Lokal installierter VPN-Client

Ein VPN-Client authentifiziert den Benutzer und baut einen verschlüsselten VPN-Tunnel zum VPN-Router auf. Das Endgerät erhält automatisch eine zusätzliche IP-Adresse aus dem Adressraum der Hochschule. Diese VPN-IP wird für die nachfolgenden Verbindungen über den VPN-Tunnel genutzt. Je nach genutzem Profil gilt dies nur für die Verbindungen zur HSO oder auch für die Verbindungen ins Internet. Der VPN-Tunnel selbst ist für alle lokalen Applikationen völlig transparent und damit ohne weiteres nutzbar.

Existiert ein zusätzlicher Freischaltungsantrag, wird dies bei den Zugriffsrechten berücksichtigt.

Zwei Client-Typen mit unterschiedlichen Protokollen: SSL oder IPSec

Der VPN Router der Hochschule unterstützt zwei Typen von VPN Clients. Beide stehen für diverse Betriebssysteme zur Verfügung, besitzen die gleiche Funktionalität und können - z.B. zum Testen - durchaus gleichzeitig auf einem Client-Rechner installiert sein.

Unter -> Anleitung und unter -> Download/Links sind jeweils beide Cli­ent-Ty­pen aufgeführt.  

  • Cisco AnyConnect Secure Mobility Client (SSL Client)
    (früher Cisco AnyConnect VPN Client)
    Dieser moderne Client wird vom RZ empfohlen. Er bietet folgende Vorteile:
    • Komfortabler Download-, Installations- und Upgrade-Service bei Verbindungsaufnahme zum VPN-Router für gängige Windows-, Linux- und Mac-System
    • zunehmende Verfügbarkeit für mobile Endgeräte als App.
    • Nutzt den HTTP-Port 80 und ist damit transparent für Firewalls (z.B. DSL-Router)

  • Cisco VPN Client (IPSec Client)
    Cisco hat die Entwicklung dieses herkömmlichen Clients in 2012 eingestellt. Er ist noch weit verbreitet und wird vom RZ bis auf weiteres unterstützt.

    • Für sehr viele Betriebssysteme als Cisco-Software verfügbar (z.B. auch Solaris).
    • Für mobile Endgeräte oft schon im Betriebssystem intergriert.
    • Für einige Betriebssysteme auch als Open Source, Free- und Share-Ware verfügbar.

Third Party Clients

Für einige Betriebssysteme gibt es integrierte oder von anderen Drittanbietern zu beziehende VPN-Clients. Sie können SSL- oder IPSec-basiert sein. Wichtig ist, dass sie Cisco-kompatibel sind. Mehr dazu finden Sie unter dem Reiter -> "Download/Links"

Seiteninhalt

Auf dieser Seite finden Sie Anleitungen für zwei Typen von VPN-Clients.

Auswahlkriterein siehe -> "Überblick"


Cisco AnyConnect Secure Mobility Client (SSL Client)

(früher: Cisco AnyConnect VPN Client)

1a) Automatischer Download und Installation

Link zum Video-Tuturial "Einrichtung Ihrer VPN Verbindung" (mp4-Video)
In diesem Video wird davon ausgegangen dass ActiveX oder Java im Browser aktiviert ist (s.u.)

Cisco stellt aktuelle Clients für gängige Windows-, Linux- und Mac-Systeme zur Verfügung! Diese können vom VPN-Router der HSO automatisch installiert und gepflegt werden. Da die Clients nicht öffentlich verfügbar gemacht werden dürfen, ist eine Authentifizierung notwendig.

