Table of Contents - FernUniversität in Hagen

Transcrição

Table of Contents
1 Anyconnect - Fehlermeldungen.......................................................................................................................................................................................1
1.1 Inhaltsverzeichnis.............................................................................................................................................................................................1
2 Anyconnect 4 - Installationshinweise und Systemvorraussetzungen..........................................................................................................................6
2.1 Weblaunch - automatisches Starten der Installation über den AnyConnect-Link.............................................................................................6
3 Anyconnect 4 - Manuelle Installation unter Linux..........................................................................................................................................................8
4 Anyconnect 4 - Manuelle Installation unter Mac OS X.................................................................................................................................................10
5 Anyconnect 4 - Manuelle Installation unter Windows..................................................................................................................................................12
6 Anyconnect 4 - Start Before Login für Domain-User....................................................................................................................................................19
7 Anyconnect 4 -Group-Eintrag.........................................................................................................................................................................................22
8 Anyconnect 4 -Zugriff auf lokale Endgeräte..................................................................................................................................................................23
9 Beck-Online......................................................................................................................................................................................................................26
10 Einfacher Zugriff auf Beck-Online................................................................................................................................................................................27
11 Bei Problemen................................................................................................................................................................................................................28
12 Gezieltes VPN-Routing für Beck-Online......................................................................................................................................................................29
12.1 bei VPN-Verbindung per NetworkManager (div. Linux-Distributionen).........................................................................................................29
13 Kontakt...........................................................................................................................................................................................................................30
14 Cisco IPSEC VPN Client - Gruppenpasswort..............................................................................................................................................................31
15 Cisco IPSEC VPN Client - Installation..........................................................................................................................................................................32
16 hier Ebsco.....................................................................................................................................................................................................................37
17 DFN-Roaming Probleme an einigen Standorten.........................................................................................................................................................38
18 DFNRoaming..................................................................................................................................................................................................................39
19 Eduroam - iOS 9 und OS X 10.11..................................................................................................................................................................................40
19.1 Konfigurationsprofil herunterladen................................................................................................................................................................40
19.2 Anleitung iOS 9.............................................................................................................................................................................................40
19.3 Anleitung OS X 10.11...................................................................................................................................................................................45
20 Fehlermeldungen und Warnungen des VPN-Clients..................................................................................................................................................52
21 FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 und 10.9..............................................................................................................................60
21.1 Speichern des Passworts.............................................................................................................................................................................62
21.2 Authentifizierungsprobleme..........................................................................................................................................................................63
22 Gruppenpasswort wiederherstellen.............................................................................................................................................................................64
23 ICS (Internet Connection Sharing) und VPN-Probleme unter Windows XP.............................................................................................................65
24 Installation des VPN-Clients unter iOS (iPhone, iPad, iPod touch)..........................................................................................................................66
25 Installation des VPN-Clients unter Kubuntu Linux 7.04 (feisty)................................................................................................................................67
26 Installation des VPN-Clients unter Mac OS 10.4 (Tiger).............................................................................................................................................69
27 Linux: VPN Client und Profildateien............................................................................................................................................................................71
27.1 Software.......................................................................................................................................................................................................71
27.2 vpnc..............................................................................................................................................................................................................71
27.3 openconnect.................................................................................................................................................................................................72
27.4 Fehlerbehebung...........................................................................................................................................................................................73
28 MacOS: Update des Cisco VPN-Clients.......................................................................................................................................................................74
29 Performance-Probleme beim Zugriff auf Server-Laufwerke via VPN........................................................................................................................75
30 Portsperrungen..............................................................................................................................................................................................................76
30.1 Port Sperrung im Internet.............................................................................................................................................................................76
31 Probleme beim Zugriff auf Imperia..............................................................................................................................................................................77
32 Probleme mit anyconnect.............................................................................................................................................................................................78
32.1 Inhaltsverzeichnis.........................................................................................................................................................................................78
33 Profile fehlen..................................................................................................................................................................................................................80
34 Profile importieren.........................................................................................................................................................................................................81
35 Profilgruppen und ihre Bedeutung..............................................................................................................................................................................82
i
Table of Contents
36 Roaming mit Fernuni-Account.....................................................................................................................................................................................83
37 Routerprobleme analysieren........................................................................................................................................................................................97
38 Routerprobleme mit VPN..............................................................................................................................................................................................98
39 UB-Datenbanken: hier WISO-NET und Absatzwirtschaft...........................................................................................................................................99
40 VPN Probleme bei Vista..............................................................................................................................................................................................100
41 Windows 7....................................................................................................................................................................................................................101
42 VPN unter Android.......................................................................................................................................................................................................102
43 VPN unter Ubuntu........................................................................................................................................................................................................104
43.1 Ubuntu 10.10..............................................................................................................................................................................................104
43.2 Ubuntu 12.04..............................................................................................................................................................................................104
43.3 Ubuntu 14.04..............................................................................................................................................................................................105
44 VPN-Client und G-Data Antivirus 2013......................................................................................................................................................................107
45 VPN-Client: Fehlermeldungen und Lösungen..........................................................................................................................................................108
45.1 Inhaltsverzeichnis.......................................................................................................................................................................................108
45.2 412: The remote peer is no longer responding...........................................................................................................................................108
45.3 414:Failed to establish a TCP connection..................................................................................................................................................108
45.4 442: Failed to enable virtual adapter..........................................................................................................................................................109
45.5 Alternative: anyconnect..............................................................................................................................................................................110
46 VPN-Clients mehrerer Anbieter..................................................................................................................................................................................111
47 VPN-Gateway nicht erreichbar...................................................................................................................................................................................112
48 VPN-Probleme - Cisco-Lösungen (FAQ) (englisch)..................................................................................................................................................113
49 Webseiten für Studierende.........................................................................................................................................................................................114
50 WebVPN........................................................................................................................................................................................................................115
51 Welche Fernuni-Anwendung läuft mit welcher Browser-Version?.........................................................................................................................117
52 Zugang zum WLAN......................................................................................................................................................................................................120
53 Zugriff auf Home-Verzeichnisse vom Heim-Arbeitsplatz-PC...................................................................................................................................121
54 Zugriff auf lokales Netz bei bestehender VPN-Verbindung.....................................................................................................................................122
55 Zugriff auf UB-Datenbanken: hier WISO-NET und Absatzwirtschaft......................................................................................................................123
ii
1 Anyconnect - Fehlermeldungen
1.1 Inhaltsverzeichnis
• 1 The VPN client agent was unable to create the interprocess communication depot
• 2 Any connect was not able to establish a connection to the specified secure gateway
• 3 Failed to install Anyconnect Secure Mobility Client
• 4 Untrusted VPN Server Blocked
• 5 Failed to initialize connection subsystem
• 6 Cisco FAQs
1.1.1 The VPN client agent was unable to create the interprocess communication depot
