VPN (Virtual Private Network) an der BOKU - BOKU
Transcrição
VPN (Virtual Private Network) an der BOKU - BOKU
Zentraler Informatikdienst (ZID/BOKU-IT) VPN (Virtual Private Network) an der BOKU Diese Dokumentation beschreibt Einsatzmöglichkeiten von VPN an BOKU sowie Anleitungen zur Installation von VPN-Clients. Zielgruppe der Dokumentation: BOKU-Mitarbeiter/innen, BOKU-Studierende Anfragen bitte an: ZID Hotline [email protected] Inhalt 1 2 Was ist VPN und wofür ist es sinnvoll? .................................................................................... 2 1.1 Voraussetzungen für die Nutzung von VPN ...................................................................... 3 1.2 Was bietet VPN – was ist zu beachten!............................................................................. 3 1.3 Hinweis zur Verwendung bzw. zum Einsatz von VPN: ...................................................... 3 1.4 Thema: Sicherheit! ............................................................................................................ 4 1.5 Wer kann VPN nutzen? .................................................................................................... 4 1.6 VPN was nun? .................................................................................................................. 4 VPN-Clients ............................................................................................................................. 5 2.1 AnyConnect-Client ............................................................................................................ 5 2.2 IPsec-Client ...................................................................................................................... 8 2.3 AnyConnect für mobile Geräte .......................................................................................... 9 Zentraler Informatikdienst (ZID/BOKU-IT) 1 Was ist VPN und wofür ist es sinnvoll? Mittels VPN kann ein PC, der sich außerhalb des BOKU-Netzes befindet, temporär in das BOKUNetz hinein (also hinter die Firewall) geholt werden. Technisch gesprochen bekommt der Client-PC während der VPN-Session eine IP-Adresse aus dem BOKU-Netz zugewiesen, und ist damit Teil des BOKU-Netzes und nicht mehr Teil des Netzes, in dem er sich vorher befunden hat. Diese Möglichkeit ist sinnvoll z.B. für Zugriff auf Messgeräte, Administration instituts-interner Server, und Zugang zu anderen Services, die normalerweise außerhalb der BOKU-Firewall nicht verfügbar sind. Wichtig: Dieses Service ist eher für erfahrenere Benutzer/innen gedacht, und setzt voraus, dass Sie sich im Klaren darüber sind, mit welchen Clients Sie auf welche Services zugreifen möchten. Falls auf einem PC beispielsweise kein Novell-Client installiert ist, ändert natürlich auch eine VPNVerbindung nichts daran, dass die Novell-Laufwerke nicht im Windows-Explorer aufscheinen. Beispiel: Der mit dem roten Pfeil bezeichnete PC befindet sich in einem anderen Netz: Abbildung 1 Mittels VPN-Verbindung wird der PC virtuell in das BOKU-Netz geholt: Abbildung 2 VPN (Virtual Private Network) an der BOKU 2 (10) Zentraler Informatikdienst (ZID/BOKU-IT) Voraussetzungen für die Nutzung von VPN 1.1 ein gültiger BOKU-Account (BOKU-Mitarbeiter/innen oder BOKU-Studierende) installierter VPN-Client, siehe Abschnitt 0 Seite 5 dieser Dokumentation BOKU-Mitarbeiter/innen brauchen dafür außerdem eine Berechtigung von ihren zuständigen EDV-Verantwortlichen, weil Sie Zugriff damit auf den Netzbereich ihrer Organisationseinheit erhalten. Was bietet VPN – was ist zu beachten! 