Links zum Download:

Quicklink zur Installation und Start des Clients: vpn.hs-offenburg.de/sslvpn
Alternativer Link mit Dialog und weiteren Informationen: vpn.hs-offenburg.de/webvpn -> "AnyConnect" -> "Start AnyConnect"

  • Geben Sie die Kennung Ihres RZ Accounts an
  • Zur autom. Installation wird je nach Browser ActiveX oder Java benötigt. Standardmäßig ist dies oft nicht zugelassen, sodass diese Installation zunächst nicht erfolgreich ist. Als Lösung wird automatisch der Download-Link zu einer Installationsdatei angegeben, die dann manuell gestartet werden muss.
    Alternativ können Sie ActivX oder Java begrenzt zulassen und danach die autom. Installation erneut starten:

    • Internet Explorer: Unter "Vertrauenswürdige Sites" die URL "https://*.hs-offenburg.de" zufügen.
      (Extras -> Internetoptionen -> Sicherheit ->  Vertrauenswürdige Sites -> Sites)
      Ausführliche Informationen von Cisco hierzu auf dem alternativen Download Link s.o.
    • Firefox (weitere Browser handhaben das i.d.R. ähnlich): Java zulassen
      Menü-Button bzw. Menüleiste Extras -> Add-Ons -> Plugins -> Java(tm) Platform -> "Immer aktivieren"

      (Nach Abschluss der Installation bitte wieder auf die vorherige Einstellung
        zurücksetzen.)

  • Nach Beendigung der Installation wird der Client automatisch ohne erneute Authentifizierung gestartet. Danach erscheint unter Windows das entsprechende Client-Icon in der Satuszeile und kann zur Steuerung und Anzeige genutzt werden.
  • Das Installations-Fenster des Browsers kann mit Logout verlassen und geschlossen werden.
  • Nach der Installation kann der Client auch über das normale Programm-Menü gestartet werden.

Aktuelle Release Notes finden Sie ebenfalls unter -> Download/Links

1b) Manueller Download und Installation

Dies ist immer dann erforderlich, wenn ein automatischer Download für Ihr System nicht möglich ist. In diesem Falle müssen Sie das enstprechende Programm oder App selbst downloaden und installieren. Für Mobile Clients finden Sie den Cisco AnyConnect Client i.d.R. kostenfrei im entsprechenden Store.

2.) Verbindungsaufbau

Der Client kann über den Installationslink oder nach der Installation über das normale Programm-Menü gestartet werden. Gegebenenfalls sind folgende Eingaben zu machen:

  • Name des VPN-Routers: vpn.hs-offenburg.de
  • Auswahlmenü Group: SSL Tunnel - Standard (oder -Split)
    Siehe auch VPN / Überblick zur Wahl des geeigneten Profils.

Nach dem erfolgreichen Login kann ein automatischer Softwareupgrade erfolgen. Unanhängig davon erscheint ein Login-Banner mit Hinweisen des RZ, dem Sie auch entnehmen können, ob Sie für das Intranet freigeschaltet sind.

3.) Wichtige Optionen des Clients

  • Unter Voreinstellung / Preferences: "Enable local LAN Access"
    Damit wird erreicht, dass Geräte im gleichen Subnetz wie Ihr Endgerät (z.B. Drucker oder DSL Router im Homeoffice) erreichbar bleiben. Unabhängig vom gewählten Profil gehen diese Verbindungen bei eingeschalter Option nie über den VPN-Tunnel.
  • Unter Anzeigen zu Route Details: Bei bestehender VPN-Verbindung kann überprüft werden, welche Subnetze über den VPN-Tunnel ("Secured Routes") geroutet werden.

Nach oben


Cisco VPN Client (IPSec Client)

1a) Installation des Cisco VPN Clients

Cisco hat diese Entwicklung im Juli 2012 eingestellt. Clients stehen nur noch für ältere Windows-, Linux-, Mac- und Solaris Systeme zur Verfügung! Da die Clients nicht öffentlich verfügbar gemacht werden dürfen, ist eine Authentifizierung notwendig oder sie müssen aus dem Campusnetz heruntergeladen werden.

