Virtual Private Networks Cisco IPSEC kompatible VPN Clients Windows Vista / Windows 7 / opensuse Linux / Mac OS X

Ähnliche Dokumente
Virtual Private Networks Cisco IPSEC kompatible VPN Clients Microsoft Windows / opensuse Linux / Mac OS X

Virtual Private Networks Cisco IPSEC VPN Client XP / Vista / 7 / opensuse / Mac OS X

Virtual Private Networks Cisco AnyConnect VPN Client Windows / opensuse / Mac OS X

Virtual Private Networks Cisco AnyConnect VPN Client Windows / opensuse / Mac OS X

Virtual Private Networks

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

Sie möchten als Hochschulangehöriger das Internet sowie spezielle Angebote der Fachhochschule Köln nutzen?

Grundlagen - Konsole/Terminal :

VPN für Linux (Ubuntu + Kubuntu)

VPN-Zugang mit Cisco AnyConnect. Installation und Verwendung

EIBPORT 3 VPN SSL Nutzung mit OpenVPN-Client

Virtual Private Networks Cisco AnyConnect VPN Client Windows / opensuse / Mac OS X

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 5.1 vom Kassenärztliche Vereinigung Niedersachsen

VPN mit unterschiedlichen Mac OS X- Versionen

Antrano.Home und Konfiguration Betriebssysteme. becom Systemhaus GmbH & Co. KG Antrano.Home-Handbuch Seite 1

Hochschule Aalen. OpenVPN. Anleitung zur Installation unter Windows

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 6.0 vom Kassenärztliche Vereinigung Niedersachsen

DI-804HV / DI-824VUP+ und D-LINK VPN Client

Anleitung unter MacOS

bintec Secure IPSec Client

Dynamisches VPN mit FW V3.64

HowTo SoftEther VPN Server (global)

Anleitung unter Windows

Installationsanleitung für xdsl mit Netzwerkanschluß unter Windows 98 Second Edition:

Konfigurationsbeispiel

Site-To-Site VPN Anleitung IAAS Smart <-> IAAS Premium. Version: 1.0

VPN unter Mac OS X 10.5 Leopard. Inhalt: Vorraussetzungen Einrichten einer neuen Umgebung (Optional) Einrichten einer VPN-Verbindung Kontakt

Quick Reference Guide

Installationsanleitung ab-agenta

Firewall oder Router mit statischer IP

Shellfire VPN IPSec Setup Mac OS X

Collax Windows-L2TP/IPsec VPN Howto

VPN mit Windows Phone

Schritt Stecken Sie das Modemkabel in den Modemanschluss des Routers. (Der Anschluss ist blau markiert.)

Installation und Konfiguration des Routers: LINKSYS Wireless G ADSL Gateway

VPN-Zugang unter Windows

VPN einrichten mit Linux (32, 64 Bit) und Mozilla Firefox

DFÜ-Netzwerk öffnen Neue Verbindung herstellen Rufnummer einstellen bundesweite Zugangsnummer Benutzererkennung und Passwort

xdsl Privat unter Windows 98 SE

Anleitung zur Installation des Cisco-VPN-Client

Installationsanleitung Router WLAN

Gebrauchsanweisung für den VPN-Client

R-ADSL2+ Einrichthinweise unter Windows 98/ME

bea Client-Security herunterladen und installieren unter Windows

VPN CISCO ANYCONNECT

antrano Fernzugriffslösungen einfach gemacht becom Systemhaus GmbH & Co. KG antrano Handbuch Seite 1

VPN Konfigurationsanleitung. Telekom Digitalisierungsbox Premium

Quick Start Guide. mobilrc-pro. Copyright ID Servicepoint GmbH 2016 QSG Version 1.1 Stand:

VPN einrichten mit Windows 8 und Firefox

adsl Privat unter Windows 98 SE

VPN Netzzugang ab

Installationsanleitung STATISTICA. Einzelplatz Domainbasierte Registrierung

Installationshinweise

Drucker einrichten aus dem Alien-Netz. Dipl.-Math. Dustin Kumor 3. Juli 2013

Einrichtung des WLAN an der DHBW Karlsruhe

VPN-Client für Windows installieren und konfigurieren

Installationsanleitung Prozess Manager. Release: Prozess Manager 2017 Autor: Ralf Scherer Datum:

Einrichtung eines VPN-Zugangs an der TH Köln

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard

R-ADSL2+ Einrichthinweise unter Windows 98

3Cloud. Anleitung für den MacOS Client.

