Diese Anleitung beschreibt die des Cisco VPN-Clients für den Wireless LAN- Zugang (altes Verfahren) und den VPN-Dienst der BTU Cottbus, die Netzwerkanmeldung erfolgt mit persönlichem SSL-Zertifikat. Die Installation des VPN-Clients (Version 4.0) ist am Beispiel von Windows XP dargestellt. Die Installation ist für die Version 5.x und unter den Betriebssystemen Windows 2000, 2003 Server und Vista in gleicher Art und Weise möglich. Nutzen Sie bitte den folgenden Link zum Download des aktuellen, vorkonfigurierten VPN-Clients: http://www.tu-cottbus.de/rechenzentrum/zugangsdienste/vpn-dienst/download.html Installation Nach erfolgreichem Download der Installations-Datei, können Sie diese in einem Ordner Ihrer Wahl auspacken. Dann starten Sie die Datei Setup.exe bzw. vpnclient_setup.exe, anschließend werden Sie durch die weitere Installation geführt. Als Erstes sollten Sie die Lizenzbedingungen sorgfältig lesen und akzeptieren: Danach wählen Sie das Installationsverzeichnis für den VPN-Client aus. Stand: 10.08.2010 Erstellt: M. Döring Seite 1
Im folgenden Dialogfenster können Sie das Verzeichnis im Startmenü anpassen: Jetzt wird die Installation durchgeführt, bitte haben Sie etwas Geduld. Brechen Sie die Installation nicht ab, das könnte zu Schäden am Betriebssystem führen. Nachdem die Installation abgeschlossen ist, werden Sie aufgefordert den Rechner neu zu starten. Stand: 10.08.2010 Erstellt: M. Döring Seite 2
Für die nachfolgend beschriebene des VPN-Clients benötigen Sie ein gültiges, von der Zertifizierungsinstanz der BTU Cottbus ausgestelltes SSL-Zertifikat. Nutzen Sie bitte für weitere Informationen dazu auch die Webseite des Rechenzentrums der BTU Cottbus. Nach dem Neustart des Rechners starten Sie zunächst den VPN-Client: Start => Programme => BTU Cottbus VPN Client => VPN Client. Ihr persönliches SSL-Zertifikat sollte im *.p12 Format vorliegen und kann mit: Certficates => Import in den VPN-Client importiert werden (siehe nachfolgende Abbildung). Dabei muss der Import Path, in dem das Zertifikat liegt, angegeben werden. Als Import Password verwenden Sie bitte das Passwort, das Sie bei der Erstellung der *. p12-datei gesetzt haben. Im Eingabefeld New Password definieren Sie ein Passwort, mit dem Sie Ihr Zertifikat einschließlich Private Key auf Ihrem Rechner schützen wollen. Dieses Passwort wird immer dann benötigt, wenn Sie eine IPSec- Verbindung unter Verwendung dieses Zertifikates aufbauen. Achtung: Werden unter Certficates alte, evtl. bereits abgelaufene Zertifikate aufgelistet, so wird dringend empfohlen, diese vor dem Import des neuen Zertifikates zu löschen. Markieren Sie dazu das entsprechende Zertifikat und klicken Sie auf Delete! Ihr Zertifikat wurde erfolgreich importiert. Zu sehen in der Abbildung unten. Stand: 10.08.2010 Erstellt: M. Döring Seite 3