Das Deaktivieren des Dienstes für die Gemeinsame Nutzung der Internetverbindung ist vermutlich erforderlich.
In der Windows-Hilfe liest sich das so:
Wenn Sie die gemeinsame Nutzung der Internetverbindung aktiviert haben und stattdessen jetzt einen Router für die gemeinsame Nutzung einer
Internetverbindung durch zwei oder mehr Computer verwenden möchten, müssen Sie die gemeinsame Nutzung der Internetverbindung deaktivieren.
• Klicken Sie, um die Netzwerkverbindungen zu öffnen.
• Klicken Sie mit der rechten Maustaste auf die freigegebene Verbindung, und klicken Sie dann auf Eigenschaften. Wenn Sie aufgefordert
werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort bzw. die Bestätigung ein.
• Klicken Sie auf die Registerkarte Freigabe, deaktivieren Sie das Kontrollkästchen "Anderen Benutzern im Netzwerk gestatten, diese
Verbindung des Computers als Internetverbindung zu verwenden", und klicken Sie dann auf "OK".
Unter Windows Hilfe und Support finden Sie unter ICS (Internet Connection Sharing) ggf. weitere Hinweise zu Ihrem Betriebssystem.
Unabhängig von der Zuordnung zu einer Netzwerkverbindung kann der entsprechende Dienst evtl. trotzdem gestartet sein. Der Dienst muß manuell
gestoppt werden.
• Klicken Sie auf Start und tippen Sie services.msc ein. Öffnen Sie das Programm.
• Finden Sie den Dienst Gemeinsame Nutzung der Internetverbindung und beenden diesen.
• Öffnen Sie per Doppelklick den Dienst Gemeinsame Nutzung der Internetverbindung und ändern Sie den Starttyp von Automatisch auf
Manuell.
• Starten Sie die Installation neu.
Wenn das nichts hilft, gibt es noch eine Möglichkeit, es über die registry zu versuchen. Eine ausführliche Beschreibung gibt es z.B. hier:
http://www.myself.ch/vpn.
1.1.2 Any connect was not able to establish a connection to the specified secure gateway
Falls Sie die Kaspersky-Firewall verwenden muss für den Anyconnect-Client eine Ausnahmeregel hinzugefügt werden.
Bei HP-Geräten evtl. sämtliche HP Sicherheitseinrichtungen von automatisch auf manuell stellen und beenden, wie für die gemeinsame Nutzung der
Internetverbindung beschrieben.
1.1.3 Failed to install Anyconnect Secure Mobility Client
Beim Starten des AnyConnect-clients kann folgende Fehlermeldung auftreten:
1
Dann ist eine Neuinstallation erforderlich. Rufen Sie die Seite https://webvpn.fernuni-hagen.de auf und betätigen Sie den Link "Start AnyConnect".
Die oben gezeigte Fehlermeldung mit ok bestätigen und der Installation folgen.
Ist die web-basierte Installation fehlerhaft, bitte auf der Seite mit der entsprechenden Meldung ? wie beschrieben ? dem Link: "Windows7/Vista/64/XP"
folgen. Danach die Datei anyconnect-win-3.0.0629-web-deploy-k9.exe ausführen. Die Setup-Routine des AnyConnect Secure Mobile Client wird dann
durchlaufen(next, accept/next,install,finish). Zwischenzeitliche Sicherheitshinweise (Zertifikate/?Trusted Sites?) ignorieren. Danach können Sie den
Client starten:
1.1.4 Untrusted VPN Server Blocked
Die neue Version des clients führt einen zusätzlichen Sicherheitscheck durch, falls Sie entsprechende Warnungen bekommen, gehen Sie wie folgt vor.
2
Im Fenster "Untrusted VPN Server Blocked!" betätigen Sie die Schaltfläche Change Setting.
Sie erhalten dann die Seite "AnyConnect Secure Mobility Client",hier entfernen Sie das Häkchen bei "Block connections to untrusted servers".
3
Wenn Sie nun die Verbindung aufbauen, erhalten Sie in einem Fenster "Securty Warning: Untrusted VPN Server Certificate!", hier setzen Sie bitte ein
Häkchen bei "Always trust... " und betätigen die Schaltfläche "Connect Anyway".
Natürlich ist die Ignorierung der Untrusted-Meldung nicht die optimale Lösung, die Fehlermeldung wird dadurch hervor gerufen, dass Ihr System dem
Zertifikat von webvpn.fernuni-hagen.de nicht traut. Das hat mit der installierten Zertifikatskette Ihres Rechners zu tun. Ein nicht ganz triviales Thema, bei
dem unser helpdesk bei Bedarf behilflich ist. Ziel ist eine Zertifizierungskette, die die Fernuniversität als CA (Certification Authority) anerkennt. Wie ein
gültiger Pfad aussieht, sehen Sie in der angehängten Grafik (Zertifizierungskette). Nach dem Auruf des Internet Explorers können Sie diesen Pfad über
Extras/Internetoptionen/Inhalte/Zertifikate/Zertifizierungsstellen anschauen. Taucht hier die FernUni-CA (FernUniversitaet in Hagen Global CA) nicht auf,
so muß das entsprechende Zertifikat noch implementiert werden. Im wiki http://wiki.fernuni-hagen.de/helpdesk/index.php/DFN-Global_Zertifikat folgen
Sie bitte dem link unter 1. und installieren Sie das/die benötigte(n) Zertifikat(e). Die Anzeige der Zertifizierungskette erreichen Sie im Internet Explorer
unter Extras/Internetoptionen/<Inhalte>/<Zertifikate>/<Zwischenzertifizierungsstellen>, dann Doppelklick auf das FernUnizertifikat und anschließend
<Zertifizierungspfad>. Hier muss der Pfad wie in der Abbildung gezeigt erscheinen, das Zertifikat muss im Zertifizierungsstatus als gültig
gekennzeichnet sein. Bitte achten Sie darauf, dass beim Verbindungsaufbau webvpn.fernuni-hagen.de angegeben wird, da das Zertifikat genau diesem
Namen zugeordnet ist.
4
1.1.5 Failed to initialize connection subsystem
Die Fehlermeldung "Failed to initialize connection subsystem" erscheint nach einem MS-Betriebssystem-Update unter Win8.1 . Es gibt einen
workaround, der hier beschrieben ist, anyconnect bitte als Administrator ausführen:
http://christierney.com/2015/02/11/cisco-anyconnect-failed-to-initialize-connection-subsystem/
Es gibt noch eine Beschreibung von tech-support unter
https://www.404techsupport.com/2015/02/kb3023607-cisco-anyconnect-vpn/
und einen fix von microsoft unter
https://support.microsoft.com/kb/3023607/en-us
Diesen fix bitte bei Bedarf ausführen.
1.1.6 Cisco FAQs
http://www.cisco.com/en/US/products/ps8411/products_qanda_item09186a00809aec31.shtml
5
2 Anyconnect 4 - Installationshinweise und Systemvorraussetzungen
AnyConnect 4 ist für folgende Betriebssystem-Versionen geeignet:
• Windows 7/8 und 8.1 , Detaillierte Beschreibung: Anyconnect 4 - Manuelle Installation unter Windows
• Linux , Detaillierte Beschreibung: Anyconnect 4 - Manuelle Installation unter Linux
• Mac OS X , Detaillierte Beschreibung: Anyconnect 4 - Manuelle Installation unter Mac OS X
Einbinden des VPN-Gateways in die ?vertrauenswürdigen Seiten? (trusted sites) des Microsoft Internet Explorers (MSIE):
Für das Weblaunch - automatisches Starten der Installation über den AnyConnect-Link
1. Gehen Sie zu Extras > Internet Optionen ( Tools / Internet Options)
2. Klicken Sie auf die Schaltfläche Sicherheit (Security)
3. Wählen Sie in der Liste vertrauenswürdige Sites (trusted Sites)
4. Geben Sie im Folgefenster https://webvpn.fernuni-hagen.de an und betätigen Sie hinzufügen (Add).
5. Schließen
6. OK
2.1 Weblaunch - automatisches Starten der Installation über den AnyConnect-Link
• WebVPN starten: https://webvpn.fernuni-hagen.de
• Automatische Installation starten: Start AnyConnect
Java basierte Installation im firefox-Browser
Falls entsprechende Systemabfragen erfolgen:
1. Java erlauben <Diesmal erlauben>
2. Zertifikatsanfrage überspringen <Weiter>
3. Anwendung ausführen <Ausführen>
4. Untrusted Server Certificate! <Connect Anyway>
5. Zugriff aus die folgende Anwendung von dieser Seite gewähren? <Zulassen>
ActiveX basierte Installation im Internet Explorer
Falls entsprechende Systemabfragen erfolgen:
1. Diese Webseite möchte das folgende Add-On installieren: <Installieren>
2. Möchten Sie die Software installieren? <Installieren>
6
Falls die webbasierte Installation nicht erfolgreich ist, folgen Sie dem Installationslink (AnyConnect VPN), speichern Sie die Datei und führen sie aus,
detaillierte Beschreibung s.o. (Anyconnect 4 - Manuelle Installation...).
7
3 Anyconnect 4 - Manuelle Installation unter Linux
Sowohl bei der webbasierten als auch manuellen Installation ist das root-Recht erforderlich. Dies wird in den verschiedenen Linux-Distributionen
unterschiedlich realisiert, etwa mit dem sudo-Befehl. An dieser Stelle muss der Benutzer ggf. sein eigenes lokales Linux-Passwort eingeben.
Voraussetzung ist natürlich der entsprechende Eintrag in der /etc/sudoers-Datei.
Wenn die webbasierte Installation fehlschlagen sollte, weist das Skriptfenster wie folgt darauf hin:
Gleichzeitig bietet ein Link "Linux x86_64" die Möglichkeit der manuellen Installation. Der Link führt zu einem Shell-Skript "vpnsetip.sh". Dieses ist
herunterzuladen und als root auszuführen (Datei-Recht X:ausführbar setzen!). Das Skript packt sich dann selber aus und installiert den
AnyConnect-Client ins Verzeichnis /opt/cisco/anyconnect .
Danach sollte im Programm-Ordner (abhängig von Ihrer Distribution) das folgende Icon erscheinen:
Cisco Anyconnect Client
Damit ist das Programm aufzurufen und zu konfigurieren:
8
Hinweis: Das laufende Programm besteht aus zwei Prozessen: dem VPN-Dienst vpnagentd (dieser muss als root laufen) und dem User-Frontend
vpnui, das mit Benutzerrecht läuft.
Beide befinden sich in /opt/cisco/anyconnect/bin
Probleme unter Linux:
Die Gui des AnyConnect Clients startet nicht, obwohl sie korrekt installiert worden ist.
Es fehlen im System die Bibliotheken libpangox/libpangoxft. Diese sind z.B. bei OpenSuSE 13.2 nicht mehr standardmäßig installiert.
9
4 Anyconnect 4 - Manuelle Installation unter Mac OS X
Die Installation auf dem Mac OS X Betriebssystem wird ebenso wie unter MS-Windows und Linux als web basierte Browser-Anwendung unterstützt.
Voraussetzung ist auch hier die korrekte Funktion von Java im Webbrowser (Safari). Sollte die automatische Installation dennoch fehlschlagen, weist
Sie das folgende Bild darauf hin:
In diesem Fall müssen Sie die Installation selbst vornehmen. Durch Klick auf den angebotenen Download-Link wird die AnyConnect-Software als
".dmg"-File heruntergeladen. Dieses ist zu mounten und das darin befindliche Paket mit Administrator-Rechten zu installieren:
Folgen Sie der Anleitung. Bestätigen Sie die erscheinenden Dialogfenster und geben Sie das Administrator-Passwort ein, sofern Sie danach gefragt
werden. Nach erfolgreicher Installation ist der Anyconnect-Client als Anwendung in Ihren Programmen enthalten:
10
Damit können Sie den Client starten. Im folgenden Fenster geben Sie dann bitte wie hier gezeigt die Adresse unseres VPN-Servers ein:
Anschließend benötigen Sie für die erfolgreiche VPN-Verbindung natürlich noch Ihren FernUni-Benutzernamen und Ihr Kennwort.
11
5 Anyconnect 4 - Manuelle Installation unter Windows
Manuelle Installation des AnyConnect Secure Mobility Clients
Wenn die automatische Installation mit dieser Meldung endet:
, ist eine manuelle Installation angesagt, das gilt natürlich auch, wenn Sie die manuelle Installation generell bevorzugen. Die Installationssoftware kann
über den angezeigten link herunter geladen werden. Sie können Sie die benötigte Software für eine manuelle Installation auch auf der Seite
http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml im Downloadbereich herunter laden:
12
Aus lizenzrechtlichen Gründen ist hier eine Anmeldung mit Ihren Benutzerdaten erforderlich. Nach dem download und Abspeichern steht Ihnen die
Installationsdatei zur Verfügung:
Durch einen Doppelklick mit der linken Maustaste startet die Installation:
13
Die Abfrage nach dem ?License Agreement? muss bestätigt werden:
?
Jetzt kann es losgehen <Install>:
14
Die Phasen der Installation werden textuell und durch einen grünen Fortschrittsbalken angezeigt:
?
Das war?s <Finish>:
15
Jetzt steht der Cisco AnyConnect Secure Mobility Client als ausführbares Programm zur Verfügung:
Falls im Eingabefeld für das VPN-gateway nicht webvpn.fernuni-hagen.de voreingestellt ist, nehmen Sie diesen Eintrag bitte vor:
Die eventuell auftretende Meldung: ? No valid certificates available for authentication? kann ignoriert warden, danach melden Sie sich mit Ihren
Benutzerdaten an:
16
Der Verbindungsaufbau wird durch eine Fenstermeldung kurz bestätigt:
Danach wird das Verbindungsicon angezeigt:
,um weitere Informationen über den Status der VPN-Verbindung zu erlangen, klicken Sie auf das Verbindungsicon (linke Maustaste):
Ein Klick auf das Zahnrad liefert weitere detaillierte Informationen:
17
18
6 Anyconnect 4 - Start Before Login für Domain-User
Nach dem Starten des Anyconnect-Clients und dem Verbindungsaufbau zum Hagener VPN-Gateway (webvpn.fernuni-hagen.de) wählen Sie die
Gruppe SBL4DomainUsers aus und melden sich mit Ihren Benutzerdaten an.
Nach erfolgreichem Verbindungsaufbau wechseln Sie bitte zu den Einstellungen des Anyconnect-Clients (Zahnrad) und wählen den Reiter Preferences
aus.Setzen Sie im Kästchen vor Start VPN before user logon to computer einen Haken, Verlassen Sie die Karteikarte und bauen Sie die Verbindung
ab.
19
Danach den Rechner herunter fahren und neu starten. Beim nächsten Start des Rechners Betätigen Sie bei der Anmeldung die Taste <Benutzer
wechseln> rechts unten neben dem Herunterfahren-Button erscheint ein neues Symbol für die Netwerkanmeldung. Diesen Schalter bitte betätigen.
Unter den Netzwerksymbolen taucht jetzt auch der Anyconnect Mobility Client auf. Bitte starten Sie den Client. Nun erscheint das gewohnte
Verbindungsfenster, betätigen Sie <Connect> und tragen im Folgefenster wie gewohnt Ihre Verbindungsdaten ein.
20
Die VPN-Verbindung wird aufgebaut und die Domain-Anmeldung kann nun wie gewohnt erfolgen. Ihre Netzlaufwerke und Office-Einstellungen stehen
Ihnen - wie am FernUni-Arbeitsplatz gewohnt - zur Verfügung.
21
7 Anyconnect 4 -Group-Eintrag
Die Gruppen für den Anyconnect-Client (...-SSL, ...-SSL-VPN-Split, ...-SSL-VPNLLA) sind für den allgemeinen Gebrauch bestimmt. Die Gruppe
SBL4DomainUsers (Start Before Login for Domain Users) ist nur für Endgeräte, die in unserer Domäne registriert sind, gedacht:
http://wiki.fernuni-hagen.de/helpdesk/index.php/Anyconnect_4_-_Start_Before_Login_f%C3%BCr_Domain-User . Die Gruppe -SSL tunnelt bei
gestartetem client den gesamten Datenverkehr über das Hagener VPN-Gateway, -SSL-VPN-Split tunnelt nur den Verkehr ins FUNet (132.176.0.0),
SSL-VPNLLA tunnelt den gesamten Verkehr, ausgenommen werden private Netze (LocalLanAccess). Bei speziellen Bibliotheksangeboten, für die auch
der ica-Client erforderlich ist, können nur die Gruppen -SSL und -SSL-VPNLLA genutzt werden. Sie können diese Informationen bei gestartetem client
über das Anyconnect-Icon (Weltkugel mit geschlossenem gelben Schloss) abrufen, indem Sie das Zahnrad (Advanced Window) anklicken und
anschliesssend die Registerkarte <Route Details> auswählen. Hier am Beispiel von VPNLLA:
22
8 Anyconnect 4 -Zugriff auf lokale Endgeräte
Beim Aufbau einer AnyConnect-Verbindung mit der Gruppe FeU-Hagen-SSL-VPN wird der gesamte Datenverkehr über den VPN-Tunnel zum Hagener
gateway geschickt. Bei einer aktiven Verbindung mit dieser Gruppe ist daher kein Zugriff auf Endgeräte in lokalen Netzen möglich. Um diese Zugriffe zu
ermöglichen verwenden Sie bitte die Gruppe FeU-Hagen-SSL-VPNLLA (LocalLanAccess), dies geschieht nach dem Verbindungsaufbau zu
webvpn.fernuni-hagen.de (132.176.101.101) im dropdown-Menu "Group":
Die erfolgreiche Anmeldung wird durch das geschlossene gelbe Schloss über dem AnyConnect-Logo angezeigt:
Durch Doppelklick auf diese Verbindung wird das Verbindungsstatus-Fenster vergrössert,durch Klicken auf das Zahnrad ("Advanced Window for all
components") und Auswahl des Reiters "Preferences" werden die Einstellmöglichkeiten für die client-session angezeigt. Hier bitte den Haken bei "Allow
local (LAN) access when using VPN (if configured)" setzen:
23
danach bitte die Verbindung abbauen <Disconnect> und neu aufbauen <Connect>. Für die neu aufgebaute Verbindung sind dann die privaten Netze
(unter Non-Secured Routes) vom VPN-Tunnel-Verkehr ausgenommen:
24
Sie sind nun in der Lage, die Endgeräte (z.B. Drucker) im privaten Netz bei aktiver VPN-Verbindung anzusprechen.
25
9 Beck-Online
26
10 Einfacher Zugriff auf Beck-Online
• über WebVPN,
• mittels eines Cisco-kompatiblen VPN-Clients nach Wahl oder
• direkt über die Homepage der UB
♦ Datenbanken und Lieferdienste und über die Alphabetische Datenbankliste.
• Dann wird auf der Beck-Online-Info-Seite die Eingabe des Hochschulaccounts über den Proxy-Server 1 und Web-VPN angeboten.
27
11 Bei Problemen
• Cookies löschen, insbesondere, falls trotz korrekter VPN-Anmeldung statt der korrekten Anmeldekennung auf der Startseite ("Sie sind
eingeloggt als Hagen, UB") eine Login-Aufforderung erscheint.
• Hin und wieder fallen auch mal die Server in Köln aus. Dann wird von Seiten der Bibliothek dort nachgefragt.
28
12 Gezieltes VPN-Routing für Beck-Online
12.1 bei VPN-Verbindung per NetworkManager (div. Linux-Distributionen)