VPN in 5 Minuten. bintec VPN Gateway. Konfigurationsanleitung für den FEC VPN Testzugang

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

Installation der Treiber für den DWL-G122 unter Mac OS X 10.4.x (Tiger)

L2TP/IPsec VPN-Verbindung unter Windows 8 zur Synology DiskStation einrichten

802.11b/g/n WLAN USB-Adapter Kurzanleitung zur Installation DN-7045

Installationsanleitung für WinXP für Mit USB-Modem:

6. Konfiguration von Wireless LAN mit WPA PSK. 6.1 Einleitung

VPN einrichten mit Windows 8 und Internet Explorer

Installationsanleitung VPN AnyConnect

Windows Verbindung mit WLAN BZPflege trennen... 42

Dokumentation. Dokumentation - VPN - Installations- und Benutzeranleitung. Cisco-Client

xdsl Privat unter Windows 2000 USB Version

KVN-Portal. Kassenärztliche Vereinigung Niedersachsen. das Onlineportal der KVN. Dokumentation für Macintosh. Version 5.0 vom

Anleitung zur Installation des eduroam WLAN

Erstellen der wilhelm.tel - Breitbandverbindung unter Windows 98

Shellfire L2TP-IPSec Setup Windows Vista

Virtual Private Network

Konfigurationsbeispiel USG

Installationsanleitung LTE-Cube (Zyxel-LTE4506-M606)

IPSec-VPN mit Software-Client. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3516 August Studerus AG

Setup Windows XP. Shellfire PPTP. Inhaltsverzeichnis

Medizinische Universität Wien ITSC Handbuch

Collax ios-vpn Howto. Inhalt

adsl Teleworker unter Windows XP

Installationsanleitung ETU-Planer

PHOENIX CONTACT

ComTrader Technische Anforderungen

Betriebs- / System - / Installationshandbuch

VPN-Zugang unter Windows

WebShare-Server Clientdokumentation für Windows XP

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Transkript:

FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0371 W.Anrath, S.Werner, E.Grünter 26.08.2015 Virtual Private Networks Cisco IPSEC kompatible VPN Clients Windows Vista / Windows 7 / opensuse Linux / Mac OS X Inhaltsverzeichnis 1. Einführung 2. Distribution der Cisco VPN Software 3. Installation und Konfiguration auf Windows Vista / 7 4. Benutzung der CISCO VPN Software unter Windows Vista / 7 5. Konfiguration auf opensuse Linux 6. Konfiguration auf Mac OS X Leopard - Yosemite 7. FAQ 1. Einführung Virtual Private Networks, kurz VPNs, minimieren die Gefährdungspotentiale einer Datenübertragung durch unsichere öffentliche Netze. Diese Technologie nutzt kryptografische Verfahren zum Aufbau eines sicheren Zugangs zu einem Firmennetz. Zur Realisierung eines VPNs werden die ursprünglichen IP-Pakete verschlüsselt und in einem neuen IP-Paket durch das INTERNET zu einem Security Gateway übertragen; diese Art der Übertragung ist eine spezielle Variante von sogenannten IP-Tunneln. Das Security Gateway ist im Forschungszentrum Jülich eine Cisco ASA Appliance. Benötigt wird dazu eine CISCO IPSEC VPN kompatible Client-Software. Viele LINUX-Distributionen, Android und MAC OS X ab 10.6.x enthalten bereits eine kompatible Software als Bestandteil des Betriebssystems. 1

