Hochschule Ulm : Infrastrukturdienste, IT-Basisdienste

Internet-Zugang per VPN-Tunnel

Allgemeines

Hier ist der Zugang mit dem alten VPN-Client beschrieben. Den neuen WLAN-Zugang mit EDUROAM finden Sie

dort.

Zum Verständnis

Ihr Notebook oder Handy usw. stellt zuerst eine WLAN-Verbindung her. Dann baut es über das WLAN eine IPSec- oder SSL-verschlüsselte Verbindung zum VPN-Gateway auf (IPSec- oder SSL-Tunnel). Beim Aufbau der Tunnels werden Sie nach Benutzernamen (username) und Kennwort (password) gefragt. Sie geben dieselben Daten ein wie beim Anmelden in den PC-Pools. Sobald die Verbindung besteht, kommen Sie ins Internet und ins Netz der Hochschule Ulm.

Sicherheit

Denken Sie auch an Ihre eigene Sicherheit und die Ihrer Mitstudierenden!

Sobald sie eine WLAN-Verbindung haben, können Viren auf Ihrem Notebook o.ä. andere infizieren!

Falls Sie ein Virus auf Ihrem (Mobil-)Computer bemerken: Computer sofort vom Netz nehmen! Dann mit einem Virenscanner die Viren entfernen!

   Sehr wichtig: Vorsorge!

Machen Sie regelmäßig Sicherheits-Updates des Betriebssystems, am besten automatisiert.

Installieren Sie einen sich regelmäßig, möglichst täglich, aktualisierenden Virenscanner.

Installieren Sie eine Personal Firewall, oder nutzen Sie die Firewall des Betriebssystems

(MS Windows: Die Windows Firewall genügt normalerweise.)

WLAN-Verbindung

Ihr Notebook o.ä. braucht eine WLAN-Karte (extern oder eingebaut), heutzutage üblich.

Die WLAN-Karte muss evtl. per Knopfdruck aktiviert werden (LED leuchtet dann).

Für die WLAN-Verbindung muss DHCP aktiviert sein (automatisch vergebene IP-Adresse).

Sie müssen sich mit dem Netz mit der SSID ZKI verbinden. Die Verbindung ist unsicher, d.h. offen und ohne Verschlüsselung.

Hardware

Folgende (Mobil-)Computer kommen Sie über das WLAN der Hochschule ins Internet:

Notebook o.ä. (Windows ab XP, Mac OS X, bestimmte Linuxe)

iPhone, iPod und iPad (jeweils Versionen 3.x und ab 4.1)

Evtl. Nokia-Handy (Symbian OS, Dokumentation aus dem Jahr 2006)

Evtl. Handys mit Windows mobile (falls reiner IPSec-Tunnel möglich, also ohne L2TP)

Android: VPN-Tunnel zu unserer Cisco ASA nur möglich, wenn Siemit root-Rechten konfigurieren (vpnc ist installiert). Achtung: Sie verlieren damit (vermutlich) Ihre Garantie!

Software

Windows und Mac OS X:Auf dem Notebook bieten wir den Cisco VPN Client (IPSec-Tunnel) und den Cisco AnyConnect Client (SSL-Tunnel) zur Installation an.

Linux: Die Installation unter Linux ist nicht immer möglich. Unter Linux können die meist in der Distribution enthaltenen Pakete vpnc, openconnect und openvpn genutzt werden. Hilfe erhalten Sie dabei von uns nicht.

iPhone, iPod touch, iPad: Bis auf Version 4.0(.x) gute Erfahrungen mit dem vorhandenen Client. Konfigurations¬daten erhalten Sie von uns. Die mobileconfig-Konfigurationsdatei für die Versionen 3.x können Sie ganz unten auf dieser Webseite herunterladen.

Nokia:Eine damals hilfreiche, aber wohl nicht mehr aktuelle Dokumentation aus dem Jahr 2006 liegt vor; auch hier keine Hilfe von unserer Seite.