Falls man bei einer VPN-Verbindung über den Linux-NetworkManager, z.B. aus Geschwindigkeitsgründen, vermeiden möchte, dass der gesamte
Datenverkehr durch das FernUni-Netzwerk geleitet wird, kann man sich folgender Einstellungen bedienen:
• zunächst die Grundeinstellungen vornehmen
• anschließend den erstellten VPN-Account wie folgt bearbeiten (Anleitung bezieht sich auf die GTK-Version):
♦ Reiter IPv4-Einstellungen
◊ Methode: Automatisch (VPN), nur Adressen
◊ Auswahlknopf Routen: Hinzufügen - Adresse: 91.216.243.0 Netzmaske: 255.255.255.0 Gateway: 132.176.101.101
Metrik: (Feld Metrik freilassen)
◊ Auswahlknopf Routen: Haken setzen bei Automatisch bezogene Routen ignorieren und Diese Verbindung nur für
Ressourcen dieses Netzwerkes verwenden
• alles mit OK bestätigen
Anschließend kann diese Verbindung dazu benutzt werden, dass nur Anfragen auf das sog. Subnetz 91.216.243.0 (wozu Beck-Online gehört) über das
FernUni-Netzwerk geleitet werden (sog. Routing). Hierdurch erfolgen Anfragen auf Beck-Online mit einer FernUni-IP-Adresse, wodurch man bei
Beck-Online dann als registrierter FernUni-Benutzer Zugriff auf die hochschulweit freigeschalteten Module erhält.
Jeglicher anderer Datenverkehr, der nicht das Beck-Online-Subnetz betrifft, erfolgt weiterhin über den eigenen Online-Provider.
29
13 Kontakt
Weitere Anfragen zu Beck-Online an [email protected]
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].
30
14 Cisco IPSEC VPN Client - Gruppenpasswort
Passwortänderung
Starten Sie den Ipsec-Client und markieren Sie den entsprechenden Eintrag. Danach die Schaltfläche <Modify> betätigen, den Reiter <Authentication>
wählen, das Passwort auf den gewünschten Wert setzen und mit <Save> sichern.
31
15 Cisco IPSEC VPN Client - Installation
Windows XP, Vista, 7 (32-bit)
Nach dem Entpacken der selbstextrahierenden Archiv-Datei wird der Client durch Aufruf der vpnclient_setup-Anwendung installiert. Nach der
Installation des clients steht dieser im Verzeichnis c:\\programme\Cisco Systems\VPN Client zur Verfügung. Dort gibt es auch das Unterverzeichnis
Profiles. Weiter unten auf dieser Seite finden Sie unter Arbeiten mit dem VPN-Client eine Tabelle mit vorkonfigurierten Profilen. Bitte speichern Sie die
benötigte(n) Profile-Datei(en) (*.pcf) in ein Verzeichnis Ihrer Wahl durch Rechtsklicken auf die entsprechende Datei und anschließendes Herunterladen.
Dann kopieren Sie die Datei(en) in das Profile-Verzeichnis. Natürlich können Sie die Datei(en) auch direkt in das \Profile Verzeichnis herunter laden.
Windows Vista, 7 (64-bit)
Nach dem Entpacken der selbstextrahierenden Archiv-Datei wird der Client durch Aufruf der vpnclient_setup-Anwendung installiert. Nach der
Installation des clients steht dieser im Verzeichnis c:\\programme\Cisco Systems\VPN Client zur Verfügung. Dort gibt es auch das Unterverzeichnis
Profiles. Weiter unten auf dieser Seite finden Sie unter Arbeiten mit dem VPN-Client eine Tabelle mit vorkonfigurierten Profilen. Bitte speichern Sie die
benötigte(n) Profile-Datei(en) (*.pcf) in ein Verzeichnis Ihrer Wahl durch Rechtsklicken auf die entsprechende Datei und anschließendes Herunterladen.
Dann kopieren Sie die Datei(en) in das Profile-Verzeichnis. Natürlich können Sie die Datei(en) auch direkt in das \Profile Verzeichnis herunter laden.
Leider ist die Datei vpnclient_setup.pdf herstellerseitig nicht lesbar, bei Bedarf kann die Original-Dokumentation von cisco helfen.
Installation unter Windows
Führen Sie die herunter geladene Datei aus und entpacken Sie die Installationfiles in ein Verzeichnis:
Im ausgewählten Verzeichnis steht nun das Windows Installer-Paket als vpnclient_setup zur Verfügung, diese Anwendung führen Sie bitte aus.
32
Die Lizenzbedingungen müssen akzeptiert werden, anschließend wird das vorgeschlagene Installationsverzeichnis ausgewählt, dann wird der client
installiert. Die Installation der aktuellen Version 5.0.07.0290 wird bestätigt:
Arbeiten mit dem VPN-Client
Nach der Installation steht der Client noch ohne Profile (*.pcf-Connection Entries) im Startmenu zur Verfügung:
33
Nach dem Aufruf sieht das so aus:
Nun müssen Sie noch die gewünschte(n) Profildatei(en) herunter laden und in den client importieren. Die Unterschiede der einzelnen Profile finden Sie
in der folgenden Tabelle erläutert:
FU-VPN-BIB, FU-VPN-STUD
Bibliotheksrecherche mit Einzel-PC
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
FU-VPN-STUD-SPLIT
Standard-VPN-Zugang mit Einzel-PC
FU-VPN-STUD-SPLT-NAT
Standard-VPN-Zugang mit PC im Heimnetzwerk (mit Router)
Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT (nicht für Bibliotheksrecherche, s.u.) verwenden.
Der Zusatz SPLIT deutet jeweils darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung
von lokalen Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Einige Bibliotheksrecherchen auf Datenbankebene erfordern den Einsatz des sogenannten ICA-Clients, der von den Seiten der UB herunter
geladen werden kann. Bei der Verwendung des ICA-Clients kann nicht mit SPLIT-Tunneling gearbeitet werden, hier sollten Sie eines der
Profile FU-VPN-BIB bzw. FU-VPN-BIB-NAT verwenden.
Die heruntergeladene Profildatei wird in den client importiert:
34
Nach dem erfolgreichen Import sieht das so aus:
Die VPN-Verbindung wird im Anschluss durch Klicken auf die Schaltfläche Connect hergestellt. Die Authentifizierung erfolgt wie üblich über den
hochschulweiten Account und dem zugehörigen Passwort. Bei erfolgreicher Anmeldung erscheint in der Windows-Icon-Leiste der Bügel des gelben
Schlosses geschlossen, d.h. der VPN-Tunnel steht. Durch doppeltes Klicken der linken Maustaste kann das Client-Kontrollfenster geöffnet werden. Die
genaue Funktionalität und die Einstellmöglichkeiten sind in der Helpfunktion (Help VPN Client) ausführlich beschrieben. Beendet wird die Verbindung
über das Menü Connection Entries / Disconnect im Client-Fenster, oder durch Rechtsklick auf das Schloss und Auswahl von Disconnect. Komplett
beendet wird der Client durch Auswahl von Exit VPN Client über einen der oben beschrieben Wege.
Installation des Cisco IPSEC unter IOS
Das Cisco-VPN-Protokoll wird direkt von iOS (mindestens ab Version 3) unterstützt. Es ist demnach nicht nötig, eine App zu installieren.
Zur Konfiguration gehen Sie wie folgt vor:
Starten Sie das Programm ?Einstellungen? und wählen Sie dort nacheinander ?Allgemein?, ?Netzwerk?, ?VPN? und ?VPN hinzufügen?.
35
Abb. 1: Konfiguration der Authentifizierung
Am oberen Rand der Konfigurationsseite selektieren Sie ?IPSec?. Daraufhin füllen Sie das Formular darunter aus:
• Unter ?Beschreibung? geben Sie der zu erstellenden Verbindung einen Namen. (Das Feld fehlt im Screenshot, da dort eine bestehende
Verbindung bearbeitet wird.)
• Unter ?Server? geben Sie die IP-Adresse 132.176.101.101 ein.
• Unter ?Account? geben Sie Ihren FernUni-Loginnamen ein.
• Unter ?Kennwort? können Sie Ihr Kennwort speichern. Wenn Sie dies aus Sicherheitsgründen nicht tun, werden Sie bei jedem
Verbindungsaufbau nach Ihrem Passwort gefragt.
• Unter ?Gruppenname? und ?Shared Secret? geben Sie jeweils "FU-VPN-STUD-NAT" ein. (Tipp: Geben Sie den Text zunächst unter
?Gruppenname? ein und kontrollieren Sie, dass Ihnen kein Tippfehler unterlaufen ist. Dann können Sie die Eingabe markieren, kopieren und
im Feld ?Shared Secret? einfach einfügen.)
(Randnotiz: Neben der Eingabe der Daten direkt auf dem iPhone besteht auch die Möglichkeit, am Mac/PC mit dem kostenlosen Apple
iPhone-Konfigurationsprogramm ein Konfigurationsprofil zu erstellen und per E-Mail ans iPhone zu senden.)
Abb. 2: VPN aktivieren/deaktivieren
Nach der Einrichtung können Sie nicht nur im VPN-Untermenü des Einstellungen-Programms, sondern auch direkt auf der Startseite der Einstellungen
VPN jederzeit aktivieren oder wieder deaktivieren.
Wenn VPN aktiv ist, wird der Status auch außerhalb des Programms ?Einstellungen? in der Statusleiste am oberen Bildschirmrand angezeigt.
36
16 hier Ebsco
Das Problem:
Wählen Sie z.B. unter dem Menupunkt
Datenbanken/elektronische Angebote/Psychologie
bestimmte Journale aus und klicken anschließend auf den Such-Link (http://search.ebscohost.com/...) ist WebVPN nicht in der Lage, das Ergebnis
darzustellen, die Abfrage bleibt ?hängen?.
Die Ursache:
Das VPN-Gateway kann die gewünschte Seite leider nicht korrekt darstellen. Beim Versuch, die Seite darzustellen, tritt ein sogenannter "stack-overflow"
auf. Tabellen oder Grafiken auf der gewünschten Seite können deshalb vom Gateway nicht richtig aufgebaut werden. Dieses Problem ist bekannt und
wird vielleicht wird mit einem neuen Software-Release behoben. Von unserer Seite aus kann das Problem leider nicht behoben werden.
Workaround:
Es muss auf den Anyconnect-Client ausgewichen werden. Dabei bitte die Gruppe "FeU-Hagen-SSL-VPN" verwenden, damit beim Seitenaufruf eine
FUNet-Adresse übermittelt wird.
Hinweise zur Installation des Anyconnect-Clients finden Sie hier: Installation des VPN-Clients unter Windows
37
17 DFN-Roaming Probleme an einigen Standorten
Wenn Sie Zugang zum WLAN einer von Ihnen besuchten Institution erhalten, sich aber dort nicht mit Ihrem fernuni-account anmelden können, schauen
Sie bitte hier nach: http://wiki.fernuni-hagen.de/helpdesk/index.php/Roaming_mit_Fernuni-Account
38
18 DFNRoaming
Mit DFN-Roaming können registrierte Nutzer einfach, kurzfristig und ohne zusätzliche Anmeldung über die universitären WLANs einen Zugang zum
Wissenschaftsnetz nicht nur in ihrer eigenen sondern auch bei anderen wissenschaftlichen Einrichtungen bekommen. Die Anmeldung in den Hagener
FU-Campus-WLANs mit einem gültigen Account sieht so aus:
Im [1] erhält der Rechner eine private IP-Adresse aus dem Bereich 172.16.128.0 . Für den Zugang zum Internet ist eine Authentifizierung erforderlich.
Wenn dies nicht über eine VPN-Client- oder WebVPN-Verbindung erfolgt, erscheint automatisch die DFNRoaming-Anmeldeseite.
Ist die Verbindung zum örtlichen WLAN erfolgt und funktioniert die Anmeldung am DFN-Roaming nicht, so kann es daran liegen, dass die
Authentifizierungsdaten nicht korrekt an unseren Radius-Server (Authentifizierungsserver) via DFN übermittelt werden. Der
802.1X-Authentifizierungstyp muss auf EAP-TTLS eingestellt sein. Sollte Ihr WLAN-client das nicht unterstützen, so können Sie z.B. den
secureW2-client verwenden. Den client erhalten Sie unter http://www.securew2.com/.
39
19 Eduroam - iOS 9 und OS X 10.11
19.1 Konfigurationsprofil herunterladen
Hier finden Sie die Konfigurationsdatei für das WLAN Netzwerk eduroam an der FernUniversität in Hagen. Sie können dieses Profil ab Mac OS X 10.7
und iOS 8 nutzen.
Konfigurationsdatei downloaden
19.2 Anleitung iOS 9
Am Beispiel eines iPhones mit iOS 9 wird die Installation dargestellt. Die Installation unterscheidet sich nicht zum iPad. Die Installation des Profils unter
OS X finden Sie weiter unten auf dieser Seite.
•
Im ersten Schritt öffnet sich das gerade heruntergeladene Profil. Dieses können Sie nun oben rechts "Installieren".
40
•
Auf der nächsten Seite müssen Sie Ihren Entsperrcode eingeben, falls Sie einen verwenden. Sollten Sie keinen Code verwenden, so kommen
Sie automatisch auf die nächste Seite.
•
Bei Fragen oder Problemen können Sie sich gerne an den Helpdesk wenden. Sollte soweit alles funktionieren, klicken Sie oben rechts auf
"Weiter".
41
•
Sie werden drauf hingewiesen, das ein Zertifikat der Telekom installiert wird, welches Ihnen erst möglich macht, das WLAN Netzwerk nutzen
zu können.
•
Sie werden nun ein letztes mal gefragt, ob das Profil wirklich installiert werden soll. Sie können installierte Zertifikate der FernUniversität in
Hagen natürlich jederzeit ohne Einschränkungen wieder von Ihrem Gerät löschen.
42
•
Danach geben Sie Ihren Benutzernamen gefolgt von "@fernuni-hagen.de" ein (z.B. [email protected]). Klicken Sie auf "Weiter".
•
Geben Sie nun ihr Password (welches Sie für die Mailbox im Studium oder die LVU nutzen) ein. Klicke Sie auf "Weiter".
43
•
Nach der erfolgreichen Eingabe Ihrer Benutzerdaten wird Ihnen das Profil nochmal angezeigt. Klicken Sie oben rechts auf "Fertig" um den
Vorgang abzuschließen.
•
Unter Profile in den Einstellungen können Sie sich das Profil Namens "WLAN eduroam" erneut anschauen.
44
•
Wie bei Schritt 5 schon bemerkt, können Sie das Profil ohne Einschränkungen löschen. Bitte beachten Sie jedoch, das dann eine Verbindung
zum eduroam-Netzwerk nicht mehr möglich ist.
Wenn Sie nun in Reichweite des WLAN-Netzes "eduroam" sind, werden Sie automatisch verbunden.
HINWEIS: Sollten Sie Vorher das WLAN "FU-Campus" mit der Roamingfunktion genutzt haben, entfernen Sie dieses bitte aus den bevorzugten
Netzwerken um ein automatisches Verbinden zu verhindern.
19.3 Anleitung OS X 10.11
45
•
Im ersten Schritt öffnet sich das gerade heruntergeladene Profil. Klicken Sie für die Installation auf "Fortfahren".
46
•
Da unsere Profile nicht signiert sind, werden Sie gewarnt das der Herausgeber des Profils (die FernUni-Hagen) unbekannt ist. Jedoch können
Sie ohne Bedenken auf "Fortfahren" klicken, da unsere Profile von unserem MDM-Team sorgfältig vor der Veröffentlichung überprüft wurden.
47
•
Geben Sie nun Ihren Benutzernamen und das Kennwort ein.
48
•
Sie werden nun ein letztes mal gefragt, ob das Profil wirklich installiert werden soll. Sie können installierte Zertifikate der FernUniversität in
Hagen natürlich jederzeit ohne Einschränkungen wieder von Ihrem Gerät löschen.
49
•
Damit das Profil installiert werden kann, müssen Sie diesen Vorgang mit Ihrem OS X Anmeldedaten bestätigen.
50
•
Nach einer erfolgreichen Installation sehen Sie das Profil in den Einstellungen. Die Verbindung zu eduroam-Netzwerk sollte bei einem aktiven
WLAN-Adapter automatisch hergestellt werden.
51
20 Fehlermeldungen und Warnungen des VPN-Clients
Meldung
Fehlertext
Abhilfe
Error 1
The command line parameter %1 cannot be used in conjunction with the command line parameter %2.
The two command line parameters stated within quotation marks conflict with one another and cannot be used together in any given command line.
Error 2
Invalid Connection Entry name. The Connection Entry name cannot contain any of the following characters...
An invalid character was entered in the connection entry name field of the dialog for creating new, or modifying existing connection entries.
Error 3
Invalid TCP port specified. Valid range is %1 to %2.
An invalid TCP port number was entered on the Transport tab of the dialog for creating new, or modifying existing connection entries.
Error 4
Invalid Peer Response Timeout specified. Valid range is %1 to %2.
An invalid peer response timeout was entered on the Transport tab of the dialog for creating new, or modifying existing connection entries.
Error 5
No hostname exists for this connection entry. Unable to make VPN connection.
A connection attempt was made using a connection entry that does not contain a host name/address entry. A host name or address must be specified in
the connection entry in order to attempt a VPN connection.
Error 6
The connection entry %1 does not exist.
The command line specified a connection entry that does not exist.
Error 7
Group passwords do not match. Enter the same password in both text boxes.
The group authentication password fields on the Authentication tab of the dialog for creating new, or modifying existing connection entries, have different
values. The Password and Confirm Password fields must contain the same values
Error 8
Unable to update Start Before Logon setting.
The VPN Client was unable to save the start before logon setting of the Windows Logon Properties dialog to the file vpnclient.ini. The file attributes may
have been changed to read only or there may be a problem with the file system.
Error 9
Unable to update Disconnect VPN connection when logging off setting.
The VPN Client was unable to save the Disconnect VPN connection when logging off setting of the Windows Logon Properties dialog to the file
vpnclient.ini. The file attributes may have been changed to read only or there may be a problem with the file system.
Error 10
Unable to update Allow launching of third party applications before logon setting.
The VPN Client was unable to save the Allow launching of third party applications before logon setting of the Windows Logon Properties dialog to the
Windows registry. The user must have administrator privileges to save this setting, though the setting should be grayed out if this is not the case. There
is likely a system problem with the registry.
Error 11
Registration of CSGINA.DLL failed.
The VPN Client was unable to register its CSGINA.DLL with the Windows operating system. The DLL may have been altered or corrupted.