1.2 Es wird mit VPN (Virtual Private Network) für die Benutzer die Möglichkeit geschaffen, über ein unsicheres Netzwerk (Internet, WLAN …) durch die Firewall ins interne BOKUnet zu gelang BOKU-Mitarbeiter und BOKU-Studierende haben Zugang zu den allgemeinen, internen (FileService, PrintService, …) und externen Bereichen (WebService, …). BOKU-Mitarbeiter haben darüber hinaus auch auf das Netzsegment ihres eigenen Departments (bzw. mehrere, siehe Abbildung unten). Der Zugang ins Internet über die VPN-Verbindung ist ebenfalls möglich. Die (temporäre) Anbindung eines Rechners via VPN ist netzwerktechnisch eine Einbindung des Rechners ins BOKUnet (Topologieänderung) und das muss aus Gründen der Netzwerksicherheit berücksichtigt werden. Daher ist während einer bestehenden VPN-Verbindung zur BOKU keine Verbindung zum lokalen Netz, in dem sich der Rechner befindet, möglich – „split tunnel“ ist nicht erlaubt. Somit ist der Zugriff auf lokale Ressourcen (Netzwerkdrucker, Server, …) während einer bestehenden VPNVerbindung zur BOKU nicht möglich. 1.3 Hinweis zur Verwendung bzw. zum Einsatz von VPN: Bei VPN geht es in erster Linie um den Zugang ins interne Netz (BOKUnet) und damit ums Nutzen von Services, die bewusst „hinter“ den Firewalls angesiedelt sind. Über die VPN-Verbindung ist auch der Zugriff ins Internet möglich und gedacht für Situationen, in denen sowohl interne als auch externe Quellen benötigt werden. Es ist jedoch wenig sinnvoll Verbindungen, die ausschließlich in Richtung Internet gehen, über den VPN-Zugang abzuwickeln. In diesem Fall wird der Datenverkehr unnötigerweise über den VPN-Tunnel - damit über die BOKU – geführt, muss dabei ver- bzw. entschlüsselt werden, um dann ins Internet zu gelangen. VPN (Virtual Private Network) an der BOKU 3 (10) Zentraler Informatikdienst (ZID/BOKU-IT) Thema: Sicherheit! 1.4 Da mit einer VPN-Client-Verbindung eine temporäre. Einbindung des Client-Rechners ins BOKUnet erfolgt und damit der Rechner Teil des BOKUnet ist, darf auf die Security nicht vergessen werden. Aktuell gehaltenen Virenscanner, sowie ein aktuell gepatchtes Betriebssystem müssen vorhanden sein! Die Regeln und wichtige Hinweise dazu finden Sie hier: 1.5 Sicherheit und Virenschutz Wer kann VPN nutzen? 1.5.1 Studierende Für BOKU-Studierende ist VPN automatisch aktiviert. 1.5.2 Mitarbeiter/innen BOKU-Mitarbeiterinnen und Mitarbeitern können VPN nach Freigabe der Rechte im AccountManager durch die/den EDV-Verantwortlichen der entsprechenden Organisationseinheit nutzten. Abhängig von der Departmentzugehörigkeit werden die Berechtigungen für den Zugriff auf die Netzwerkbereiche gesetzt. Für Spezialfälle, in denen die standardmäßig vergebenen Rechte zu umfangreich sind (z.B. Wartungstechniker, die nur einen Dienst auf einer ganz bestimmten Adresse erreichen können sollen) nimmt der ZID die gewünschte Anpassung vor (E-mail an hotline(at)BOKU.ac.at). 1.6 VPN was nun? Der VPN-Zugang stellt „nur“ die temporäre Einbindung des Client-Rechners ins BOKUnet auf netzwerktechnischer Ebener her! Daher sind für die Nutzung von Diensten (Novell-File-Service, Remotedesktop, VNC, ssh, …) über die VPN-Verbindung die dafür notwendigen Client-Programme lokal auf dem Rechner zu installieren VPN (Virtual Private Network) an der BOKU 4 (10) Zentraler Informatikdienst (ZID/BOKU-IT) 2 VPN-Clients Für die VPN-Verbindung muss zunächst ein AnyConnect-Client (empfohlen) oder ein IPSec-Client installiert werden. Dafür sind administrative Rechte am Client-PC erforderlich. (Links nur nach Login auf dieser Webseite aktiv.) AnyConnect-Client IPSec-Client < == vom ZID empfohlen! BOKU-Mitarbeiter/innen müssen sich vor der Client-Installation mit der/dem EDV-Verantwortlichen Ihrer Organisationseinheit in Verbindung setzen! Informationen für EDV-Verantwortliche AnyConnect-Client 2.1 Abbildung 3 2.1.1 AnyConnect-Client-Installation 2.1.1.1 Installation direkt via Verbindung zum VPN-Server: HINWEIS: AnyConnect für 64-bit Linux Plattformen wird vom Hersteller nicht offiziell unterstützt. Für die erfolgreiche Installation des AnyConnect Clients müssen folgende Voraussetzungen erfüllt sein: o Administrator-Rechte (nur für die Installation !!!) o http/https Verbindung zu bokuvpn.boku.ac.at muss möglich sein o Java & ActiveX erlaubt o Pop-up erlaubt Verbinden Sie sich mit einem Web-Browser (Firefox, IE) zu http://bokuvpn.boku.ac.at Tragen sie in die "Login- Aufforderung" Ihren Novell-Benutzername und Password ein