Eine weitere VPN-Eigenschaft ist die Zuordnung einer offiziellen Klasse B-Internet-Adresse des Forschungszentrums in dem geschützten IP-Tunnel. Damit sind VPN-Benutzer beim Zugriff auf Intranet-Dienste internen JuNet-Benutzern gleichgestellt. Insbesondere bei Nutzung von DSL EDUROAM Anschluß von Laptops in Fremdfirmen / Tagungshotels wird durch die VPN-Software eine hohe Sicherheit beim Zugriff auf JuNet-Dienste erreicht. Windows 7 / 8 / 10 Benutzer sollten derzeit bevorzugt die in TKI-0387 beschriebene VPN- Lösung verwenden oder in Kombination mit Zertifikaten die AnyConnect-Software (TKI- 410). Zulassungen/Accounts (Mitarbeiter) zur VPN-Benutzung können für Mitarbeiter beim Dispatch beantragt werden: http://www.fz-juelich.de/ias/jsc/de/leistungen/dienstleistungen/jsconline/jsconline_node.html Sollten Zugänge für Kooperationspartner erforderlich sein, ist eine individuelle Konfiguration nötig. Für Beratung und Fragen dazu stehen die Ansprechpartner im JSC zur Verfügung (EMAIL: vpn@fz-juelich.de). 2

2. Distribution der Cisco VPN Software Die Distribution der VPN-Software für Windows Vista / 7 wird als selbstentpackendes Archiv auf dem System pcsrv \\pcsrv.zam.kfa-juelich.de\public\vpn-software zum Download angeboten. Für Linux (x86) und MacOS X werden keine Distributionen zum Download angeboten, da bereits eine kompatible Implementierung Bestandteil dieser Betriebssysteme ist. Wichtige Infos des Herstellers Cisco zur jeweils aktuellen Release enthalten die Dateien vpnclient*-readme.txt im Download-Directory. 3. Installation und Konfiguration auf Windows Vista / 7 Zur Vorbereitung der Installation sollte die ausführbare Datei vpnclient-win-msi-5.0.07.0290- k9.exe in ein temporäres Verzeichnis, z.b. c:\temp, kopiert werden; in diesem temporären Verzeichnis kann vpnclient-win-msi-5.0.07.0290-k9.exe aufgerufen werden. Anschließend stehen die zur Installation benötigten aktuellen Dateien in diesem Verzeichnis. Hinweis: Windows Vista / 7 Benutzer sollten bevorzugt die in TKI-0387 beschriebene VPN- Lösung verwenden oder in Kombination mit Zertifikaten die AnyConnect-Software (TKI- 410) Installation und Benutzung der Cisco VPN Releases 4.x und 5.x unterscheiden sich nicht. Für den Installationszeitraum bitte den Virenscanner stoppen und ältere Versionen der Software explizit in einem gesonderten Schritt mit REBOOT deinstallieren; zur Sicherheit kann vorher in der Systemsteuerung ein Wiederherstellungspunkt angelegt werden. 3

In einem Explorer-Fenster wird die Datei c:\temp\vpnclient_setup.exe gestartet. Der Installationsassistent installiert die VPN-Software und erweitert das Startmenü. In der Praxis ist es angebracht, zuerst die IP-Konnektivität durch Einwahl bei einem öffentlichen Provider oder mittels LAN-Anschluß herzustellen, und danach explizit die VPN-Verbindung zur Absicherung der Kommunikation zu aktivieren. Die Konfiguration kann nun durch den Aufruf von Start-Button -> Programme -> Cisco Systems VPN Client -> VPN Client erfolgen. Es empfiehlt sich, für den VPN Client eine Verknüpfung auf dem Desktop einzurichten. Das folgende Menü bietet dem Anwender die Möglichkeiten, VPN-Verbindungen zu aktivieren oder neue VPN-Verbindungen einzurichten. Soll eine IP-Kommunikation mittels VPN gesichert werden, ist aus der Liste der entsprechende Eintrag zu wählen. Durch den CONNECT-Button wird die VPN-Verbindung aufgebaut. Neue VPN-Verbindungen können mittels des New-Button eingerichtet werden. 4