Error 12
Unable to retrieve auto-initiation status.
The VPN Client was unable to retrieve the current status for determining if automatic VPN initiation must be initiated. The VPN Client service or daemon
may be stopped, hung, or not running; or inter-process communication between the service/daemon and the GUI application may have failed.
Error 13
52
Unable to update Automatic VPN Initiation Enable setting.
The VPN Client was unable to save the Automatic VPN Initiation Enable setting of the Automatic VPN Initiation dialog to the file vpnclient.ini. The file
attributes may have been changed to read only or there may be a problem with the file system.
Error 14
Unable to update Automatic VPN Initiation Retry Interval setting.
The VPN Client was unable to save the Automatic VPN Initiation Retry Interval setting of the Automatic VPN Initiation dialog to the file vpnclient.ini. The
file attributes may have been changed to read only or there may be a problem with the file system.
Error 15
Invalid Retry Interval specified. Valid range is %1 to %2.
An invalid retry interval was entered in the Automatic VPN Initiation Retry Interval field of the Automatic VPN Initiation dialog. The value must be within
the range specified in the error message.
Error 16
The connection entry %1 already exists. Choose a different name.
The user is attempting to create a new connection entry with the same name as an existing connection entry.
Error 17
Unable to create connection entry.
The VPN Client was unable to save the new connection entry to a file on the hard drive. There may be a problem with the file system.
Error 18
Unable to rename connection entry.
The VPN Client was unable to rename the connection entry. The new connection entry name may already exist, or there may be a problem with the file
system.
Error 19
Unable to save the modified connection entry.
The VPN Client was unable to save the modified connection entry to its file on the hard drive. The file attributes may have been changed to read only or
there may be a problem with the file system.
Error 20
Unable to duplicate connection entry.
The VPN Client was unable to duplicate the connection entry. The duplicate connection entry name may already exist or be too long, or there may be a
problem with the file system.
Error 21
Unable to delete connection entry %1.
The VPN Client was unable to delete the connection entry. The file containing the connection entry may no longer exist or may be protected, or there
may be a problem with the file system.
Error 22
Unable to import connection entry %1.
The VPN Client was unable to import the connection entry. The connection entry attempting to import may not exist. A connection entry with the same
name as the entry being imported may already exist. There may be a problem with the file system.
Error 23
Unable to erase encrypted password for connection entry %1.
The VPN Client was unable to erase the encrypted user password in the connection entry. The connection entry file attributes may have been changed
to read only or there may be a problem with the file system.
Error 24
Unable to update connection entry %1.
The VPN Client was unable to write the connection entry modifications to the connection entry's file on the hard drive. The file attributes may have been
changed to read only or there may be a problem with the file system.
Error 25
%1() for the short cut file %2 failed with %3h.
The function specified in the error message failed while attempting to create a short cut file to the VPN Client GUI for a particular connection entry. The
hexadecimal number in the error message is the error returned by the function specified.
Error 26
53
Unable to build a fully qualified file path while creating the short cut file %1.
The VPN Client was unable to build a fully qualified file path for the shortcut file. There may be a problem with the file system.
Error 27
Unable to create the shortcut file %1.
The VPN Client was unable to get a pointer to the IShellLink interface from the system in order to create the shortcut file.
Error 28
Reached end of log, no match found.
The VPN Client could not find a match for the search string in the log.
Error 29
The third-party dial-up program could not be started.
The VPN Client was unable to launch the third-party dial-up program specified in the connection entry in order to establish a VPN connection.
Error 30
The selected connection entry uses the Microsoft CryptoAPI certificate store. This connection entry can not be used until you have logged in t
The user is attempting to establish a VPN connection before logon using a connection entry that is configured to use a Microsoft CryptoAPI certificate for
authentication. Such a certificate cannot be used until after the user has logged into the workstation.
Error 30
The selected connection entry uses the Microsoft CryptoAPI certificate store. This connection entry can not be used until you have logged in t
The user is attempting to establish a VPN connection before logon using a connection entry that is configured to use a Microsoft CryptoAPI certificate for
authentication. Such a certificate cannot be used until after the user has logged into the workstation.
Error 32
Unable to verify certificate %1.
The selected certificate could not be verified. Possible misconfiguration issue with the certificate authentication (CA) server.
Error 33
Unable to delete certificate %1 from certificate store.
The VPN Client was unable to successfully delete the selected certificate from the certificate store.
Error 34
Unable to show details for certificate %1.
The VPN Client was unable to successfully open and access the selected certificate in order to display the certificate's details.
Error 35
Unable to export certificate. Invalid path %1.
The export path provided for the certificate is invalid.
Error 36
Unable to export certificate %1.
The export source or destination for the certificate was invalid and the certificate could not be exported.
Error 37
An export path must be specified.
The user did not provide a file path for exporting the selected certificate
Error 38
Certificate passwords do not match. Enter the same password in both text boxes.
The Password and Confirm Password fields of the Export Certificate dialog must both contain the same values.
Error 39
Unable to import certificate.
The VPN Client was unable to import the certificate. The file path for the certificate may be incorrect or there may be a problem with the file system.
Error 40
An import path must be specified.
54
The user did not provide a file path for import a certificate.
Error 41
Certificate passwords do not match. Enter the same password in both text boxes.
The New Password and Confirm Password fields of the Import Certificate dialog must both contain the same values.
Error 42
Unable to create certificate enrollment request.
The VPN Client was unable to create an enrollment request to enroll the certificate with a certificate authority.
Error 43
Certificate enrollment failed, or was not approved.
The certificate enrollment request failed or was not approved by the certificate authority.
Error 44
Certificate is not valid, or not an online enrollment request.
The user attempted to resume enrollment of a certificate that is not valid or does not have a pending enrollment request.
Error 45
Passwords do not match. Try again.
The value entered in the Confirm new password dialog did not match the value entered in the Enter new password dialog when attempting to change a
certificate password.
Error 46
Change password for certificate %1 failed.
The VPN Client was unable to change the password for the certificate.
Error 47
Failed to load ipseclog.exe.
The VPN Client was unable to launch the ipseclog.exe application. Log messages will not be saved to the log file.
Error 48
Unable to stop service/daemon.
The VPN Client was unable to stop the service/daemon. The service/daemon may be hung or there is a problem with the system's service/daemon
management.
Error 49
GI_VPNStop failed. Unable to disconnect.
The VPN Client failed to send a stop request for terminating the VPN connection to the service/daemon. The service/daemon may be stopped, hung, or
not running. Communication with the service/daemon may have failed.
Error 50
Service/daemon is not running.
The VPN Client service/daemon is not running. VPN connections cannot be established/terminated via the GUI.
Error 51
IPC socket allocation failed with error %1h.
The VPN Client failed to create an inter-process communication socket in order to communicate with the service/daemon. VPN connections cannot be
established/terminated via the GUI. Refer to Related Information for link to search on Cisco bug ID CSCed05004.
Error 52
IPC socket deallocation failed with error %1h.
The VPN Client failed to close an inter-process communication socket that is used to communicate with the service/daemon while terminating.
Subsequent use of the GUI may be unable to communicate with the service/daemon.
Error 53
Secure connection to %1 was unexpectedly dropped.
The VPN connection was lost due to something other than termination by the VPN Client GUI. The connection could have been terminated by the user
via the CLI, or internet connectivity may have been lost.
Error 54
55
The authentication passwords do not match. Enter the same password in both text boxes.
The user was asked to enter a new authentication password in the extend authentication dialog and did not enter the same values into the New
Password and Confirm Password fields. Both fields must contain the same values.
Error 55
The authentication PINs do not match. Enter the same PIN in both text boxes.
The user was asked to enter a new authentication PIN in the extend authentication dialog and did not enter the same values into the New PIN and
Confirm PIN fields. Both fields must contain the same values.
Error 56
Unable to start the VPN connection.
The VPN Client failed to send a start request for establishing the VPN connection to the service/daemon. The service/daemon may be stopped, hung, or
not running. Communication with the service/daemon may have failed.
Error 1406
Could not write value MtuAdjustment to key ...
Der VPN Client kann den gennanten Werte nicht in die registry eintragen. Die Fehlermeldung deutet darauf hin, dass die Berechtigungen in der
Registrierung nicht ausreichend sind. Die Loesung ist leider nicht ganz einfach. Bitte geben Sie unter Start/Ausfuehren als Kommando regedit und OK
ein. Danach unter Bearbeiten/Suchen im Suchfeld den Namen des Feldes, hier MtuAdjustment. Nach einem Rechtsklick auf den geoeffneten Ordner, in
dem das Feld gefunden wurde, muessen Sie unter Berechtigung fuer den "Installateur" Vollzugriff anklicken. Durch Betaetigung der F3-Taste koennen
Sie das Feld in weiteren Ordnern suchen, hier gehen Sie bitte genauso vor.
Reason 401
An unrecognized error occurred while establishing the VPN connection.
VPN connection was not established because of an unrecognized reason. Please check client logs for details.
Reason 402
The Connection Manager was unable to read the connection entry, or the connection entry has missing or incorrect information.
Either the connection profile is missing or does not have all the information. To fix this problem, you can either select another connection profile, or fix
the current connection entry. Connection profiles are located in profiles. On most machines, this is C Program FilesCisco SystemsVPN Clientprofiles. To
fix this problem, replace the connection profile file from the profiles directory. This file can be copied from a machine that has the correct entry of this file.
Reason 403
Unable to contact the security gateway.
This can happen because of multiple reasons. One of the reasons that users can get this message is because IKE negotiations failed. Check the client
logs for details.
Reason 404
The remote peer terminated the connection during negotiation of security policies.
Check the remote peer (head-end) logs to determine the cause for this failure.
Reason 405
The remote peer terminated connection during user authentication.
This reason is not currently used.
Reason 406
Unable to establish a secure communication channel.
This reason is not currently used.
Reason 407
User authentication was cancelled by the user.
A user hit the cancel button (instead of OK) in the VPN Client user authentication dialog.
Reason 408
A VPN connection is already in the process of being established.
A connection is already in process.
Reason 409
A VPN connection already exists.
A VPN connection already exists.
Reason 410
The Connection Manager was unable to forward the user authentication request.
56
This is not currently used.
Reason 411
The remote peer does not support the required VPN Client protocol.
The remote peer is either not a Cisco device or it does not support the VPN Client protocol specification.
Reason 412
The remote peer is no longer responding.
The remote peer is not responding to the client's request to establish the connection. Make sure you can ping the remote peer, or check remote peer
logs for why it is not responding to the client.
Reason 413
User authentication failed.
Either the user entered wrong user authentication information, or the client was not able to launch the XAuth (user authentication) process.
Reason 414
Failed to establish a TCP connection.
The VPN Client was not able to establish the TCP connection for IPSec over TCP connection mode. Please try IPSec over UDP or straight IPSec.
Please look at client logs for details.
Reason 415
A required component PPPTool.exe is not present among the installed client software.
Please make sure that ppptool.exe is present in the client installation directory (this is generally C Program FilesCisco SystemsVPN Client. If this file is
not present, uninstall and reinstall the client.
Reason 416
Remote peer is load balancing.
The peer has advised you to use a different gateway.
Reason 417
The required firewall software is no longer running.
The required firewall is not running.
Reason 418
Unable to configure the firewall software.
The peer sent an unrecognized firewall message.
Reason 419
No connection exists.
This is an unexpected error. Please check client logs for details.
Reason 420
The application was unable to allocate some system resources and cannot proceed.
The system ran out of memory. If you think the system has enough memory, reboot the machine and try again.
Reason 421
Failed to establish a connection to your ISP. Failed to establish a dialup connection.
View the client logs for details.
Reason 422
Lost contact with the security gateway. Check your network connection.
The machine's IP address changed or the machine is no longer connected to the Internet. Note The VPN Client is required to disconnect the VPN tunnel
for security reasons, if the machines IP Address has changed.
Reason 423
Your VPN connection has been terminated.
Either the user disconnected the VPN tunnel, or there was an unexpected error.
Reason 424
Connectivity to Client Lost by Peer.
57
Connection disconnected by the peer. Check the peer logs for details.
Reason 425
Manually Disconnected by Administrator.
Administrator manually disconnected the VPN tunnel.
Reason 426
Maximum Configured Lifetime Exceeded.
The VPN Client exceeded the maximum configured lifetime for a session. This value is configured on the peer (head-end) device.
Reason 427
Unknown Error Occurred at Peer.
Peer disconnected tunnel. Check the peer logs for details.
Reason 428
Peer has been Shut Down.
Peer was shut down.
Reason 429
Unknown Severe Error Occurred at Peer.
Check the peer logs for details.
Reason 430
Configured Maximum Connection Time Exceeded.
VPN Client has been connected for longer than allowed by the peer.
Reason 431
Configured Maximum Idle Time for Session Exceeded.
The VPN connection was idle for longer than the time allowed by the administrator.
Reason 432
Peer has been Rebooted.
The peer has been rebooted.
Reason 433
Reason Not Specified by Peer.
The peer gave no reason for disconnecting the tunnel. Check the peer logs for details.
Reason 434
Policy Negotiation Failed.
Client and peer policies do not match. Try changing peer policies (try using 3DES, AES, and so forth) and then try again.
Reason 435
Firewall Policy Mismatch.
Firewall policies do not match with what was configured by the peer.
Reason 436
Certificates used have Expired.
The certificate used in the connection profile has expired. Update the certificate configured in the client profile, and then try again.