Der VPN-Server führt die Installation des AnyConnect Clients durch Nach erfolgreicher Installation wird autom. eine VPN-Verbindung aufgebaut. Beim Aufbau zukünftiger AnyConnect-Verbindungen gehen sie wie unter "Verwendung des AnyConnect-Clients" vor. VPN (Virtual Private Network) an der BOKU 5 (10) Zentraler Informatikdienst (ZID/BOKU-IT) 2.1.1.2 Installation von einem vorher heruntergeladenen Installations-Image: Wichtige Information zu den Systemvoraussetzungen bzw. unterstützten Betriebsystemen (Auszug aus den Release Notes). Für die erfolgreiche Installation des AnyConnect Clients müssen folgende Voraussetzungen erfüllt sein: o Administrator-Rechte (nur für die Installation !!!) Laden Sie bitte den AnyConnect Client für Ihr Betriebssystem herunter: o AnyConnect Download (nur für BOKU-Angehörige nach Login) Starten Sie die Installation durch Doppelklick auf das heruntergeladene Installationsprogramm Klicken Sie auf 'Next >', 'I accept ...', 'Next >', 'Install'. 2.1.2 Verwendung des AnyConnect-Clients Starten Sie den AnyConnect-Client mittels 'Start' > 'Alle Programme' > 'Cisco' > 'AnyConnect VPN Client' > 'AnyConnect VPN Client'. Beim ersten Start des Client tragen Sie im Feld 'Connect to' bitte 'bokuvpn.boku.ac.at' ein: Abbildung 4 VPN (Virtual Private Network) an der BOKU 6 (10) Zentraler Informatikdienst (ZID/BOKU-IT) Durch Klick auf 'Connect' wird die VPN-Verbindung hergestellt, und Sie sehen rechts unten am Bildschirm das Icon: Mit dem Icon rechts in der Task-Leiste können Sie kontrollieren, ob eine VPN-Verbindung besteht, und die Verbindung auch wieder trennen: Abbildung 5 VPN (Virtual Private Network) an der BOKU 7 (10) Zentraler Informatikdienst (ZID/BOKU-IT) IPsec-Client 2.2 2.2.1 VPN-Client-Installation mit IPsec Hinweis: der ZID empfiehlt die Verwendung des AnyConnect-Clients. Der IPSec-Client steht nur als Alternative zur Verfügung. Bei Verwendung des IPSec-Clients z.B. auf Tagungen etc. sind Sie davon abhängig, ob die dortige Firewall dieses Protokoll zulässt, während AnyConnect überall funktionieren sollte, wo man Webseiten aufrufen kann. Weiters können nicht mehrere IPSec-Versionen nebeneinander installiert sein, falls Sie also bereits einen VPN-Client für SAP installiert haben, sollten Sie diesen Client hier nicht zusätzlich installieren (Sie können aber das Profile mit dem bestehende Client verwenden). Laden Sie bitte den IPSec Client für Ihr Betriebssystem sowie die Konfiguationsdatei herunter: o Cisco VPN Client (IPsec) Download (nur für BOKU-Angehörige nach Login) Starten Sie die Installation durch Doppelklick auf das heruntergeladene Installationsprogramm. 'Next', 'I accept ...', 'Next', 'Next', 'Finish' Importieren Sie die heruntergeladene Konfigurationsdatei: Abbildung 6 VPN (Virtual Private Network) an der BOKU 8 (10) Zentraler Informatikdienst (ZID/BOKU-IT) 2.2.2 Verwendung des VPN-Client Starten Sie den VPN-Client mittels 'Start' > 'Alle Programme' > 'Cisco Systems VPN-Client' > 'VPN-Client'. Wählen Sie das vorkonfigurierte Profil, und klicken Sie auf 'Connect', um die VPNVerbindung herzustellen: Abbildung 7 Mit dem Symbol rechts in der Task-Leiste können Sie kontrollieren, ob eine VPNVerbindung besteht: Abbildung 8 2.3 AnyConnect für mobile Geräte AnyConnect für mobile Geräte wird NICHT unterstützt! Unter "mobilen Geräten" bzw. "Mobile Plattforms" sind Smartphones, Tablets, usw. zu verstehen. VPN (Virtual Private Network) an der BOKU 9 (10) Zentraler Informatikdienst (ZID/BOKU-IT) Historie Letzte Änderung: 24. März 2014 Die aktuelle Version dieser Dokumentation finden Sie auf den Serviceseiten des ZID unter: http://www.boku.ac.at/zid/themen/get-connected/bokunet-wlan-pcraeume/vpn/ Dokument VPN (Virtual Private Network) an der BOKU VPN_DE_V.1.0.1_2014-03-24.docx Quelldokument BOKU --- Aktualisierungsdatum / Autor/in Version Änderungen 2014-01-28 (KG/ZID) 1.0.0 Dokumentation mit Inhalten der bisherigen Seiten erstellt 2014-03-24 (RW/ZID) 1.0.1 Korrekturen Links VPN (Virtual Private Network) an der BOKU 10 (10)