Installationsschritte unter Windows

  • Download des Installationsprogrammes (-> Download/Links)
  • Download der VPN-Profile (-> Download/Links)
  • Start des Installationsprogrammes mit automatischem Entpacken in ein temporäres Verzeichnis.
    Achtung: In der Vergangenheit konnten Installationsprobleme beseitigt werden, indem das temporäre Verzeichnis zuvor manuell geleert wurde.
  • Beenden der Installation (meist mit Neustart des Rechners)
  • Entpacken der heruntergeladenen VPN-Profile in ein temporäres Verzeichnis
  • Starten des Cisco VPN-Clients z.B. über das Programm-Menü
  • Importieren aller entpackten VPN-Profile (.pcf Dateien): Menü "Connection Entries" -> "Import ..."
  • Optional können Sie eines der Profile mit einem Rechts-Klick als "Default" markieren.

Die Cisco Dokumentation zu allen Clients finden Sie in -> Download/Links

1b) Installation eines Third-Party VPN-Clients

Für einige Betriebssysteme (Linux, PDAs) gibt es auch Open Source, Free- und Share-Ware Produkte oder die Clients sind bereits im Betriebssystem integriert. Sie müssen kompatibel sein zu Cisco-VPN. Beispiele finden Sie unter -> Download/Links.

  • Download und Installation nach den jeweiligen Angaben
  • Konfiguration der Zugangsdaten zur HSO
    Die wesentlichen Parameter sind die gleichen wie für den o.g. Cisco VPN Client und können den lesbaren .pcf Profil-Dateien entnommen werden. Diese Dateien und in einem besonderen Link auch das unverschlüsselte Gruppenpasswort finden Sie unter -> Download/Links.

2.) Verbindungsaufbau

Der Client über das normale Programm-Menü gestartet werden. Gegebenenfalls sind folgende Eingaben zu machen:

  • Auswahl des Profils ("Connection Entry") Standard (oder -Split)
    Siehe auch VPN / Überblick zur Wahl des geeigneten Profils.
  • Verbindungsaufbau mit "Connect"
    Der Client erscheint nur noch in der Statuszeile.

Nach dem erfolgreichen Login kann ein Hinweis mit Download-Link auf einen empfohlenen Softwareupgrade erfolgen. Unanhängig davon erscheint ein Login-Banner mit Hinweisen des RZ, dem Sie auch entnehmen können, ob Sie für das Intranet freigeschaltet sind.

3.) Wichtige Optionen des Clients

  • Mit "Modify" können die Eigenschaften eines Profiles verändert werden.

    • Achtung: Host, Gruppen-Namen und -Passwort nicht verändern!
    • Das Deaktivieren von "Transparent Tunneling" führt zwar zu einem besseren Durchsatz, kann aber hinter einer Firewall oder hinter einem NAT-Gerät (z.B. DSL-Router) zu Problemen führen.
    • "Allow Local LAN Access"
      Damit wird erreicht, dass Geräte im gleichen Subnetz wie Ihr Endgerät (z.B. Drucker, DSL Router) erreichbar bleiben. Unabhängig vom gewählten Profil gehen diese Verbindungen bei eingeschalter Option nie über den VPN-Tunnel.

  • Im Menü "Status" -> "Statistics" werden neben der Verkehrsstatistik auch die aktuellen Parameter eines aktiven VPN-Tunnels angegeben (Offizielle IP-Addresse, Transparent Tunneling, IP-Routen, die über den Tunnel gehen, etc.).

4.) IPSec-Client und Firewall auf Anwenderseite

Der Aufbau der VPN-Verbindung wird von einer lokalen Firewall nicht behindert, da der Verbindungsaufbau von innen nach außen erfolgt. Bei Inaktivität kann es aber zur Unterbrechung kommen, da die lokale Firewall die Verbindung als beendet betrachtet und eingehende "Keepalive"-Pakete vom VPN-Router blockiert. Dieser beendet daraufhin den VPN-Tunnel einseitig, da er den VPN-Client nicht mehr benachrichtigen kann. Der Client bemerkt den Abbruch erst bei erneuter Aktivität und meldet ungefähr: "the remote peer is no longer responding". Dieses Timeout hat nichts mit einem Session-Timeout auf dem VPN-Router zu tun, sondern hängt nur von der Zeitspanne ab, in welcher die lokale Firewall Rückpakete zulässt. Es kann auf Anwenderseite alternativ durch folgende Anpassung der lokalen Firewall verhindert werden: (Testweise können Sie auch alle lokalen Firewalls ganz ausschalten)

  • Für vpn.hs-offenburg.de den Port UDP/500 freischalten
  • Das Programm "cvpnd.exe" als Ausnahme eintragen (es befindet sich z.B. in C:\Programme\Cisco Systems\VPN Client)

Nach oben

Seiteninhalt

Auf dieser Seite finden Sie Download/Links für zwei Typen von VPN-Clients.
(Auswahlkriterien siehe -> "Überblick")

Wichtig: Die Cisco VPN Software darf aus rechtlichen Gründen nur von Mitgliedern der Hochschule heruntergeladen und genutzt werden. Geben Sie deshalb bei Aufforderung Ihre Campus-Benutzerkennung ein.


Cisco AnyConnect Secure Mobility Client (SSL Client)

(früher: Cisco AnyConnect VPN Client)

Download und Installation

Wichtig: Zur automatischen Installation muss im Browser ActiveX oder Java zugelassen sein (s. Tab Anleitung). Ist das nicht der Fall, werden Sie zum manuellen Download/Installation aufgefordert.

Quicklink Link zur Installation und Start des Clients:
vpn.hs-offenburg.de/sslvpn

Alternativer Link mit Dialog und weiteren Informationen:
vpn.hs-offenburg.de/webvpn -> "AnyConnect" -> "Start AnyConnect"

Release Notes:

Nach oben


Cisco VPN Client (IPSec Client)

Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer Campus-Benutzerkennung an.

Nach oben


Profile für Cisco VPN Client (IPSec Client)

Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer Campus-Benutzerkennung an.

Nach oben


Third Party Cisco-kompatible VPN Clients

  • Smartphones, PDAs etc

    • Download aus dem Application Store des jeweiligen Betriebssystems
      (Suchbegriffe z.B. "AnyConnect", "Cisco", "VPN")
    • Internet Recherche nach MovianVPN von Certicom (IPSec-Client)

  • Linux:

Zugangsdaten zur HSO für alle Third Party Clients

Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer Campus-Benutzerkennung an.

Nach oben

Enthaltene Leistungen

VPN-Client:
Sie können diesen Service von überall benutzen, um nach Installation eines Clients auf Dienste im Intranet zuzugreifen.

"Service Desk" ist zur Zeit nicht verfügbar

Mo­men­tan ist das E-Mail For­mu­lar "Ser­vice Desk" in un­se­rem Ser­vice­por­tal de­ak­ti­viert.
Falls Sie sich an uns wen­den möch­ten, schrei­ben Sie bitte eine E-Mail an:
rz.it-support@hs-offenburg.de 

Momentan ist das E-Mail Formular "Service Desk" in unserem Serviceportal
wegen einer SPAM-Flut deaktiviert.

Falls Sie sich an uns wenden möchten, schreiben Sie bitte eine E-Mail an:

rz.it-support@hs-offenburg.de

Momentan ist das E-Mail Formular "Service Desk" in unserem Serviceportal
wegen einer SPAM-Flut deaktiviert.

Falls Sie sich an uns wenden möchten, schreiben Sie bitte eine E-Mail an:

rz.it-support@hs-offenburg.deMo­men­tan ist das E-Mail For­mu­lar "Ser­vice Desk" in un­se­rem Ser­vice­por­tal
wegen einer SPAM-Flut de­ak­ti­viert.
Falls Sie sich an uns wen­den möch­ten, schrei­ben Sie bitte eine E-Mail an:
rz.​it-support@​hs-offenburg.​de