Warning 201
The necessary VPN sub-system is not available. You can not connect to the remote VPN server.
The VPN Client GUI has detected that it cannot communicate with the client service/daemon. The service/daemon may be stopped, hung, or not
running. Communication with the service/daemon may have failed. Uninstall the VPN Client(see Related Information for link) and the anitvirus on the
computer, then reinstall the VPN Client.
Warning 202
If you disable this feature, the %1 will not automatically disconnect your VPN connection when you logoff. As a result, your computer may rema
The user has disabled the Disconnect VPN connection when logging off setting of the Windows Logon Properties dialog.
58
Warning 203
You do not have write privileges for this connection entry. It will be opened read-only.
The user is attempting to modify a connection entry whose file attributes have been set to read only.
Warning 204
The certificate %1 associated with this Connection Entry could not be found. Please select a different certificate or click Cancel.
The user is attempting to modify a connection entry that has a certificate associated with it. But the certificate associated with the profile was not found.
It could be that the certificate lives on a smart card which is not connected to the system right now. Therefore, hitting cancel is a valid option.
Warning 205
You must use a Smart Card with this connection. Please insert the Smart Card before attempting a connection.
This warning means that the current profile requires the use of smart card, and no smart card is present on the system. The user should insert the
correct smart card and should re-connect, or the user should select a different profile to connect.
59
21 FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 und 10.9
Mac OS X 10.6 (Snow Leopard) und 10.7 (Lion) und 10.9 bieten die Möglichkeit zum Aufbau einer ipsec-VPN-Verbindung zum FUNet ohne die
Installation zusätzlicher Software. Unter Systemeinstellungen den Button ?Netzwerk? betätigen und das ?+?-Zeichen für ?Neuen Dienst erstellen?
anklicken. Anschlussart ist VPN, der VPN-Typ Cisco IPSec und der Verbindungsname ist frei wählbar, im Folgenden wurde FUNetMacLion verwendet.
Die Verbindung wird über Erstellen eingerichtet. ? Als Serveradresse wird 132.176.101.101 (webvpn.fernuni-hagen.de) eingetragen, die Angaben für
Accountname und Kennwort sind Ihr üblicher hochschulweiter Benutzername und Ihr persönliches Kennwort. Unter Authentifizierungseinstellungen wird
dann noch ein Gruppenname ? hier FU-VPN-STUD-SPLIT ? gewählt, das zugehörige Shared Secret ist jeweils identisch mit dem Gruppennamen.
Mögliche Gruppen entnehmen Sie bitte der Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml unter Profile. Um auf die
Dienstleistungsangebote der Universitätsbibliothek (Datenbanken, Katalog) zugreifen zu können, sind die Gruppennamen FU-VPN-BIB oder
FU-VPN-BIB-NAT erforderlich.
60
Zusätzlich zur bestehenden Netzwerkverbindung ? hier Ethernet ? wird dann die VPN-Verbindung (FUNetMacLion) gestartet, das Endgerät erhält dann
eine Adresse aus dem FUNet ? hier 132.176.131.91.
61
21.1 Speichern des Passworts
Leider wird u.U. beim Verbinden jedesmal das Passwort abgefragt. Um dies zu über den Schlüsselbund automatisch zu verwenden, muss wie folgt
vorgegangen werden (die Anleitung stammt von Macworld:
1. Öffnen der Schlüsselbund-Applikation (unter Dienstprogramme/Utilities, Schlüsselbund bzw. Key Chain Access)
2. Im Schüsselbund/Keychain "System" findet sich ein Eintrag für die VPN-Konfiguration gleichen Namens, die Art (Kind) des Eintrag ist IPSec
XAuth Password
3. Diesen Eintrag öffnen und im Reiter Access Control eine neue Anwendung eintragen, die Zugriff auf den Eintrag hat. Dazu unten links "+"
drücken. Die Anwendung, die Zugriff benötigt, ist /usr/libexec/configd. Um diese Applikation im Auswahldialog anwählen zu können, muss mit
Befehl-Shift-G der Ordner /usr/libexec ausgewählt werden. Dort kann dann einfach configd selektiert werden.
62
21.2 Authentifizierungsprobleme
Es kann (gerade beim Testen) vorkommen, dass trotz korrekter Eingabe aller Authentifizierungsdaten keine Verbindung aufgebaut werden kann. U.U.
muss dann der Dienst "racoon" neu gestartet werden. Dazu im Terminal mit
ps aux|grep racoon
den Prozess suchen und anschließend mit
sudo kill ###
(wobei ### die Prozessnummer ist) beenden. Der Prozess wird dann automatisch neu gestartet und die Authentifizierung sollte funktionieren.
63
22 Gruppenpasswort wiederherstellen
Das Gruppenpasswort setzen Sie über
Modify/Group Authentication
für den jeweiligen Dialer Eintrag. Er ist immer identisch mit dem Gruppenamen,also im o.g. Fall PW=Group-PW=FU-VPN-STUD-NAT.
Wie komme ich wieder an das Gruppen-Passwort und wo kann ich das gespeicherte User-Passwort ändern bzw. so umstellen, dass ich es wieder per
Hand eintragen kann?
Entfernen Sie im Einwählfenster das Häkchen für die Passwortspeicherung.
Es geht beides auch per Hand, indem Sie die zugehoerige PCF-Datei (FU-VPN-STUD-NAT) editieren und folgende Änderungen machen:
GroupPwd=FU-VPN-STUD-NAT
SaveUserPassword=0
64
23 ICS (Internet Connection Sharing) und VPN-Probleme unter Windows XP
Bei aktiviertem ICS gibt es Probleme bei der Installation der VPN Software. Um den VPN Client dennoch installieren zu können, führen Sie einfach
folgende Schritte aus :
• Rechtsklick auf Arbeitsplatz
• im Kontextmenü Linksklick auf Verwalten
• In der Computerverwaltung gehen Sie in Dienste und Anwendungen und im nächsten Fenster dann in Dienste.
• Klicken Sie dort mit der rechten Maustaste auf "Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung" und wählen Sie
Eigenschaften.
• Unter der Kategorie Allgemein wählen Sie den Starttyp Deaktivieren und bestätigen anschließend mit Ok
• Starten Sie den PC neu
Danach sollten Sie den VPN Client problemlos installieren können.
65
24 Installation des VPN-Clients unter iOS (iPhone, iPad, iPod touch)
Das Cisco-VPN-Protokoll wird direkt von iOS (mindestens ab Version 3) unterstützt. Es ist demnach nicht nötig, eine App zu installieren.
Zur Konfiguration gehen Sie wie folgt vor:
Starten Sie das Programm ?Einstellungen? und wählen Sie dort nacheinander ?Allgemein?, ?Netzwerk?, ?VPN? und ?VPN hinzufügen?.
Abb. 1: Konfiguration der Authentifizierung
Am oberen Rand der Konfigurationsseite selektieren Sie ?IPSec?. Daraufhin füllen Sie das Formular darunter aus:
• Unter ?Beschreibung? geben Sie der zu erstellenden Verbindung einen Namen. (Das Feld fehlt im Screenshot, da dort eine bestehende
Verbindung bearbeitet wird.)
• Unter ?Server? geben Sie die IP-Adresse 132.176.101.101 ein.
• Unter ?Account? geben Sie Ihren FernUni-Loginnamen ein.
• Unter ?Kennwort? können Sie Ihr Kennwort speichern. Wenn Sie dies aus Sicherheitsgründen nicht tun, werden Sie bei jedem
Verbindungsaufbau nach Ihrem Passwort gefragt.
• Unter ?Gruppenname? und ?Shared Secret? geben Sie jeweils "FU-VPN-STUD-NAT" ein. (Tipp: Geben Sie den Text zunächst unter
?Gruppenname? ein und kontrollieren Sie, dass Ihnen kein Tippfehler unterlaufen ist. Dann können Sie die Eingabe markieren, kopieren und
im Feld ?Shared Secret? einfach einfügen.)
(Randnotiz: Neben der Eingabe der Daten direkt auf dem iPhone besteht auch die Möglichkeit, am Mac/PC mit dem kostenlosen Apple
iPhone-Konfigurationsprogramm ein Konfigurationsprofil zu erstellen und per E-Mail ans iPhone zu senden.)
Abb. 2: VPN aktivieren/deaktivieren
Nach der Einrichtung können Sie nicht nur im VPN-Untermenü des Einstellungen-Programms, sondern auch direkt auf der Startseite der Einstellungen
VPN jederzeit aktivieren oder wieder deaktivieren.
Wenn VPN aktiv ist, wird der Status auch außerhalb des Programms ?Einstellungen? in der Statusleiste am oberen Bildschirmrand angezeigt.
66
25 Installation des VPN-Clients unter Kubuntu Linux 7.04 (feisty)
Wir bitten um Ihr Verständnis, dass wir nicht alle aktuellen Linux-Distributionen berücksichtigen können. Unsere Beschreibungen beziehen sich auf
Kubuntu Linux in der Version 7.04 (Feisty Fawn), eine besonders einfach zu benutzende Linux-Distribution, die Sie kostenlos als ISO-Datei von
http://www.kubuntu.org/ herunterladen, oder sich kostenlos von https://shipit.kubuntu.org/ als CD-ROM bestellen können.
Unter Kubuntu Linux können Sie den freien VPN-Client Kvpnc über die Paketverwaltung (apt) installieren. Sie haben dazu grundsätzlich zwei
Möglichkeiten:
Über die Kommandozeile
Öffnen sie ein Konsole-Fenster (K-Menü -> System -> Konsole) und tippen Sie dort: sudo apt-get install network-manager-vpnc kvpnc Gegebenenfalls
werden Sie zur Eingabe ihres Anmeldekennworts aufgefordert. Die Anwendung wird anschließend automatisch heruntergeladen und installiert.
Über die grafische Benutzeroberfläche
Starten Sie das Adept-Installationsprogramm (K-Menü -> Programme hinzufügen/entfernen). Sie werden gegebenenfalls zur Eingabe Ihres
Anmeldepassworts aufgefordert. Im oben sichtbaren Suchfeld tippen sie ?vpnc? ein.
Markieren Sie beide Suchergebnisse, so dass sich ein Häkchen neben ihnen befindet (siehe Abbildung). Nach einem Klick auf ?Änderungen
anwenden? wird der VPN-Client automatisch heruntergeladen und installiert.
Installieren der Konfigurationsdatei für Kvpnc
Nach der Installation von Kvpnc muss nun noch unsere vorgefertigte Konfigurationsdatei (kvpncrc) installiert werden. Laden Sie sich die Datei in Ihr
Homeverzeichnis herunter (Rechtsklick auf die Datei -> Ziel speichern unter...). Öffnen Sie danach bitte ein Konsolenfenster (K-Menü -> System ->
Konsole) und gehen Sie anschließend wie folgt vor:
1. Löschen Sie die alte Konfigurationsdatei von Kvpnc, dies geschieht mit dem Befehl:
sudo rm /root/.kde/share/config/kvpncrc
2. Kopieren Sie die Datei im Anhang in das vorherige Verzeichnis, setzen Sie die Rechte der Datei so, dass Kvpnc sie lesen und schreiben kann:
sudo cp ~/kvpncrc /root/.kde/share/config/ sudo chmod 0600 /root/.kde/share/config/kvpncrc sudo chown root:root /root/.kde/share/config/kvpncrc
3. Bei der ersten Verbindung mit Kvpnc werden Sie aufgefordert, das Gruppenpasswort einzugeben. Die Gruppenpasswörter lauten wie folgt:
Gruppe: FU-VPN-STUD-NAT Passwort: FU-VPN-STUD-NAT
Gruppe: FU-VPN-STUD-SPLIT-NAT Passwort: FU-VPN-STUD-SPLIT-NAT
Gruppe: FU-VPN-BIB-NAT Passwort: FU-VPN-STUD-NAT
Mit dem Benutzernamen und dem Benutzerpasswort ist ihr gewöhntlicher FernUni-Account (q1234567) gemeint.
Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT verwenden. Der Zusatz SPLIT deutet jeweils
darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung von lokalen
Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Arbeiten mit dem Kvpnc Der Kvpnc kann über das K-Menü (Internet -> Kvpnc) gestartet werden.
67
Wählen Sie im Fallmenü neben ?Profil? das gewünschte Profil aus, und klicken Sie auf ?Verbinden?. Geben Sie im sich öffnenden Dialog Ihren
Benutzernamen im Format q1234567 und das zugehörige Passwort ein, belassen Sie aber bitte das Gruppen-Passwort auf jeden Fall auf dem
voreingestellten Wert. Anschließend wird die VPN-Verbindung zum FernUniversitäts-Netzwerk aufgebaut. Hinweis: Falls Sie es versehentlich doch
einmal überschreiben, geben Sie als Gruppen-Passwort den Namen des jeweiligen Profils neu ein.
68
26 Installation des VPN-Clients unter Mac OS 10.4 (Tiger)
Ab Mac OS X 10.6 wird das Cisco-VPN-Protokoll direkt vom Betriebssystem unterstützt, der hier beschriebene Cisco-Client kann dort nicht mehr
installiert werden. Ab 10.6 (Snow Leopard) ist eine eigene Installationsanleitung unter FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 zu finden.
Laden Sie die Installations-Datei herunter.
Klicken Sie bitte auf die heruntergeladene Datei und öffnen Sie den Ordner ?CiscoVPNClient? auf Ihrem Schreibtisch. Im sich öffnenden Finder-Fenster
befindet sich das Paket ?Cisco VPN Client.mpkg?, mit dem die Installation gestartet wird.
Befolgen Sie die Anweisungen der Installationsroutine. Im Verlauf werden Sie aufgefordert, die Vertrauenswürdigkeit des Pakets zu bestätigen. Klicken
Sie in diesem Dialog daher auf ?Fortfahren?. Die folgenden Lizenzbedingungen müssen akzeptiert werden. Wählen Sie daraufhin das
Installationsvolume aus (meist ?Macintosh HD?) aus. Auf diesem Laufwerk wird der Client anschließend installiert. Folgen Sie anschließend den
weiteren Anweisungen der Installationsroutine.
Nach der Installation steht im Ordner ?Programme? der VPNClient zur Verfügung. Starten Sie das Programm per Doppelklick, es öffnet sich nun das
Hauptfenster des Clients. Durch Doppelklick auf eine der Verbindungseinträge (?Connection Entry?) wird anschließend eine VPN-Verbindung zum
FernUniversitäts-Netzwerk hergestellt.
69
Die Unterschiede der einzelnen Profile finden Sie in der folgenden Tabelle erläutert:
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
FU-VPN-STUD-SPLIT
FU-VPN-STUD-SPLIT-NAT
Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT verwenden. Der Zusatz SPLIT deutet jeweils
darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung von lokalen
Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Die VPN-Verbindung wird im Anschluss durch Klicken auf die Schaltfläche Connect hergestellt. Die Authentifizierung erfolgt wie üblich über den
hochschulweiten Account und dem zugehörigen Passwort.
70
27 Linux: VPN Client und Profildateien
27.1 Software
In gängigen Linux-Distributionen sind Cisco-kompatible VPN-Klienten vorhanden. Es ist also nicht nötig, einen der VPN-Klienten von Cisco zu
installieren, sondern man kann einfach einen der passenden VPN-Klienten der Distribution mit Hilfe der Paketverwaltung (sei es RPM oder DEB)
installieren. Man hat dabei die Wahl zwischen vpnc und openconnect.
Die Installation aus den Archiven der Distribution hat Vorteile: Der VPN-Klient ist dann gut in den grafischen NetworkManager integriert. Außerdem ist er
für die vorhandene Architektur optimiert und nicht lediglich für i386 compiliert. Vor allem aber werden Security- und Bug-Fixes beim Systemupdate
eingespielt und man muss sie nicht zusätzlich von Cisco holen. Zudem verweist die Website von openconnect auf mehrere Sicherheits-Vorteile.
Unter Ubuntu oder Debian verwendet man zur Installation den grafischen Paketmanager oder gibt Folgendes an der Kommandozeile ein:
$ sudo aptitude install vpnc
bzw.
$ sudo aptitude install openconnect
Dies sind die VPN-Klienten für die Kommandozeile. Wenn man eine Integration in die grafische Oberfläche will, muss man entsprechende Plugins für
den NetworkManager installieren:
$ sudo aptitude install network-manager-vpnc
bzw.
$ sudo aptitude install network-manager-openconnect
27.2 vpnc
27.2.1 Profil-Dateien und Aufruf von vpnc
Für die VPN-Verbindung zur FernUni benötigt vpnc eine auf .conf endende Profil- oder Konfigurationsdatei im Verzeichnis /etc/vpnc/, also zum
Beispiel /etc/vpnc/fernuni.conf, oder allgemein /etc/vpnc/PROFILNAME.conf.
Der Klient wird dann mit folgendem Kommando gestartet und die VPN-Verbindung aufgebaut:
$ sudo vpnc fernuni
Oder allgemeiner:
$ sudo vpnc PROFILNAME
Die Dateien /etc/vpnc/default.conf bzw. /etc/vpnc.conf sind zur Definition eines default-Profils vorgesehen. Der Verbindungsaufbau kann
dann einfach mit $ sudo vpnc vorgenommen werden. Weitere Informationen auch über alternative Orte für Konfigurationsdateien findet man auf der
man-Page von vpnc. Sie wird an der Kommandozeile aufgerufen mit
$ man vpnc
27.2.2 Inhalt der Profildatei
Was aber muss denn drinstehen in so einer Konfigurationsdatei? Es können nicht einfach die pcf-Dateien verwendet werden, die die Fernuni zur
Verfügung stellt, z.B. [1]. Der Grund: Die Konfigurationsparameter von vpnc haben andere Namen als die des proprietären Cisco-VPN-Klienten. Es gibt
aber glücklicherweise ein Programm, das Cisco's pcf-Dateien konvertieren kann, pcf2vpnc.
$ whatis pcf2vpnc
pcf2vpnc (1)
- converts VPN-config files from pcf to vpnc-format
Dieser Konverter wird bei der Installation von vpnc gleich mitinstalliert. Zum Beispiel wird das Zugangsprofil für Studierende und MitarbeiterInnen mit
privatem Netzwerk ohne split-Tunneling folgendermaßen konvertiert:
$ pcf2vpnc fu_vpn_stud_nat.pcf
## generated by pcf2vpnc
IPSec ID FU-VPN-STUD-NAT
IPSec gateway 132.176.101.101
IPSec secret FU-VPN-STUD-NAT
Xauth username riess
IKE Authmode psk
Diese Ausgabe von pcf2vpnc ist jetzt in einer Konfigurationsdatei, z.B. in /etc/vpnc/fernuni.conf zu speichern und dabei 'riess' durch den
sprechenden Benutzernamen zu ersetzen. Das geht mit dem Editor Ihrer Wahl oder einfach von der Kommandozeile:
$ sudo sh -c 'pcf2vpnc fu_vpn_stud_nat.pcf | sed s/riess/BENUTZERNAME/ > /etc/vpnc/fernuni.conf'