Windows mobile: Falls mittlerweile mit dem mitgelieferten Client reines IPSec konfiguriert werden kann (also nicht L2TP/IPSec), sollte ein VPN-Tunnel aufgebaut werden können.

Cisco AnyConnect Client und Handys: Wir haben keine Mobil-Lizenzen für diesen Client. Deswegen können Sie diesen Client zwar installieren, werden aber vermutlich beim Aufbau des VPN-Tunnels abgewiesen. Einen Cisco VPN Client (für IPSec-Tunnel) gibt es für Mobilgeräte nicht (von Notebooks, Netbooks u.ä. abgesehen).

Vom aktuellen Cisco AnyConnect Client unterstützte Betriebssysteme

Windows:Windows 7 und Vista SP2 (beide 32- und 64-bit), Windows XP SP2 und SP3. Bitte lesen Sie auch in den Release Notes, insb. die Systemanforderungen!

Linux:Linux Red Hat Enterprise Linux 5 Desktop, Ubuntu 9.x und 10.x, openSUSE 11.3 (64Bit) und 12.1 (64Bit). In den Release Note für diesen Client steht zu Linux: „We do not validate other Linux distributions. We will consider requests to validate other Linux distributions for which you experience issues, and provide fixes at our discretion.“ Weitere Erfordernisse, insb. vorausgesetzte Library-Versionen, stehen in den Release Notes!

Mac OS X:Mac OS X 10.5 und 10.6 (letzteres 32- und 64-bit). Lesen Sie bitte auch in den Release Notes, insb. die Systemanforderungen!

Von den aktuellen Cisco VPN Clients unterstützte Betriebssysteme

Die 32-bit-Version 5.0.07.0410: Windows 2000, XP, Vista, Windows 7; Details in den Release Notes! Die 64-bit-Version 5.0.07.0290: Windows XP (32-bit), Vista und 7 (je 32- und 64-bit); Details in den Release Notes!

Runterladen der Cisco Clients

Auf dieser Webseite ganz unten können Sie herunterladen:

Die aktuellen VPN Clients mit Release Notes und Zugangsdaten, für MS Windows und Mac OS X.

Die Release Notes für die AnyConnect Clients. Die Clients selbst erhalten Sie, wie unten beschrieben, vom VPN-Gateway rz-asa.hs-ulm.de.

Installation des Cisco AnyConnect Client

Den Cisco AnyConnect Client installieren Sie per Webbrowser (Windows, Mac OS X, manche Linuxe). Nötig sind dazu administrative Rechte auf dem PC. (Internet Explorer: rz-asa.hs-ulm.de zu den vertrauenswürdigen Sites!)

Falls der Client nicht installiert werden oder kein Tunnel aufgebaut werden kann, sollte geprüft werden:

Der Dienst „Gemeinsame Nutzung der Internetverbindung“ läuft: Deaktivieren und Windows neu starten!

Auch die Dienste „Routing und RAS“ und „RAS-Verbindungsverwaltung“ können stören.

In den Einstellungen des Internet Explorer müssen Cookies für rz-asa.hs-ulm.de zugelassen werden.

Eine zusätzlich installierte Personal Firewall kann den Tunnelaufbau verhindern.

Eine WLAN-Verbindung muss bestehen; es reicht nicht aus, ein Signal vom Access Point zu empfangen.

Ein fest eingetragene IP-Adresse für das WLAN verhindert die Verbindung zum VPN-Gateway.

Lesen Sie auch in den Release Notes, die Sie auf dieser Webseite herunterladen können.

Mit Ihrem Webbrowser gehen Sie auf die Seite https://rz-asa.hs-ulm.de. Sie melden sich an mit Benutzername und Passwort wie in den PC-Pools. Download und Installation starten zwar automatisch, aber evtl. müssen Sie dennoch den Client herunterladen und die Installation manuell starten. (Ein Link erscheint, über den Sie den Client herunterladen können.)

