

Mit dem Symbol rechts in der Task-Leiste können Sie kontrollieren, ob eine VPNVerbindung besteht:
Abbildung 8
2.3
AnyConnect für mobile Geräte
AnyConnect für mobile Geräte wird NICHT unterstützt!
Unter "mobilen Geräten" bzw. "Mobile Plattforms" sind Smartphones, Tablets, usw. zu verstehen.
VPN (Virtual Private Network) an der BOKU
9 (10)
Zentraler Informatikdienst (ZID/BOKU-IT)
Historie
Letzte Änderung:
24. März 2014
Die aktuelle Version dieser Dokumentation finden Sie auf den Serviceseiten
des ZID unter:
http://www.boku.ac.at/zid/themen/get-connected/bokunet-wlan-pcraeume/vpn/
Dokument
VPN (Virtual Private
Network) an der BOKU
VPN_DE_V.1.0.1_2014-03-24.docx
Quelldokument
BOKU
---
Aktualisierungsdatum /
Autor/in
Version
Änderungen
2014-01-28 (KG/ZID)
1.0.0
Dokumentation mit Inhalten der bisherigen Seiten erstellt
2014-03-24 (RW/ZID)
1.0.1
Korrekturen Links
VPN (Virtual Private Network) an der BOKU
10 (10)