Man kann die Zeile Xauth username BENUTZERNAME übrigens auch fortlassen. Dann wird man bei Aufbau des VPN-Tunnels nach einem
Benutzernamen gefragt.
Für die anderen pcf-Dateien geht man entsprechend vor.
71
27.2.3 Herstellen und Trennen der Verbindung von der Kommandozeile
Nach der Konfiguration kann die Verbindung folgendermaßen aufgebaut werden:
$ sudo vpnc fernuni
Enter password for [email protected]:
VPNC started in background (pid: 17370)...
Jetzt ist der Rechner Teil des Netzes der Fernuni. Wer sich im Internet auf entsprechenden Seiten seine IP-Nummer anzeigen lässt, wird eine IP aus
dem Range der Fernuni sehen: 132.176.0.0.
Deaktiviert wird die Tunnelung über VPN durch
$ sudo vpnc-disconnect
Terminating vpnc daemon (pid: 17370)
Wer möchte, kann sich auch die routing-Tabelle des Kernels ansehen. Sie sollte ungefähr so aussehen:
$ sudo vpnc fernuni
Enter password for [email protected]:
VPNC started in background (pid: ...
$ sudo route
Kernel IP routing table
Destination
Gateway
Genmask
Flags
default
*
0.0.0.0
U
vpn-public-r1.f 192.168.0.1
255.255.255.255 UGH
132.176.134.0
*
255.255.255.0
U
localnet
*
255.255.255.0
U
Metric
0
0
0
0
Ref
0
0
0
0
Use
0
0
0
0
Iface
tun0
eth0
tun0
eth0
Das besagt Folgendes: Zeile 1: Jedes Paket mit Ziel Internet wird über den Tunnel tun0 geschickt. Zeile 2: Pakete mit Ziel
vpn-public-r1.f[...ernuni-hagen.de] (= 132.176.101.101), also mit Ziel Tunnel-Endpunkt gehen über die Netzwerkschnittstelle eth0 und den Gateway
192.168.0.1 (einen Router im lokalen Netz); diese Route ist ein Gateway (G-Flag). Zeile 3: Pakete mit einem Ziel im Fernuni-IP-Range 132.176.134.0
gehen auch über tun0. Zeile 4: Pakete für das lokale Netzwerk gehen über die Netzwerkschnittstelle eth0. - Wer mehr davon verstehen will, lese unter
[2] nach.
27.2.4 Integration in den NetworkManager (Gnome)
Wer eine Integration in den grafischen NetworkManager bevorzugt, installiere das Paket network-manager-vpnc wie oben beschrieben. Dieses
Plugin für das NetworkManager-Framework stellt eine komfortable grafische Schnittstelle zum oben beschriebenen vpnc zur Verfügung. vpnc wird bei
der Installation des Plugins durch die Paketverwaltung übrigens automatisch mitinstalliert. Erfahrungsberichte über eine Verwendung des
NetworkManagers finden sich unter Ubuntu_und_VPN.
27.2.5 Integration mittels kvpnc (KDE)
Alternativ kann man auch das grafische Frontend für vpnc von KDE nehmen. Eine Beschreibung findet sich unter
Installation_des_VPN-Clients_unter_Kubuntu_Linux_7.04_(feisty).
27.3 openconnect
Mit openconnect ist die Herstellung eines VPN-Tunnels sehr einfach. Nach Eingabe des Befehls wird man aufgefordert, ein Profil auszuwählen und
Benutzernamen und Passwort anzugeben:
$ sudo openconnect https://webvpn.fernuni-hagen.de -b
Attempting to connect to 132.176.101.101:443
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/
Got HTTP response: HTTP/1.0 302 Object Moved
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Please enter your username and password.
GROUP: [FeU-Hagen-SSL|FeU-Hagen-SSL-VPN-Split|FeU-Hagen-SSL-VPNLLA|FeU-Personal|HomeIPPhone|IPPhone|Reserviert]:FeU-Hagen-SSL
Username:lueck
Password:
POST https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 30, Keepalive 20
Connected tun0 as 132.176.134.98, using SSL
Continuing in background; pid 20999
Established DTLS connection
Mit der Option -b wird der Client als Hintergrundprozess gestartet. Wenn man den VPN-Tunnel wieder abschalten möchte, beendet man nicht einfach
brachial den Prozess, sondern sendet ihm statt SIGTERM besser SIGINT. Das beendet den Prozess sauber und es werden die vorherigen
Netzwerk-Einstellungen wiederhergestellt. Also:
$ sudo kill -SIGINT 20999
Send BYE packet: Client received SIGINT
Wer die Handhabung der Prozess-IDs (hier 20999) scheut, der hat folgende Möglichkeiten: Man kann openconnect ohne die Option -b aufrufen, um
den Tunnel aufzubauen, und mit der Tastenkombination 'Strg' + 'c' den Prozess und den VPN-Tunnel beenden (sendet auch SIGINT). Oder man kann
auf den konfortablen NetworkManager zurückgreifen.
27.3.1 Integration in den grafischen NetworkManager
Wer die Verwaltung des Netzwerks unter Gnome o.ä. vorzieht, der installiere das openconnect-Plugin für den NetworkManager:
network-manager-openconnect.
72
27.4 Fehlerbehebung
27.4.1 Internet wie tot - keine Namensauflösung
Wird ein VPN-Tunnel unsauber beendet wird, kann es zu dem unangenehmen Problem kommen, dass beim Surfen im Netz keine URLs mehr gefunden
(aufgelöst) werden. Das liegt unter Umständen daran, dass die Konfiguration der Namensauflösung nicht wieder hergestellt worden ist, sondern noch
wie beim Betrieb des VPN-Tunnel konfiguriert ist. In der Datei /etc/resolv.conf stehen dann noch die Nameserver der Fernuni und nicht der/die
Nameserver des Internet-Service-Providers (ISP) bzw. die Adresse des Routers im Heimnetz. Die Datei sieht dann ungefähr so aus:
$ cat /etc/resolv.conf
#@VPNC_GENERATED@ -- this file is generated by vpnc
# and will be overwritten by vpnc
# as long as the above mark is intact
search homelinux.org fernuni-hagen.de
nameserver 132.176.129.201
nameserver 132.176.129.203
Eine intakte /etc/resolv.conf bei Betrieb des Rechners hinter einem wlan-Router mit lokalem Netzwerk, wobei dieser Router auch als Nameserver
(Weiterleitung vom ISP) dient, sieht eher so aus:
$ cat /etc/resolv.conf
search homelinux.org
nameserver 192.168.0.1
(Anmerkung: homelinux.org ist bei mir die lokale Domain, das ist beliebig und nicht aussagekräftig.)
vpnc erstellt glücklicherweise ein Backup der ursprünglichen Datei unter /var/run/vpnc/resolv.conf-backup. Mit Hilfe dieses Backups muss
/etc/resolv.conf dann manuell wieder hergestellt werden (kopieren). Ein Neustart des Systems hilft hingegen nicht.
Dieses Problem taucht bei Verwendung von vpnc schon einmal auf, wenn der Tunnel aufgrund von Störungen des ISP oder bei der Fernuni
zusammenbricht.
73
28 MacOS: Update des Cisco VPN-Clients
Ein Lesertipp:
Beim Updat des Cisco VPN-Clients hatte ich Probleme mit dem Starten des Programms. Ich bekam die Fehlermeldung, wie sie unter
http://forums.macosxhints.com/showthread.php?t=35555
beschrieben ist. Dortige Anleitung (ausführen von /usr/local/bin/vpn_uninstall) hat bei mir die erwünschte Lösung gebracht. Vielleicht können Sie den
Tipp ja auf die Seiten der Fernuni übernehmen.
Mit freundlichen Grüßen
Jens von Pilgrim
Amerkung des Helpdesks: Das machen wir gerne:-)
74
29 Performance-Probleme beim Zugriff auf Server-Laufwerke via VPN
Bei den Einstellungen des VPN-Clients gibt es die Möglichkeit, die Größe der übertragenen Frames einzustellen. Rufen Sie aus der
VPN-Client-Programm-Gruppe die Funktion Set-MTU auf und setzen Sie die MTU Options fuer die Netzwerkverbindung auf 1300, vielleicht hifts...
75
30 Portsperrungen
30.1 Port Sperrung im Internet
Der Schutz des lokalen Netzes erfolgt in zwei Stufen. Den ungeschützten Bereich bildet ein Ethernet mit Routern zum Telefon- und ISDN-Netz, sowie
dem Internet. Auf dem Router zum Intranet (FUNet ) erfolgt die Sperrung von Ports. Zugelassen werden nur unbedingt benötigte Dienste.
Innerhalb des FUNet wird der SLO-Bereich durch eine zusätzliche Firewall geschützt.
30.1.1 Access-Control-Listen am X-WiN-Router
Die Beschränkung der Protokolle auf dem WiN-Router (Internet-Zugang), wie sie von anderen Universitäten praktiziert wird, ist durchaus sinnvoll und
wird bisher in Einzelfällen (Mail) und temporär zur Gefahrenabwehr auch an der FernUniversität schon praktiziert.
Viele Protokolle sind bei der Kommunikation zum Internet nicht erforderlich, bieten aber Angreifern Ziele, über die Systeme kompromittiert oder Dienste
ausgeschaltet werden können oder der Netzverkehr gestört werden kann.
Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren
und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt,
der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen
obsolet machen.
Einwahlen über die Access-Router sind von dieser Maßnahme nicht betroffen
Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt.
Bei der zugelassenen Richtung bedeutet ein den eingehenden Verkehr vom Internet, während mit aus der ausgehende Verkehr zum Internet gemeint
ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden.
Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste:
Port
Beschreibung
Rechner
Zugelassene Richtung(en)
20/tcp
FTP-DATA
alle
ein/aus
21/tcp
FTP
alle
aus
21/tcp
FTP - anonymous
anonymous FTP-Server
ein
22/tcp
SSH
alle
ein/aus
23/tcp
Telnet
alle
aus
25/tcp
SMTP
(relayfeste) Mailserver
aus
43/tcp
WHOIS
alle
aus
53/tcp+udp DNS
DNS-Server
ein/aus
79/tcp
FINGER
alle
aus
80/tcp
HTTP
alle
ein/aus
110/tcp
POP3
alle
ein/aus
119/tcp
NNTP
alle (ausser news.fernuni-hagen.de) ein/aus
123/tcp
NTP
NTP-Server
ein/aus
143/tcp
IMAP
alle
ein/aus
443/tcp
HTTPS
alle
ein/aus
465/tcp
SMTP over TLS/SSL alle
ein/aus
500/udp
ISAKMP
alle
ein/aus
554/tcp+udp RTSP
alle
ein/aus
587/tcp
Message Submission alle
ein/aus
389/tcp
LDAP
alle
aus
636/tcp
LDAPS
alle
aus
993/tcp
IMAPS
alle
ein/aus
Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den
MS SQL Server) gesperrt.
76
31 Probleme beim Zugriff auf Imperia
Wenn Sie Probleme haben Imperia zu erreichen, kann es an einem alten Bookmark Ihres Browsers liegen.
Sie sollten folgenden Link benutzen:
http://imperia.fernuni-hagen.de/
Außerdem ist der Server imperia.fernuni-hagen.de nur aus dem FernUni-Netz erreichbar, also bei "Fremdprovider"-Zugang VPN oder WEBVPN nutzen.
77
32 Probleme mit anyconnect
Folgende Fehler könnten im Zusammenhang mit der Verwendung von anyconnect auftreten:
• 1 The VPN client agent was unable to create the interprocess communication depot
• 2 Failed to install Anyconnect Secure Mobility Client
32.1.1 The VPN client agent was unable to create the interprocess communication depot
32.1.2 Failed to install Anyconnect Secure Mobility Client
Beim Starten des AnyConnect-clients kann folgende Fehlermeldung auftreten:
Dann ist eine Neuinstallation erforderlich. Rufen Sie die Seite https://webvpn.fernuni-hagen.de auf und betätigen Sie den Link "Start AnyConnect".
Die oben gezeigte Fehlermeldung mit ok bestätigen und der Installation folgen.
78
Ist die web-basierte Installation fehlerhaft, bitte auf der Seite mit der entsprechenden Meldung ? wie beschrieben ? dem Link: "Windows7/Vista/64/XP"
folgen. Danach die Datei anyconnect-win-3.0.0629-web-deploy-k9.exe ausführen. Die Setup-Routine des AnyConnect Secure Mobile Client wird dann
durchlaufen(next, accept/next,install,finish). Zwischenzeitliche Sicherheitshinweise (Zertifikate/?Trusted Sites?) ignorieren. Danach können Sie den
Client starten:
79
33 Profile fehlen
Die Profil-Dateien (.pcf-Dateien) finden Sie unter:
http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml
Empfehlenswert wäre der Umstieg auf die aktuelle Version des VPN-Clients, der auch alle neuen Gruppenprofile enthält. Den aktuellen Client in der
Version 5.0 für Win XP, 2000, 2003 Server und Vista gibt es ebenfalls unter dem obigen Link.
Zum Herunterladen des Clients benötigen Sie Ihren Fernuni-Account
80
34 Profile importieren
Die Fernuni-VPN-Profile können unabhängig vom Betriebssystem in den Cisco-VPN-Clients ?importiert? werden.
Im Client können mehrere VPN-Profile gleichzeitig hinterlegt werden.
Die Profile (pcf-files) sind auf unseren VPN-Webseiten verlinkt:
http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml
81
35 Profilgruppen und ihre Bedeutung
Die Gruppenprofile sind für folgende Einsatzzwecke eingestellt:
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT
FU-VPN-STUD-SPLIT
FU-VPN-STUD-SPLT-NAT
Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
82
36 Roaming mit Fernuni-Account
Institutionen, die am DFN-Roaming- oder eduroam-Programm des DFN-Vereins (http://www.dfn.de/dienstleistungen/dfnroaming/ ) teilnehmen, bieten
den Angehörigen anderer Teilnehmerinstitutionen in der Regel einen WLAN-Zugang mit dem jeweiligen Heimataccount an. Bei der Konfiguration ist den
Anweisungen der jeweiligen Einrichtung zu folgen.
Sollte der Verbindungsaufbau zum WLAN funktionieren, aber die Anmeldung mit dem Account in der Form
[email protected]
Probleme bereiten, kann das bedeuten, dass Ihre Windows-Bordmittel ? die Funktionalität mit der Drahtlosnetzwerke eingerichtet werden ? die
Passworte nicht in der benötigten Form übermitteln.
Wir können dann zunächst klären, ob die Authentifizierungsanfrage hier in Hagen auf unserem Server ankommt. Dazu benötigen wir
• Ihren Account und
• eine ungefähre Zeitangabe zum Verbindungsaufbauversuch.
Wenn wir bestätigen können, dass die Anfrage in Hagen landet, aber nicht korrekt verarbeitet werden kann, kommen Sie nicht um die Installation einer
Zusatzsoftware (TTLS-Client) herum. Beispielhaft ist hier etwa der von vielen Universitäten genutzte SecureW2 TTLS-Client (http://www.securew2.com)
Leider können wir diese Software aus lizenzrechtlichen Gründen nicht selber zum Download anbieten.
(Duisburg/Esssen)
?Wie kann eduroam genutzt werden? Um eduroam nutzen zu können müssen Sie auf Windows-Systemen einmalig den Secure-W2 Client auf
Ihrem Notebook installieren und konfigurieren."
(TU-Berlin)
?Alternativ gibt es die Möglichkeit, den regulären WLAN-Zugang über das eduroam-Netz durch eine Softwareclient-Installation und eine
anschließende Konfiguration zu realisieren.?
Folgen Sie bitte der Vorgehensweise die auf den Seiten der von Ihnen besuchten Einrichtung beschrieben ist und verwenden Sie als Benutzernamen
[email protected]. Für weitere Fragen wenden Sie sich bitte an den Helpdesk der FernUniversität in Hagen, nicht an die Kollegen
der Einrichtung vor Ort.
83
84
85
86
87
88
89
90
91
92
93
94
95
96
37 Routerprobleme analysieren
Wenn Sie versuchen, die Verbindung zum FernUni-VPN-Gateway herzustellen, muss zunächst vorher eine Providerbindung bestehen und Ihr Endgerät
vom WLAN-Router eine - typischerweise private - IP-Adresse bekommen haben.
In der "DOS-BOX" können Sie die Adresse mit dem folgenden Befehl ansehen:
C:\>ipconfig
Windows-IP-Konfiguration
Ethernetadapter Drahtlose Netzwerkverbindung:
Verbindungsspezifisches DNS-Suffix: FernUni-Hagen.de
IP-Adresse. . . . . . . . . . . . : 172.16.128.13
+++++++ diese Adresse (natürlich ggf. mit anderen Zahlen) bekommen Sie vom WLAN-Router +++++
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 172.16.128.254
Ethernetadapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Bei bestehender Provider-Verbindung sollten Sie dann inder Lage sein, das Hagener Gateway zu erreichen:
C:\>ping 132.176.101.101
Ping wird ausgeführt für 132.176.101.101 mit 32 Bytes Daten:
Antwort
Antwort
Antwort
Antwort
von
von
von
von
132.176.101.101:
132.176.101.101:
132.176.101.101:
132.176.101.101:
Bytes=32
Bytes=32
Bytes=32
Bytes=32
Zeit=6ms
Zeit=2ms
Zeit=3ms
Zeit=2ms
TTL=127
TTL=127
TTL=127
TTL=127
Ping-Statistik für 132.176.101.101:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 2ms, Maximum = 6ms, Mittelwert = 3ms
Den Weg dorthin koennen sie "tracen":
C:\>tracert 132.176.101.101
Routenverfolgung zu VPN-public-r1.fernuni-hagen.de [132.176.101.101] über maximal 30 Abschnitte:
1 2 ms 3 ms 3 ms 172.16.128.251
2 2 ms 2ms 2 ms VPN-public-r1.fernuni-hagen.de[132.176.101.101]
Ablaufverfolgung beendet.
Wenndas alles funktioniert rufen Sie bitte den VPN-Client auf und bauen eine Verbindung zum Gateway auf. Wenn Sie die Gruppe FU-VPN-STUD mit
gleich lautendem Passwort verwenden, wird sämtlicher IP-Verkehr über das Hagener Gateway geleitet, das sollte auf jeden Fall funktionieren.
97
38 Routerprobleme mit VPN
Bei Problemen mit Routern und VPN können folgende Problemursachen in Frage kommen:
Problemursache #1: eigene Firewall. Der Router könnte eine Firewall besitzen. Bei Problemen diese kurzzeitig mal abschalten.
Problemursache #2: Die Firewall vom Router ist ausgeschaltet - kann ich da sonst noch was ein-/umstellen?
Das Problem ist bei solchen privaten Netzen mehr das Routing (mit NAT) an sich, weil der DSL-Router keine Ahnung hat, an welchen Rechner er die
Pakete weiterleiten soll. Man kann höchstens den Eintrag "FU-VPN-Zugang mit NAT (private Netze)" ausprobieren; der sollte theoretisch immer
funktionieren, weil der nur eine TCP-Verbindung verwendet, mit der jeder Router fertig werden müsste. Alternativ kann man z.B. auch den Split-Zugang
benutzen, wenn vorher in den Einstellungen "Enable Transport Tunneling" und "IPSec over TCP" mit TCP Port 3500 eintragen wurde.
Zusätzlich sollt man prüfen, ob der Router Pakete auf den Ports 500 und 3500 wirklich durchlässt, diese Ports werden für die Aushandlung der
Verschlüsselung und den Datenverkehr benötigt.
98
39 UB-Datenbanken: hier WISO-NET und Absatzwirtschaft
1. WISO-NET WIWI
Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Möglichkeiten sich ins Uni-Netz anzumelden bzw. die
entsprechende Datenbank aufzurufen.
Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie
für diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es über den VPN-Client mit der Gruppe FU-VPN-STUD-NAT
(siehe 2.)
2. Zu BGH-Edition
a.) die BGH-Edition ist eine sogenannte Ica-Datenbank. Das heißt, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client* (ica32t.exe) laden Sie
von unserer Web-Seite auf Ihren PC.
Sie finden den ICA Web Client auf der UB-Downloadseite http://www.ub.fernuni-hagen.de/download/index.html
Die ica32t.exe ausführen. Alle Anfragen übernehmen. Browser schließen und wieder öffnen und das PlugIn ist eingerichtet.
b.) jede ICA-Datenbank wie die BGH-Edition braucht zur Nutzung den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Wir verweisen an dieser Stelle
auf den Anyconnect-Client und auf die ZMI-Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml . Dort finden Sie eine Anleitung zur
Installation und Einrichtung der VPN-Clients.
Im Prinzip gilt das oben Gesagte auch für andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro,
[email protected]
99
40 VPN Probleme bei Vista
Fehlermeldung: ?Reason 442: Failed to enable virtual adapter.?
Bitte beachten: Die folgende Anleitung bezieht sich ausschließlich auf die genannte Fehlermeldung.
Zu beachten ist, dass jeder Schritt dieser Anleitung sorgfältig ausgeführt werden muss. Der Computer muss dabei mehrmals neu gestartet werden, da
der Cisco VPN-Client sich tief ins System einklinkt. Überspringen Sie in dieser Anleitung keinesfalls die Aufforderung, den Rechner neu zu starten.
Start - Systemsteuerung - Netzwerk und Internet - Netzwerk- und Freigabecenter - Netzwerkverbindungen verwalten - LAN Verbindung 2 (Prüfen 3.
Zeile: Cisco Systems VPN Adapter) rechte Maustaste - Diagnose - Den Netzwerkadapter "LAN-Verbindung 2" zurücksetzen.
Öffnen Sie die Eingabeaufforderung (Start - bei Suche starten cmd eingeben) und geben Sie folgenden Befehl ein (am besten per "Copy and Paste")
reg add HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v ArpRetryCount /t REG_DWORD /d 0 /f
Danach den Rechner neu starten.
Nur für Windows Vista: Behebung eines Konflikts mit der Systemdatei IpHlpAPI.DLL
• Download der aktuellen Version des Deterministic Network Enhancer: http://www.deterministicnetworks.com/tgdownload.asp
• Fehlerhafte Installation korrigieren. Starten Sie die Kommandozeile als Administrator (Start, Alle Programme,Zubehör: Rechtsklick auf
Eingabeaufforderung: Als Administrator ausführen). Geben Sie einzeln folgende Befehle ein und drücken Sie anschließend jeweils die
Eingabetaste: net localgroup Users /add net localgroup INTERACTIVE /add. Starten Sie den Computer neu.
Hintergrund: Die Installationsroutine wird aufgrund einer fehlerhaften Lokalisation nicht richtig abgeschlossen und wird bei jedem Neustart des
Computers im Hintergrund aktiv. Dadurch verzögert sich der Start von Vista merklich und vor allem wird dadurch das Betriebsystem instabil.
• Deinstallation des Clients. Deinstallieren Sie den VPN-Client (Start Systemsteuerung Programme: Programm deinstallieren: Wählen Sie den
Cisco VPN-Client aus und deinstallieren Sie ihn). Starten Sie den Computer neu.
• Update des Deterministic Network Enhancers (DNE) Installieren Sie das heruntergeladene Programm Deterministic Network Enhancer.
Starten Sie den Computer neu.
• Installation des VPN-Clients. Installieren Sie bitte möglichst eine aktuelle Version des VPN-Clients (wenigstens Version 5.0.01.xxx). Starten
Sie anschliessend den Rechner neu.
• Deaktivieren des IPv6-Protokolls. Deaktivieren Sie bei sämtlichen Netzwerkadaptern das IPv6-Protokoll und die Netzwerkfreigabe (Start,
Systemsteuerung Netzwerk und Internet Netzwerkstatus und -aufgaben anzeigen: Netzwerkverbindungen verwalten: (für jeden
Netzwerkadapter einzeln) Rechtsklick auf Adapter. Eigenschaften: Häkchen bei "Internetprotokoll Version 6 (TCP/IPv6)" entfernen. Im selben
Dialogfenster auf den Karteireiter "Freigabe" klicken und sicherstellen, dass kein Häkchen gesetzt ist. Anschließend auf OK klicken.).
Hintergrund: Der IPv6-Dienst ist standardmäßig installiert und aktiv, wird aber noch kaum genutzt. Jedoch verursacht er einen Konflikt mit dem
VPN-Client.
• ARP- Announcement deaktivieren. Starten Sie die Kommandozeile als Administrator (Start, Alle Programme, Zubehör: Rechtsklick auf
Eingabeaufforderung: Als Administrator ausführen). Geben Sie folgenden Befehl ein und drücken Sie anschließend die Eingabetaste: reg add
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v ArpRetryCount /t REG_DWORD /d 1 /f.
Hintergrund: Cisco empfiehlt zwar genau das Gegenteil, jedoch gibt es dann Kollisionen bei der Initialisierung des virtuellen Adapters (Ghosts). Starten
Sie den Rechner neu.
100
41 Windows 7
Mit dem Client AnyConnect (ssl-client) von Cisco funktioniert der VPN-Zugang jetzt auch für Vist 64/Windows 7. Hier https://webvpn.fernuni-hagen.de
ist ein Download möglich.
Bei Problemen bei der Installation des VPN-Client unter Win7 kann es hilfreich sein, die Einstellungen im Browser, z. B. bei Firefox unter Option
"Systemproxy verwenden" in "keinen Proxy verwenden" zu ändern.
Wenn Sie die Fehlermeldung "The VPN client agent was unable to create the interprocess communication depot" erhalten, kann unter Vista das
Deaktivieren des Dienstes für die Gemeinsame Nutzung der Internetverbindung helfen. Zum Deaktivieren dieses Dienstes wählen Sie in der
Systemsteuerung unter System und Wartung,
Verwaltung, Dienste
dort aus der Liste den o.g. Dienst auswählen,
deaktivieren
und anschließend Windows neu starten
Es steht auch ein ipsec-client zur Verfügung, der die 64-Bit-Funktionalität unterstützt, entsprechende Informationen finden Sie unter
http://wiki.fernuni-hagen.de/helpdesk/index.php/Installation_des_VPN-Clients_unter_Windows .
101
42 VPN unter Android
Auf Android-System kann der systemseitig vorhandene VPN Client verwendet werden mit folgenden Parametern:
Name: frei wählbar
Typ: IPSec Xauth PSK
Server-Adresse: 132.176.101.101
IPSec Identifer: FU-VPN-STUD-NAT
IPsec Pre-shared Key: FU-VPN-STUD-NAT
Zu finden ist VPN in den Einstellungen -> Drahtlos und Netzwerke -> Weitere Einstellungen -> VPN
Je nach Android Version und Hersteller des Gerätes können sich die Einstellungen an anderen Stellen befinden.
Bei Problemen sollte zunächst überprüft werden, ob der Kernel auch das tun-Modul geladen hat. Sollte dies nicht der Fall sein, können sie die
VPN-Funktion ihres Smartphones nicht verwenden.
•
Einstellungen
•
Unterpunkt "VPN" wählen
•
Info: Sperre einrichten
•
Art der Sperre auswählen
•
Plusbutton auswählen
102
•
Oben beschriebene Informationen eintragen
•
Neu angelegt VPN-Verbindung auswählen
•
Mit normalen LogIn Daten einloggen
103
43 VPN unter Ubuntu
Ein Tipp von Friedrich Heinrichmeyer:
Es kursieren sehr viele verwirrende Anleitungen, die sich meist auf ältere Softwareversionen beziehen. Oft ist aber schwer ein Hinweis darauf zu
"googlen", dass sich ein Problem einfach erledigt hat. Genau das ist hier der Fall.
Es genügt unter Ubuntu-9.04 einfach, per Paketmanager das Paket "network-manager-vpnc" zu installieren. Über den Klappmenüpunkt
"VPN-Verbindungen" im Netzwerk-Applet in der Taskleiste ist es nach erfolgter Installation wirklich nicht schwer, den VPN-Konfigurationsdialog zu
finden, der auch den Knopf "Importieren" für die erstellten Cisco-Profile anbietet. Die Ubuntu-Entwickler entschließen sich wahrscheinlich sogar, die
VPN-Software standardmäßig zu installieren.
"Kommandozeilenorientierte" Linux-Anwender müssen sich allerdings dazu durchringen, Ihre Netzwerkkonfiguration dem Gnome-Netzwerkmanager
anzuvertrauen, nur dann kann er auch eine VPN-Verbindung verwalten.
Getestet habe ich es daheim mit dem Student-Split-Konfiguration, d.h mit
http://www.fernuni-hagen.de/imperia/md/content/zmi/produkte/fu_vpn_stud_split.pcf. Man importiert die Datei und muss nur noch den Account "Riess",
durch seinen eigenen ersetzten.
Zusammengefasst: Man wünscht sich und benutzt dann den Network-Manager-VPNC unter Ubuntu und ist so optimistisch, dass man einfach die für
den Original-Cisco-Client zur Verfügung gestellten Einstellungdateien verwendet.
Kubuntu ist derzeit leider nach meiner Ansicht nicht empfehlenswert, da das Standard-Desktop KDE4 zu viele Fehler hat.
Ergänzungstipp eines Lesers: ? Ich habe gerade eine VPN-Verbindung mit Ubuntu hergestellt. Lief alles problemlos bis auf ein kleines Detail:
Man muss den network manager restarten, damit das ganze funktioniert. Sonst bekommt man eine seltsame Fehlermeldung ("fehlende
VPN-Geheimnisse")...
Vielleicht könnt ihr auf der entsprechenden Wiki-Seite den Eintrag um:
sudo restart network-manager
ergänzen??
Gruppenpasswort: Bei mir war es erforderlich, dass man ein Gruppenpasswort angibt. Ich habe bei der Gruppe "FU-VPN-STUD-NAT" einfach den
Gruppennamen als Passwort gewählt, was dann funktioniert hatte. - Leider habe ich keine Informationen gefunden, ob das so allgemeingültig ist.
Ansonsten hat es mit dem Import der Konfigurationsdatei sehr gut geklappt unter Xubuntu 12.04 LTS.
43.1 Ubuntu 10.10
Einfach die oben verlinkte Datei importieren. Benutzername und Passwort anpassen. Fertig. Ein Neustart des Network Manager ist nicht notwendig.
43.2 Ubuntu 12.04
EinTipp von Martin Kieser:
Der von Ubuntu eingesetzte Desktop "Unity" ist standardmäßig so konfiguriert, dass er nur explizit freigeschaltete Anwendungen in der "notification
area" /"systray" zulässt /anzeigt. Der Cisco Anyconnect -Client gehört NICHT dazu. Ergo wird ein Linuxbenutzer nach dem Anmelden auf
webvpn.fernuni-hagen.de zwar Anyconnect installieren können und das Programm wird auch gestartet und alles funktioniert wie es soll - LEIDER wird
aber das Icon von für die VPN-Verbindung nicht wie von der Anyconnect-Statusmeldung nach dem Aktivieren der Verbindung im Browserfenser selber
behauptet angezeigt und ebensowenig wird das Symbol der bereits bestehenden Internetverbindung mit einem "Schloss" (Zeichen für aktives VPN)
versehen. Der Anwender erhält so keinerlei Feedback ob die Prozedur erfolgreich war oder nicht. Lediglich der Test, ob zB Zugriff auf UB-Datenbanken
besteht gibt Auskunft. Das bedeutet aber auch, das der Nutzer die Verbindung nicht beenden kann, und so unnötig lange und viel Datenverkehr über
das Uninetz schickt - auch wenn die eigentliche Arbeit getan ist.
Abhilfe bei Ubuntu 12.04: Das Programm "dconf-editor" installieren und starten. Klicken in der linken Fensterhälfte auf (in der Reihenfolge): com ->
canonical -> unity -> panel
In der rechten Fensterhälfte steht nun in der Rubrik "Name": systray-whitelist In der Rubrik "Value" rechts daneben: ['JavaEmbeddedFrame', 'Wine',
'Update-notifier']
104
Den Wert für Value nun ändern auf: ['all']
Dann einmal abmelden. NAch dem nächsten Anmelden und dem Starten des Anyconnect-Clients aus dem Browser heraus (auf
webvpn.fernuni-hagen.de) ist dann auch das Symbol sichtbar (links der farbige Erdball mit dem gelben Schloss davor).
Alternativ ist es auch möglich, den "Cisco Anyconnect Secure Mobility Client" über das Programm-Menü zu starten und zu bedienen; doch dazu muss
der (unbedarfte?) Anwender erstmal wissen, dass die Verbindung noch aktiv ist bzw überhaupt aktiviert wurde. Denn auch in diesem Fall taucht das
Symbol im "systray" /"notification area" eben leider nicht auf.
43.3 Ubuntu 14.04
Ein Tipp von Martin Schroeder:
Mal für eine modernere Form wie Ubuntu Trusty Gnome 32 Bit Version, falls es Abweichungen in der 64Bit Version gibt, werde ich das noch anfügen.
zuerst wurde die von der FU Hagen "http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml" (links unten unter LINUX) heruntergeladene
Installationsdatei vpnsetup32.sh ausgeführt als root. Ubuntu zeigte an, dass die Datei ausgeführt wird, aber ich finde den VPN Client von Cisco später
nicht im Auswahlmenü des network-manager, sondern nur das VPN PPTP Protokoll.
105
daher habe ich nachinstalliert: sudo apt-get install network-manager-vpnc openvpn (restart vpn daemon erfolgt bei der Installation automatisch)
danach kann man endlich einen Cisco kompatiblen VPN Client auswählen, wenn man einen neuen Verbindungstyp VPN im Netzwerk Manager anklickt.
Erzeugen der Cisco VPN Verbindung im Network-manager : Host ist ( nach der Datei oben von Friedrich Heinrichmeyer): 132.176.101.101 der Rest ist
der eigene Zugangsname, Passwort,Gruppe FU-VPN-STUD-NAT Passwort Gruppe ist bei mir (wie auch weiter oben angegeben): FU-VPN-STUD-NAT
Die Anzeige der VPN Aktivität ist im Gnome-Menü gut sichtbar, der Client kann ein- und ausgeschaltet werden.
Anmerkung des Helpdesk-Teams: Für Ubuntu können wir leider keinen Support anbieten!
106
44 VPN-Client und G-Data Antivirus 2013
Der Cisco VPN Client funktioniert nicht in Verbindung mit G-Data Antivirus Firewallmodulen, unabhängig davon, ob es sich um eine Privatkunden- oder
eine Server-Client-Version handelt.
Derzeit bietet der Hersteller für diesen Fall lediglich einen Workaround an:
" Gehen Sie hierfür bitte wie folgt vor: - Navigieren Sie in Folge in das Verzeichnis "C:\Program Files (x86)\CommonFiles\G Data\AVKProxy " bzw.
"C:\Programme\Common Files\G Data\AVKProxy " - Benennen Sie hier die Dateien PktIcpt.dll, PktIcpt2.dll, PktIcptx64.dll, PktIcpt2x64.dll (je nachdem
welche bei Ihnen auftritt) um, ersetzen Sie jeweils das .dll durch .bak.
Die Firewallmodule basieren auf der Windows Filtering Platform (WFP). Dies ist die gängige Methode, um Netzwerkverkehr zu überwachen, diese wird
im kommenden Windows 8 noch stärkere Bedeutung haben. Der Cisco VPN Client sowie einige andere Firewallhersteller benutzen diese Methode noch
nicht. Daraus resultiert die Inkompatibilität zu dieser Software. Die Problematik tritt übrigens auch dann auf, wenn ein beliebiger anderer WFP-Filter
(z.B. der von Microsoft bereitgestellte Testfilter) installiert wird. Daher ist zusätzlich zur Umbenennung der PktIcpt DLL-Dateien im
AVKProxy-Verzeichnis auch eine Deinstallation der G Data Firewall notwendig, falls diese installiert ist, um mit dem Cisco VPN Client eine Verbindung
zum entsprechenden Netzwerk herzustellen. Generell können Sie hierfür jedoch im Normalfall auch jeden anderen VPN-Clienten verwenden, bei
anderen VPN Clienten sind uns keinerlei Inkompabilitäten bekannt. "
Dieser Tipp wurde dem ZMI durch einen betroffenen Studenten übermittelt - vielen Dank.
107
45 VPN-Client: Fehlermeldungen und Lösungen
• 1 412: The remote peer is no longer responding
• 2 414:Failed to establish a TCP connection
• 3 442: Failed to enable virtual adapter
• 4 Alternative: anyconnect
Die folgenden Fehlermeldungen werden im Helpdesk am häufigsten gemeldet. Hier finden Sie die Ursachen und Lösungen.
45.2 412: The remote peer is no longer responding
Ursachen:
• Der Benutzer befindet sich hinter einer firewall, die die ports UDP 1000/500 und/oder ESP blockt.
• Der VPN-client verbindet sich über TCP und der TCP-port 3500 für NATT ist geblockt.
• Die Internetverbindung ist nicht stabil oder die Antworten vom Gateway kommen nicht beim client an, da der client vermutet, dass das
Gateway nicht mehr verfügbar ist.
Lösungen:
• Falls Sie über WLAN arbeiten, versuchen Sie es über eine Kabelverbindung
• Schalten Sie Ihre firewall aus, testen Sie die Verbindung und stellen Sie fest, ob das Problem bestand hat. Ist das nicht der Fall, können Sie
die firewall wieder einschalten und Ausnahmen für die ports 500, port 3500 und das ESP-Protokoll in der firewall eintragen.
• Verwenden ein Profil mit NAT-T/TCP (port 10000 in der firewall muss frei sein )
• Editieren Sie die Profil-Datei(.pcf) und setzen Sie den Parameter ForceKeepAlive=0
?
45.3 414:Failed to establish a TCP connection
108
Ursachen:
• Der Benutzer befindet sich hinter einer firewall, die die ports UDP 1000/500 und/oder ESP blockt.
• Der VPN-client verbindet sich über TCP und der TCP-port 3500 für NATT ist geblockt.
• Die Internetverbindung ist nicht stabil oder die Antworten vom Gateway kommen nicht beim client an, da der client vermutet, dass das
Gateway nicht mehr verfügbar ist.
Lösungen:
• Schalten Sie Ihre firewall aus, testen Sie die Verbindung und stellen Sie fest, ob das Problem bestand hat. Ist das nicht der Fall, können Sie
die firewall wieder einschalten und Ausnahmen für die ports 500, port 3500 und das ESP-Protokoll in der firewall eintragen.
45.4 442: Failed to enable virtual adapter
109
Bei Windows 7 / Vista kommt es häufig zu einem Error 442: Failed to enable virtual adapter. Eine Möglichkeit das Problem zu lösen kann folgender
Ablauf sein:
Klicken Sie auf Start und tippen Sie services.msc ein. Öffnen Sie das Programm.
1. Finden Sie die Dienste Cisco Systems, Inc VPN und Gemeinsame Nutzung der Internetverbindung und beenden diese.
2. Öffnen Sie per Doppelklick den Dienst Gemeinsame Nutzung der Internetverbindung und ändern Sie den Starttyp von Automatisch auf
Manuell.
3. Starten Sie den Dienst Cisco Systems, Inc VPN wieder und führen Sie dann den Cisco VPN Client aus.
Wenn das nichts hilft, gibt es noch eine Möglichkeit, es über die registry zu versuchen. Eine ausführliche Beschreibung gibt es z.B. hier:
http://www.myself.ch/vpn.
45.5 Alternative: anyconnect
Sollte sich ein Fehler gar nicht beheben lassen, so können Sie auch alternativ zum Aufbau einer VPN-Verbindung auf den anyconnect-Client
ausweichen.
110
46 VPN-Clients mehrerer Anbieter
Auch Cisco-VPN-Clients von anderen Anbietern können für den Fernuni-Zugang benutzt werden. Das VPN-Gateway der Fernuni hat die IP-Adresse
132.176.101.101. Die zugehörigen Gruppen finden Sie im Profilgruppen-Wikibeitrag
Aber bitte dringend beachten: der VPN-Client muss von Cisco sein!
111
47 VPN-Gateway nicht erreichbar
Meldung: Unable to contact.... Remote peer no longer responding
Ursache: Routingprobleme bei Endgeräten, die durch vorhergehende DHCP-Adressvergabe verursacht werden.
Die Problembeschreibung:
Resolving Microsoft Routing Problems on Cisco VPN Clients
Microsoft routing problems can occur when a Cisco VPN Client (VPN 3000 Client, Cisco Secure VPN Client, or VPN 5000 Client) gets an IP address
from the device terminating the tunnel (Cisco VPN 3000 Concentrator, router, PIX Firewall, or VPN 5000 Concentrator) that is on the same network as
the local Network Interface Card (NIC). This can occur if a user has a laptop on the corporate network with a Dynamic Host Configuration Protocol
(DHCP) or static IP address (10.50.1.x), brings the laptop home, dials into an Internet Service Provider (ISP) and connects using the VPN Client. If the
terminating device sends the VPN Client an IP address that is on the same network (10.50.1.x), the user cannot send any data over the client
connection. The packets are sent to the NIC, instead of over the VPN connection, because the traffic is still routed out of the NIC. This problem occurs
on Microsoft Windows 95, Windows 98, and Windows NT 4.0. Symptoms of this problem are that the VPN tunnel comes up, but the PC cannot pass
traffic. A route print command still shows the DHCP or static address, or both. If the IP address was received through DHCP, the DHCP lease can be
manually released. The information in this document is based on the software and hardware versions below. Cisco VPN 3000 Client Cisco VPN 5000
Client Cisco Secure VPN Client
Die Lösung: Releasing the DHCP Lease
Microsoft Windows 95 Follow the instructions below to release the DHCP lease on Windows 95: Open an MS-DOS window and type winipcfg. Select
Release.
Microsoft Windows 98 Open an MS-DOS window and issue the ipconfig /release_all command.
You can also follow the directions for Windows 95.
Microsoft Windows NT Open an MS-DOS window and issue the ipconfig /release command.
112
48 VPN-Probleme - Cisco-Lösungen (FAQ) (englisch)
VPN Client Dokumentation Original von cisco:
http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/5_0/index.htm
VPN Client FAQs von cisco (alte Version ggf. ersetzen)
http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml
VPN Client startet nicht
VPN 4.8 does not show on my screen.
Q:It shows up in the task bar and on the sys tray... I try to right click and restore it but nothing happens... So I've uninstalled-reinstalled it but the same
problem happens. I haven't deleted the folder after its installed yet because of a "if you delete this folder it could affect other programs etc error. Should I
delete the folder and try another reinstall? Is there a repair tool/options for this? Its really starting to tick me off.
A:I think removing the cisco vpn client entries from the registry may help you. You may uninstall the client, then check if there is any folder remaining of
its installation and delete it. Then delete the registry entries for the client.
VPN Client Installationsproblem
Q:Hi guys,this is gonna sound stupid but here goes. I tried to install client 4.08msi but it failed.Tried to remove it but still leaves a file called
"installservcie.exe" and won't let me remove it,not right peremission even though I'm the admin for my laptop.
A:If the uninstall process doesn't finish you may use this :
How to Manually Uninstall the Cisco VPN Client 3.5 and Later for Windows 2000 and Windows XP
http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_tech_note09186a0080094b7f.shtml
VPN Client Firewallproblem
http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml#qa8
http://www.urz.uni-heidelberg.de/Netzdienste/vpn/cisco/probleme_firewall.shtml
VPN Client Connection terminated Reason 403
Siehe VPN Client Firewallproblem
113
49 Webseiten für Studierende
Jeder Student der FernUni hat auf dem Studenten-Webserver die Möglichkeit, eine eigene Homepage zu betreiben. Dazu wird lediglich der
Fernuni-Account und eine VPN-Verbindung zum Fernuni-Netz benötigt. Welche Schritte Sie zur eigenen Homepage durchführen müssen und welche
Regeln es gibt, erfahren Sie hier:
http://www.stud.fernuni-hagen.de/
114
50 WebVPN
WebVPN stellt mit Hilfe einesWebbrowsers eine VPN-Verbindung über das VPN-Gateway zur Verfügung. WebVPN bietet für das aktuelle
Anwendungsspektrum eine einfache (und echte) Alternative zu den VPN-Client-Lösungen. WebVPN besitzt gegenüber einer separaten Client-Lösung
den Vorteil, dass lediglich ein gängiger WWW-Browser benötigt wird ? es kann daher ohne weitere Installationsarbeit genutzt werden und funktioniert
darüberhinaus plattformunabhängig. Authorisierte FernUni-Anwendungen können auf diese Weise beinahe direkt genutzt werden. Änderungen und
Erweiterungen von Zugriffsrechten im lokalen Anwendernetz, beispielsweise eine Firewall in der Firma, sind nicht nötig. Auf dem Endgerät muss
lediglich das Java Runtime Environment Version 1.4 (oder höher) von Sun Microsystems installiert sein.
Besondere Hinweise für die Benutzung spezieller Dienste der Universitätsbibliothek:
• Leider gilt für das Service-Angebot der Universitätsbibliothek im Zusammenhang mit WebVPN die folgende Einschränkung:
Literaturdatenbank-Recherchen die einen ICA-Client benötigen können nicht über WebVPN getätigt werden!
• Und: Es gibt Darstellungsprobleme von Digibib-Seiten - Infos dazu finden Sie hier: Darstellungsprobleme von Digibib-Seiten via WebVPN /
hier Ebsco
• In beiden Fällen kommen Sie an der Installation eines separaten VPN-Clients leider nicht vorbei. Der Cisco-anyconnect-Client steht unter
http://www.fernuni-hagen.de/zmi/download/#software zum Download zur Verfügung.
Weitere Einschränkungen:
Die folgenden Systeme sind über WebVPN nicht aufrufbar:
• das LVU-System (https://vu.fernuni-hagen.de)
• das Online-Übungssystem (https://online-uebungssystem.fernuni-hagen.de)
• das Prüfungsanmeldungssystem Webregis (https://webregis.fernuni-hagen.de)
Wenn Sie diese Systeme aus WebVPN heraus aufrufen oder über einen Link dorthin gelenkt werden, erhalten Sie die Meldung "unavailable", obgleich
die Server ohne WebVPN einwandfrei erreichbar sind.
Für den Zugriff auf diese Systeme ist an sich kein VPN-Zugang erforderlich, aber wenn man diesen doch benutzen möchte, müssen Sie den
Cisco-anyconnect-Client installieren und benutzen (siehe oben).
Ansonsten gilt:
Sie gelangen auf die Anmeldeseite von WebVPN durch Eingabe des Links https://webvpn.fernuni-hagen.de.
115
Nach erfolgreicher Anmeldung steht die FUNet-WebVPN-Oberfläche zur Verfügung.
Beachten Sie bitte die Hinweise unter der jeweiligen Rubrik im rechten Seitenbereich.
116
51 Welche Fernuni-Anwendung läuft mit welcher Browser-Version?
Hier ergänzen wir laufend den Stand der Anwendungen, die mit den neuen Browser-Versionen funktionieren...
Legende:
Meldung!!!
Seit Firefox Version 24 und Chrome Version 30 werden von den beiden Browsern in https-Seiten eingebett
√
funktioniert
X
funktioniert
nicht!
Inhalte von Fremdseiten (z.B. Youtube-Videos) als "Skripte von nicht authentifizierten Quellen" gesper
!
Lösungen:
- Im Chrome auf das Schild-Symbol (links neben dem Lesezeichen-Stern hinter der URL) klicken und danac
Eintrag unter
Bemerkungen
beachten!
auf "Unsicheres Skript laden" klicken.
- Im Firefox befindet sich das Schild-Symbol rechts neben dem Zurück-Button. Darauf klicken. Im Anschl
auf "Weiterhin blocken". In der aufklappenden Liste "Schutz für diese Seite deaktivieren" anklicken.
?
nicht getestet
07.10.2013 11:41
Internet
Explorer
9
Internet
Explorer
11
Firefox
15
Firefox
27
Chrome
22
Chrome
33
Safari
6
BSCW
√
√
?
√
?
√
?
Bis Firefox 14 (geht auch
bspw. mit FF 29 u. 31),
Chrome Version 45
Blog (Wordpress)
√
?
?
?
?
?
?
Bis Firefox 14
FIM (Fernuni-Identity
Management)
√
√
√
√
√
√
√
I&B
√
?
?
?
?
?
?
Fernuni-Anwendung
Bemerkungen
Firefox 41: mit Version 41
hat Mozilla die
Sicherheitsvorkehrungen für
den Firefox verschärft, d.h.
unsignierte AddOns werden
automatisch deaktiviert und
können nicht mehr neu
installiert werden. Da wir aber
beim One-Click-Edit-AddOn
wissen, dass es von der
FernUni kommt und somit als
?sicher? einzustufen ist,
können wir die
Sicherheitsschranke von
Firefox 41 ff. umgehen:
Imperia (incl.
OneClickEdit)
X
√
√
√
√
√
√
- über die Adresszeile die
Systemeinstellungen vom
Firefox aufrufen: about:config
- nach dem Eintrag für die
Sicherheitseinstellungen
suchen:
xpinstall.signatures.required den Eintrag von ?true? auf
?false? setzen (doppelclick) danach das AddOn nochmals
(und wie gehabt) installieren.
Dieses Problem tritt allerdings
nur bei Firefox, in der Version
41 auf.
Internet Explorer 9:
Imperia-OneClickEdit
funktioniert nur im
Kompatibilitätsmodus.
Kontaktlisten
√
√
?
?
117
?
?
?
Authentifizierung mit
Benutzerkennung statt mit
Zertifikat
Bis Firefox 14
Mailbox Studium
!
√
?
√
?
√
√
Keine vollständige
Javascript-Unterstützung mit
IE9 (WebSkin Crystal)
Moodle
√
√
√
√
√
√
?
Der Text-Editor im IE 11
funktioniert wieder
Nightly (FF-Beta) bis 30,
Safari bis 5
Newsportal
√
√
√
√
?
?
?
Bis Firefox 14
Outlook Web Access
(OWA)
√
√
?
?
?
√
?
getestet: Chrome Version 45
Tests mit stets aktuellen
Safari-Versionen (für OS X
und iOS) sowie Firefox
erfolgen regelmäßig, auch
wenn hier nicht verzeichnet.
Online-Übungssystem
√
√
√
√
√
√
√
Auch mit MS Edge wurden
keine Probleme festgestellt.
Abwärtskompatibilität zu
älteren IE-Versionen wird
nicht dauerhaft garantiert.
Prüfungsportal:
Klausur-An-/Abmeldung
√
√
√
√
√
√
?
Prüfungsportal:
Klausur-Ergebnisabruf
√
?
?
?
?
?
?
SAP-Portale
√
√
X *1
X *1
X *1
! *2
X *3
SIS/SIP
√
√
√
√
√
√
√
Staffsearch-Telefonbuch
als pdf
√
?
?
?
?
?
?
TicketXpert
X
√
?
√
?
√
getestet: FF 31.8, Chrome
Version 45
*1) Firefox ab Version 34
*2) Chrome im Release Cycle
(ältere Chrome-Versionen nur
mit Einschränkung und ohne
SAP Support)
*2) Safari 7/8 OK
?
Die Bearbeitung von Tickets
sollte mit allen aktuellen
Browsern, möglich sein.
Erweiterte Administrationen
des Systems ab IE10
aufwärts.
Virtueller Studienplatz
(VU)
√
√
√
√
√
√
?
Regelmäßige Tests mit
aktuellen Versionen des
Internet Explorers, Firefox
und Chrome. Microsoft Edge
unter Windows 10 wurde
ebenfalls bereits getestet.
VoIP-Webschnittstelle
(Telefon)
√
√
√
√
?
X
√
Bis Firefox 38 fehlerfrei.
Webregis
√
√
√
√
√
√
√
Wiki (Mediawiki)
√
√
√
√
√
√
√
Zertifikatsserver
(Installation des
Zertifikats)
√
√
√
√
X
X
X
Zertifikatsserver (Check
des Zertifikats)
√
√
√
√
√
√
?
118
Chrome greift auf den
Zertifikatsspeicher des
Internet Explorers zu. Wird im
Internet Explorer ein Zertifikat
installiert, kann es auch mit
unter Chrome genutzt
werden.
Da Chrome auf den
Zertifikatsspeicher des
Internet Explorers
zurückgreift, funktioniert auch
hier der Zertifikatstest, wenn
im Internet Explorer ein
Zertifikat installiert ist.
119
52 Zugang zum WLAN
Alle Informationen zu diesem Thema finden Sie hier: http://www/zmi/produkte_service/wlan.shtml
120
53 Zugriff auf Home-Verzeichnisse vom Heim-Arbeitsplatz-PC
Für den Zugriff auf die Home-Verzeichnisse des F&L-Bereichs von Heim-PCs aus, ist der Einsatz eines VPN-Clients notwendig. Bei der Konfiguration
des VPN-Clients ist darauf zu achten, dass die MTU-Size auf den Wert 1300 gesetzt wird.
Um dann ein Laufwerks-Mapping für den Server einzurichten, geht man wie folgt vor (Windows XP):
Arbeitsplatz öffnen ?>
Extras ->
Netzlaufwerk verbinden ->
Laufwerksbuchstaben auswählen ->
Ordner: \\embla.buerokommunikation.fernuni-hagen.de\fl$
eintragen ->
"Verbindung beim Anmelden wiederherstellen" anhaken
"Verbindung unter anderem Benutzernamen herstellen" auswählen
Account: buerokommunik\useraccount
Passwort: passwort
Unter Windows Vista/7 müssen Sie:
Computer öffnen ->
Netzlaufwerk zuordnen - >
Laufwerksbuchstaben auswählen ->
Ordner: \\embla.buerokommunikation.fernuni-hagen.de\fl$
eintragen ->
"Verbindung beim Anmelden wiederherstellen" anhaken
Im folgenden Anmeldefenster bitte mit
Account: buerokommunik\useraccount
Passwort: passwort
anmelden.
121
54 Zugriff auf lokales Netz bei bestehender VPN-Verbindung
Um während einer bestehenden VPN Verbindung zum Fernuni-Netzwerk auch auf das lokale Netze (lokaler Netzwerkdrucker, lokales NAS, etc.)
zuzugreifen, muss der Cisco VPN Client verwendet werden.
Für Gruppen/Profile, die nicht das sogenannte Split-Tunneling verwenden(insbesondere *-BIB) muß der lokale Zugriff noch explizit erlaubt werden.
Markieren Sie dazu die gewünschte Gruppe, klicken Sie auf modify und wählen Sie die Karteikarte Transport. Hier die Option Allow Local Lan Access
aktivieren.
Leider gibt es in der AnyConnect-Version des Clients die LocalLanAccess-Option aktuell nicht, sie wird aber in der nächsten Client-Version verfügbar.
122
55 Zugriff auf UB-Datenbanken: hier WISO-NET und Absatzwirtschaft
1. WISO-NET WIWI
Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Möglichkeiten sich ins Uni-Netz anzumelden bzw. die
entsprechende Datenbank aufzurufen. (siehe
http://www.ub.fernuni-hagen.de/datenbankenlieferdienste/showdatabaseoffcampus.html?id=184abaseoffcampus.html?id=184abaseoffcampus.html?id=184abase
• Proxy-Server 1
• Proxy-Server2
• Web-VPN
Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie
für diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es über den VPN-Client mit der Gruppe FU-VPN-STUD-NAT
(siehe 2.)
2. Zu Absatzwirtschaft
a.) die Datenbank "Absatzwirtschaft" ist eine sogenannte Ica-Datenbank. Das heißt, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client*
(ica32t.exe) laden Sie von unserer Web-Seite auf Ihren PC.
http://www.ub.fernuni-hagen.de/download/index.html
-> ICA 32-bit Web-Client.
Die ica32t.exe ausführen. Alle Anfragen übernehmen. Browser schließen und wieder öffnen und das PlugIn ist eingerichtet.
b.) jede ICA-Datenbank Wie "Absatzwirtschaft" braucht den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Bei Bedarf finden Sie die Datei hier:
http://www.fernuni-hagen.de/zmi/helpdesk/vpn.shtml
(Achtung: Fernuni-Account erforderlich (q+Matrikelnummer))
Kopieren sie diese Datei FU-VPN-STUD-NAT.pcf in Ihr VPN-Verzeichnis unter C:\Programme\Cisco Systems\VPN Client\Profiles- Dort stecken nämlich
auch die anderen Vebindungsdateien.
Beim nächsten Öffnen von VPN bitte mit dieser Verbindung im Hochschulnetz anmelden. Rufen Sie jetzt die Datenbank ABSATZWIRTSCHAFT auf.
Wenn Sie dann zum ersten Mal eine ICA-Datenbank aufrufen, fragt das System ein Fenster ab. Markieren Sie bitte die Option "Für Dateien dieses Typs
immer diese Aktion ausführen". Somit haben Sie festgelegt, dass jegliche ICA-Datenbanken sich mit diesem ICA-PlugIn automatisch öffnen.
Falls ein ica-client benoetigt wird, funktioniert der Zugriff auf die UB-Datenbanken nur mit den Gruppen FU-VPN-BIB, FU-VPN-STUD, FU-VPN-BIB-NAT
und FU-VPN-STUD-NAT, nicht mit den entsprechenden SPLIT-Gruppen, da die entsprechenden Server FernUni-Absenderadressen verlangen. Bei
SPLIT-Tunneling wuerde die vom Provider vergebene Adresse als Absender eingesetzt.
Im Prinzip gilt das oben Gesagte auch für andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro,
[email protected]
123

Table of Contents - FernUniversität in Hagen

Transcrição

Documentos relacionados

Mit OkayFreedom VPN auch aus dem Ausland

Netzwerkadministration

WLAN: Mit dem Funknetzwerk verbinden VPN: Zugriff auf das

Equinux: VPN Tracker 4.9.2 funkt mit FRITZ!Box Fon WLAN 7170

(WCIT) in Dubai

Vorratsdatenspeicherung bei Steganos VPN

bundesagentur für arbeit verbessert mobile

So legen Sie einen Account bei Financial Times an, der mit den

UTM+Solution

VPN Zugang (für gesamtes Internet):