Unter Windows XP stellt der Client zuletzt von selbst eine Verbindung mit rz-asa.hs-ulm.de her; dann können Sie den Webbrowser beenden. Andernfalls können Sie den Webbrowser beenden und den Client im Startmenü starten: (Alle) Programme / Cisco / Cisco AnyConnect VPN Client / Cisco AnyConnect VPN Client.

Ein ausführliche Anleitung zur Installation des Cisco AnyConnect Client erhalten Sie im Dokument

Installation und Verwendung des Cisco AnyConnect VPN Client. (Möglicherweise läuft insb. bei Windows 7 die Installation wegen der Sicherheitseinstellung des Webbrowsers nicht durch. In diesem Fall laden Sie den Client herunter und führen ihn dann aus.)

Installation des Cisco VPN Client

Nachdem Sie auf dieser Webseite das Archiv mit dem 32- oder 64-bit-Client heruntergeladen und die EXE-Datei (z.B. vpnclient-win-msi-5.0.07.0290-k9.exe) mit der Client-Software extrahiert haben, starten Sie dieses Programm, um den Client zu installieren.

Nach erfolgter Installation müssen Sie noch die Zugangsdaten importieren: 3 Zertifikate und 2 Profil-Dateien. Dazu starten Sie den Client:

Unter den Icons sehen Sie die Reiter (engl.: tabs) der drei Karteikarten (engl.: register cards, index cards) „Connection Entries“, „Certificates“ und „Log“.

Profile importieren: Sie klicken auf „Connection Entries“ und dann auf das Import-Icon. Im nun erscheinenden Fenster wechseln Sie in jenes Verzeichnis Profiles, das Sie aus dem Zip-Archiv extrahiert haben. Die beiden Profil-Dateien HSU-WLAN.pcf und Ausserhalb des HSU-WLAN.pcf markieren und importieren Sie nacheinander, indem Sie auf Öffnen klicken. (Profil-Dateien enthalten Daten für die Connection Entries.) Beide Connection Entries sollten jetzt im Fenster der Karteikarte „Connection Entries“ angezeigt werden.

Zertifikate importieren: Klicken Sie jetzt auf den Reiter „Certificates“ und dann auf das Import-Icon. Setzen Sie den Haken vor Show CA/RA Certificates unter Certificates in der Menüleiste! (Falls Sie ihn nicht setzen können, kann das darin liegen, dass er bereits gesetzt ist.) Die drei Zertifikate importieren Sie nacheinander und ohne Passwort, indem Sie in das Verzeichnis Certificates, das Sie aus dem Zip-Archiv extrahiert haben, wechseln, eine Zertifikats-Datei markieren, auf Öffnen und dann auf Import klicken. Nach jedem Import sollte eine Erfolgsmeldung erscheinen. Alle drei Zertifikate sollten dann im Fenster der Karteikarte „Certificates“ aufgelistet sein, wie hier:

Um einen VPN-Tunnel aufzubauen, wechseln Sie jetzt nach „Connection Entries“, doppelklicken auf den passenden Eintrag oder markieren ihn und klicken einmal auf den Connect-Icon. Ein Fenster für die Eingabe von Username und Password sollte erscheinen. Sie tippen Ihre Login-Daten ein und klicken auf OK.

Falls alles geklappt hat, verschwindet das Fenster des VPN Client, und unter MS Windows sehen Sie rechts unten in der Taskleiste die gelbe Verhängeschloss des VPN Client in geschlossenem Zustand. Um die Verbindung zu trennen, drücken Sie mit der rechten Maustaste auf dieses Icon und wählen Disconnect.

Anmerkung: Den Connection Entry Außerhalb des Hochschul-WLAN verwenden Sie immer dann, wenn Sie nicht über das Hochschul-WLAN gehen, also z.B. von zu Hause oder vom Wohnheim aus oder über irgendeinen Internet Provider.

Zip-Archive zum Herunterladen

Den Download des Cisco-VPN-Clients für Windows 2000 bis Windows Vista 32-Bit finden sie auch hier, wenn Sie sich

hier anmelden.

12.01.2012 Dietmar Rahlfs