Im nächsten Menü legt der Anwender die Parameter für die Verbindung fest: Connection Entry: Description: Host: Registerkarte Authentication: Name: Password: beliebiger Name für die Verbindung Beispiel: VPN zum FZJ die Beschreibung für die Verbindung ist optional vollqualifizierter Name des Security Gateways Beispiel: wingate.zam.kfa-juelich.de Gruppenname Beispiel: fzj Gruppen-Passwort Das Gruppen-Passwort erhalten Sie als Information bei der Beantragung Ihres VPN-Accounts im JSC-Dispatch. Weiterhin erhalten Sie eine Benutzer-ID und ein Passwort, die Sie zum Verbindungsaufbau ins JuNet benötigen. Zur Absicherung kann die Verbindung später dupliziert werden, wobei dann als Host wingateb.zam.kfa-juelich.de anzugeben ist (Backup Fall bei Ausfall der primären VPN-Appliance). Preshared Key Die benötigten Parameter sind nun eingetragen. Die Verbindung ist fertig eingerichtet. 5

4. Benutzung der Cisco VPN Software unter Windows Vista / 7 Grundvoraussetzung ist die IP-Konnektivität zum Security Gateway der jeweiligen Institution. Das Security Gateway ist im Forschungszentrum eine Cisco VPN Appliance (wingate.zam.kfajuelich.de). Nutzt man beispielsweise Internet Call-by-Call, so ist zuerst die Einwahl bei einem entsprechenden Anbieter durchzuführen und danach die VPN-Verbindung zum Forschungszentrum zu starten. Danach ist gewährleistet, dass die gesamte Kommunikation zum Forschungszentrum verschlüsselt abläuft und zusätzlich der Anwender eine offizielle IP-Adresse aus dem Klasse-B-Netz im Forschungszentrum erhält. Interne Dienste wie Email-Weiterleitung oder der Zugriff auf interne Web-Seiten sind danach ebenfalls möglich. Der Button Connect startet die VPN-Verbindung. Beim Herstellen der Verbindung werden Sie nach Ihrer BenutzerID und Ihrem persönlichen Passwort gefragt: 6

Nach erfolgreichem Verbindungsaufbau enthält die Task-Leiste ein geschlossenes Schloss- Symbol für die Dauer der VPN-Verbindung. Über dieses Symbol lässt sich das VPN-Client-Menü aktivieren. Unter dem Menü-Punkt Status kann man ein Statistics-Menü oder ein Notifications-Menü öffnen. 7

5. Installation und Konfiguration auf opensuse Linux An dieser Stelle wird die Konfiguration der CISCO VPN kompatiblen LINUX Software VPNC erläutert. Diese Lösung ist in der grafischen Benutzeroberfläche GNOME integriert. Alternativ kann auf Kommandozeilenebene direkt mit dem Programm vpnc gearbeitet werden Frage 7 im FAQ erläutert dazu die Details. Zum Erstellen der Konfiguration öffnet der Benutzer im Desktop-Panel das Item Network Connections mit der rechten Maustaste und wählt Edit Connections. Nach Auswahl der Registerkarte VPN kann mittels Add der Dialog zur Eingabe der Verbindungsparameter aufgerufen werden. Als Connection Type wird Cisco Compatible VPN (vpnc) ausgewählt und mit Create angelegt. Der Connection Name kann beliebig festgelegt werden z.b. FZJ-VPN-1. Gateway ist wingate.zam.kfa-juelich.de wobei später eine zweite Verbindung für den Backup-Fall mit wingateb.zam.kfa-juelich.de optional eingerichtet werden kann. Als Group Name wird fzj eingetragen. Dadurch wird sämtlicher Datenverkehr zu Zielen im JuNet (134.94.0.0/16) im VPN-Tunnel übertragen. Der alternative Eintrag fzj-nosplit an dieser Stelle würden bewirken, dass der gesamte Internet-Datenverkehr im VPN-Tunnel übertragen wird (z.b. nötig für ZB Zeitschriften). Den Wert für das Feld Group Password erhalten Sie bei der Bestätigung der Anmeldung durch das JSC-Dispatch. 8