Wenn Sie ein von der BTU CA Global ausgestelltes Zertifikat verwenden, so ist es erforderlich das Bundle mit allen BTU-CA-Zertifikaten (http://www-docs.tu-cottbus.de/rechenzentrum/public/zertifikate/ca-bundle.p12) zusätzlich zu installieren. Sie verfahren dabei wie beim oben dargestellten Import Ihres persönlichen SSL- Zertifikates, die Eingabe eines Passwortes ist jedoch nicht erforderlich. Nun können Sie das Zertifikat auswählen, mit dem der Verbindungsaufbau zum IPSec- Gateway erfolgen soll: Connection Entries => jeweiliges Verbindungsprofil => Modify. Und bitte das Abspeichern nicht vergessen. Führen Sie diesen Arbeitsschritt für beide Verbindungsprofile aus, so ist der VPN-Client bereit für den VPN-Dienst und das Wireless LAN der BTU Cottbus: 1. BTU-Cottbus (VPN-Einwahl aus dem Internet), 2. BTU-Cottbus (Wireless LAN Zugang). Achtung: Dieser Arbeitsschritt ist immer dann erforderlich, wenn ein neu importiertes Zertifikat für den Verbindungsaufbau verwendet werden soll, auch wenn das importierte Zertifikat im Zuge einer Rezertifizierung erstellt wurde! Stand: 10.08.2010 Erstellt: M. Döring Seite 4
Verbindungsaufbau Der eigentliche Start der IPSec-Verbindung erfolgt über Start => Programme => BTU Cottbus VPN Client => jeweiliger Connection Entry => Connect. Wählen Sie dabei als Verbindung das entsprechende Verbindungsprofil aus und nutzen Sie das beim Import Ihres Zertifikates vergebene Passwort (siehe ggf. nachfolgende Abbildung). Je nachdem, ob Sie den VPN-Client für den Wireless LAN Zugang der BTU Cottbus oder für den VPN-Dienst nutzen wollen, muss vorher eine der folgenden Voraussetzungen erfüllt sein: - VPN-Dienst: Ihr Rechner verfügt über eine aktive Internetverbindung bei einem Internet-Anbieter Ihrer Wahl. - Wireless LAN: Ihr Rechner verfügt über eine aktive WLAN-Verbindung mit dem Netzwerk: btu-cottbus-wireless. Nutzen Sie bitte ggf. auch die Anleitung für die einer WLAN-Netzwerkkarte für das Wireless LAN an der BTU Cottbus. Erscheint in der Taskleiste ein geschlossenes gelbes Vorhängeschloss, so wurde die IPSec- Verbindung in das Campusnetzwerk bzw. in das Internet erfolgreich aufgebaut. Bitte beachten Sie, dass die Sicherheit des gesamten Netzwerkes auch vom Verhalten einzelner Nutzer abhängt. Machen Sie Ihren PC also Dritten nicht zugänglich. Sollte Ihr 'Private Key' einmal in falsche Hände geraten, so müssen Sie Ihr Zertifikat schnellstmöglich bei der BTU-Zertifizierungsinstanz sperren lassen (mailto:ca-btu@tu-cottbus.de). Stand: 10.08.2010 Erstellt: M. Döring Seite 5
Technische Besonderheiten - Der Cisco VPN-Client bringt für einige Betriebssysteme eine eigene Netzwerkkomponente mit, den Deterministic Network Enhancer. Sie sollten darauf achten, dass diese Komponente zumindest für die Netzwerkkarte, über die die IPSec-Verbindung aufgebaut werden soll, aktiviert ist. - Generell können Sie (abweichend von der oben beschriebenen Verfahrensweise) Ihr Zertifikat auch im betriebssysteminternen Zertifikatsspeicher ablegen. Bitte vergessen Sie auch dabei nicht, Ihr Zertifikat mit einem Passwort gegen unbefugten Zugriff zu schützen. - Der VPN-Client ist für den automatischen IPSec-Verbindungsaufbau im Wireless LAN der BTU Cottbus vorbereitet. Wenn Sie den Verbindungsaufbau automatisieren wollen, so können Sie das wie folgt tun: - Start => Programme => BTU Cottbus VPN Client => VPN Client => Options => Automatic VPN Initiation => Enable automatic VPN Initiation. Fragen und Hinweise bitte per E-Mail an vpn@tu-cottbus.de bzw. wlan@tu-cottbus.de Stand: 10.08.2010 Erstellt: M. Döring Seite 6