Optional können Sie den VPN-Benutzernamen aus der Anmeldung eintragen und mit Apply die Konfiguration abschließen und speichern. Die Verbindung kann jetzt benutzt werden. Auf- bzw. Abbau werden über das Item Network Connections im Desktop-Panel gesteuert. Optional: Wie bereits erwähnt, kann zur Absicherung gegen Ausfälle eine zweite Ersatzverbindung eingerichtet werden. Die VPN-Appliance wingateb.zam.kfa-juelich.de ist als Gateway einzutragen. 9

6. Installation und Konfiguration auf Mac OS X Leopard - Yosemite Hinweis: MacOS X können alternativ die in TKI-0387 beschriebene VPN-Lösung konfigurieren. Soll die Auswahlmöglichkeit zwischen den VPN-Policies fzj und fzj-nopslit bestehen, kann wie folgt die Cisco kompatible Konfiguration vorgenommen werden. Zur Konfiguration werden Administratorrechte benötigt. MENÜ öffnen Systemeinstellungen / Netzwerk / + (ggf. vorher das Schloß öffnen) 10

Kennwort bitte frei lassen und bei jedem Verbindungsaufbau eingeben. 11

MENÜ öffnen Authentifizierungseinstellungen... Schlüssel ( Shared Secret ): Gruppen-Password aus der Anmeldebestätigung Gruppenname: fzj Alternativ kann, falls der gesamte Internet-Verkehr über den VPN-Tunnel geführt werden soll, der Gruppenname fzj-nosplit eingetragen werden. Im anderen Fall (Gruppenname fzj) wird der für das JuNet bestimmte Datenverkehr im Tunnel übertragen. Über Anwenden werden die Eingaben aktiviert. Über Verbinden wird der Aufbau des VPN- Tunnels gestartet. Im Anwendungsfenster sind während der Verbindungsdauer Anzeigen zur Verbindungsdauer und der erhaltenen IP-Adresse. Fehlerfälle: Falscher Schlüssel (Shared Secret / PreSharedKey): Fehlermeldung: Der VPN-Schlüssel (Shared Secret) ist nicht korrekt. Falsches Passwort: Erneuter Prompt auf Passwort ohne Fehlermeldung. Nach dem dritten falschen Passwort Fehlermeldung: Benutzer-Authentifizierung fehlgeschlagen 12

7. FAQ: 1. Der Zugriff auf elektronische Zeitschriften der ZB funktioniert nicht / ist nicht erlaubt. Wegen der Split-Tunnel-Einstellung wird nur der IP-Traffic zu Rechnern im JuNet (134.94.0.0/16) in den VPN-Tunnel geleitet. Die Kommunikation zum Internet erfolgt direkt über den jeweiligen Service-Provider (z.b. T-Online) mit deren IP-Adressen. Durch Änderung der VPN-Gruppe auf fzj-nosplit wird der gesamte IP-Traffic in den VPN-Tunnel geleitet und der Zugriff auf die Zeitschriften erfolgt mit einer gültigen JuNet-IP-Adresse. 2. Welches Windows Vista / 7 Firewall-Profil wird für den VPN-Adapter/Verbindung verwendet? Nach der Installation ist der Cisco Systems VPN Adapter in allen Firewall-Profilen eingetragen (Name: LAN-Verbindung n, der Befehl ipconfig /all zeigt u.a. die Zuordnung der Indexnummer n zum aktiven Adapter). Dadurch gilt das Öffentliche Profil. In der Windows Firewall mit erweiterter Sicherheit kann diese Auswahl im Menu Geschützte Netzverbindungen explizit angepasst werden, um beispielsweise das Private Profil für die VPN-Verbindung zu aktivieren. 3. Kann der VPN-Client in privaten IP-Netzen (z.b. Home Office) den Zugang mittels Windows-Internetverbindungsfreigabe (NAT/PAT-Gateway) nutzen? Beispiel: PC mit VPN-Client --- Ethernet --- PC mit Internetverbindungsfreigabe --- DFÜ Ja, dazu ist mittels Options->Properties folgende Einstellung vorzunehmen: 13

4. Welche Tunnelendpunkte können im Wireless LAN (FZJ) genutzt werden? Grundsätzlich sind die Tunnelendpunkte wingate.zam.kfa-juelich.de bzw. im Backup-Fall wingateb.zam.kfa-juelich.de zu verwenden. 5. Gibt es eine Alternative zum Cisco VPN Client? Derzeit unterstützt das JSC als weitere VPN-Variante L2TP over IPSEC. Die Konfiguration ist in TKI-0387 beschrieben. Windows Vista / 7 / 8 / 10 und MacOS X Benutzer sollten diese Lösung bevorzugt einsetzen. Neu ist der Cisco AnyConnect Client verfügbar siehe dazu TKI-0410; dieser ersetzt den bisherigen Client. Linux-Anwender können die Cisco-kompatible Open-Source Lösung VPNC (vgl FAQ Frage 7) verwenden in diesem Fall gilt als Grundlage wiederum die TKI-0371. 6. Der Verbindungsaufbau von einer externen Firma oder Universität aus funktioniert nicht die Fehlermeldung ist: Secure VPN Connection terminated locally by the Client. Reason 412: The remote peer is no longer responding. Um die Verbindung aufbauen zu können, muss IKE UDP Port 500, ESP, UDP Port 4500 und UDP Port 10000 in der Firewall-Konfiguration der jeweiligen Firma freigeschaltet sein. Versuchsweise kann noch IPSEC over TCP (Transport Registerkarte) ausprobiert werden - es gibt dann nur eine TCP-Verbindung Richtung FZJ mit Zielport 10000 - da es sich um eine ausgehende TCP-Verbindung handelt, ist es nicht unwahrscheinlich, damit Erfolg zu haben (vgl. Bild FAQ Frage 3). 7. Können LINUX-Benutzer die zu CISCO kompatible VPNC-Implemntierung nutzen? Ja das ab Suse 11.1 mitgelieferte VPNC-Paket funktioniert. Die Konfigurationsdatei /etc/vpnc.conf muss folgende Einträge haben: IPSec gateway wingate.zam.kfa-juelich.de IPSec ID fzj IKE Authmode psk IPSec secret Pre-shared-Key NAT Traversal Mode cisco-udp Datei-Zugriffsrechte: chmod 755 /etc/vpnc.conf && chown root /etc/vpnc.conf Verbindungsaufbau und Verbindungsbau setzen Superuser-Rechte voraus und werden wie folgt genutzt (Aufruf für Benutzer mittels SUDO möglich): Verbindungsaufbau: /usr/sbin/vpnc 14

Verbindungsabbau: /usr/sbin/vpnc-disconnect 8. Die VPN-Verbindung wird nach kurzer Zeit getrennt (Windows). Klicken Sie Start -> Systemsteuerung -> Windows-Firewall Betätigen Sie in der erscheinenden Registerkarte Ausnahmen den Button Programm.Klicken Sie im Fenster Programm hinzufügen auf den Button Durchsuchen und suchen Sie im Programm VPN Client (meist unter C:\Programme\Cisco Systems\VPN Client) die Datei cvpnd.exe.klicken Sie auf OK. Die cvpnd-datei sollte dann in der Registerkarte Ausnahmen angezeigt werden. Bei Nutzung des Transports IPSEC over TCP ist diese Einstellung zwingend erforderlich, ansonsten wird nach 5 Minuten Inaktivität (Idle Timeout und Dead Peer Detection) die Verbindung unterbrochen. Zudem gilt insbesondere für Windows Vista: Der Dienst Gemeinsame Nutzung der Internetverbindung in Vista muss deaktiviert werden! Dieser sollte standardmäßig auch entsprechend eingestellt sein, je nach vorheriger Netzwerkverbindung, -konfiguration ist dieser jedoch aktiviert. 9. Kann auf Freigaben (NetBIOS-Shares) im JuNet zugegriffen werden? Ja. Die NetBIOS-Ports sind freigeschaltet! Beispiele zum Testen: net time \\pcsrv.zam.kfa-juelich.de net view \\zelcds.zel.kfa-juelich.de 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback