Kategorie: Zugang_FUNet_Internet-Dienste
Transcription
Kategorie: Zugang_FUNet_Internet-Dienste
Table of Contents 1 Account-Systematik..........................................................................................................................................................................................................1 1.1 Folgende Benutzernamen werden an der Fernuniversität für Studierende verwendet:...................................................................................1 2 Accounts nach Exmatrikulation.......................................................................................................................................................................................2 3 Bibliotheks-Account..........................................................................................................................................................................................................3 4 Bibliotheksdienste.............................................................................................................................................................................................................4 5 Cisco IPSEC VPN Client - Installation..............................................................................................................................................................................5 6 hier Ebsco.......................................................................................................................................................................................................................10 7 Definition der Begriffe rund um die Identität.................................................................................................................................................................11 8 DFN-Global Zertifikat.......................................................................................................................................................................................................12 9 DFN-Roaming - Was ist das?..........................................................................................................................................................................................14 10 DFN-Roaming Probleme an einigen Standorten.........................................................................................................................................................15 11 DFNRoaming..................................................................................................................................................................................................................16 12 DNS - Domain Name System........................................................................................................................................................................................17 12.1 Einträge an der FernUni...............................................................................................................................................................................17 12.2 DNS Server..................................................................................................................................................................................................17 12.3 Client Konfiguration......................................................................................................................................................................................17 13 Eduroam.........................................................................................................................................................................................................................19 13.1 Die FernUniversität bietet "eduroam" an......................................................................................................................................................19 13.2 Einrichtung....................................................................................................................................................................................................19 14 Eduroam - benötigte Software......................................................................................................................................................................................20 15 Eduroam - iOS 9 und OS X 10.11..................................................................................................................................................................................23 15.1 Konfigurationsprofil herunterladen................................................................................................................................................................23 15.2 Anleitung iOS 9.............................................................................................................................................................................................23 15.3 Anleitung OS X 10.11...................................................................................................................................................................................28 16 Eduroam - Linux............................................................................................................................................................................................................35 17 Eduroam - technische Beschreibung..........................................................................................................................................................................41 17.1 1. Schritt: EAP-Tunnelaufbau.......................................................................................................................................................................41 17.2 2. Schritt: Login mit UserID und Kennwort...................................................................................................................................................41 17.3 Zusammenfassung der notwendigen Einstellungsparameter:......................................................................................................................41 17.4 Besonderheit bei Microsoft-basierten Endgerätenin Verbindung mit eduroam............................................................................................42 18 Eduroam - technische Hinweise...................................................................................................................................................................................43 19 Eduroam - Windows 7...................................................................................................................................................................................................44 20 Eduroam - Windows 8...................................................................................................................................................................................................54 21 Eduroam einrichten unter Windows 8.........................................................................................................................................................................55 21.1 Lösung bei Verbindungsproblemen..............................................................................................................................................................64 22 Eduroam - Windows XP................................................................................................................................................................................................66 23 Eduroam mit Android Geraeten...................................................................................................................................................................................73 24 Eduroam mit Windows-Notebooks und WLAN Intel Chipsatz...................................................................................................................................74 25 Eduroam unter MAC OS.X 10.6 (Konfiguration)..........................................................................................................................................................79 26 Eingeschränkter Internetzugang in Gefängnissen.....................................................................................................................................................80 27 Email-Adresse im Wiki bestätigen...............................................................................................................................................................................81 28 Empfehlung zur IT-Ausstattung für Studierende........................................................................................................................................................82 29 Fehlermeldungen und Warnungen des VPN-Clients..................................................................................................................................................83 30 Fehlernummern bei DFÜ-Verbindungsproblemen......................................................................................................................................................91 31 Fernuni-Identity-Management (FIM).............................................................................................................................................................................92 32 FIM-Projekt - aktueller Stand........................................................................................................................................................................................93 32.1 Aktuelle Meldungen zum Stand des Projektes Fernuni-Identity-Management (FIM)...................................................................................93 33 Firefox-Masterpasswort................................................................................................................................................................................................95 34 FU-CAMPUS - Vouchers................................................................................................................................................................................................96 34.1 Allgemeines zu Vouchers.............................................................................................................................................................................96 34.2 Benutzung eines Vouchers...........................................................................................................................................................................96 34.3 Ergänzende Informationen zu Vouchers......................................................................................................................................................97 i Table of Contents 34 FU-CAMPUS - Vouchers 34.4 Ausgabe von Vouchers................................................................................................................................................................................97 35 FUNet nicht erreichbar..................................................................................................................................................................................................98 36 FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 und 10.9..............................................................................................................................99 36.1 Speichern des Passworts...........................................................................................................................................................................101 36.2 Authentifizierungsprobleme........................................................................................................................................................................102 37 Generalpasswort - Kennwort (Unterschied)..............................................................................................................................................................103 38 Gruppenpasswort wiederherstellen...........................................................................................................................................................................104 39 Hinweis zur Windows-Systemwiederherstellung.....................................................................................................................................................105 40 ICS (Internet Connection Sharing) und VPN-Probleme unter Windows XP...........................................................................................................106 41 Installation des VPN-Clients unter Kubuntu Linux 7.04 (feisty)..............................................................................................................................107 42 Installation des VPN-Clients unter Mac OS 10.4 (Tiger)...........................................................................................................................................109 43 Kennwort vergessen...................................................................................................................................................................................................111 44 Kennwort-Regeln.........................................................................................................................................................................................................112 45 Kündigung des Accounts bei dfn@home.................................................................................................................................................................113 46 Linux: VPN Client und Profildateien..........................................................................................................................................................................114 46.1 Software.....................................................................................................................................................................................................114 46.2 vpnc............................................................................................................................................................................................................114 46.3 openconnect...............................................................................................................................................................................................115 46.4 Fehlerbehebung.........................................................................................................................................................................................116 47 MacOS: Update des Cisco VPN-Clients.....................................................................................................................................................................117 48 Newsletter-Passwort für Beschäftigte der Fernuni..................................................................................................................................................118 49 Performance-Probleme beim Zugriff auf Server-Laufwerke via VPN......................................................................................................................119 50 Portsperrungen............................................................................................................................................................................................................120 50.1 Port Sperrung im Internet...........................................................................................................................................................................120 51 STZ................................................................................................................................................................................................................................121 52 Probleme mit anyconnect...........................................................................................................................................................................................122 52.1 Inhaltsverzeichnis.......................................................................................................................................................................................122 53 Profile fehlen................................................................................................................................................................................................................124 54 Profile importieren.......................................................................................................................................................................................................125 55 Profilgruppen und ihre Bedeutung............................................................................................................................................................................126 56 Roaming mit Fernuni-Account...................................................................................................................................................................................127 57 Routerprobleme analysieren......................................................................................................................................................................................141 58 Routerprobleme mit VPN............................................................................................................................................................................................142 59 Sinn und Zweck des Fernuni-Accounts....................................................................................................................................................................143 60 UB-Datenbanken: hier WISO-NET und Absatzwirtschaft.........................................................................................................................................144 61 UB-Datenbanken: hier WISO-NET und BGH-Edition................................................................................................................................................145 62 Windows 7....................................................................................................................................................................................................................146 63 VPN unter Android.......................................................................................................................................................................................................147 64 VPN unter Ubuntu........................................................................................................................................................................................................149 64.1 Ubuntu 10.10..............................................................................................................................................................................................149 64.2 Ubuntu 12.04..............................................................................................................................................................................................149 64.3 Ubuntu 14.04..............................................................................................................................................................................................150 65 VPN-Client: Fehlermeldungen und Lösungen..........................................................................................................................................................152 65.1 Inhaltsverzeichnis.......................................................................................................................................................................................152 65.2 412: The remote peer is no longer responding...........................................................................................................................................152 65.3 414:Failed to establish a TCP connection..................................................................................................................................................152 65.4 442: Failed to enable virtual adapter..........................................................................................................................................................153 65.5 Alternative: anyconnect..............................................................................................................................................................................154 66 VPN-Clients mehrerer Anbieter..................................................................................................................................................................................155 ii Table of Contents 67 VPN-Gateway nicht erreichbar...................................................................................................................................................................................156 68 VPN-Probleme - Cisco-Lösungen (FAQ) (englisch)..................................................................................................................................................157 69 WebVPN........................................................................................................................................................................................................................158 70 Xntp-Installation an der FernUni................................................................................................................................................................................159 70.1 Hinweise zur xntp-Installation an der FernUni............................................................................................................................................159 71 Zugang zum Netzwerk ?FU-Campus? der FernUniversität.....................................................................................................................................160 72 Zugang zum WLAN......................................................................................................................................................................................................162 73 Volltexten der Bibliothek.............................................................................................................................................................................................163 74 Zugriff auf lokales Netz bei bestehender VPN-Verbindung.....................................................................................................................................164 75 Zugriff auf UB-Datenbanken: hier WISO-NET und Absatzwirtschaft......................................................................................................................165 iii 1 Account-Systematik 1.1 Folgende Benutzernamen werden an der Fernuniversität für Studierende verwendet: • q1234567 ? (Die Ziffernfolge wird durch die Matrikelnummer ersetzt). Damit können Studierende z.B. folgende Anwendungen nutzen: Virtueller Studienplatz, Moodle, Mails auf Studium.fernuni-hagen.de, online-Übungssystem, Prüfungssystem, News, usw. 1.1.1 Folgende Benutzernamen werden an der Fernuniversität für Mitarbeitende verwendet: • Namensaccount - Beschäftigte erhalten einen Namensaccount. Ein neuer Kollege namens Fritzchen Grübler bekäme also z.B. den Namensaccount gruebler. • Funktionsaccounts - Funktionsaccounts werden durch ein vorangestelltes f_ gekennzeichnet. Der Name des Accounts kann von dem Antragsteller selbst vorgeschlagen werden. Zum Beispiel könnte das Lehrgebiet des Professor Grübler den Funktionsaccount f_lggruebler erhalten. • Gastaccounts - Gäste der Fernuni erhalten einen temporären Account, der durch ein vorangestelltes t_ gekennzeichnet ist. Der nachfolgende Name des Accounts bildet sich aus dem Nachnamen des Gastes, sowie eventuell noch zusätzlich aus den ersten Buchstaben des Vornamens. Der Gast Herr Grübler bekäme also zum Beispiel den Account t_gruebler. Es ist zurzeit durchaus möglich, dass eine Person mehrere Benutzernamen besitzt. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 1 2 Accounts nach Exmatrikulation Der Benutzername der Studierenden wird standardmäßig 90 Tage nach der Exmatrikulation gelöscht! Damit Ihre Studierenden-Daten nicht verloren gehen, sollten rechtzeitig folgende Dinge erledigt werden: • Mails sichern und evtl. neue Mailadresse verteilen • evtl. Homepage sichern • evtl. Daten vom Publikumsrechner Baobab sichern Der Benutzername wird komplett gelöscht und eine Rekonstruktion der Daten ist nicht mehr möglich! In den 90 Tagen nach der Exmatrikulation können Sie noch auf alle Anwendungen aus Ihrem Studium im vollen Funktionsumfang zugreifen. Dazu gehören zum Beispiel: • der Virtuelle Studienplatz • das online-Übungssystem • Moodle • Prüfungssystem • Webregis Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 2 3 Bibliotheks-Account Seit dem Wintersemester (WS) 2014/15 ist für neu immatrikulierte Fernstudierende der Zugriff auf das Bibliothekskonto mit dem Studierenden-Account möglich. In allen anderen Fällen oder bei Problemen können Sie das Anmeldeformular für Fernstudierende ausfüllen, um die ALEPH-Zugangskennung zu beantragen. Bitte beachten Sie, dass der Helpdesk Ihnen dazu keine weitere Hilfestellung geben kann. Wenden Sie sich bei Problemen bitte an die genannten Ansprechpartner in der Bibliothek. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 3 4 Bibliotheksdienste Die Bibliothek (UB) der Fernuniversität betreibt Ihren eigenen Webauftritt unter http://www.ub.fernuni-hagen.de. Bei Fragen zu diesem Angebot schauen Sie bitte zunächst in der Support-Datenbank der UB nach unter http://www.ub.fernuni-hagen.de/support/supportdb.html. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 4 5 Cisco IPSEC VPN Client - Installation Windows XP, Vista, 7 (32-bit) Nach dem Entpacken der selbstextrahierenden Archiv-Datei wird der Client durch Aufruf der vpnclient_setup-Anwendung installiert. Nach der Installation des clients steht dieser im Verzeichnis c:\\programme\Cisco Systems\VPN Client zur Verfügung. Dort gibt es auch das Unterverzeichnis Profiles. Weiter unten auf dieser Seite finden Sie unter Arbeiten mit dem VPN-Client eine Tabelle mit vorkonfigurierten Profilen. Bitte speichern Sie die benötigte(n) Profile-Datei(en) (*.pcf) in ein Verzeichnis Ihrer Wahl durch Rechtsklicken auf die entsprechende Datei und anschließendes Herunterladen. Dann kopieren Sie die Datei(en) in das Profile-Verzeichnis. Natürlich können Sie die Datei(en) auch direkt in das \Profile Verzeichnis herunter laden. Windows Vista, 7 (64-bit) Nach dem Entpacken der selbstextrahierenden Archiv-Datei wird der Client durch Aufruf der vpnclient_setup-Anwendung installiert. Nach der Installation des clients steht dieser im Verzeichnis c:\\programme\Cisco Systems\VPN Client zur Verfügung. Dort gibt es auch das Unterverzeichnis Profiles. Weiter unten auf dieser Seite finden Sie unter Arbeiten mit dem VPN-Client eine Tabelle mit vorkonfigurierten Profilen. Bitte speichern Sie die benötigte(n) Profile-Datei(en) (*.pcf) in ein Verzeichnis Ihrer Wahl durch Rechtsklicken auf die entsprechende Datei und anschließendes Herunterladen. Dann kopieren Sie die Datei(en) in das Profile-Verzeichnis. Natürlich können Sie die Datei(en) auch direkt in das \Profile Verzeichnis herunter laden. Leider ist die Datei vpnclient_setup.pdf herstellerseitig nicht lesbar, bei Bedarf kann die Original-Dokumentation von cisco helfen. Installation unter Windows Führen Sie die herunter geladene Datei aus und entpacken Sie die Installationfiles in ein Verzeichnis: Im ausgewählten Verzeichnis steht nun das Windows Installer-Paket als vpnclient_setup zur Verfügung, diese Anwendung führen Sie bitte aus. 5 Die Lizenzbedingungen müssen akzeptiert werden, anschließend wird das vorgeschlagene Installationsverzeichnis ausgewählt, dann wird der client installiert. Die Installation der aktuellen Version 5.0.07.0290 wird bestätigt: Arbeiten mit dem VPN-Client Nach der Installation steht der Client noch ohne Profile (*.pcf-Connection Entries) im Startmenu zur Verfügung: 6 Nach dem Aufruf sieht das so aus: Nun müssen Sie noch die gewünschte(n) Profildatei(en) herunter laden und in den client importieren. Die Unterschiede der einzelnen Profile finden Sie in der folgenden Tabelle erläutert: FU-VPN-BIB, FU-VPN-STUD Bibliotheksrecherche mit Einzel-PC FU-VPN-BIB-NAT, FU-VPN-STUD-NAT Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router) FU-VPN-STUD-SPLIT Standard-VPN-Zugang mit Einzel-PC FU-VPN-STUD-SPLT-NAT Standard-VPN-Zugang mit PC im Heimnetzwerk (mit Router) Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT (nicht für Bibliotheksrecherche, s.u.) verwenden. Der Zusatz SPLIT deutet jeweils darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung von lokalen Adresszuweisungen, beispielsweise beim Einsatz von Routern. Einige Bibliotheksrecherchen auf Datenbankebene erfordern den Einsatz des sogenannten ICA-Clients, der von den Seiten der UB herunter geladen werden kann. Bei der Verwendung des ICA-Clients kann nicht mit SPLIT-Tunneling gearbeitet werden, hier sollten Sie eines der Profile FU-VPN-BIB bzw. FU-VPN-BIB-NAT verwenden. Die heruntergeladene Profildatei wird in den client importiert: 7 Nach dem erfolgreichen Import sieht das so aus: Die VPN-Verbindung wird im Anschluss durch Klicken auf die Schaltfläche Connect hergestellt. Die Authentifizierung erfolgt wie üblich über den hochschulweiten Account und dem zugehörigen Passwort. Bei erfolgreicher Anmeldung erscheint in der Windows-Icon-Leiste der Bügel des gelben Schlosses geschlossen, d.h. der VPN-Tunnel steht. Durch doppeltes Klicken der linken Maustaste kann das Client-Kontrollfenster geöffnet werden. Die genaue Funktionalität und die Einstellmöglichkeiten sind in der Helpfunktion (Help VPN Client) ausführlich beschrieben. Beendet wird die Verbindung über das Menü Connection Entries / Disconnect im Client-Fenster, oder durch Rechtsklick auf das Schloss und Auswahl von Disconnect. Komplett beendet wird der Client durch Auswahl von Exit VPN Client über einen der oben beschrieben Wege. Installation des Cisco IPSEC unter IOS Das Cisco-VPN-Protokoll wird direkt von iOS (mindestens ab Version 3) unterstützt. Es ist demnach nicht nötig, eine App zu installieren. Zur Konfiguration gehen Sie wie folgt vor: Starten Sie das Programm ?Einstellungen? und wählen Sie dort nacheinander ?Allgemein?, ?Netzwerk?, ?VPN? und ?VPN hinzufügen?. 8 Abb. 1: Konfiguration der Authentifizierung Am oberen Rand der Konfigurationsseite selektieren Sie ?IPSec?. Daraufhin füllen Sie das Formular darunter aus: • Unter ?Beschreibung? geben Sie der zu erstellenden Verbindung einen Namen. (Das Feld fehlt im Screenshot, da dort eine bestehende Verbindung bearbeitet wird.) • Unter ?Server? geben Sie die IP-Adresse 132.176.101.101 ein. • Unter ?Account? geben Sie Ihren FernUni-Loginnamen ein. • Unter ?Kennwort? können Sie Ihr Kennwort speichern. Wenn Sie dies aus Sicherheitsgründen nicht tun, werden Sie bei jedem Verbindungsaufbau nach Ihrem Passwort gefragt. • Unter ?Gruppenname? und ?Shared Secret? geben Sie jeweils "FU-VPN-STUD-NAT" ein. (Tipp: Geben Sie den Text zunächst unter ?Gruppenname? ein und kontrollieren Sie, dass Ihnen kein Tippfehler unterlaufen ist. Dann können Sie die Eingabe markieren, kopieren und im Feld ?Shared Secret? einfach einfügen.) (Randnotiz: Neben der Eingabe der Daten direkt auf dem iPhone besteht auch die Möglichkeit, am Mac/PC mit dem kostenlosen Apple iPhone-Konfigurationsprogramm ein Konfigurationsprofil zu erstellen und per E-Mail ans iPhone zu senden.) Abb. 2: VPN aktivieren/deaktivieren Nach der Einrichtung können Sie nicht nur im VPN-Untermenü des Einstellungen-Programms, sondern auch direkt auf der Startseite der Einstellungen VPN jederzeit aktivieren oder wieder deaktivieren. Wenn VPN aktiv ist, wird der Status auch außerhalb des Programms ?Einstellungen? in der Statusleiste am oberen Bildschirmrand angezeigt. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 9 6 hier Ebsco Das Problem: Wählen Sie z.B. unter dem Menupunkt Datenbanken/elektronische Angebote/Psychologie bestimmte Journale aus und klicken anschließend auf den Such-Link (http://search.ebscohost.com/...) ist WebVPN nicht in der Lage, das Ergebnis darzustellen, die Abfrage bleibt ?hängen?. Die Ursache: Das VPN-Gateway kann die gewünschte Seite leider nicht korrekt darstellen. Beim Versuch, die Seite darzustellen, tritt ein sogenannter "stack-overflow" auf. Tabellen oder Grafiken auf der gewünschten Seite können deshalb vom Gateway nicht richtig aufgebaut werden. Dieses Problem ist bekannt und wird vielleicht wird mit einem neuen Software-Release behoben. Von unserer Seite aus kann das Problem leider nicht behoben werden. Workaround: Es muss auf den Anyconnect-Client ausgewichen werden. Dabei bitte die Gruppe "FeU-Hagen-SSL-VPN" verwenden, damit beim Seitenaufruf eine FUNet-Adresse übermittelt wird. Hinweise zur Installation des Anyconnect-Clients finden Sie hier: Installation des VPN-Clients unter Windows 10 7 Definition der Begriffe rund um die Identität Mit Einführung des FernUni-Identity-Managements werden neue (und alte) Begriffe verwendet, die folgende Bedeutung haben: • Benutzername = der Name, mit dem Sie Zugriff auf alle unsere IT-Systeme erhalten (statt bisher Benutzerkennung) • Kennwort = geheime Zeichen- und Ziffernfolge zum Schutz Ihres Benutzernamens (statt bisher Passwort). Die Regeln zur Bildung von Kennwörtern finden Sie hier: Kennwort-Regeln • Account = Zusammenfassung von Benutzername und Kennwort (wie bisher) • Generalpasswort = 16 stellige zufällige Zeichen- und Ziffernfolge zum erstmaligen Einrichten Ihres Accounts. Das Generalpasswort wird aus Sicherheitsgründen ausschließlich per Post verschickt (wie bisher) • Zertifikat = identifiziert Sie, wenn Sie über einen Browser (z.B. Internet Explorer oder Firefox) auf eine "gesicherte" Webseite zugreifen. Das ist immer dann der Fall, wenn die Adressezeile mit "https" beginnt (wie bisher) • Profil / Benutzerprofil = Sammlung all Ihrer Identity-Merkmale (neu) • FIM = Webseite zur Verwaltung Ihres Benutzerprofils: FIM (neu) Die Einführung des FernUni-Identity-Managements geht schrittweise voran. Weitere Begriffe werden deswegen im Laufe der nächsten Zeit hier ergänzt. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 11 8 DFN-Global Zertifikat Unsere Webserver sind mit https durch ein DFN-Global Zertifikat gesichert. Dieses Zertifikat ist im Internet Explorer ab Version 7 und im Firefox ab Version 3.5 bereits integriert. Wenn Sie eine ältere Version der oben genannten oder einen anderen Browser benutzen, so können Sie das Zertifikat manuell in Ihren Browser importieren. 1. Klicken Sie dazu auf diesen Link Dadurch gelangen Sie auf diese Seite: 2. Klicken Sie dort in der Rubrik CA-Zertifikate auf Wurzelzertifikat und bestätigen Sie eventuell auftauchende Meldungen. 3. Klicken Sie auf DFN-PCA Zertifikat und bestätigen Sie eventuell auftauchende Meldungen. 4. Klicken Sie auf FernUniversität in Hagen CA Zertifikat und bestätigen Sie eventuell auftauchende Meldungen. 12 Das DFN-Global Zertifikat ist nun in Ihrem Browser integriert. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 13 9 DFN-Roaming - Was ist das? DFNRoaming ermöglicht es den Nutzern von DFN Mitgliedseinrichtungen (DFN=Deutsches Forschungs-Netz), nicht nur an ihrer Heimatuniversität den Zugang zum Internet zu bekommen, sondern auch an anderen DFN Einrichtungen. Für diesen Zugang ist keine gesonderte Berechtigung notwendig, sondern es kann der Account der Heimatuniversität verwendet werden. Voraussetzung dafür ist, dass sowohl die eigene als auch die fremde Einrichtung am DFNRoaming teilnehmen. Die Fernuniversität nimmt am DFNRoaming teil. Aktuell wird DFNRoaming für den Zugang zum Internet über WLAN in der Fernuniversität angeboten. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 14 10 DFN-Roaming Probleme an einigen Standorten Wenn Sie Zugang zum WLAN einer von Ihnen besuchten Institution erhalten, sich aber dort nicht mit Ihrem fernuni-account anmelden können, schauen Sie bitte hier nach: http://wiki.fernuni-hagen.de/helpdesk/index.php/Roaming_mit_Fernuni-Account Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 15 11 DFNRoaming Mit DFN-Roaming können registrierte Nutzer einfach, kurzfristig und ohne zusätzliche Anmeldung über die universitären WLANs einen Zugang zum Wissenschaftsnetz nicht nur in ihrer eigenen sondern auch bei anderen wissenschaftlichen Einrichtungen bekommen. Die Anmeldung in den Hagener FU-Campus-WLANs mit einem gültigen Account sieht so aus: Im [1] erhält der Rechner eine private IP-Adresse aus dem Bereich 172.16.128.0 . Für den Zugang zum Internet ist eine Authentifizierung erforderlich. Wenn dies nicht über eine VPN-Client- oder WebVPN-Verbindung erfolgt, erscheint automatisch die DFNRoaming-Anmeldeseite. Ist die Verbindung zum örtlichen WLAN erfolgt und funktioniert die Anmeldung am DFN-Roaming nicht, so kann es daran liegen, dass die Authentifizierungsdaten nicht korrekt an unseren Radius-Server (Authentifizierungsserver) via DFN übermittelt werden. Der 802.1X-Authentifizierungstyp muss auf EAP-TTLS eingestellt sein. Sollte Ihr WLAN-client das nicht unterstützen, so können Sie z.B. den secureW2-client verwenden. Den client erhalten Sie unter http://www.securew2.com/. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [2]. 16 12 DNS - Domain Name System Das DNS ? Domain Name System ? ist die verteilte Datenbank aller im Internet registrierter Rechner. Das ZMI betreibt die zentralen DNS-Server für die Domänen FernUni-Hagen.de und 176.132.in-addr.arpa, sowie für die Domänen mit diversen Aliasnamen der FernUni und etlicher An-Institute und Projekte. 12.1 Einträge an der FernUni Wenn Sie einen neuen Rechner in das lokale Netz eingebunden haben und diesen nicht nur über die Internet-Adresse, sondern auch über einen Internet-Namen ansprechen möchten, dann benötigen Sie einen Eintrag im DNS (Domain Name System). Auch wenn von diesem Rechner externe Server angesprochen werden sollen (z.B. anonymous-ftp oder Mail-Server), so ist ein solcher Eintrag häufig erforderlich, weil viele Server nur eingetragene Rechner bedienen. Außerdem ist bei POP- und IMAP-Clients ein DNS-Eintrag (insbesondere auch ein PTR-Record) erforderlich. Um einen solchen Eintrag vornehmen zu können, benötigen wir von Ihnen die folgenden Angaben: • Internet-Adresse (z.B. 132.176.183.17) • Gewünschter Internet-Name (z.B. mailhost) Da der Internet-Name (IP-Name) und die Internet-Adresse (IP-Adresse) FernUni-weit eindeutig sein muß, kann es vorkommen, daß der von Ihnen gewünschte Eintrag schon vergeben ist. Das können Sie leicht feststellen, indem Sie (z.B. unter UNIX und MS-Windows unter Zubehör Eingabeaufforderung) mit nslookup IP-Name und IP-Adresse überprüfen: IP-Namen überprüfen nslookup xyz Sie erhalten die IP-Adresse, wenn der Name schon vergeben ist, und Sie müssen sich einen anderen Namen aussuchen. Erhalten Sie jedoch die Antwort xyz wurde von odin.buerokommunikation.fernuni-hagen.de nicht gefunden: Non-existent Domain so ist der Name noch frei. IP-Adresse überprüfen nslookup 132.176.xxx.yyy Auch erhalten Sie entweder den Namen des Rechners, wenn die IP-Adresse schon vergeben ist, oder die Meldung 132.176.xxx.yyy wurde von odin.buerokommunikation.fernuni-hagen.de nicht gefunden: Non-existent Domain In dem Fall ist die IP-Adrsse noch frei. Zur Veranlassung der Eintragung senden Sie eine Mail mit den obigen Angaben an den Hostmaster. Über die vorgenommene Eintragung werden Sie per Mail informiert. 12.2 DNS Server Die Daten des DNS werden über Domain Name Server verfügbar gemacht. Es gibt primäre Server, auf denen die Daten für eine oder mehrere Domänen verwaltet werden und sekundäre Server, die die Daten von primären Servern beziehen (Zonentransfer) und zusätzlich vorhalten. Zu diesen Domänen werden authoritative Antworten gegeben. Alle Anfragen zu nicht lokal vorhandenen Daten werden rekursiv von anderen Servern - beginnend bei den ROOT-Nameservern - beschafft und an die anfragenden Resolver weitergeleitet. Diese so beschafften nicht authoritativen Antworten werden in einem lokalen Zwischenspeicher (Cache) abgelegt und später bei Bedarf aus diesem bereitgestellt. Aus Sicherheitgründen sollten die authoritativen und rekursiven Nameserver getrennt werden. An der FernUni werden deshalb derzeit fünf Server betrieben. Der primäre Nameserver ist aus dem Internet nicht erreichbar (hidden primary). Von diesem beziehen die sekundären Nameserver die Zonendaten und werden im DNS propagiert. Diese sind aus dem Internet erreichbar und geben nur authoritative Antworten zu Domänen der FernUni. Sie haben keinen Cache: primärer Server 132.176.129.202 frigg.buerokommunikation.fernuni-hagen.de sekundärer Server 132.176.129.3 fenris.buerokommunikation.fernuni-hagen.de sekundärer Server 132.176.129.15 donar.buerokommunikation.fernuni-hagen.de In den Resolvern auf Rechnern im FuNet werden die folgenden rekursiven Nameserver konfiguriert, die Antworten zu allen Objekten im Internet geben, aber nur aus dem FuNet erreichbar sind: 132.176.129.201 132.176.129.202 132.176.129.203 odin.buerokommunikation.fernuni-hagen.de frigg.buerokommunikation.fernuni-hagen.de quaser.buerokommunikation.fernuni-hagen.de 12.3 Client Konfiguration Die Konfiguration erfolgt, sofern die Daten nicht über DHCP bezogen werden, bei: 12.3.1 UNIX cat /etc/resolv.conf domain fernuni-hagen.de search fernuni-hagen.de options timeout:1 attempts:1 rotate nameserver 132.176.129.201 nameserver 132.176.129.202 nameserver 132.176.129.203 17 12.3.2 Solaris 11 Zunächst muss die Datei /etc/resolv.conf angelegt werden. Anschließend ist der Import in die Service Management Facility möglich. # # # # # /usr/sbin/nscfg import -f dns/client cp /etc/nsswitch.dns /etc/nsswitch.conf /usr/sbin/nscfg import -f name-service/switch svcadm enable dns/client svcadm refresh name-service/switch 12.3.3 Windows XP Start -> Einstellungen -> Systemsteuerung (bei Windows XP auf ?klassische Ansicht? umstellen) Doppelklick auf Netzverkverbindungen -> rechte Maustaste LAN-Verbindungen -> Eigenschaften in der Liste der Protokolle nach unten scrollen: Internetprotokoll (TCP/IP) anklicken -> Eigenschaften -> Folgende DNS-Serveradressen verwenden Jetzt können Sie hier die gewünschte DNS-Server eintragen 12.3.4 Windows 7 Start -> Systemsteuerung -> Netzwerk- und Freigabecenter -> LAN-Verbindungen -> Eigenschaften in der Liste der Protokolle nach unten scrollen: Internetprotokoll Version 4(TCP/IPv4) anklicken -> Eigenschaften -> Folgende DNS-Serveradressen verwenden Jetzt können Sie hier die gewünschte DNS-Server eintragen Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 18 13 Eduroam 13.1 Die FernUniversität bietet "eduroam" an. Als Studierende oder Mitarbeitende der FernUniversität haben Sie mit Ihrer Benutzerkennung jetzt Zugang zum drahtlosen Netzwerk an allen Universitäten. Ermöglicht wird dies durch die gegenseitige Akzeptanz der Benutzerzugänge an Universitäten und wissenschaftlichen Einrichtungen untereinander, und das sogar weltweit. eduroam heißt der Schlüsselbegriff und steht für educational roaming. Die FernUniversität stellt als Teilnehmer des eduroam-Projektes diese Funktionalität aber auch in umgekehrter Richtung bereit: So können etwa Studierende oder Angehörige anderer Universitäten das Drahtlosnetzwerk auf dem Campus und in den Regionalzentren mitbenutzen. Sie brauchen dazu lediglich die Benutzerkennung und das Kennwort ihrer Heimat-Einrichtung. Dies könnte auch für Sie interessant werden, wenn Sie sich etwa mit Ihrem Notebook oder Mobiltelefon an einer anderen Hochschule befinden und über das dortige WLAN eine Verbindung zum Internet benötigen. Achten Sie hierzu auf ein WLAN mit dem Namen eduroam. In Reichweite dieses Netzes können Sie sich dann mit Ihrer FernUni-Kennung anmelden und so den Zugang nutzen. Eine Gastkennung der dortigen Hochschule ist dann nicht mehr erforderlich. 13.2 Einrichtung Benötigte Software technische Beschreibung technische Hinweise Linux Windows 7 Windows 8 mit Adroid Geräten mit Windows-Notebookds und WLAN Intel Chipsatz unter MAC OS.X 10.6 (Konfiguration) unter MAC OS.X 10.7 und iOS 19 14 Eduroam - benötigte Software Für ältere Microsoft basierte Endgeräte älter als Windows 8 (Windows XP, Windows Vista, Windows 7) ist für die eduroam-Anmeldung mit FernUni-Kennung eine Zusatzsoftware erforderlich: == SecureW2 TTLS-Client == Diese ist im Netz unter securew2_eap_suite_113.zip herunterzuladen und wie folgt zu installieren: (Administratorberechtigung erforderlich!) Hier kann getrost "Deutsch" ausgewählt werden. Dann auf "Weiter" klicken. 20 Nach Annehmen des Lizenzabkommens wähle man wie oben gezeigt die Komponente "TTLS 4.1.0" aus. Anschließend "Installieren" klicken. Der Installationsvorgang wird gestartet. Anschließend muss wahrscheinlich Ihr System neu gestartet werden: 21 Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 22 15 Eduroam - iOS 9 und OS X 10.11 15.1 Konfigurationsprofil herunterladen Hier finden Sie die Konfigurationsdatei für das WLAN Netzwerk eduroam an der FernUniversität in Hagen. Sie können dieses Profil ab Mac OS X 10.7 und iOS 8 nutzen. Konfigurationsdatei downloaden 15.2 Anleitung iOS 9 Am Beispiel eines iPhones mit iOS 9 wird die Installation dargestellt. Die Installation unterscheidet sich nicht zum iPad. Die Installation des Profils unter OS X finden Sie weiter unten auf dieser Seite. • Im ersten Schritt öffnet sich das gerade heruntergeladene Profil. Dieses können Sie nun oben rechts "Installieren". 23 • Auf der nächsten Seite müssen Sie Ihren Entsperrcode eingeben, falls Sie einen verwenden. Sollten Sie keinen Code verwenden, so kommen Sie automatisch auf die nächste Seite. • Bei Fragen oder Problemen können Sie sich gerne an den Helpdesk wenden. Sollte soweit alles funktionieren, klicken Sie oben rechts auf "Weiter". 24 • Sie werden drauf hingewiesen, das ein Zertifikat der Telekom installiert wird, welches Ihnen erst möglich macht, das WLAN Netzwerk nutzen zu können. • Sie werden nun ein letztes mal gefragt, ob das Profil wirklich installiert werden soll. Sie können installierte Zertifikate der FernUniversität in Hagen natürlich jederzeit ohne Einschränkungen wieder von Ihrem Gerät löschen. 25 • Danach geben Sie Ihren Benutzernamen gefolgt von "@fernuni-hagen.de" ein (z.B. q1234567@fernuni-hagen.de). Klicken Sie auf "Weiter". • Geben Sie nun ihr Password (welches Sie für die Mailbox im Studium oder die LVU nutzen) ein. Klicke Sie auf "Weiter". 26 • Nach der erfolgreichen Eingabe Ihrer Benutzerdaten wird Ihnen das Profil nochmal angezeigt. Klicken Sie oben rechts auf "Fertig" um den Vorgang abzuschließen. • Unter Profile in den Einstellungen können Sie sich das Profil Namens "WLAN eduroam" erneut anschauen. 27 • Wie bei Schritt 5 schon bemerkt, können Sie das Profil ohne Einschränkungen löschen. Bitte beachten Sie jedoch, das dann eine Verbindung zum eduroam-Netzwerk nicht mehr möglich ist. Wenn Sie nun in Reichweite des WLAN-Netzes "eduroam" sind, werden Sie automatisch verbunden. HINWEIS: Sollten Sie Vorher das WLAN "FU-Campus" mit der Roamingfunktion genutzt haben, entfernen Sie dieses bitte aus den bevorzugten Netzwerken um ein automatisches Verbinden zu verhindern. 15.3 Anleitung OS X 10.11 28 • Im ersten Schritt öffnet sich das gerade heruntergeladene Profil. Klicken Sie für die Installation auf "Fortfahren". 29 • Da unsere Profile nicht signiert sind, werden Sie gewarnt das der Herausgeber des Profils (die FernUni-Hagen) unbekannt ist. Jedoch können Sie ohne Bedenken auf "Fortfahren" klicken, da unsere Profile von unserem MDM-Team sorgfältig vor der Veröffentlichung überprüft wurden. 30 • Geben Sie nun Ihren Benutzernamen und das Kennwort ein. 31 • Sie werden nun ein letztes mal gefragt, ob das Profil wirklich installiert werden soll. Sie können installierte Zertifikate der FernUniversität in Hagen natürlich jederzeit ohne Einschränkungen wieder von Ihrem Gerät löschen. 32 • Damit das Profil installiert werden kann, müssen Sie diesen Vorgang mit Ihrem OS X Anmeldedaten bestätigen. 33 • Nach einer erfolgreichen Installation sehen Sie das Profil in den Einstellungen. Die Verbindung zu eduroam-Netzwerk sollte bei einem aktiven WLAN-Adapter automatisch hergestellt werden. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 34 16 Eduroam - Linux Alle modernen Linux-Systeme sind von Hause aus in der Lage, sich mit eduroam zu verbinden. Hardware-Voraussetzung ist ein Endgerät mit Drahtlos-Netzwerkadapter (WLAN). Software-Voraussetzung ist das Programm WPA-Supplicant, das in fast allen Distributionen bereits vorhanden ist. Empfohlen wird eine graphische Benutzeroberfläche wie etwa GNOME, sowie das zugehörige Konfigurationstool "NetworkManager". Auch dies kann heute fast auf allen Systemen als vorhanden vorausgesetzt werden. Es kann allerdings bei der Vielzahl der Systeme und Distributionen nicht auf alle Varanten eingegangen werden. Die hier gezeigte Anleitung soll jedoch ein Leitfaden sein. Andere Linux-Systeme verhalten sich ähnlich. Beispiel Fedora (mit GNOME-Desktop) Im Gnome-Control-Center ist der Punkt "Netzwerk" auszuwählen: Unter "Drahtlos" wird jetzt eine Liste angezeigt, die die bereits konfigurierten sowie die momentan in Reichweite befindlichen Drahtlosnetzwerke mit Signalstärke darstellt. Hier sollte bereits auch das "eduroam"-Netzwerk erscheinen: 35 Klicken Sie auf den Eintrag "eduroam". Da hierfür derzeit noch kein Profil hinterlegt ist, meldet sich jetzt der Network-Manager mit diesem Konfigurationsfenster: 36 Tragen Sie jetzt die notwendigen Einstellungsparameter wie hier gezeigt ein: Authentifizierung: Tunneled TLS Anonyme Identität: anonymous@fernuni-hagen.de CA-Zertifikat: Deutsche Telekom Root CA 2 Hinweis: Unter Ubuntu findet sich das Zertifikat direkt unter /etc/ssl/certs/... (Zertifikat evtl. vorher von Deutsche Telekom herunterladen) Innere Authentifizierung: PAP Bei Benutzername und Kennwort tragen Sie bitte Ihre Login-Daten ein. Oder lassen Sie die Felder offen und aktivieren die Passwordabfrage. Dann werden Sie bei jedem Zugriff danach gefragt. Der Network-Manager sollte jetzt folgendes Bild zeigen: 37 Der Haken bei "eduroam" gibt an, dass sich das System jetzt mit dem "eduroam"-Netzwerk verbunden hat. Der nach rechts zeigende Pfeil kann angeklickt werden, um nachträglich Konfigurationen am Profil zu ändern: 38 Klick auf "Einstellungen ..." ergibt folgendes Bild: 39 Unter "Sicherheit des Funknetzwerks" werden nochmal die zuvor eingestellten Parameter sichtbar. Die IPv4-Einstellungen sollte man auf "Automatisch (DHCP)" belassen. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 40 17 Eduroam - technische Beschreibung eduroam Allgemeine Hinweise Installation 17.1 1. Schritt: EAP-Tunnelaufbau Als erstes ist es einmal wichtig, einen verschlüsselten Tunnel über das Netz von Ihrem Client-Gerät bis hier zu unserem Authentifizierungs-Server (RADIUS) aufzubauen, so dass die von Ihnen angegebene persönliche Benutzerkennung und insbesondere auch Ihr Kennwort niemand auf der Strecke mitlesen kann. Wir sprechen dabei von "EAP" (Extensible Authentication Protocol, hat nichts mit VPN zu tun) Der EAP Tunnel kann auf zwei Arten aufgebaut werden: PEAP (protected-EAP), oder TTLS (tunneled transport-layer security). Unser Server unterstützt derzeit leider nur TTLS. Sie müssten also an Ihrem Client-Endgerät "TTLS" als Tunnel bzw. Legitimierungs-Art einstellen. 17.1.1 Anonyme Anmeldung außerhalb des Tunnels Damit der Tunnel auch zu unserem Server (und nicht irgendwo anders hin) aufgebaut wird, müssten Sie sich bereits außerhalb des Tunnels authentifizieren. Geben Sie hier bitte die "äußere" (anonyme) Identität an: anonymous@fernuni-hagen.de Beachten Sie aber bitte, dass dies jetzt keine Mailadresse ist. 17.1.2 Zertifikat Damit Sie schließlich auch wissen, wem Sie ihre echten Login-Daten anvertrauen, muss der Server sich Ihnen gegenüber ausweisen. Das macht er mit seinem Zertifikat, das er Ihnen vorlegt. Ihr Client muss dieses Zertifikat nun automatisch akzeptieren bzw. als vertrauenswürdig anerkennen. Sie können jetzt in Ihrem Client: - die Zertifikatsüberprüfung deaktivieren (nicht empfohlen, aber funktioniert ! ) - den Aussteller/Herausgeber des Serverzertifikats installieren und als ?vertrauenswürdig? einstufen. Wählen Sie hierzu bitte den Zertifikats-Aussteller Deutsche Telekom Root CA 2. Hinweis: Das Zertifikat unseres Radius-Servers wurde ausgestellt von unserer eigenen CA: FernUniversitaet in Hagen Global CA , dieses wurde au DFN-Verein Global - G01, das seinerseits von Deutsche Telekom Root CA 2 ausgestellt wurde. Die gesamte Kette muss als "vertrauenswürdig" vom 17.2 2. Schritt: Login mit UserID und Kennwort Jetzt geht es um die eigentliche Authentifizierung innerhalb des Tunnels. Auch hier gibt es mehrere Möglichkeiten: ? PAP (Password Authentication Protocol) ? CHAP (Challenge Handshake Authentication Protocol) ? MsCHAP v1 und v2 (von Microsoft bevorzugt verwendet) ? LEAP (proprietäre Methode von CISCO) ? GTK (Generic Token Card) verwendet Smartcards oder andere Hardware ? usw. Microsoft-Windows Clients verwenden gerne das MsCHAPv2, dass unser Server jedoch leider (noch) nicht unterstützt. Wählen Sie daher bitte PAP als Authentifizierungsverfahren. Hierbei werden zwar die Benutzerkennung und das Kennwort im Klartext an den Server übermittelt, aber da die gesamte Übertragung bereits im EAP-Tunnel abläuft, sind Ihre Daten auf dem Weg dennoch geschützt. Innerhalb des PAP können Sie sich jetzt mit ihrer UserID und ihrem Kennwort anmelden. Die Erweiterung "@fernuni-hagen.de" kann dabei an dieser Stelle entfallen. 17.3 Zusammenfassung der notwendigen Einstellungsparameter: ? Tunnelverfahren: EAP-TTLS 41 ? äußere (anonyme) Identität angeben: anonymous@fernuni-hagen.de ? Zertifikat akzeptieren: Aussteller=Deutsche Telekom Root CA 2 ? Authentifizierungsmethode: PAP ? Authentifizierung: mit Ihrer UserID und Ihrem Kennwort. 17.4 Besonderheit bei Microsoft-basierten Endgerätenin Verbindung mit eduroam Wie bereits beschrieben, unterstützt unser Authentifizierungsserver derzeit nur das EAP-TTLS Tunnelverfahren in Verbindung mit der PAP-Authentifizierungsmethode. Unter Microsoft wird insbesondere bei den Betriebssystemen Windows Vista und Windows 7 jedoch kein TTLS unterstützt. Allein mit system-eigenen Mitteln ist der Zugang zum eduroam daher nicht möglich. Es ist eine Zusatz-Software erforderlich, die den Aufbau des TTLS-Tunnels und das PAP-Loginverfahren auf Microsoft-Systemen unterstützt: der EAP-TTLS-Client. Als Beispiel sei hier SecureW2 genannt. Diese Software ist zwar weit verbreitet, jedoch lizenzpflichtig und kann unter http://www.securew2.com bezogen werden. Wir dürfen den Client leider nicht selber zum Download anbieten. Beim neuen Microsoft-Windows8 sieht es anders aus: Dieses System unterstützt TTLS und PAP bereits mit Bordmitteln. Die Installation einer Zusatz-Software ist hier nicht mehr erforderlich. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 42 18 Eduroam - technische Hinweise Für andere als die beschriebenen Endgeräte und Betriebssysteme sind die folgenden Einstellungsparameter wichtig: WLAN-SSID: eduroam Verschlüsselung: WPA oder WPA2 Enterprise Tunnelverfahren(Legitimierung): EAP-TTLS (getunneltes TLS) Äußere Identität(anonyme Identität): anonymous@fernuni-hagen.de Authentifizierung(Login-Methode): PAP Benutzerkennung: (Hier geben Sie bitte Ihre Fernuni-Kennung mit Ihrem Benutzer-Kennwort an.) Achtung: Für Microsoft Windows ist in einigen Fällen Zusatz-Software erforderlich! Mehr dazu unter Benötigte Software Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 43 19 Eduroam - Windows 7 (Hinweis vorab: Die früher verwendete EAP-TTLS - Methode wird derzeit unter Windows nicht mehr empfohlen, da die Verwendung der benötigten Zusatz-Software "SecureW2-Client" rechtlich nicht geklärt ist.) Klicken Sie auf das Drahtlosnetzwerk-Symbol unten rechts in der Statusleiste. Schon beim Bewegen des Mauszeigers auf das Symbol werden wie hier im Bild gezeigt bereits Hinweise eingeblendet: Beim Anklicken öffnet sich die Liste der konfigurierten und verfügbaren Drahtlosnetzwerke. Rechts daneben in grün ist jeweils die Signalstärke dargestellt: Klicken Sie auf "Netzwerk- und Freigabecenter öffnen", um Einstellungen darin vorzunehmen. Das folgende Bild sieht etwa so aus: 44 Links in der Menüleiste können Sie dann die Drahtlosnetzwerke verwalten: 45 Hier gilt es, ein neues Netzwerkprofil hinzuzufügen: (auf "Hinzufügen" klicken) Nennen Sie das neue Netzwerkprofil "eduroam" und stellen die Eigenschaften wie folgt ein: 46 (Hinweis: Je nach örtlicher Drahtlos-Netzwerkausstattung kann auch Sicherheitstyp "WPA-Enterprise" und Verschlüsselungstyp "TKIP" richtig sein.) Bei Klick auf "Weiter" erscheint dann die Bestätigung: 47 Das Netzwerk "eduroam" erscheint jetzt auch in der Liste "Drahtlosnetzwerke verwalten". Sie können es jetzt konfigurieren. (Doppelklick!) Das folgende Fenster erscheint: 48 49 Im Reiter "Sicherheit" (rechtes Bild) stellen Sie den Sicherheitstyp auf "WPA2 Enterprise" ein. Als Verschlüsselungstyp wählen Sie "AES". Je nach Einstellung des WLANs kann auch "WPA Enterprise" mit "TKIP" richtig sein. Das ist jedoch hier nicht vorhersagbar. Probieren Sie ggf. beide Möglichkeiten aus. Die übrigen Einstellungen übernehmen Sie bitte wie abgebildet: Die Authentifizierungsmethode ist "Microsoft: Geschütztes EAP (PEAP)" Darunter setzten Sie den Haken bei "Für diese Verbindung eigene Anmeldeinformationen für jede Anmeldung speichern" Unter "Einstellungen" rechts neben der Authentifizierungsmethode stellen Sie das PEAP wie im folgenden Bild gezeigt ein: 50 Aktivieren Sie den Haken bei "Serverzertifikat überprüfen". Wählen Sie als vertrauenswürdige Stammzertifizierungsstelle "Deutsche Telekom Root CA 2" (ist hier im Beispiel aus irgendeinem Grund zweimal vorhanden) Die Authentifizierungsmethode stellen Sie auf "Gesichertes Kennwort (EAP-MSCHAP-v2)" und konfigurieren dieses: Entfernen Sie bitte hier den Haken und klicken "OK". Setzen Sie den Haken bei "Identitätsschutz aktivieren" und geben diesen an mit anonymous Klicken Sie auf "OK". Im jetzt noch offenen Fenster "Eigenschaften für Drahtlosnetzwerk eduroam" klicken SIe bitte weiter unten auf "Erweiterte Einstellungen" 51 Aktivieren Sie den Haken "Authentifizierungsmodus angeben" und geben diesen an mit "Benutzerauthentifizierung". Klicken Sie auf "OK". Schließen Sie alle noch offenen Fenster mit "OK". Mittlerweile sollte unten rechts beireits ein entsprechender Hinweis erschienen sein: Sie können also jetzt das Netzwerk eduroam verwenden. Klicken Sie auf den Hinweis. Beim ersten Versuch erscheint das Anmeldefenster: 52 Geben Sie hier Ihre Anmelde-Informationen ein. Der Benutzername ist Ihr Benutzername, wie hier gezeigt gefolgt von der Erweiterung @fernuni-hagen.de. Und - natürlich - Ihr Kennwort. Klicken Sie auf "OK". Bei erfolgreicher Verbindung wird Ihnen ein entsprechender Hinweis angezeigt und Sie sind mit eduroam verbunden. 53 20 Eduroam - Windows 8 54 21 Eduroam einrichten unter Windows 8 Klicken sie mit der rechten Maustaste in den freien Bereich außerhalb der Kacheln. Unten recht erscheint dann "Alle Apps": Auf dieses Symbol einen Linksklick machen und dann unter Systemsteuerung auf Netzwerk- und Freigabecenter gehen. Dort dann auf Neue Verbindung oder neues Netzwerk einrichten gehen und anschließend Manuell mit einem Funknetzwerk verbinden auswählen. 55 Dort geben Sie folgendes ein: Netzwerkname: eduroam Achtung: Die Einstellungen zum Sicherheitstyp und Verschlüsselungstyp können hier leider nicht angegeben werden. Diese hängen von dem Netzwerk bzw. Accesspoint ab, in dessen Reichweite Sie sich gerade befinden. Die folgenden Einstellungen sind sinnvoll: Sicherheitstyp: WPA-Enterprise Verschlüsselungtyp: TKIP oder Sicherheitstyp: WPA2-Enterprise Verschlüsselungstyp: AES 56 Im Zweifelsfall hilft hier nur ausprobieren, oder beim lokalen Support vor Ort die Einstellungen erfragen. Oft gibt das Netzwerk auch eine bestimmte Einstellung vor. Damit ist etwa unter Windows 8.1 die richtige Einstellung bereits automatisch voreingestellt. Nun mit Weiter bestätigen und auf Verbindungseinstellungen ändern gehen: 57 Dort wird folgendes ausgewählt: Methode zur Netzwerkauthentifizierung: Microsoft: EAP-TTLS Und bei Für diese Verbindung? entfernen. 58 Nun auf Einstellungen: 59 Unter Einstellungen setzen sie einen Haken bei Identitätsschutz aktivieren und tragen anonymous@fernuni-hagen.de ein. Unter ?Vertauenswürdige Stammzertifizierungsstellen:? bei ?Deutsche Telekom Root CA 2? Haken setzen Radiobutton bei ?EAP-fremde?? und Unverschlüsseltes Kennwort (PAP) auswählen 60 61 Nun gehen sie auf Erweiterte Einstellungen: 62 Dort Haken bei ?Authentifizierungsmodus angeben:? setzen, ?Benutzer- oder Computer?? auswählen und mit OK bestätigen. 63 Nun Das WiFi-Icon anklicken, eduroam auswählen, den Haken bei Automatisch verbinden entfernen und auf Verbinden gehen. Jetzt können sie sich mit dem fernuni-account anmelden und mit OK bestätigen. Achtung: Die Form des Anmeldenamens des FUH Accounts ist: q1234567! 21.1 Lösung bei Verbindungsproblemen Da es unter Windows 8 leider häufig Probleme mit den Netzwerktreibern und dem Access-Point gibt, kann es öfters zu Fehlermeldungen kommen ?Keine Verbindung mit dem Netzwerk möglich?. Da Windows die Benutzeroberfläche wegrationalisiert hat, kann man dieses Problem nur über die "Eingabgeaufforderung" lösen. 1. Schritt: Öffnet die Eingabeaufforderung, beispielweise über "Windowstaste + R-Taste", tippt "Cmd" ein und drückt Enter. Oder Rechtsklick auf das Windowssysmbol (früheres Startsymbol) und dort im Dropdownmenü auf "Eingabeaufforderung". 64 2. Schritt: Eduroam Profil löschen In der Eingabeaufforderung gebt ihr nun den folgenden Befehl ein und drückt Enter netsh wlan delete profile eduroam Nun richtet Ihr Eduroam noch einmal erneut ein und es sollte funktionieren. Bei mir ging es zumindest im Anschluss wieder. Tritt der Fehler -?Keine Verbindung mit dem Netzwerk möglich? - weiterhin auf, kann versucht werden die Profilparameter nochmal zu aktualisieren mit dem Befehl netsh wlan set profileparameter name=eduroam authMode=userOnly Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 65 22 Eduroam - Windows XP Im Vorfeld folgenden Artikel lesen: Eduroam - benötigte Software Öffnen Sie mit der rechnten Maustaste unten rechts in der Statusleiste den Kontext für die Drahtlosnetzwerkverbindung. Klicken SIe auf "Verfügbare Drahtlosnetzwerke anzeigen". Das folgende Bild erscheint: Klicken Sie jetzt links auf "Erweiterte Einstellungen ändern". Es öffnet sich das folgende Fenster: 66 Dort wählen Sie den mittleren Reiter "Drahtlosnetzwerke" aus. Jetzt können Sie das Drahtlos-Netzwerk "eduroam" wie im Bild gezeigt konfigurieren. Wählen Sie es aus und klicken auf "Eigenschaften": 67 Unter "Authentifizierung" (mittlerer Reiter) lässt sich jetzt "SecureW2 EAP-TTLS" auswählen, sofern diese Zusatzsoftware ordnungsgemäß installiert ist. Auch hier klicken Sie bitte auf "Eigenschaften". Nun kann hier der SecureW2 TTLS-Client wie folgt angepasst werden: 68 Die Äußere Identität muss wie gezeigt aktiviert und angegeben werden. 69 Die Zertifikatsüberprüfung kannKursiver Text aktiviert werden. In diesem Fall ist das "Deutsche Telekom Root CA 2Kursiver Text"-Zertifikat hinzuzufügen. 70 Die Authentifizierungsmethode ist auf "PAP" zu stellen. Die Benutzerberechtigung kann wie hier auf Abfrage gestellt oder angegeben werden. Jetzt in alle Fenster auf OK klicken. Die Verbindung sollte dann automatisch aufgebaut werden. Falls nicht, müssten Sie wie oben beschrieben nochmal die Drahtlosnetzwerkverbindungen öffnen und mit dem Drahtlosnetzwerk "eduroam" verbinden Achtung: Unten rechts über der Statuszeile öffnet sich ein Hinweisfenster: Klicken Sie bitte darauf. Jetzt wird sich der SecureW2-Client melden und Sie nach Ihrer Benutzerkennung und Kennwort fragen. Das Feld "Domäne" können Sie getrost offen lassen. 71 Nach Klick auf "OK" sollte die Verbindung aufgebaut werden. Einstellungsparameter: Eduroam - technische Hinweise Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 72 23 Eduroam mit Android Geraeten Bitte haben Sie Verständnis dafür, dass wir bei der Vielzahl von Android-Geräten und Softwareversionen keinen offiziellen Support liefern können. Jedoch hat uns freundlicherweise ein Student eine Anleitung für ein Samsung Galaxy S+ mit Android Version 2.3.6 zur Verfügung gestellt, welche er erfolgreich an der Universität Zürich einsetzen konnte. Hinweis: Aus einigen bisherigen Anfragen wurde deutlich, dass ältere Geräte teilweise nicht das benötigte 802.1x Protokoll von Haus aus unterstützen. Dann benötigt man den "WiFi Advanced Config Editor" für Android. Ein Student hat eine Anleitung für einen Sony PRS-T1 bereitgestellt: http://selig.ws/hejdo/en/computers/phones/eduroam-android.html Zertifikat installieren Tipp: Vorher prüfen, ob das Zertifikat nicht bereits als "Systemzertifikat" vorinstalliert ist. In dem Fall funktioniert alles ohne manuelle Zertifikatsinstallation, was es einem auch erspart regelmäßig den Zertifikatsspeicher/"Anmeldedatenspeicher" freischalten zu müssen. Für den Zugang zu eduroam muss man das Zertifikat ?Deutsche Telekom Root CA? auf den Handy installieren. Das kann auch vorab zu Hause oder unterwegs erfolgen (über WLAN oder eine Mobilfunk-Datenverbindung). Man kann es auf zwei Arten durchführen: 1. Mit dem Handy-Browser auf https://www.pki.dfn.de/wurzelzertifikate/globalroot/ (QR Code s.u.) gehen.Dort das .CRT ? Zertifikat anklicken, ihm beim Download einen Namen geben (z. B.: Telekom Root CA 2) und das Installieren bestätigen. Während der Installation wird, sollte auf dem Handy noch nie eine Anmeldeinformation gespeichert worden sein, nach einem Anmeldeinformationsspeicherpasswort gefragt. Dieses Passwort muss erdacht und gut behalten werden ? es ist für die Herstellung der Verbindung nötig. 2. Oder so (was nicht auf allen Android Geräten funktioniert): Auf PC (oder Mac) mit dem Browser das Zertifikat ?Deutsche Telekom Root CA? (im Format .CER oder .CRT) herunterladen und speichern (von https://www.pki.dfn.de/wurzelzertifikate/globalroot/ ). Die Datei vom Computer auf die SD-Karte des Handys übertragen. Dann das Zertifikat installieren: Am Handy auswählen "Einstellungen" -> "Standort und Sicherheit" -> "Von SD-Karte installieren". Dann das Zertifikate auf der SD-Karte lokalisieren und installieren. Auch dabei kann ? wie oben ? während der Installation nach einem Anmeldeinformationsspeicherpasswort gefragt werden. Dieses Passwort muss erdacht und gut behalten werden ? es ist für die Herstellung der Verbindung nötig. Android 6: Während der oben beschriebenen Zertifikats-Installation fragt Android 6 nach dem Verwendungszweck und schlägt als Default "VPN und Apps" vor. Dieser Default muss manuell in "WLAN" geändert werden, damit das Telekom-Zertifikat bei der unten beschriebenen Einrichtung gefunden wird. Einrichtung der Verbindung zu eduroam Im Sendebereich des eduroam-Netzwerkes (also an einer entsprechenden Uni) richtet man die Verbindung folgendermassen ein: Über ?Alle Programme? auf ?Einstellungen? wechseln. Mit ?Drahtlos und Netzwerke? zu den Auswahloptionen für die Drahtlos-Einstellungen wechseln. Hier überprüfen, dass das WLAN aktiv ist (nicht ?Offline-Modus?). Dann bei ?WLAN-Einstellungen? in die Auswahlliste für Funknetzwerke wechseln und das Netzwerk ?eduroam" auswählen. Bei den Verbindungsdefinitionen folgende Einstellungen vornehmen: • EAP-Methode: PEAP • Phase2-Authentifizierung: MSCHAPV2 • Root-Zertifikat: "Deutsche Telekom Root CA 2" auswählen • Benutzerzertifikat: (leer lassen) • Identität: q1234567@fernuni-hagen.de (persönliche Kennung bei der FUHagen bzw der Login unter Windows für die Dienstaccounts, erweitert mit dem Domänennamen der FernUni) • Anonyme Identität: anonymous@fernuni-hagen.de • Passwort: (persönliches Passwort zur Kennung) Dann ?Verbinden? und evtl. das Passwort für den Zugriff auf die Anmeldeinfomationen eingeben. (Hinweis: Falls es nicht klappt: In den Sicherheitseinstellungen muss anderen Anwendungen erlaubt sein, auf den ?Anmeldedatenspeicher" zuzugreifen.) Sicherheitshinweis Ohne die Einbindung des Root-Zertifikats (s.o.) ist die Verbindung nicht ausreichend gesichert. Es wird dringend empfohlen, das Zertifikat - wie oben skizziert - zu nutzen. 73 24 Eduroam mit Windows-Notebooks und WLAN Intel Chipsatz In vielen Notebooks ist der WLAN Intel Pro Chipsatz verbaut. Dann können sie auch mit Windows ohne Installation des SecureW2 Clients eine Verbindung zu dem WLAN "eduroam" aufbauen. Das Vorgehen wird hier beschrieben. • Auf ihrem PC muss sich das "Intel WiFi Connection Utility" befinden. Rufen sie das Utility auf. Wenn in dem Fenster erscheint, dass der Adapter von Windows verwaltet wird, so müssen sie die Schaltfläche "WiFi-Verwaltung aktivieren" anklicken. • Klicken sie auf "Profile" und in dem nächsten Fenster auf "Hinzufügen". • Erzeugen sie ein Profil mit folgenden Einstellungen. 74 • Nach Klick auf "Weiter" erscheint folgendes Fenster. Statt "USERID@fernuni-hagen.de" tragen sie bitte ihre Userid ein (z.B. q1234567@fernuni-hagen.de). In die Felder "Kennwort" und "Kennwort bestätigen" tragen sie bitte ihr Passwort ein, welches sie z.B. für die LVU oder die Mailbox im Studium nutzen. 75 • Nun klicken sie wieder auf "Weiter", füllen entsprechend die Seite aus und klicken auf "OK". 76 • Nachdem sie sich mit dem gerade erstellten Profil verbunden haben, hat das Utility folgendes Aussehen. 77 78 25 Eduroam unter MAC OS.X 10.6 (Konfiguration) Hier im Stenogrammstil eine Konfiguration, mit der es funktioniert: • Netzwerkname: Örtliche ssid • Sicherheit: Firmenweiter WPA2 • Unter ?weitere Optionen? 802.1x Benutzerprofil ?eduroam? anlegen • Benutzernamen: q1234567 • Kennwort: persönliches Kennwort • Identifizierung: TTLS • Internes TTLS Identifizierungsverfahren: PAP • Externe Identität: anonymous@fernuni-hagen.de • Sicherheitstyp:Firmenweiter WPA2 Mit ok bestätigen im ersten Fenster auswählen: • 802.1x: ?WPA:eduroam? • ?Verbinden? Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 79 26 Eingeschränkter Internetzugang in Gefängnissen Zugang zu FernUni-Servern aus einer JVA gibt es derzeit in Freiburg, Berlin Tegel, Diez, Hamburg-Fuhlsbüttel , Würzburg und Butzbach. Außerdem können ausgewählte Webseiten der FernUniversität über das Netzwerk eLiS erreicht werden. Voraussetzung dazu ist eine formulargestützte Freischaltung (Formularantrag über elis@ibi.tu-berlin.de ). Derzeit gibt es über eLis noch keine E-Mail-Unterstützung, jedoch sind derzeit konkrete Planungen zu einer E-Mail-Schnittstelle im Gange. Ebenso befindet sich eine spezielle Moodle-Rolle für Inhaftierte mit u.a. eingeschränkter Kommunikationsmöglichkeit im Test. Weitere Informationen: http://www.fernuni-hagen.de/universitaet/aktuelles/2007/07/13-ak-jva.shtml http://www.fernuni-hagen.de/FeU/Aktuell/2002/04/ak_2002-04-19-Tegel.html Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 80 27 Email-Adresse im Wiki bestätigen Sie können die Bestätigung der Emailfunktion einfach wiederholen: • melden Sie sich erneut am Wiki an. • klicken Sie den Link "einstellungen" im Menue rechts oben an. • entfernen Sie den Eintrag im Feld "E-Mail-Adresse" und bestätigen Sie Ihre Eingaben mit "Einstellungen speichern" • fügen Sie anschließend Ihre E-Mail-Adresse ein und bestätigen Sie Ihre Eingaben erneut mit "Einstellungen speichern" Sie bekommen darauf hin einen neuen Bestätigungscodean die genannte E-Mail-Adresse gesendet. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 81 28 Empfehlung zur IT-Ausstattung für Studierende Welche IT-Ausstattung empfehlen wir Studierenden für ihr Fernuni-Studium? • PC ♦ Prozessor > 2,5 GHz ♦ Hauptspeicher >= 4 GB ♦ Festplatte >= 120 GB ♦ Netzwerkkarte 10/100/1000 Mbit (für den Internetanschluss) ♦ Grafikkarte beliebig / Unterstützung Direct X9 ♦ Soundkarte beliebig ♦ Betriebssystem Windows 7 oder 8 (immer aktuell gepatcht) • Internet-Zugang ♦ Provider beliebig ♦ mindestens DSL 6000 • Weitere Software ♦ Webbrowser Internet Explorer, Mozilla Firefox (immer aktuell gepatcht) ♦ Adobe Reader ♦ Flash Player ♦ Realplayer ♦ Virenscanner Empfehlung Sophos - kostenlos auf unseren Webseiten ♦ Office - vergünstigte Studierendenversion (Office_365_ProPlus) ♦ Mailclient beliebig • zu erwartende Probleme ♦ Apple mit Safari ♦ Browser Opera, Chrome Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 82 29 Fehlermeldungen und Warnungen des VPN-Clients Meldung Fehlertext Abhilfe Error 1 The command line parameter %1 cannot be used in conjunction with the command line parameter %2. The two command line parameters stated within quotation marks conflict with one another and cannot be used together in any given command line. Error 2 Invalid Connection Entry name. The Connection Entry name cannot contain any of the following characters... An invalid character was entered in the connection entry name field of the dialog for creating new, or modifying existing connection entries. Error 3 Invalid TCP port specified. Valid range is %1 to %2. An invalid TCP port number was entered on the Transport tab of the dialog for creating new, or modifying existing connection entries. Error 4 Invalid Peer Response Timeout specified. Valid range is %1 to %2. An invalid peer response timeout was entered on the Transport tab of the dialog for creating new, or modifying existing connection entries. Error 5 No hostname exists for this connection entry. Unable to make VPN connection. A connection attempt was made using a connection entry that does not contain a host name/address entry. A host name or address must be specified in the connection entry in order to attempt a VPN connection. Error 6 The connection entry %1 does not exist. The command line specified a connection entry that does not exist. Error 7 Group passwords do not match. Enter the same password in both text boxes. The group authentication password fields on the Authentication tab of the dialog for creating new, or modifying existing connection entries, have different values. The Password and Confirm Password fields must contain the same values Error 8 Unable to update Start Before Logon setting. The VPN Client was unable to save the start before logon setting of the Windows Logon Properties dialog to the file vpnclient.ini. The file attributes may have been changed to read only or there may be a problem with the file system. Error 9 Unable to update Disconnect VPN connection when logging off setting. The VPN Client was unable to save the Disconnect VPN connection when logging off setting of the Windows Logon Properties dialog to the file vpnclient.ini. The file attributes may have been changed to read only or there may be a problem with the file system. Error 10 Unable to update Allow launching of third party applications before logon setting. The VPN Client was unable to save the Allow launching of third party applications before logon setting of the Windows Logon Properties dialog to the Windows registry. The user must have administrator privileges to save this setting, though the setting should be grayed out if this is not the case. There is likely a system problem with the registry. Error 11 Registration of CSGINA.DLL failed. The VPN Client was unable to register its CSGINA.DLL with the Windows operating system. The DLL may have been altered or corrupted. Error 12 Unable to retrieve auto-initiation status. The VPN Client was unable to retrieve the current status for determining if automatic VPN initiation must be initiated. The VPN Client service or daemon may be stopped, hung, or not running; or inter-process communication between the service/daemon and the GUI application may have failed. Error 13 83 Unable to update Automatic VPN Initiation Enable setting. The VPN Client was unable to save the Automatic VPN Initiation Enable setting of the Automatic VPN Initiation dialog to the file vpnclient.ini. The file attributes may have been changed to read only or there may be a problem with the file system. Error 14 Unable to update Automatic VPN Initiation Retry Interval setting. The VPN Client was unable to save the Automatic VPN Initiation Retry Interval setting of the Automatic VPN Initiation dialog to the file vpnclient.ini. The file attributes may have been changed to read only or there may be a problem with the file system. Error 15 Invalid Retry Interval specified. Valid range is %1 to %2. An invalid retry interval was entered in the Automatic VPN Initiation Retry Interval field of the Automatic VPN Initiation dialog. The value must be within the range specified in the error message. Error 16 The connection entry %1 already exists. Choose a different name. The user is attempting to create a new connection entry with the same name as an existing connection entry. Error 17 Unable to create connection entry. The VPN Client was unable to save the new connection entry to a file on the hard drive. There may be a problem with the file system. Error 18 Unable to rename connection entry. The VPN Client was unable to rename the connection entry. The new connection entry name may already exist, or there may be a problem with the file system. Error 19 Unable to save the modified connection entry. The VPN Client was unable to save the modified connection entry to its file on the hard drive. The file attributes may have been changed to read only or there may be a problem with the file system. Error 20 Unable to duplicate connection entry. The VPN Client was unable to duplicate the connection entry. The duplicate connection entry name may already exist or be too long, or there may be a problem with the file system. Error 21 Unable to delete connection entry %1. The VPN Client was unable to delete the connection entry. The file containing the connection entry may no longer exist or may be protected, or there may be a problem with the file system. Error 22 Unable to import connection entry %1. The VPN Client was unable to import the connection entry. The connection entry attempting to import may not exist. A connection entry with the same name as the entry being imported may already exist. There may be a problem with the file system. Error 23 Unable to erase encrypted password for connection entry %1. The VPN Client was unable to erase the encrypted user password in the connection entry. The connection entry file attributes may have been changed to read only or there may be a problem with the file system. Error 24 Unable to update connection entry %1. The VPN Client was unable to write the connection entry modifications to the connection entry's file on the hard drive. The file attributes may have been changed to read only or there may be a problem with the file system. Error 25 %1() for the short cut file %2 failed with %3h. The function specified in the error message failed while attempting to create a short cut file to the VPN Client GUI for a particular connection entry. The hexadecimal number in the error message is the error returned by the function specified. Error 26 84 Unable to build a fully qualified file path while creating the short cut file %1. The VPN Client was unable to build a fully qualified file path for the shortcut file. There may be a problem with the file system. Error 27 Unable to create the shortcut file %1. The VPN Client was unable to get a pointer to the IShellLink interface from the system in order to create the shortcut file. Error 28 Reached end of log, no match found. The VPN Client could not find a match for the search string in the log. Error 29 The third-party dial-up program could not be started. The VPN Client was unable to launch the third-party dial-up program specified in the connection entry in order to establish a VPN connection. Error 30 The selected connection entry uses the Microsoft CryptoAPI certificate store. This connection entry can not be used until you have logged in t The user is attempting to establish a VPN connection before logon using a connection entry that is configured to use a Microsoft CryptoAPI certificate for authentication. Such a certificate cannot be used until after the user has logged into the workstation. Error 30 The selected connection entry uses the Microsoft CryptoAPI certificate store. This connection entry can not be used until you have logged in t The user is attempting to establish a VPN connection before logon using a connection entry that is configured to use a Microsoft CryptoAPI certificate for authentication. Such a certificate cannot be used until after the user has logged into the workstation. Error 32 Unable to verify certificate %1. The selected certificate could not be verified. Possible misconfiguration issue with the certificate authentication (CA) server. Error 33 Unable to delete certificate %1 from certificate store. The VPN Client was unable to successfully delete the selected certificate from the certificate store. Error 34 Unable to show details for certificate %1. The VPN Client was unable to successfully open and access the selected certificate in order to display the certificate's details. Error 35 Unable to export certificate. Invalid path %1. The export path provided for the certificate is invalid. Error 36 Unable to export certificate %1. The export source or destination for the certificate was invalid and the certificate could not be exported. Error 37 An export path must be specified. The user did not provide a file path for exporting the selected certificate Error 38 Certificate passwords do not match. Enter the same password in both text boxes. The Password and Confirm Password fields of the Export Certificate dialog must both contain the same values. Error 39 Unable to import certificate. The VPN Client was unable to import the certificate. The file path for the certificate may be incorrect or there may be a problem with the file system. Error 40 An import path must be specified. 85 The user did not provide a file path for import a certificate. Error 41 Certificate passwords do not match. Enter the same password in both text boxes. The New Password and Confirm Password fields of the Import Certificate dialog must both contain the same values. Error 42 Unable to create certificate enrollment request. The VPN Client was unable to create an enrollment request to enroll the certificate with a certificate authority. Error 43 Certificate enrollment failed, or was not approved. The certificate enrollment request failed or was not approved by the certificate authority. Error 44 Certificate is not valid, or not an online enrollment request. The user attempted to resume enrollment of a certificate that is not valid or does not have a pending enrollment request. Error 45 Passwords do not match. Try again. The value entered in the Confirm new password dialog did not match the value entered in the Enter new password dialog when attempting to change a certificate password. Error 46 Change password for certificate %1 failed. The VPN Client was unable to change the password for the certificate. Error 47 Failed to load ipseclog.exe. The VPN Client was unable to launch the ipseclog.exe application. Log messages will not be saved to the log file. Error 48 Unable to stop service/daemon. The VPN Client was unable to stop the service/daemon. The service/daemon may be hung or there is a problem with the system's service/daemon management. Error 49 GI_VPNStop failed. Unable to disconnect. The VPN Client failed to send a stop request for terminating the VPN connection to the service/daemon. The service/daemon may be stopped, hung, or not running. Communication with the service/daemon may have failed. Error 50 Service/daemon is not running. The VPN Client service/daemon is not running. VPN connections cannot be established/terminated via the GUI. Error 51 IPC socket allocation failed with error %1h. The VPN Client failed to create an inter-process communication socket in order to communicate with the service/daemon. VPN connections cannot be established/terminated via the GUI. Refer to Related Information for link to search on Cisco bug ID CSCed05004. Error 52 IPC socket deallocation failed with error %1h. The VPN Client failed to close an inter-process communication socket that is used to communicate with the service/daemon while terminating. Subsequent use of the GUI may be unable to communicate with the service/daemon. Error 53 Secure connection to %1 was unexpectedly dropped. The VPN connection was lost due to something other than termination by the VPN Client GUI. The connection could have been terminated by the user via the CLI, or internet connectivity may have been lost. Error 54 86 The authentication passwords do not match. Enter the same password in both text boxes. The user was asked to enter a new authentication password in the extend authentication dialog and did not enter the same values into the New Password and Confirm Password fields. Both fields must contain the same values. Error 55 The authentication PINs do not match. Enter the same PIN in both text boxes. The user was asked to enter a new authentication PIN in the extend authentication dialog and did not enter the same values into the New PIN and Confirm PIN fields. Both fields must contain the same values. Error 56 Unable to start the VPN connection. The VPN Client failed to send a start request for establishing the VPN connection to the service/daemon. The service/daemon may be stopped, hung, or not running. Communication with the service/daemon may have failed. Error 1406 Could not write value MtuAdjustment to key ... Der VPN Client kann den gennanten Werte nicht in die registry eintragen. Die Fehlermeldung deutet darauf hin, dass die Berechtigungen in der Registrierung nicht ausreichend sind. Die Loesung ist leider nicht ganz einfach. Bitte geben Sie unter Start/Ausfuehren als Kommando regedit und OK ein. Danach unter Bearbeiten/Suchen im Suchfeld den Namen des Feldes, hier MtuAdjustment. Nach einem Rechtsklick auf den geoeffneten Ordner, in dem das Feld gefunden wurde, muessen Sie unter Berechtigung fuer den "Installateur" Vollzugriff anklicken. Durch Betaetigung der F3-Taste koennen Sie das Feld in weiteren Ordnern suchen, hier gehen Sie bitte genauso vor. Reason 401 An unrecognized error occurred while establishing the VPN connection. VPN connection was not established because of an unrecognized reason. Please check client logs for details. Reason 402 The Connection Manager was unable to read the connection entry, or the connection entry has missing or incorrect information. Either the connection profile is missing or does not have all the information. To fix this problem, you can either select another connection profile, or fix the current connection entry. Connection profiles are located in profiles. On most machines, this is C Program FilesCisco SystemsVPN Clientprofiles. To fix this problem, replace the connection profile file from the profiles directory. This file can be copied from a machine that has the correct entry of this file. Reason 403 Unable to contact the security gateway. This can happen because of multiple reasons. One of the reasons that users can get this message is because IKE negotiations failed. Check the client logs for details. Reason 404 The remote peer terminated the connection during negotiation of security policies. Check the remote peer (head-end) logs to determine the cause for this failure. Reason 405 The remote peer terminated connection during user authentication. This reason is not currently used. Reason 406 Unable to establish a secure communication channel. This reason is not currently used. Reason 407 User authentication was cancelled by the user. A user hit the cancel button (instead of OK) in the VPN Client user authentication dialog. Reason 408 A VPN connection is already in the process of being established. A connection is already in process. Reason 409 A VPN connection already exists. A VPN connection already exists. Reason 410 The Connection Manager was unable to forward the user authentication request. 87 This is not currently used. Reason 411 The remote peer does not support the required VPN Client protocol. The remote peer is either not a Cisco device or it does not support the VPN Client protocol specification. Reason 412 The remote peer is no longer responding. The remote peer is not responding to the client's request to establish the connection. Make sure you can ping the remote peer, or check remote peer logs for why it is not responding to the client. Reason 413 User authentication failed. Either the user entered wrong user authentication information, or the client was not able to launch the XAuth (user authentication) process. Reason 414 Failed to establish a TCP connection. The VPN Client was not able to establish the TCP connection for IPSec over TCP connection mode. Please try IPSec over UDP or straight IPSec. Please look at client logs for details. Reason 415 A required component PPPTool.exe is not present among the installed client software. Please make sure that ppptool.exe is present in the client installation directory (this is generally C Program FilesCisco SystemsVPN Client. If this file is not present, uninstall and reinstall the client. Reason 416 Remote peer is load balancing. The peer has advised you to use a different gateway. Reason 417 The required firewall software is no longer running. The required firewall is not running. Reason 418 Unable to configure the firewall software. The peer sent an unrecognized firewall message. Reason 419 No connection exists. This is an unexpected error. Please check client logs for details. Reason 420 The application was unable to allocate some system resources and cannot proceed. The system ran out of memory. If you think the system has enough memory, reboot the machine and try again. Reason 421 Failed to establish a connection to your ISP. Failed to establish a dialup connection. View the client logs for details. Reason 422 Lost contact with the security gateway. Check your network connection. The machine's IP address changed or the machine is no longer connected to the Internet. Note The VPN Client is required to disconnect the VPN tunnel for security reasons, if the machines IP Address has changed. Reason 423 Your VPN connection has been terminated. Either the user disconnected the VPN tunnel, or there was an unexpected error. Reason 424 Connectivity to Client Lost by Peer. 88 Connection disconnected by the peer. Check the peer logs for details. Reason 425 Manually Disconnected by Administrator. Administrator manually disconnected the VPN tunnel. Reason 426 Maximum Configured Lifetime Exceeded. The VPN Client exceeded the maximum configured lifetime for a session. This value is configured on the peer (head-end) device. Reason 427 Unknown Error Occurred at Peer. Peer disconnected tunnel. Check the peer logs for details. Reason 428 Peer has been Shut Down. Peer was shut down. Reason 429 Unknown Severe Error Occurred at Peer. Check the peer logs for details. Reason 430 Configured Maximum Connection Time Exceeded. VPN Client has been connected for longer than allowed by the peer. Reason 431 Configured Maximum Idle Time for Session Exceeded. The VPN connection was idle for longer than the time allowed by the administrator. Reason 432 Peer has been Rebooted. The peer has been rebooted. Reason 433 Reason Not Specified by Peer. The peer gave no reason for disconnecting the tunnel. Check the peer logs for details. Reason 434 Policy Negotiation Failed. Client and peer policies do not match. Try changing peer policies (try using 3DES, AES, and so forth) and then try again. Reason 435 Firewall Policy Mismatch. Firewall policies do not match with what was configured by the peer. Reason 436 Certificates used have Expired. The certificate used in the connection profile has expired. Update the certificate configured in the client profile, and then try again. Warning 201 The necessary VPN sub-system is not available. You can not connect to the remote VPN server. The VPN Client GUI has detected that it cannot communicate with the client service/daemon. The service/daemon may be stopped, hung, or not running. Communication with the service/daemon may have failed. Uninstall the VPN Client(see Related Information for link) and the anitvirus on the computer, then reinstall the VPN Client. Warning 202 If you disable this feature, the %1 will not automatically disconnect your VPN connection when you logoff. As a result, your computer may rema The user has disabled the Disconnect VPN connection when logging off setting of the Windows Logon Properties dialog. 89 Warning 203 You do not have write privileges for this connection entry. It will be opened read-only. The user is attempting to modify a connection entry whose file attributes have been set to read only. Warning 204 The certificate %1 associated with this Connection Entry could not be found. Please select a different certificate or click Cancel. The user is attempting to modify a connection entry that has a certificate associated with it. But the certificate associated with the profile was not found. It could be that the certificate lives on a smart card which is not connected to the system right now. Therefore, hitting cancel is a valid option. Warning 205 You must use a Smart Card with this connection. Please insert the Smart Card before attempting a connection. This warning means that the current profile requires the use of smart card, and no smart card is present on the system. The user should insert the correct smart card and should re-connect, or the user should select a different profile to connect. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 90 30 Fehlernummern bei DFÜ-Verbindungsproblemen Im unten stehenden Dokument finden Sie eine Übersicht über alle Fehlernummern bei DFÜ-Verbindungsproblemen: Fehlernummer bei DFÜ-Verbindungsproblemen Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 91 31 Fernuni-Identity-Management (FIM) Zur Verwaltung aller Benutzerinnen und Benutzer der zahlreichen IT-Systeme an der Fernuniversität wird seit Beginn des Jahres 2011 ein neues Fernuni-Identity-Management - kurz FIM eingeführt. Ziel ist es, mit möglichst einem Benutzernamen und einem Kennwort alle Systeme der Fernuni benutzen zu können. Die Umstellung wird in mehreren Phasen erfolgen. • Den jeweils aktuellen Stand der FIM-Einführung finden Sie hier: FIM-Projekt - aktueller Stand • Im Zusammenhang mit Ihrer Identität in unseren IT-Systemen gibt es eine Anzahl von Begriffen, deren Bedeutung wir hier erläutern: Definition der Begriffe rund um die Identität • Die Verwaltung Ihres Benutzerprofils im Fernuni-Identity-Management erfolgt hier: https://account.fernuni-hagen.de Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 92 32 FIM-Projekt - aktueller Stand 32.1 Aktuelle Meldungen zum Stand des Projektes Fernuni-Identity-Management (FIM) 32.1.1 Planungen 2017 • Die SAP-Accounts werden automatisch durch das Identity-Management System angelegt. • Das SAP-Kennwort wird mit dem sonst verwendeten persönlichen Kennwort synchronisiert. 32.1.1.1 Planungen 2016 • Die Account-Workflows werden angepasst: Accounts neuer Beschäftigter werden rechtzeitig angelegt, Accounts ausscheidender Beschäftigter werden pünktlich gelöscht. • Saisonkräfte werden bei der Accountvergabe speziell berücksichtigt, so dass der Account auch während der Nicht-Beschäftigungszeiten bestehen bleibt. • Antragsformulare für Funktionszugänge, sowie für das Beantragen von besonderen Zugriffs-Berechtigungen (z.B. Imperia, Gemeinsame Ordner, VPN, etc.) sind im Web verfügbar. • Ein neues Administrationsportal auf Basis von HTML5 wird implementiert. 32.1.1.2 Januar 2015 bis Dezember 2015 • Benutzerkennwörter werden jetzt zusätzlich mit einem neuen Hash-Algorithmus abgespeichert. • VPN-Gruppenrechte können jetzt über das Identity-Management System verwaltet werden. • Die Shibboleth Objektklasse eduPerson wurde im AD LDS-Server implementiert. • Ein Shibboleth IdP wurde installiert und in Betrieb genommen. 32.1.1.3 Januar 2014 bis Dezember 2014 • Eine Kennwort-Policy wurde eingeführt. • Alle Systeme wurden an den neuen zentralen LDAP-Server AD LDS angeschlossen. • Die zum Teil alten Benutzernamen von Beschäftigten (z. B. p1234567) wurden an die neue Namenskonvention angeglichen. SAP-Benutzername und Windows/LDAP-Benutzername sind identisch. Der 2011 vergebende SAP-Benutzername war dabei maßgebend. • Das zukünftige Mailsystem für Studierende wurde an das Identity Management System der FernUniversität angebunden. Mailadressen werden automatisiert über das Identity Management System generiert. • Update des Identity Management Systems auf den Microsoft Forefront Identity Manager 2010 R2 unter Microsoft Windows Server 2012 R2. • Implementierung weiterer Schnittstellen. Z. B. Staffsearch Datenbank unter MySQL) Leider konnten auch dieses Jahr nicht alle Ziele erreicht werden! Dies lag an einer Verzögerung bei der Implementierung einer Schnittstelle zum SAP-Personalverwaltungssystem. 32.1.1.4 Januar 2013 bis Dezember 2013 • Im Staffsearch werden die Ausgaben auch bei mehreren FernUni-Arbeitsverhältnissen korrekt angezeigt. • Die Mailmigration für die Beschäftigten der FernUni ist abgeschlossen! Alle Beschäftigten sind auf den zentralen Exchange-Server umgezogen. • Die Datenbereinigung ist abgeschlossen. • Die Anbindung des neues Mailsystems für die Studierenden ist in großen Teilen erfolgt. • Gast- und Funktionsaccounts werden mit Erreichen des Ablaufdatums deaktiviert. 30 Tage nach der Deaktivierung werden die Accounts gelöscht. • Im Staffsearch ist eine Suche nach Bereichen implemtiert. • Der Suchalgorithmus im Staffsearch ist verbessert. Dort kann jetzt auch nach Namensbestandteilen gesucht werden. • Beschäftigte werden rechtzeitig vor Ablaufen des Kennwortes per Email darüber informiert. Leider konnten nicht alle Ziele für das Jahr 2013 erreicht werden! Dies lag an einer Verzögerung bei der Implementierung einer Schnittstelle zum SAP-Personalverwaltungssystem. 32.1.1.5 Januar 2012 bis Dezember 2012 • Die zweite IAM-Projektphase wird geplant. • Generalpasswortbriefe werden mit individuellen Texten für Beschäftigte, Studierende, Gäste und Funktionsaccounts verschickt. • Anträge für Gastaccounts können über das Web gestellt werden. • Es wird ein neues zentrales E-Mail-Konzept für die FernUni erarbeitet. • Alle Beschäftigten der Fernuni werden nach und nach auf den Exchange-Server umgezogen (Rektoratsbeschluss vom 5.4.2011). Der Endgeräte-Support hilft bei den Umzügen. http://wiki.fernuni-hagen.de/helpdesk/index.php/Migration_von_mailstore_zu_OWA. • Alle Studierenden verbleiben mit ihrer Mailbox auf dem Mailstore. • Die Identitäten bei Doppelrollen werden getrennt. • Studierende, die länger als 90 Tage exmatrikuliert sind, werden gelöscht. • Das neue VoIP-Systems wird an FIM angeschlossen. • Die Datenbereinigung auf allen Systemen wird fortgeführt. • Die internen technischen Verwaltungsprozesse für Accounts werden angepasst. 32.1.1.6 Mai 2011 bis Dezember 2011 • Es werden weitere Anpassungen des FIM-Systems an die Prozesse der Fernuniversität vorgenommen. Dazu gehören u.a. ♦ Automatische rechtzeitige Account-Einrichtung für neu eingestellte Beschäftigte ♦ Automatische rechtzeitige Erinnerungsmail an ausscheidende Beschäftigte, dass der Account gelöscht wird ♦ Freischaltung des neuen Staffsearch mit aktuellen Daten 93 32.1.1.7 Mai 2011: Doppelrolle: Personen, die gleichzeitig an der FernUni beschäftigt sind und auch an der FernUni studieren. Was ist zu beachten? • Sie haben zwar eine "Identität" in unseren Systemen, aber zunächst noch zwei Benutzernamen: ♦ als Mitarbeitende/r Ihren p- oder Namensaccount ♦ als Studierende/r Ihren q-Account • Wichtig: die Kennwörter für beide Benutzernamen werden automatisch synchronisiert: Ändern Sie das Kennwort für Ihren Beschäftigten-Account, ändert sich auch das Kennwort für Ihren Studierenden-Account und umgekehrt! • Alle Emails werden an Ihre Fernuni-Email-Adresse geschickt • In Einzelfällen gab es Konflikte bei Beschäftigten mit dieser Doppelrolle, die aber überwiegend bereinigt werden konnten. (Anmerkung April 2012: Das Konzept, eine einzige Identiät in unseren Systemen zu führen wird wieder aufgehoben. Wunsch vieler Beschäftigter und Studierender mit Doppelrolle ist eine strikte Rollentrennung. Insbesondere sind zum Beispiel zwei Mailadressen notwendig: eine für die dienstlichen Arbeiten als Beschäftigte/r und eine für die privaten Aktivitäten als Studierende/r.) 32.1.1.8 April 2011: Start des neuen Dienstes FIM (Fernuni-Identity-Management), der die Verwaltung der Benutzernamen aller Beschäftigten und Studierenden übernimmt. Was ändert sich? • Für die meisten Fernuni-Anwendungen benötigen Sie ab sofort nur noch einen Benutzernamen und das zugehörige Kennwort ♦ für das Windows-Login (Mitarbeitende) ♦ für die Mails auf dem Exchange-Server (Mitarbeitende) ♦ für die Mails auf dem Mailstore-Server (Mitarbeitende und Studierende) ♦ für den Zertifikatsserver (Mitarbeitende und Studierende) ♦ für fast alle weiteren Anwendungen an der FernUniversität wie BSCW, Wiki-/Blog-Login, Virtueller Studienplatz, Moodle, online-Übungssystem, Prüfungssysteme, etc. Das alles sind Anwendungen, die den sogenannten LDAP-Server zur Authentifizierung benutzen. (Mitarbeitende und Studierende) • Sie können Ihr Kennwort an mehreren Stellen ändern - für alle oben genannten Anwendungen wird das Kennwort dann automatisch synchronisiert. ♦ auf der Account-Webseite https://account.fernuni-hagen.de (Mitarbeitende und Studierende) ♦ beim Windows-Login (Mitarbeitende) ♦ auf der OWA-Webseite https://owa.fernuni-hagen.de (Mitarbeitende) • Für die folgenden Fernuni-Anwendungen benötigen Sie noch weitere Benutzernamen und Kennwörter. Die Kennwort-Änderung muss in dem jeweiligen System erfolgen. Eine Synchronisation mit anderen Kennwörtern erfolgt nicht: ♦ für das Anmelden in SAP/FiBu ♦ für das Anmelden in Imperia (Mitarbeitende) ♦ für alle Anwendungen, die auf dem Server wattle zur Verfügung gestellt werden, z.B. SLO-Auskunft, HIS-Anwendungen (Mitarbeitende) ♦ für die Bibliotheksanwendungen, z.B. aleph (Mitarbeitende und Studierende) • Gäste der Fernuni erhalten befristete Benutzernamen t_name http://wiki.fernuni-hagen.de/helpdesk/index.php/Gastzugang • Funktionsnamen werden als f_accounts eingerichtet http://wiki.fernuni-hagen.de/helpdesk/index.php/Funktionszug%C3%A4nge Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 94 33 Firefox-Masterpasswort Unter - Extras - Einstellungen - Sicherheit - gibt es ein Feld "Master-Passwort verwenden". Wenn Sie dort einen Haken gemacht haben, haben Sie auch ein Passwort vergeben. Dieses wird bei der Installation der Zertifikate abgefragt. Entfernen Sie den Haken oder geben Sie ihr Masterpasswort ein, dann sollte die Installation auch funktionieren. Weitere Infos zum Masterpasswort unter http://www.firefox-browser.de/wiki/Masterpasswort Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 95 34 FU-CAMPUS - Vouchers 34.1 Allgemeines zu Vouchers Vouchers sind Zugangscodes für die Benutzung des Netzwerks "FU-Campus". Sie verstehen sich als Einmal-Passwörter mit einer begrenzten Nutzungsdauer. Das Voucher-System wurde an der FernUniversität eingeführt, um Gästen und Nicht-Hochschul-Angehörigen die Anmeldung ans Netz und damit die vorübergehende Nutzung des Hochschulnetzes und des Internets zu ermöglichen. Ein Voucher ist also ein etwa 11- oder 12- stelliger Code aus einer Zahlen- und Buchstabenkombination, mit etwa folgendem Aussehen: (Beispiel) e7FZkG66T2yH Das Netzwerk FU-Campus steht als Drahtlosnetzwerk (WLAN) auf dem gesamten Campus sowie auch in allen Regionalzentren und einigen Studienzentren zur Verfügung. FernUni-Angehörige (Beschäftigte und Studierende) erhalten den Zugang mit ihrer hochschulweiten Benutzerkennung. Sie benötigen keine Vouchers. 34.2 Benutzung eines Vouchers Starten Sie mit ihrem Endgerät die Suche nach Drahtlosnetzwerken. Wenn Sie sich auf dem Campus in Reichweite des Netzes befinden, sollten Sie ein Netzwerk mit der SSID "FU-Campus" sehen. Es ist ein unverschlüsseltes WLAN, ohne Zugangseinschränkungen. Verbinden Sie sich jetzt mit diesem Netzwerk. Sie haben an dieser Stelle jedoch noch keinen Zugang zum Hochschulnetz oder zum Internet. Starten Sie jetzt Ihren Webbrowser. Wenn Sie eine Seite laden möchten (Beispiel: http://www.fernuni-hagen.de), werden Sie umgelenkt auf unsere Anmeldeseite: Hier ist sowohl die Eingabe der Benutzerkennung mit Kennwort (Nur Hochschul-Angehörige und Studierende der FernUniversität) als auch die Eingabe mit Vouchers möglich. Geben Sie jetzt Ihren Voucher-Code in das dafür vorgesehene Feld ein. Die anderen Felder bleiben leer. 96 Wenn Sie nun auf "Anmelden" klicken, erhalten Sie Zugriff auf das Netzwerk. Sie erhalten dann die gewünschte Webseite. 34.3 Ergänzende Informationen zu Vouchers Vouchers werden für den jeweiligen lokalen Bereich herausgegeben. Ein auf dem Campus in Hagen herausgegebenes Voucher ist auf dem gesamten Campus und auch nur dort verwendbar. In einigen Regionalzentren können Sie ebenfalls Vouchers bekommen. Diese sind dann auch nur dort verwendbar. Ein Voucher hat einen begrenzten Gültigkeitszeitraum. Dieser beginnt mit der ersten Benutzung. Innerhalb dieser Zeit können Sie dasselbe Voucher jederzeit wieder benutzen. Nach Ablauf der Zeit wird das Voucher ungültig, und Sie werden vom System abgemeldet. Ein unbenutztes Voucher kann jedoch beliebig lange aufbewahrt werden. Eine gleichzeitige Anmeldung an mehreren Endgeräten ist nicht möglich. Sie können sich jedoch von einem Gerät abmelden und mit demselben Voucher innerhalb der Gültigkeitsdauer mit einem anderen Gerät wieder anmelden. Eine gleichzeitige Anmeldung an einem zweiten Gerät meldet Sie automatisch auf dem anderen Gerät ab. Wenn Sie dennoch mehrere Geräte gleichzeitig anmelden möchten, benötigen Sie für jedes Endgerät ein eigenes Voucher. 34.4 Ausgabe von Vouchers Herausgeber von Vouchers ist das ZMI. Für den Fall, dass Sie einen oder mehrere Voucher für einen vorübergehenden Zugang auf dem Campus benötigen, können Sie eine der folgenden Anlaufstellen nutzen: • direkt und online über die Adresse https://www.fernuni-hagen.de/voucher/creatick. Nach Authentifizierung über Ihren hochschulweiten Account können Sie einen oder mehrere Voucher für einen Gültigkeitszeitraum von 1, 3 oder 5 Tagen beantragen. Der/die Voucher werden Ihnen per E-Mail zugeschickt. • Gäste der FernUni können sich direkt an den Helpdesk unter Tel. -4444 wenden. • Als Besucher der Universitätsbibliothek erhalten Sie Voucher an der Infotheke der Bibliothek. • Für den Bezug von Voucher in den Regionalzentren wenden Sie sich bitte an die jeweilige Geschäftsstelle des Regionalzentrums. 97 35 FUNet nicht erreichbar Bei generellen Zugriffsproblemen auf das FUNet und die Internetdienste (Einwahl nicht möglich, kein Zugriff auf LVU, Mails, News, etc. also alles, was irgendwie mit dem LDAP-Account zusammen hängt): Auf der Webseite http://www.fernuni-hagen.info/ stehen Informationen zu den Störungsursachen und wie lange die Störungen voraussichtlich bestehen werden Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 98 36 FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 und 10.9 Mac OS X 10.6 (Snow Leopard) und 10.7 (Lion) und 10.9 bieten die Möglichkeit zum Aufbau einer ipsec-VPN-Verbindung zum FUNet ohne die Installation zusätzlicher Software. Unter Systemeinstellungen den Button ?Netzwerk? betätigen und das ?+?-Zeichen für ?Neuen Dienst erstellen? anklicken. Anschlussart ist VPN, der VPN-Typ Cisco IPSec und der Verbindungsname ist frei wählbar, im Folgenden wurde FUNetMacLion verwendet. Die Verbindung wird über Erstellen eingerichtet. ? Als Serveradresse wird 132.176.101.101 (webvpn.fernuni-hagen.de) eingetragen, die Angaben für Accountname und Kennwort sind Ihr üblicher hochschulweiter Benutzername und Ihr persönliches Kennwort. Unter Authentifizierungseinstellungen wird dann noch ein Gruppenname ? hier FU-VPN-STUD-SPLIT ? gewählt, das zugehörige Shared Secret ist jeweils identisch mit dem Gruppennamen. Mögliche Gruppen entnehmen Sie bitte der Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml unter Profile. Um auf die Dienstleistungsangebote der Universitätsbibliothek (Datenbanken, Katalog) zugreifen zu können, sind die Gruppennamen FU-VPN-BIB oder FU-VPN-BIB-NAT erforderlich. 99 Zusätzlich zur bestehenden Netzwerkverbindung ? hier Ethernet ? wird dann die VPN-Verbindung (FUNetMacLion) gestartet, das Endgerät erhält dann eine Adresse aus dem FUNet ? hier 132.176.131.91. 100 Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 36.1 Speichern des Passworts Leider wird u.U. beim Verbinden jedesmal das Passwort abgefragt. Um dies zu über den Schlüsselbund automatisch zu verwenden, muss wie folgt vorgegangen werden (die Anleitung stammt von Macworld: 1. Öffnen der Schlüsselbund-Applikation (unter Dienstprogramme/Utilities, Schlüsselbund bzw. Key Chain Access) 2. Im Schüsselbund/Keychain "System" findet sich ein Eintrag für die VPN-Konfiguration gleichen Namens, die Art (Kind) des Eintrag ist IPSec XAuth Password 3. Diesen Eintrag öffnen und im Reiter Access Control eine neue Anwendung eintragen, die Zugriff auf den Eintrag hat. Dazu unten links "+" drücken. Die Anwendung, die Zugriff benötigt, ist /usr/libexec/configd. Um diese Applikation im Auswahldialog anwählen zu können, muss mit Befehl-Shift-G der Ordner /usr/libexec ausgewählt werden. Dort kann dann einfach configd selektiert werden. 101 36.2 Authentifizierungsprobleme Es kann (gerade beim Testen) vorkommen, dass trotz korrekter Eingabe aller Authentifizierungsdaten keine Verbindung aufgebaut werden kann. U.U. muss dann der Dienst "racoon" neu gestartet werden. Dazu im Terminal mit ps aux|grep racoon den Prozess suchen und anschließend mit sudo kill ### (wobei ### die Prozessnummer ist) beenden. Der Prozess wird dann automatisch neu gestartet und die Authentifizierung sollte funktionieren. 102 37 Generalpasswort - Kennwort (Unterschied) Der Benutzername ist grundsätzlich für Studierende in allen an der FernUni verwendeten Systemen die Matrikelnummer beginnend mit einem q (q1234567). Für Mitarbeitende wird seit April 2011 ein Namensaccount vergeben. Mehr zur Account-Systematik finden Sie hier: http://wiki.fernuni-hagen.de/helpdesk/index.php/Account-Systematik Zu Beginn des Studiums, bzw. mit Aufnahme Ihrer Arbeit haben Sie das sog. Generalpasswort erhalten. Es wurde Ihnen per Post in einem versiegelten Umschlag zugeschickt und umfasst 16 zufällige Zeichen. Dieses Generalpasswort brauchen Sie zum Setzen des Kennwortes. Im Gegenteil dazu gibt es das Kennwort. Das ist das von Ihnen selbstgewählte Kennwort. Und nur dieses Kennwort brauchen Sie in Ihrer täglichen Arbeit im LVU, moodle, E-Mail oder sonstigen angeschlossenen Systemen. Auch das Beantragen eines Zertifikates funktioniert mit diesem Kennwort. Sollte Ihnen das Generalpasswort nicht mehr vorliegen, können Sie es erneut bestellen. https://account.fernuni-hagen.de Bitte geben Sie auch hier einfach nur Ihren Benutzernamen z.B. in der Form q1234567 an. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 103 38 Gruppenpasswort wiederherstellen Das Gruppenpasswort setzen Sie über Modify/Group Authentication für den jeweiligen Dialer Eintrag. Er ist immer identisch mit dem Gruppenamen,also im o.g. Fall PW=Group-PW=FU-VPN-STUD-NAT. Wie komme ich wieder an das Gruppen-Passwort und wo kann ich das gespeicherte User-Passwort ändern bzw. so umstellen, dass ich es wieder per Hand eintragen kann? Entfernen Sie im Einwählfenster das Häkchen für die Passwortspeicherung. Es geht beides auch per Hand, indem Sie die zugehoerige PCF-Datei (FU-VPN-STUD-NAT) editieren und folgende Änderungen machen: GroupPwd=FU-VPN-STUD-NAT SaveUserPassword=0 Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 104 39 Hinweis zur Windows-Systemwiederherstellung Wenn sie ihren Computer mit der Windows-Systemwiederherstellung zurücksetzten, verlieren die Zertifikate im Browser ihre Gültigkeit und müssen neu beantragt werden. 105 40 ICS (Internet Connection Sharing) und VPN-Probleme unter Windows XP Bei aktiviertem ICS gibt es Probleme bei der Installation der VPN Software. Um den VPN Client dennoch installieren zu können, führen Sie einfach folgende Schritte aus : • Rechtsklick auf Arbeitsplatz • im Kontextmenü Linksklick auf Verwalten • In der Computerverwaltung gehen Sie in Dienste und Anwendungen und im nächsten Fenster dann in Dienste. • Klicken Sie dort mit der rechten Maustaste auf "Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung" und wählen Sie Eigenschaften. • Unter der Kategorie Allgemein wählen Sie den Starttyp Deaktivieren und bestätigen anschließend mit Ok • Starten Sie den PC neu Danach sollten Sie den VPN Client problemlos installieren können. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 106 41 Installation des VPN-Clients unter Kubuntu Linux 7.04 (feisty) Wir bitten um Ihr Verständnis, dass wir nicht alle aktuellen Linux-Distributionen berücksichtigen können. Unsere Beschreibungen beziehen sich auf Kubuntu Linux in der Version 7.04 (Feisty Fawn), eine besonders einfach zu benutzende Linux-Distribution, die Sie kostenlos als ISO-Datei von http://www.kubuntu.org/ herunterladen, oder sich kostenlos von https://shipit.kubuntu.org/ als CD-ROM bestellen können. Unter Kubuntu Linux können Sie den freien VPN-Client Kvpnc über die Paketverwaltung (apt) installieren. Sie haben dazu grundsätzlich zwei Möglichkeiten: Über die Kommandozeile Öffnen sie ein Konsole-Fenster (K-Menü -> System -> Konsole) und tippen Sie dort: sudo apt-get install network-manager-vpnc kvpnc Gegebenenfalls werden Sie zur Eingabe ihres Anmeldekennworts aufgefordert. Die Anwendung wird anschließend automatisch heruntergeladen und installiert. Über die grafische Benutzeroberfläche Starten Sie das Adept-Installationsprogramm (K-Menü -> Programme hinzufügen/entfernen). Sie werden gegebenenfalls zur Eingabe Ihres Anmeldepassworts aufgefordert. Im oben sichtbaren Suchfeld tippen sie ?vpnc? ein. Markieren Sie beide Suchergebnisse, so dass sich ein Häkchen neben ihnen befindet (siehe Abbildung). Nach einem Klick auf ?Änderungen anwenden? wird der VPN-Client automatisch heruntergeladen und installiert. Installieren der Konfigurationsdatei für Kvpnc Nach der Installation von Kvpnc muss nun noch unsere vorgefertigte Konfigurationsdatei (kvpncrc) installiert werden. Laden Sie sich die Datei in Ihr Homeverzeichnis herunter (Rechtsklick auf die Datei -> Ziel speichern unter...). Öffnen Sie danach bitte ein Konsolenfenster (K-Menü -> System -> Konsole) und gehen Sie anschließend wie folgt vor: 1. Löschen Sie die alte Konfigurationsdatei von Kvpnc, dies geschieht mit dem Befehl: sudo rm /root/.kde/share/config/kvpncrc 2. Kopieren Sie die Datei im Anhang in das vorherige Verzeichnis, setzen Sie die Rechte der Datei so, dass Kvpnc sie lesen und schreiben kann: sudo cp ~/kvpncrc /root/.kde/share/config/ sudo chmod 0600 /root/.kde/share/config/kvpncrc sudo chown root:root /root/.kde/share/config/kvpncrc 3. Bei der ersten Verbindung mit Kvpnc werden Sie aufgefordert, das Gruppenpasswort einzugeben. Die Gruppenpasswörter lauten wie folgt: Gruppe: FU-VPN-STUD-NAT Passwort: FU-VPN-STUD-NAT Gruppe: FU-VPN-STUD-SPLIT-NAT Passwort: FU-VPN-STUD-SPLIT-NAT Gruppe: FU-VPN-BIB-NAT Passwort: FU-VPN-STUD-NAT Mit dem Benutzernamen und dem Benutzerpasswort ist ihr gewöhntlicher FernUni-Account (q1234567) gemeint. Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT verwenden. Der Zusatz SPLIT deutet jeweils darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung von lokalen Adresszuweisungen, beispielsweise beim Einsatz von Routern. Einige Bibliotheksrecherchen auf Datenbankebene erfordern den Einsatz des sogenannten ICA-Clients, der von den Seiten der UB herunter geladen werden kann. Bei der Verwendung des ICA-Clients kann nicht mit SPLIT-Tunneling gearbeitet werden, hier sollten Sie eines der Profile FU-VPN-BIB bzw. FU-VPN-BIB-NAT verwenden. Arbeiten mit dem Kvpnc Der Kvpnc kann über das K-Menü (Internet -> Kvpnc) gestartet werden. 107 Wählen Sie im Fallmenü neben ?Profil? das gewünschte Profil aus, und klicken Sie auf ?Verbinden?. Geben Sie im sich öffnenden Dialog Ihren Benutzernamen im Format q1234567 und das zugehörige Passwort ein, belassen Sie aber bitte das Gruppen-Passwort auf jeden Fall auf dem voreingestellten Wert. Anschließend wird die VPN-Verbindung zum FernUniversitäts-Netzwerk aufgebaut. Hinweis: Falls Sie es versehentlich doch einmal überschreiben, geben Sie als Gruppen-Passwort den Namen des jeweiligen Profils neu ein. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 108 42 Installation des VPN-Clients unter Mac OS 10.4 (Tiger) Ab Mac OS X 10.6 wird das Cisco-VPN-Protokoll direkt vom Betriebssystem unterstützt, der hier beschriebene Cisco-Client kann dort nicht mehr installiert werden. Ab 10.6 (Snow Leopard) ist eine eigene Installationsanleitung unter FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 zu finden. Laden Sie die Installations-Datei herunter. Klicken Sie bitte auf die heruntergeladene Datei und öffnen Sie den Ordner ?CiscoVPNClient? auf Ihrem Schreibtisch. Im sich öffnenden Finder-Fenster befindet sich das Paket ?Cisco VPN Client.mpkg?, mit dem die Installation gestartet wird. Befolgen Sie die Anweisungen der Installationsroutine. Im Verlauf werden Sie aufgefordert, die Vertrauenswürdigkeit des Pakets zu bestätigen. Klicken Sie in diesem Dialog daher auf ?Fortfahren?. Die folgenden Lizenzbedingungen müssen akzeptiert werden. Wählen Sie daraufhin das Installationsvolume aus (meist ?Macintosh HD?) aus. Auf diesem Laufwerk wird der Client anschließend installiert. Folgen Sie anschließend den weiteren Anweisungen der Installationsroutine. Nach der Installation steht im Ordner ?Programme? der VPNClient zur Verfügung. Starten Sie das Programm per Doppelklick, es öffnet sich nun das Hauptfenster des Clients. Durch Doppelklick auf eine der Verbindungseinträge (?Connection Entry?) wird anschließend eine VPN-Verbindung zum FernUniversitäts-Netzwerk hergestellt. 109 Die Unterschiede der einzelnen Profile finden Sie in der folgenden Tabelle erläutert: FU-VPN-BIB, FU-VPN-STUD Bibliotheksrecherche mit Einzel-PC FU-VPN-BIB-NAT, FU-VPN-STUD-NAT Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router) FU-VPN-STUD-SPLIT Standard-VPN-Zugang mit Einzel-PC FU-VPN-STUD-SPLIT-NAT Standard-VPN-Zugang mit PC im Heimnetzwerk (mit Router) Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT verwenden. Der Zusatz SPLIT deutet jeweils darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung von lokalen Adresszuweisungen, beispielsweise beim Einsatz von Routern. Einige Bibliotheksrecherchen auf Datenbankebene erfordern den Einsatz des sogenannten ICA-Clients, der von den Seiten der UB herunter geladen werden kann. Bei der Verwendung des ICA-Clients kann nicht mit SPLIT-Tunneling gearbeitet werden, hier sollten Sie eines der Profile FU-VPN-BIB bzw. FU-VPN-BIB-NAT verwenden. Die VPN-Verbindung wird im Anschluss durch Klicken auf die Schaltfläche Connect hergestellt. Die Authentifizierung erfolgt wie üblich über den hochschulweiten Account und dem zugehörigen Passwort. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 110 43 Kennwort vergessen Wenn Sie Ihr Kennwort vergessen haben, aber den Brief mit Ihrem Generalpasswort noch haben, können Sie sich unter dem Link https://account.fernuni-hagen.de/ Auswahl "Ändern des Accountpasswortes" einfach ein neues Kennwort setzen. Sollten Sie den Brief mit dem Generalpasswort nicht mehr haben, so können Sie unter dem gleichen obigen Link den Brief noch einmal anfordern. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 111 44 Kennwort-Regeln Kennwort-Regeln für Studierende: • Das Kennwort MUSS mindestens 8 Zeichen lang sein • Das Kennwort SOLLTE regelmäßig geändert werden • Das Kennwort MUSS Zeichen aus mindestens 3 der folgenden 4 Gruppen enthalten: ♦ Großbuchstaben A bis Z, keine Umlaute ♦ Kleinbuchstaben a bis z, keine Umlaute, kein scharfes s (ß) ♦ Ziffern 0 bis 9 ♦ Sonderzeichen !#$%&?()*+,-./:;<=>?@[\]^_`{|}~ Bitte wählen Sie keine "exotischen" Sonderzeichen und benutzen Sie auch keine Leerzeichen! • Gleichzeitig darf das Kennwort nicht aus folgenden Wörtern bestehen (Groß-/Kleinschreibung spielt keine Rolle): ♦ dem eigenen Benutzernamen ♦ dem eigenen Vor- oder Nachnamen ♦ dem Wort "Studierende" Kennwort-Regeln für Beschäftigte: • Das Kennwort MUSS mindestens 8 Zeichen lang sein • Das Kennwort MUSS alle 60 Tage geändert werden • Das Kennwort kann nach einer Änderung 24 Stunden lang nicht erneut geändert werden • Die letzten 3 Kennwörter dürfen nicht erneut verwendet werden • Das Kennwort MUSS Zeichen aus mindestens 3 der folgenden 4 Gruppen enthalten: ♦ Großbuchstaben A bis Z, keine Umlaute ♦ Kleinbuchstaben a bis z, keine Umlaute, kein scharfes s (ß) ♦ Ziffern 0 bis 9 ♦ Sonderzeichen !#$%&?()*+,-./:;<=>?@[\]^_`{|}~ Bitte wählen Sie keine "exotischen" Sonderzeichen und benutzen Sie auch keine Leerzeichen! • Gleichzeitig darf das Kennwort nicht aus folgenden Wörtern bestehen (Groß-/Kleinschreibung spielt keine Rolle): ♦ dem eigenen Benutzernamen ♦ dem eigenen Vor- oder Nachnamen ♦ bei Funktionsaccounts dürfen nicht Teile des sogenannten Display-Namens verwendet werden, z.B. Wörter wie "Funktionsaccount", "Kurs", "Raum"; "Ausarbeitung", etc. Trotzdem gilt: Kennwörter bitte nicht aufschreiben! Stand: April 2014 Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 112 45 Kündigung des Accounts bei dfn@home Der Dienst dfn@home wird an der Fernuni mangels Nachfrage eingestellt! Die verbliebenen Kunden wurden bereits vom Anbieter inter.net angeschrieben und zum 28.2.2013 gekündigt. Die betroffenen Studierenden müssen entweder ein alternatives Produkt von inter.dot verwenden oder einen Vertrag mit einem anderen Fremdprovider abschließen. Die Fernuni selbst ist kein Provider. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 113 46 Linux: VPN Client und Profildateien 46.1 Software In gängigen Linux-Distributionen sind Cisco-kompatible VPN-Klienten vorhanden. Es ist also nicht nötig, einen der VPN-Klienten von Cisco zu installieren, sondern man kann einfach einen der passenden VPN-Klienten der Distribution mit Hilfe der Paketverwaltung (sei es RPM oder DEB) installieren. Man hat dabei die Wahl zwischen vpnc und openconnect. Die Installation aus den Archiven der Distribution hat Vorteile: Der VPN-Klient ist dann gut in den grafischen NetworkManager integriert. Außerdem ist er für die vorhandene Architektur optimiert und nicht lediglich für i386 compiliert. Vor allem aber werden Security- und Bug-Fixes beim Systemupdate eingespielt und man muss sie nicht zusätzlich von Cisco holen. Zudem verweist die Website von openconnect auf mehrere Sicherheits-Vorteile. Unter Ubuntu oder Debian verwendet man zur Installation den grafischen Paketmanager oder gibt Folgendes an der Kommandozeile ein: $ sudo aptitude install vpnc bzw. $ sudo aptitude install openconnect Dies sind die VPN-Klienten für die Kommandozeile. Wenn man eine Integration in die grafische Oberfläche will, muss man entsprechende Plugins für den NetworkManager installieren: $ sudo aptitude install network-manager-vpnc bzw. $ sudo aptitude install network-manager-openconnect 46.2 vpnc 46.2.1 Profil-Dateien und Aufruf von vpnc Für die VPN-Verbindung zur FernUni benötigt vpnc eine auf .conf endende Profil- oder Konfigurationsdatei im Verzeichnis /etc/vpnc/, also zum Beispiel /etc/vpnc/fernuni.conf, oder allgemein /etc/vpnc/PROFILNAME.conf. Der Klient wird dann mit folgendem Kommando gestartet und die VPN-Verbindung aufgebaut: $ sudo vpnc fernuni Oder allgemeiner: $ sudo vpnc PROFILNAME Die Dateien /etc/vpnc/default.conf bzw. /etc/vpnc.conf sind zur Definition eines default-Profils vorgesehen. Der Verbindungsaufbau kann dann einfach mit $ sudo vpnc vorgenommen werden. Weitere Informationen auch über alternative Orte für Konfigurationsdateien findet man auf der man-Page von vpnc. Sie wird an der Kommandozeile aufgerufen mit $ man vpnc 46.2.2 Inhalt der Profildatei Was aber muss denn drinstehen in so einer Konfigurationsdatei? Es können nicht einfach die pcf-Dateien verwendet werden, die die Fernuni zur Verfügung stellt, z.B. [1]. Der Grund: Die Konfigurationsparameter von vpnc haben andere Namen als die des proprietären Cisco-VPN-Klienten. Es gibt aber glücklicherweise ein Programm, das Cisco's pcf-Dateien konvertieren kann, pcf2vpnc. $ whatis pcf2vpnc pcf2vpnc (1) - converts VPN-config files from pcf to vpnc-format Dieser Konverter wird bei der Installation von vpnc gleich mitinstalliert. Zum Beispiel wird das Zugangsprofil für Studierende und MitarbeiterInnen mit privatem Netzwerk ohne split-Tunneling folgendermaßen konvertiert: $ pcf2vpnc fu_vpn_stud_nat.pcf ## generated by pcf2vpnc IPSec ID FU-VPN-STUD-NAT IPSec gateway 132.176.101.101 IPSec secret FU-VPN-STUD-NAT Xauth username riess IKE Authmode psk Diese Ausgabe von pcf2vpnc ist jetzt in einer Konfigurationsdatei, z.B. in /etc/vpnc/fernuni.conf zu speichern und dabei 'riess' durch den sprechenden Benutzernamen zu ersetzen. Das geht mit dem Editor Ihrer Wahl oder einfach von der Kommandozeile: $ sudo sh -c 'pcf2vpnc fu_vpn_stud_nat.pcf | sed s/riess/BENUTZERNAME/ > /etc/vpnc/fernuni.conf' Man kann die Zeile Xauth username BENUTZERNAME übrigens auch fortlassen. Dann wird man bei Aufbau des VPN-Tunnels nach einem Benutzernamen gefragt. Für die anderen pcf-Dateien geht man entsprechend vor. 114 46.2.3 Herstellen und Trennen der Verbindung von der Kommandozeile Nach der Konfiguration kann die Verbindung folgendermaßen aufgebaut werden: $ sudo vpnc fernuni Enter password for BENUTZERNAME@132.176.101.101: VPNC started in background (pid: 17370)... Jetzt ist der Rechner Teil des Netzes der Fernuni. Wer sich im Internet auf entsprechenden Seiten seine IP-Nummer anzeigen lässt, wird eine IP aus dem Range der Fernuni sehen: 132.176.0.0. Deaktiviert wird die Tunnelung über VPN durch $ sudo vpnc-disconnect Terminating vpnc daemon (pid: 17370) Wer möchte, kann sich auch die routing-Tabelle des Kernels ansehen. Sie sollte ungefähr so aussehen: $ sudo vpnc fernuni Enter password for BENUTZERNAME@132.176.101.101: VPNC started in background (pid: ... $ sudo route Kernel IP routing table Destination Gateway Genmask Flags default * 0.0.0.0 U vpn-public-r1.f 192.168.0.1 255.255.255.255 UGH 132.176.134.0 * 255.255.255.0 U localnet * 255.255.255.0 U Metric 0 0 0 0 Ref 0 0 0 0 Use 0 0 0 0 Iface tun0 eth0 tun0 eth0 Das besagt Folgendes: Zeile 1: Jedes Paket mit Ziel Internet wird über den Tunnel tun0 geschickt. Zeile 2: Pakete mit Ziel vpn-public-r1.f[...ernuni-hagen.de] (= 132.176.101.101), also mit Ziel Tunnel-Endpunkt gehen über die Netzwerkschnittstelle eth0 und den Gateway 192.168.0.1 (einen Router im lokalen Netz); diese Route ist ein Gateway (G-Flag). Zeile 3: Pakete mit einem Ziel im Fernuni-IP-Range 132.176.134.0 gehen auch über tun0. Zeile 4: Pakete für das lokale Netzwerk gehen über die Netzwerkschnittstelle eth0. - Wer mehr davon verstehen will, lese unter [2] nach. 46.2.4 Integration in den NetworkManager (Gnome) Wer eine Integration in den grafischen NetworkManager bevorzugt, installiere das Paket network-manager-vpnc wie oben beschrieben. Dieses Plugin für das NetworkManager-Framework stellt eine komfortable grafische Schnittstelle zum oben beschriebenen vpnc zur Verfügung. vpnc wird bei der Installation des Plugins durch die Paketverwaltung übrigens automatisch mitinstalliert. Erfahrungsberichte über eine Verwendung des NetworkManagers finden sich unter Ubuntu_und_VPN. 46.2.5 Integration mittels kvpnc (KDE) Alternativ kann man auch das grafische Frontend für vpnc von KDE nehmen. Eine Beschreibung findet sich unter Installation_des_VPN-Clients_unter_Kubuntu_Linux_7.04_(feisty). 46.3 openconnect Mit openconnect ist die Herstellung eines VPN-Tunnels sehr einfach. Nach Eingabe des Befehls wird man aufgefordert, ein Profil auszuwählen und Benutzernamen und Passwort anzugeben: $ sudo openconnect https://webvpn.fernuni-hagen.de -b Attempting to connect to 132.176.101.101:443 SSL negotiation with webvpn.fernuni-hagen.de Connected to HTTPS on webvpn.fernuni-hagen.de GET https://webvpn.fernuni-hagen.de/ Got HTTP response: HTTP/1.0 302 Object Moved SSL negotiation with webvpn.fernuni-hagen.de Connected to HTTPS on webvpn.fernuni-hagen.de GET https://webvpn.fernuni-hagen.de/+webvpn+/index.html Please enter your username and password. GROUP: [FeU-Hagen-SSL|FeU-Hagen-SSL-VPN-Split|FeU-Hagen-SSL-VPNLLA|FeU-Personal|HomeIPPhone|IPPhone|Reserviert]:FeU-Hagen-SSL Username:lueck Password: POST https://webvpn.fernuni-hagen.de/+webvpn+/index.html Got CONNECT response: HTTP/1.1 200 OK CSTP connected. DPD 30, Keepalive 20 Connected tun0 as 132.176.134.98, using SSL Continuing in background; pid 20999 Established DTLS connection Mit der Option -b wird der Client als Hintergrundprozess gestartet. Wenn man den VPN-Tunnel wieder abschalten möchte, beendet man nicht einfach brachial den Prozess, sondern sendet ihm statt SIGTERM besser SIGINT. Das beendet den Prozess sauber und es werden die vorherigen Netzwerk-Einstellungen wiederhergestellt. Also: $ sudo kill -SIGINT 20999 Send BYE packet: Client received SIGINT Wer die Handhabung der Prozess-IDs (hier 20999) scheut, der hat folgende Möglichkeiten: Man kann openconnect ohne die Option -b aufrufen, um den Tunnel aufzubauen, und mit der Tastenkombination 'Strg' + 'c' den Prozess und den VPN-Tunnel beenden (sendet auch SIGINT). Oder man kann auf den konfortablen NetworkManager zurückgreifen. 46.3.1 Integration in den grafischen NetworkManager Wer die Verwaltung des Netzwerks unter Gnome o.ä. vorzieht, der installiere das openconnect-Plugin für den NetworkManager: network-manager-openconnect. 115 46.4 Fehlerbehebung 46.4.1 Internet wie tot - keine Namensauflösung Wird ein VPN-Tunnel unsauber beendet wird, kann es zu dem unangenehmen Problem kommen, dass beim Surfen im Netz keine URLs mehr gefunden (aufgelöst) werden. Das liegt unter Umständen daran, dass die Konfiguration der Namensauflösung nicht wieder hergestellt worden ist, sondern noch wie beim Betrieb des VPN-Tunnel konfiguriert ist. In der Datei /etc/resolv.conf stehen dann noch die Nameserver der Fernuni und nicht der/die Nameserver des Internet-Service-Providers (ISP) bzw. die Adresse des Routers im Heimnetz. Die Datei sieht dann ungefähr so aus: $ cat /etc/resolv.conf #@VPNC_GENERATED@ -- this file is generated by vpnc # and will be overwritten by vpnc # as long as the above mark is intact search homelinux.org fernuni-hagen.de nameserver 132.176.129.201 nameserver 132.176.129.203 Eine intakte /etc/resolv.conf bei Betrieb des Rechners hinter einem wlan-Router mit lokalem Netzwerk, wobei dieser Router auch als Nameserver (Weiterleitung vom ISP) dient, sieht eher so aus: $ cat /etc/resolv.conf search homelinux.org nameserver 192.168.0.1 (Anmerkung: homelinux.org ist bei mir die lokale Domain, das ist beliebig und nicht aussagekräftig.) vpnc erstellt glücklicherweise ein Backup der ursprünglichen Datei unter /var/run/vpnc/resolv.conf-backup. Mit Hilfe dieses Backups muss /etc/resolv.conf dann manuell wieder hergestellt werden (kopieren). Ein Neustart des Systems hilft hingegen nicht. Dieses Problem taucht bei Verwendung von vpnc schon einmal auf, wenn der Tunnel aufgrund von Störungen des ISP oder bei der Fernuni zusammenbricht. 116 47 MacOS: Update des Cisco VPN-Clients Ein Lesertipp: Beim Updat des Cisco VPN-Clients hatte ich Probleme mit dem Starten des Programms. Ich bekam die Fehlermeldung, wie sie unter http://forums.macosxhints.com/showthread.php?t=35555 beschrieben ist. Dortige Anleitung (ausführen von /usr/local/bin/vpn_uninstall) hat bei mir die erwünschte Lösung gebracht. Vielleicht können Sie den Tipp ja auf die Seiten der Fernuni übernehmen. Mit freundlichen Grüßen Jens von Pilgrim Amerkung des Helpdesks: Das machen wir gerne:-) Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 117 48 Newsletter-Passwort für Beschäftigte der Fernuni Für Beschäftigte: Ein Zugriff auf den Newsletter ist nur für Rechner innerhalb der FernUni möglich. Auch bei einem Zugriff über VPN von außen wird ein Account benötigt, der nicht der persönliche Benutzername ist. Das Passwort für den Newsletter oder sonstige interne Seiten erhalten die Beschäftigten der Fernuniversität, z.b. auch die Beurlaubten, deren 'normales Passwort abgelaufen ist, bei der Abteilung Organisations- und Personalentwicklung (E-Mail mit Angabe des Beschäftigtenstatus an Dez3.3 @FernUni-hagen.de). Bitte geben Sie uns die Beschäftigungsdauer und den Status (Prof, wiss. Ang., Beurlaubt etc) des Beschäftigungsverhältnisses an. Alle Beschäftigten in den Regional- und Studienzentren erhalten das Passwort von der Abteilung 2.2: Dez2.2@FernUni-Hagen.de. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 118 49 Performance-Probleme beim Zugriff auf Server-Laufwerke via VPN Bei den Einstellungen des VPN-Clients gibt es die Möglichkeit, die Größe der übertragenen Frames einzustellen. Rufen Sie aus der VPN-Client-Programm-Gruppe die Funktion Set-MTU auf und setzen Sie die MTU Options fuer die Netzwerkverbindung auf 1300, vielleicht hifts... Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 119 50 Portsperrungen 50.1 Port Sperrung im Internet Der Schutz des lokalen Netzes erfolgt in zwei Stufen. Den ungeschützten Bereich bildet ein Ethernet mit Routern zum Telefon- und ISDN-Netz, sowie dem Internet. Auf dem Router zum Intranet (FUNet ) erfolgt die Sperrung von Ports. Zugelassen werden nur unbedingt benötigte Dienste. Innerhalb des FUNet wird der SLO-Bereich durch eine zusätzliche Firewall geschützt. 50.1.1 Access-Control-Listen am X-WiN-Router Die Beschränkung der Protokolle auf dem WiN-Router (Internet-Zugang), wie sie von anderen Universitäten praktiziert wird, ist durchaus sinnvoll und wird bisher in Einzelfällen (Mail) und temporär zur Gefahrenabwehr auch an der FernUniversität schon praktiziert. Viele Protokolle sind bei der Kommunikation zum Internet nicht erforderlich, bieten aber Angreifern Ziele, über die Systeme kompromittiert oder Dienste ausgeschaltet werden können oder der Netzverkehr gestört werden kann. Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt, der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen obsolet machen. Einwahlen über die Access-Router sind von dieser Maßnahme nicht betroffen Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt. Bei der zugelassenen Richtung bedeutet ein den eingehenden Verkehr vom Internet, während mit aus der ausgehende Verkehr zum Internet gemeint ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden. Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste: Port Beschreibung Rechner Zugelassene Richtung(en) 20/tcp FTP-DATA alle ein/aus 21/tcp FTP alle aus 21/tcp FTP - anonymous anonymous FTP-Server ein 22/tcp SSH alle ein/aus 23/tcp Telnet alle aus 25/tcp SMTP (relayfeste) Mailserver aus 43/tcp WHOIS alle aus 53/tcp+udp DNS DNS-Server ein/aus 79/tcp FINGER alle aus 80/tcp HTTP alle ein/aus 110/tcp POP3 alle ein/aus 119/tcp NNTP alle (ausser news.fernuni-hagen.de) ein/aus 123/tcp NTP NTP-Server ein/aus 143/tcp IMAP alle ein/aus 443/tcp HTTPS alle ein/aus 465/tcp SMTP over TLS/SSL alle ein/aus 500/udp ISAKMP alle ein/aus 554/tcp+udp RTSP alle ein/aus 587/tcp Message Submission alle ein/aus 389/tcp LDAP alle aus 636/tcp LDAPS alle aus 993/tcp IMAPS alle ein/aus Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den MS SQL Server) gesperrt. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 120 51 STZ Bei Standard-FernUni-Notebooks kann es zu Problemen beim Seitenaufbau kommen. Ursache ist die Größe der übertragenen Fenster. Dieser Ratschlag hat zum Erfolg geführt: Die Größe der übertragenen Fenster kann der Knackpunkt sein. Der zugehörige Parameter heißt MTU (MaximumTransmissionUnit). Das führt uns leider in die Welt der ?DOS-Box?? Ich versuche mal, die Vorgehensweise zu skizzieren. Über Start/alle Programme/Zubehör gelangen Sie an eine Liste, in der diese Box als ?Eingabeaufforderung? auftaucht. Bitte gehen Sie auf diesen Eintrag, betätigen die rechte Maustaste und wählen Sie ?Als Admin ausführen?. Damit öffnet sich die Box, in der Titelleiste sollte ?Administrator: Eingabeaufforderung? erscheinen. Jetzt kann es losgehen: bitte folgende Befehle absetzen. • netsh <enter> • interface <enter> • ipv4 <enter> • sho subinterface <enter> Nun zeigt Ihnen das System ? unter Anderem - die Werte für MTU (linke Spalte) an. Ich vermute nun, dass bei den ?Problemfällen? unter der LAN-Verbindung ein zu großer Wert (z.B. 1500) auftaucht. Das können Sie ändern durch Eingabe von • set subinterface LAN-Verbindung mtu=1300 Wobei ?LAN-Verbindung? der Name ist, der Ihnen beim sho-Befehl angezeigt wurde. Das System sollte die Aktion durch ?OK.? Bestätigen, Sie können die Änderung durch ein erneutes "sho subinterface" verifizieren. Wenn das klappt, wiederholen Sie bitte den Befehl ?set subinterface LAN-Verbindung mtu=1300? mit dem Zusatz ?store=persistant?. • set subinterface LAN-Verbindung mtu=1300 store=persistent Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 121 52 Probleme mit anyconnect Folgende Fehler könnten im Zusammenhang mit der Verwendung von anyconnect auftreten: 52.1 Inhaltsverzeichnis • 1 The VPN client agent was unable to create the interprocess communication depot • 2 Failed to install Anyconnect Secure Mobility Client 52.1.1 The VPN client agent was unable to create the interprocess communication depot Das Deaktivieren des Dienstes für die Gemeinsame Nutzung der Internetverbindung ist vermutlich erforderlich. In der Windows-Hilfe liest sich das so: Wenn Sie die gemeinsame Nutzung der Internetverbindung aktiviert haben und stattdessen jetzt einen Router für die gemeinsame Nutzung einer Internetverbindung durch zwei oder mehr Computer verwenden möchten, müssen Sie die gemeinsame Nutzung der Internetverbindung deaktivieren. • Klicken Sie, um die Netzwerkverbindungen zu öffnen. • Klicken Sie mit der rechten Maustaste auf die freigegebene Verbindung, und klicken Sie dann auf Eigenschaften. Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort bzw. die Bestätigung ein. • Klicken Sie auf die Registerkarte Freigabe, deaktivieren Sie das Kontrollkästchen "Anderen Benutzern im Netzwerk gestatten, diese Verbindung des Computers als Internetverbindung zu verwenden", und klicken Sie dann auf "OK". Unter Windows Hilfe und Support finden Sie unter ICS (Internet Connection Sharing) ggf. weitere Hinweise zu Ihrem Betriebssystem. 52.1.2 Failed to install Anyconnect Secure Mobility Client Beim Starten des AnyConnect-clients kann folgende Fehlermeldung auftreten: Dann ist eine Neuinstallation erforderlich. Rufen Sie die Seite https://webvpn.fernuni-hagen.de auf und betätigen Sie den Link "Start AnyConnect". Die oben gezeigte Fehlermeldung mit ok bestätigen und der Installation folgen. 122 Ist die web-basierte Installation fehlerhaft, bitte auf der Seite mit der entsprechenden Meldung ? wie beschrieben ? dem Link: "Windows7/Vista/64/XP" folgen. Danach die Datei anyconnect-win-3.0.0629-web-deploy-k9.exe ausführen. Die Setup-Routine des AnyConnect Secure Mobile Client wird dann durchlaufen(next, accept/next,install,finish). Zwischenzeitliche Sicherheitshinweise (Zertifikate/?Trusted Sites?) ignorieren. Danach können Sie den Client starten: 123 53 Profile fehlen Die Profil-Dateien (.pcf-Dateien) finden Sie unter: http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml Empfehlenswert wäre der Umstieg auf die aktuelle Version des VPN-Clients, der auch alle neuen Gruppenprofile enthält. Den aktuellen Client in der Version 5.0 für Win XP, 2000, 2003 Server und Vista gibt es ebenfalls unter dem obigen Link. Zum Herunterladen des Clients benötigen Sie Ihren Fernuni-Account Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 124 54 Profile importieren Die Fernuni-VPN-Profile können unabhängig vom Betriebssystem in den Cisco-VPN-Clients ?importiert? werden. Im Client können mehrere VPN-Profile gleichzeitig hinterlegt werden. Die Profile (pcf-files) sind auf unseren VPN-Webseiten verlinkt: http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 125 55 Profilgruppen und ihre Bedeutung Die Gruppenprofile sind für folgende Einsatzzwecke eingestellt: FU-VPN-BIB, FU-VPN-STUD FU-VPN-BIB-NAT, FU-VPN-STUD-NAT FU-VPN-STUD-SPLIT FU-VPN-STUD-SPLT-NAT Bibliotheksrecherche mit Einzel-PC Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router) Standard-VPN-Zugang mit Einzel-PC Standard-VPN-Zugang mit PC im Heimnetzwerk (mit Router) Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 126 56 Roaming mit Fernuni-Account Institutionen, die am DFN-Roaming- oder eduroam-Programm des DFN-Vereins (http://www.dfn.de/dienstleistungen/dfnroaming/ ) teilnehmen, bieten den Angehörigen anderer Teilnehmerinstitutionen in der Regel einen WLAN-Zugang mit dem jeweiligen Heimataccount an. Bei der Konfiguration ist den Anweisungen der jeweiligen Einrichtung zu folgen. Sollte der Verbindungsaufbau zum WLAN funktionieren, aber die Anmeldung mit dem Account in der Form q1234567@fernuni-hagen.de Probleme bereiten, kann das bedeuten, dass Ihre Windows-Bordmittel ? die Funktionalität mit der Drahtlosnetzwerke eingerichtet werden ? die Passworte nicht in der benötigten Form übermitteln. Wir können dann zunächst klären, ob die Authentifizierungsanfrage hier in Hagen auf unserem Server ankommt. Dazu benötigen wir • Ihren Account und • eine ungefähre Zeitangabe zum Verbindungsaufbauversuch. Wenn wir bestätigen können, dass die Anfrage in Hagen landet, aber nicht korrekt verarbeitet werden kann, kommen Sie nicht um die Installation einer Zusatzsoftware (TTLS-Client) herum. Beispielhaft ist hier etwa der von vielen Universitäten genutzte SecureW2 TTLS-Client (http://www.securew2.com) Leider können wir diese Software aus lizenzrechtlichen Gründen nicht selber zum Download anbieten. (Duisburg/Esssen) ?Wie kann eduroam genutzt werden? Um eduroam nutzen zu können müssen Sie auf Windows-Systemen einmalig den Secure-W2 Client auf Ihrem Notebook installieren und konfigurieren." (TU-Berlin) ?Alternativ gibt es die Möglichkeit, den regulären WLAN-Zugang über das eduroam-Netz durch eine Softwareclient-Installation und eine anschließende Konfiguration zu realisieren.? Folgen Sie bitte der Vorgehensweise die auf den Seiten der von Ihnen besuchten Einrichtung beschrieben ist und verwenden Sie als Benutzernamen q1234567@fernuni-hagen.de. Für weitere Fragen wenden Sie sich bitte an den Helpdesk der FernUniversität in Hagen, nicht an die Kollegen der Einrichtung vor Ort. 127 128 129 130 131 132 133 134 135 136 137 138 139 Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 140 57 Routerprobleme analysieren Wenn Sie versuchen, die Verbindung zum FernUni-VPN-Gateway herzustellen, muss zunächst vorher eine Providerbindung bestehen und Ihr Endgerät vom WLAN-Router eine - typischerweise private - IP-Adresse bekommen haben. In der "DOS-BOX" können Sie die Adresse mit dem folgenden Befehl ansehen: C:\>ipconfig Windows-IP-Konfiguration Ethernetadapter Drahtlose Netzwerkverbindung: Verbindungsspezifisches DNS-Suffix: FernUni-Hagen.de IP-Adresse. . . . . . . . . . . . : 172.16.128.13 +++++++ diese Adresse (natürlich ggf. mit anderen Zahlen) bekommen Sie vom WLAN-Router +++++ Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 172.16.128.254 Ethernetadapter LAN-Verbindung: Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung Bei bestehender Provider-Verbindung sollten Sie dann inder Lage sein, das Hagener Gateway zu erreichen: C:\>ping 132.176.101.101 Ping wird ausgeführt für 132.176.101.101 mit 32 Bytes Daten: Antwort Antwort Antwort Antwort von von von von 132.176.101.101: 132.176.101.101: 132.176.101.101: 132.176.101.101: Bytes=32 Bytes=32 Bytes=32 Bytes=32 Zeit=6ms Zeit=2ms Zeit=3ms Zeit=2ms TTL=127 TTL=127 TTL=127 TTL=127 Ping-Statistik für 132.176.101.101: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 2ms, Maximum = 6ms, Mittelwert = 3ms Den Weg dorthin koennen sie "tracen": C:\>tracert 132.176.101.101 Routenverfolgung zu VPN-public-r1.fernuni-hagen.de [132.176.101.101] über maximal 30 Abschnitte: 1 2 ms 3 ms 3 ms 172.16.128.251 2 2 ms 2ms 2 ms VPN-public-r1.fernuni-hagen.de[132.176.101.101] Ablaufverfolgung beendet. Wenndas alles funktioniert rufen Sie bitte den VPN-Client auf und bauen eine Verbindung zum Gateway auf. Wenn Sie die Gruppe FU-VPN-STUD mit gleich lautendem Passwort verwenden, wird sämtlicher IP-Verkehr über das Hagener Gateway geleitet, das sollte auf jeden Fall funktionieren. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 141 58 Routerprobleme mit VPN Bei Problemen mit Routern und VPN können folgende Problemursachen in Frage kommen: Problemursache #1: eigene Firewall. Der Router könnte eine Firewall besitzen. Bei Problemen diese kurzzeitig mal abschalten. Problemursache #2: Die Firewall vom Router ist ausgeschaltet - kann ich da sonst noch was ein-/umstellen? Das Problem ist bei solchen privaten Netzen mehr das Routing (mit NAT) an sich, weil der DSL-Router keine Ahnung hat, an welchen Rechner er die Pakete weiterleiten soll. Man kann höchstens den Eintrag "FU-VPN-Zugang mit NAT (private Netze)" ausprobieren; der sollte theoretisch immer funktionieren, weil der nur eine TCP-Verbindung verwendet, mit der jeder Router fertig werden müsste. Alternativ kann man z.B. auch den Split-Zugang benutzen, wenn vorher in den Einstellungen "Enable Transport Tunneling" und "IPSec over TCP" mit TCP Port 3500 eintragen wurde. Zusätzlich sollt man prüfen, ob der Router Pakete auf den Ports 500 und 3500 wirklich durchlässt, diese Ports werden für die Aushandlung der Verschlüsselung und den Datenverkehr benötigt. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 142 59 Sinn und Zweck des Fernuni-Accounts Der Fernuni-Account wird benötigt für: • den Zugang zum Internet • den Zugang zum Email Konto • das Arbeiten im Lernraum Virtuellen Universität (LVU) • das Arbeiten in Moodle • das Einsenden von Prüfungsaufgaben • alle sonstigen Anwendungen an der FernUni, die nach einem Benutzernamen und einem Kennwort verlangen Alle Studierenden bekommen automatisch einen Benutzernamen in der Form q+Matrikelnummer. Diesen Benutzernamen verschicken wir per Brief zusammen mit einem Generalpasswort. Im FIM-Portal https://account.fernuni-hagen.de/ kann dieser Account von den Studierenden selbst verwaltet werden. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 143 60 UB-Datenbanken: hier WISO-NET und Absatzwirtschaft 1. WISO-NET WIWI Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Möglichkeiten sich ins Uni-Netz anzumelden bzw. die entsprechende Datenbank aufzurufen. Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie für diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es über den VPN-Client mit der Gruppe FU-VPN-STUD-NAT (siehe 2.) 2. Zu BGH-Edition a.) die BGH-Edition ist eine sogenannte Ica-Datenbank. Das heißt, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client* (ica32t.exe) laden Sie von unserer Web-Seite auf Ihren PC. Sie finden den ICA Web Client auf der UB-Downloadseite http://www.ub.fernuni-hagen.de/download/index.html Die ica32t.exe ausführen. Alle Anfragen übernehmen. Browser schließen und wieder öffnen und das PlugIn ist eingerichtet. b.) jede ICA-Datenbank wie die BGH-Edition braucht zur Nutzung den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Wir verweisen an dieser Stelle auf den Anyconnect-Client und auf die ZMI-Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml . Dort finden Sie eine Anleitung zur Installation und Einrichtung der VPN-Clients. Im Prinzip gilt das oben Gesagte auch für andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro, dora.buro@fernuni-hagen.de Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 144 61 UB-Datenbanken: hier WISO-NET und BGH-Edition 1. WISO-NET WIWI Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Möglichkeiten sich ins Uni-Netz anzumelden bzw. die entsprechende Datenbank aufzurufen. Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie für diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es über den VPN-Client mit der Gruppe FU-VPN-STUD-NAT (siehe 2.) 2. Zu BGH-Edition a.) die BGH-Edition ist eine sogenannte Ica-Datenbank. Das heißt, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client* (ica32t.exe) laden Sie von unserer Web-Seite auf Ihren PC. Sie finden den ICA Web Client auf der UB-Downloadseite http://www.ub.fernuni-hagen.de/download/index.html Die ica32t.exe ausführen. Alle Anfragen übernehmen. Browser schließen und wieder öffnen und das PlugIn ist eingerichtet. b.) jede ICA-Datenbank wie die BGH-Edition braucht zur Nutzung den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Wir verweisen an dieser Stelle auf den Anyconnect-Client und auf die ZMI-Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml . Dort finden Sie eine Anleitung zur Installation und Einrichtung der VPN-Clients. Im Prinzip gilt das oben Gesagte auch für andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro, dora.buro@fernuni-hagen.de Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 145 62 Windows 7 Mit dem Client AnyConnect (ssl-client) von Cisco funktioniert der VPN-Zugang jetzt auch für Vist 64/Windows 7. Hier https://webvpn.fernuni-hagen.de ist ein Download möglich. Bei Problemen bei der Installation des VPN-Client unter Win7 kann es hilfreich sein, die Einstellungen im Browser, z. B. bei Firefox unter Option "Systemproxy verwenden" in "keinen Proxy verwenden" zu ändern. Wenn Sie die Fehlermeldung "The VPN client agent was unable to create the interprocess communication depot" erhalten, kann unter Vista das Deaktivieren des Dienstes für die Gemeinsame Nutzung der Internetverbindung helfen. Zum Deaktivieren dieses Dienstes wählen Sie in der Systemsteuerung unter System und Wartung, Verwaltung, Dienste dort aus der Liste den o.g. Dienst auswählen, deaktivieren und anschließend Windows neu starten Es steht auch ein ipsec-client zur Verfügung, der die 64-Bit-Funktionalität unterstützt, entsprechende Informationen finden Sie unter http://wiki.fernuni-hagen.de/helpdesk/index.php/Installation_des_VPN-Clients_unter_Windows . 146 63 VPN unter Android Auf Android-System kann der systemseitig vorhandene VPN Client verwendet werden mit folgenden Parametern: Name: frei wählbar Typ: IPSec Xauth PSK Server-Adresse: 132.176.101.101 IPSec Identifer: FU-VPN-STUD-NAT IPsec Pre-shared Key: FU-VPN-STUD-NAT Zu finden ist VPN in den Einstellungen -> Drahtlos und Netzwerke -> Weitere Einstellungen -> VPN Je nach Android Version und Hersteller des Gerätes können sich die Einstellungen an anderen Stellen befinden. Bei Problemen sollte zunächst überprüft werden, ob der Kernel auch das tun-Modul geladen hat. Sollte dies nicht der Fall sein, können sie die VPN-Funktion ihres Smartphones nicht verwenden. • Einstellungen • Unterpunkt "VPN" wählen • Info: Sperre einrichten • Art der Sperre auswählen • Plusbutton auswählen 147 • Oben beschriebene Informationen eintragen • Neu angelegt VPN-Verbindung auswählen • Mit normalen LogIn Daten einloggen Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 148 64 VPN unter Ubuntu Ein Tipp von Friedrich Heinrichmeyer: Es kursieren sehr viele verwirrende Anleitungen, die sich meist auf ältere Softwareversionen beziehen. Oft ist aber schwer ein Hinweis darauf zu "googlen", dass sich ein Problem einfach erledigt hat. Genau das ist hier der Fall. Es genügt unter Ubuntu-9.04 einfach, per Paketmanager das Paket "network-manager-vpnc" zu installieren. Über den Klappmenüpunkt "VPN-Verbindungen" im Netzwerk-Applet in der Taskleiste ist es nach erfolgter Installation wirklich nicht schwer, den VPN-Konfigurationsdialog zu finden, der auch den Knopf "Importieren" für die erstellten Cisco-Profile anbietet. Die Ubuntu-Entwickler entschließen sich wahrscheinlich sogar, die VPN-Software standardmäßig zu installieren. "Kommandozeilenorientierte" Linux-Anwender müssen sich allerdings dazu durchringen, Ihre Netzwerkkonfiguration dem Gnome-Netzwerkmanager anzuvertrauen, nur dann kann er auch eine VPN-Verbindung verwalten. Getestet habe ich es daheim mit dem Student-Split-Konfiguration, d.h mit http://www.fernuni-hagen.de/imperia/md/content/zmi/produkte/fu_vpn_stud_split.pcf. Man importiert die Datei und muss nur noch den Account "Riess", durch seinen eigenen ersetzten. Zusammengefasst: Man wünscht sich und benutzt dann den Network-Manager-VPNC unter Ubuntu und ist so optimistisch, dass man einfach die für den Original-Cisco-Client zur Verfügung gestellten Einstellungdateien verwendet. Kubuntu ist derzeit leider nach meiner Ansicht nicht empfehlenswert, da das Standard-Desktop KDE4 zu viele Fehler hat. Ergänzungstipp eines Lesers: ? Ich habe gerade eine VPN-Verbindung mit Ubuntu hergestellt. Lief alles problemlos bis auf ein kleines Detail: Man muss den network manager restarten, damit das ganze funktioniert. Sonst bekommt man eine seltsame Fehlermeldung ("fehlende VPN-Geheimnisse")... Vielleicht könnt ihr auf der entsprechenden Wiki-Seite den Eintrag um: sudo restart network-manager ergänzen?? Gruppenpasswort: Bei mir war es erforderlich, dass man ein Gruppenpasswort angibt. Ich habe bei der Gruppe "FU-VPN-STUD-NAT" einfach den Gruppennamen als Passwort gewählt, was dann funktioniert hatte. - Leider habe ich keine Informationen gefunden, ob das so allgemeingültig ist. Ansonsten hat es mit dem Import der Konfigurationsdatei sehr gut geklappt unter Xubuntu 12.04 LTS. 64.1 Ubuntu 10.10 Einfach die oben verlinkte Datei importieren. Benutzername und Passwort anpassen. Fertig. Ein Neustart des Network Manager ist nicht notwendig. 64.2 Ubuntu 12.04 EinTipp von Martin Kieser: Der von Ubuntu eingesetzte Desktop "Unity" ist standardmäßig so konfiguriert, dass er nur explizit freigeschaltete Anwendungen in der "notification area" /"systray" zulässt /anzeigt. Der Cisco Anyconnect -Client gehört NICHT dazu. Ergo wird ein Linuxbenutzer nach dem Anmelden auf webvpn.fernuni-hagen.de zwar Anyconnect installieren können und das Programm wird auch gestartet und alles funktioniert wie es soll - LEIDER wird aber das Icon von für die VPN-Verbindung nicht wie von der Anyconnect-Statusmeldung nach dem Aktivieren der Verbindung im Browserfenser selber behauptet angezeigt und ebensowenig wird das Symbol der bereits bestehenden Internetverbindung mit einem "Schloss" (Zeichen für aktives VPN) versehen. Der Anwender erhält so keinerlei Feedback ob die Prozedur erfolgreich war oder nicht. Lediglich der Test, ob zB Zugriff auf UB-Datenbanken besteht gibt Auskunft. Das bedeutet aber auch, das der Nutzer die Verbindung nicht beenden kann, und so unnötig lange und viel Datenverkehr über das Uninetz schickt - auch wenn die eigentliche Arbeit getan ist. Abhilfe bei Ubuntu 12.04: Das Programm "dconf-editor" installieren und starten. Klicken in der linken Fensterhälfte auf (in der Reihenfolge): com -> canonical -> unity -> panel In der rechten Fensterhälfte steht nun in der Rubrik "Name": systray-whitelist In der Rubrik "Value" rechts daneben: ['JavaEmbeddedFrame', 'Wine', 'Update-notifier'] 149 Den Wert für Value nun ändern auf: ['all'] Dann einmal abmelden. NAch dem nächsten Anmelden und dem Starten des Anyconnect-Clients aus dem Browser heraus (auf webvpn.fernuni-hagen.de) ist dann auch das Symbol sichtbar (links der farbige Erdball mit dem gelben Schloss davor). Alternativ ist es auch möglich, den "Cisco Anyconnect Secure Mobility Client" über das Programm-Menü zu starten und zu bedienen; doch dazu muss der (unbedarfte?) Anwender erstmal wissen, dass die Verbindung noch aktiv ist bzw überhaupt aktiviert wurde. Denn auch in diesem Fall taucht das Symbol im "systray" /"notification area" eben leider nicht auf. 64.3 Ubuntu 14.04 Ein Tipp von Martin Schroeder: Mal für eine modernere Form wie Ubuntu Trusty Gnome 32 Bit Version, falls es Abweichungen in der 64Bit Version gibt, werde ich das noch anfügen. zuerst wurde die von der FU Hagen "http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml" (links unten unter LINUX) heruntergeladene Installationsdatei vpnsetup32.sh ausgeführt als root. Ubuntu zeigte an, dass die Datei ausgeführt wird, aber ich finde den VPN Client von Cisco später nicht im Auswahlmenü des network-manager, sondern nur das VPN PPTP Protokoll. 150 daher habe ich nachinstalliert: sudo apt-get install network-manager-vpnc openvpn (restart vpn daemon erfolgt bei der Installation automatisch) danach kann man endlich einen Cisco kompatiblen VPN Client auswählen, wenn man einen neuen Verbindungstyp VPN im Netzwerk Manager anklickt. Erzeugen der Cisco VPN Verbindung im Network-manager : Host ist ( nach der Datei oben von Friedrich Heinrichmeyer): 132.176.101.101 der Rest ist der eigene Zugangsname, Passwort,Gruppe FU-VPN-STUD-NAT Passwort Gruppe ist bei mir (wie auch weiter oben angegeben): FU-VPN-STUD-NAT Die Anzeige der VPN Aktivität ist im Gnome-Menü gut sichtbar, der Client kann ein- und ausgeschaltet werden. Anmerkung des Helpdesk-Teams: Für Ubuntu können wir leider keinen Support anbieten! 151 65 VPN-Client: Fehlermeldungen und Lösungen 65.1 Inhaltsverzeichnis • 1 412: The remote peer is no longer responding • 2 414:Failed to establish a TCP connection • 3 442: Failed to enable virtual adapter • 4 Alternative: anyconnect Die folgenden Fehlermeldungen werden im Helpdesk am häufigsten gemeldet. Hier finden Sie die Ursachen und Lösungen. 65.2 412: The remote peer is no longer responding Ursachen: • Der Benutzer befindet sich hinter einer firewall, die die ports UDP 1000/500 und/oder ESP blockt. • Der VPN-client verbindet sich über TCP und der TCP-port 3500 für NATT ist geblockt. • Die Internetverbindung ist nicht stabil oder die Antworten vom Gateway kommen nicht beim client an, da der client vermutet, dass das Gateway nicht mehr verfügbar ist. Lösungen: • Falls Sie über WLAN arbeiten, versuchen Sie es über eine Kabelverbindung • Schalten Sie Ihre firewall aus, testen Sie die Verbindung und stellen Sie fest, ob das Problem bestand hat. Ist das nicht der Fall, können Sie die firewall wieder einschalten und Ausnahmen für die ports 500, port 3500 und das ESP-Protokoll in der firewall eintragen. • Verwenden ein Profil mit NAT-T/TCP (port 10000 in der firewall muss frei sein ) • Editieren Sie die Profil-Datei(.pcf) und setzen Sie den Parameter ForceKeepAlive=0 ? 65.3 414:Failed to establish a TCP connection 152 Ursachen: • Der Benutzer befindet sich hinter einer firewall, die die ports UDP 1000/500 und/oder ESP blockt. • Der VPN-client verbindet sich über TCP und der TCP-port 3500 für NATT ist geblockt. • Die Internetverbindung ist nicht stabil oder die Antworten vom Gateway kommen nicht beim client an, da der client vermutet, dass das Gateway nicht mehr verfügbar ist. Lösungen: • Schalten Sie Ihre firewall aus, testen Sie die Verbindung und stellen Sie fest, ob das Problem bestand hat. Ist das nicht der Fall, können Sie die firewall wieder einschalten und Ausnahmen für die ports 500, port 3500 und das ESP-Protokoll in der firewall eintragen. 65.4 442: Failed to enable virtual adapter 153 Bei Windows 7 / Vista kommt es häufig zu einem Error 442: Failed to enable virtual adapter. Eine Möglichkeit das Problem zu lösen kann folgender Ablauf sein: Klicken Sie auf Start und tippen Sie services.msc ein. Öffnen Sie das Programm. 1. Finden Sie die Dienste Cisco Systems, Inc VPN und Gemeinsame Nutzung der Internetverbindung und beenden diese. 2. Öffnen Sie per Doppelklick den Dienst Gemeinsame Nutzung der Internetverbindung und ändern Sie den Starttyp von Automatisch auf Manuell. 3. Starten Sie den Dienst Cisco Systems, Inc VPN wieder und führen Sie dann den Cisco VPN Client aus. Wenn das nichts hilft, gibt es noch eine Möglichkeit, es über die registry zu versuchen. Eine ausführliche Beschreibung gibt es z.B. hier: http://www.myself.ch/vpn. 65.5 Alternative: anyconnect Sollte sich ein Fehler gar nicht beheben lassen, so können Sie auch alternativ zum Aufbau einer VPN-Verbindung auf den anyconnect-Client ausweichen. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 154 66 VPN-Clients mehrerer Anbieter Auch Cisco-VPN-Clients von anderen Anbietern können für den Fernuni-Zugang benutzt werden. Das VPN-Gateway der Fernuni hat die IP-Adresse 132.176.101.101. Die zugehörigen Gruppen finden Sie im Profilgruppen-Wikibeitrag Aber bitte dringend beachten: der VPN-Client muss von Cisco sein! Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 155 67 VPN-Gateway nicht erreichbar Meldung: Unable to contact.... Remote peer no longer responding Ursache: Routingprobleme bei Endgeräten, die durch vorhergehende DHCP-Adressvergabe verursacht werden. Die Problembeschreibung: Resolving Microsoft Routing Problems on Cisco VPN Clients Microsoft routing problems can occur when a Cisco VPN Client (VPN 3000 Client, Cisco Secure VPN Client, or VPN 5000 Client) gets an IP address from the device terminating the tunnel (Cisco VPN 3000 Concentrator, router, PIX Firewall, or VPN 5000 Concentrator) that is on the same network as the local Network Interface Card (NIC). This can occur if a user has a laptop on the corporate network with a Dynamic Host Configuration Protocol (DHCP) or static IP address (10.50.1.x), brings the laptop home, dials into an Internet Service Provider (ISP) and connects using the VPN Client. If the terminating device sends the VPN Client an IP address that is on the same network (10.50.1.x), the user cannot send any data over the client connection. The packets are sent to the NIC, instead of over the VPN connection, because the traffic is still routed out of the NIC. This problem occurs on Microsoft Windows 95, Windows 98, and Windows NT 4.0. Symptoms of this problem are that the VPN tunnel comes up, but the PC cannot pass traffic. A route print command still shows the DHCP or static address, or both. If the IP address was received through DHCP, the DHCP lease can be manually released. The information in this document is based on the software and hardware versions below. Cisco VPN 3000 Client Cisco VPN 5000 Client Cisco Secure VPN Client Die Lösung: Releasing the DHCP Lease Microsoft Windows 95 Follow the instructions below to release the DHCP lease on Windows 95: Open an MS-DOS window and type winipcfg. Select Release. Microsoft Windows 98 Open an MS-DOS window and issue the ipconfig /release_all command. You can also follow the directions for Windows 95. Microsoft Windows NT Open an MS-DOS window and issue the ipconfig /release command. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 156 68 VPN-Probleme - Cisco-Lösungen (FAQ) (englisch) VPN Client Dokumentation Original von cisco: http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/5_0/index.htm VPN Client FAQs von cisco (alte Version ggf. ersetzen) http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml VPN Client startet nicht VPN 4.8 does not show on my screen. Q:It shows up in the task bar and on the sys tray... I try to right click and restore it but nothing happens... So I've uninstalled-reinstalled it but the same problem happens. I haven't deleted the folder after its installed yet because of a "if you delete this folder it could affect other programs etc error. Should I delete the folder and try another reinstall? Is there a repair tool/options for this? Its really starting to tick me off. A:I think removing the cisco vpn client entries from the registry may help you. You may uninstall the client, then check if there is any folder remaining of its installation and delete it. Then delete the registry entries for the client. VPN Client Installationsproblem Q:Hi guys,this is gonna sound stupid but here goes. I tried to install client 4.08msi but it failed.Tried to remove it but still leaves a file called "installservcie.exe" and won't let me remove it,not right peremission even though I'm the admin for my laptop. A:If the uninstall process doesn't finish you may use this : How to Manually Uninstall the Cisco VPN Client 3.5 and Later for Windows 2000 and Windows XP http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_tech_note09186a0080094b7f.shtml VPN Client Firewallproblem http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml#qa8 http://www.urz.uni-heidelberg.de/Netzdienste/vpn/cisco/probleme_firewall.shtml VPN Client Connection terminated Reason 403 Siehe VPN Client Firewallproblem Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 157 69 WebVPN WebVPN stellt mit Hilfe einesWebbrowsers eine VPN-Verbindung über das VPN-Gateway zur Verfügung. WebVPN bietet für das aktuelle Anwendungsspektrum eine einfache (und echte) Alternative zu den VPN-Client-Lösungen. WebVPN besitzt gegenüber einer separaten Client-Lösung den Vorteil, dass lediglich ein gängiger WWW-Browser benötigt wird ? es kann daher ohne weitere Installationsarbeit genutzt werden und funktioniert darüberhinaus plattformunabhängig. Authorisierte FernUni-Anwendungen können auf diese Weise beinahe direkt genutzt werden. Änderungen und Erweiterungen von Zugriffsrechten im lokalen Anwendernetz, beispielsweise eine Firewall in der Firma, sind nicht nötig. Auf dem Endgerät muss lediglich das Java Runtime Environment Version 1.4 (oder höher) von Sun Microsystems installiert sein. Besondere Hinweise für die Benutzung spezieller Dienste der Universitätsbibliothek: • Leider gilt für das Service-Angebot der Universitätsbibliothek im Zusammenhang mit WebVPN die folgende Einschränkung: Literaturdatenbank-Recherchen die einen ICA-Client benötigen können nicht über WebVPN getätigt werden! • Und: Es gibt Darstellungsprobleme von Digibib-Seiten - Infos dazu finden Sie hier: Darstellungsprobleme von Digibib-Seiten via WebVPN / hier Ebsco • In beiden Fällen kommen Sie an der Installation eines separaten VPN-Clients leider nicht vorbei. Der Cisco-anyconnect-Client steht unter http://www.fernuni-hagen.de/zmi/download/#software zum Download zur Verfügung. Ansonsten gilt: Sie gelangen auf die Anmeldeseite von WebVPN durch Eingabe des Links https://webvpn.fernuni-hagen.de. Nach erfolgreicher Anmeldung steht die FUNet-WebVPN-Oberfläche zur Verfügung. Beachten Sie bitte die Hinweise unter der jeweiligen Rubrik im rechten Seitenbereich. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 158 70 Xntp-Installation an der FernUni 70.1 Hinweise zur xntp-Installation an der FernUni In der Distribution von Solaris und SuSE-Linux ist xntp, der Time Service im Internet, inzwischen enthalten, so daß zur Aktivierung lediglich ein Konfigurationsfile zu erstellen ist. Falls xntp in Ihrem System nicht enthalten ist, kann die Distribution von unserem ftp-Server bezogen und nach der beiliegenden Anleitung installiert werden. Auf unserm ftp-Server ftp.fernuni-hagen.de liegen im Verzeichnis /pub/unix/ntp die komplette Distribution von xntp, dem Time Service im Internet, mit ausführlicher Dokumentation, sowie die erforderlichen Konfigurationsfiles für die Benutzung im FUNet. Dieser Text soll diese Dokumentation nicht ersetzen, sondern die Struktur der Server im FuNet aufzeigen und Hinweise zur Implementation geben. 70.1.1 Konfiguration Auf unserm ftp-Server ftp.fernuni-hagen.de liegen im Verzeichnis /pub/unix/ntp Muster fuer die erforderlichen Konfigurationfiles. Wenn Sie die Zeit an dem zentralen Router fuer Ihr Subnetz synchronisieren wollen, kopieren Sie das File ntp.conf.broadcast in /etc/inet/ntp.conf auf Ihr System. Im File /etc/services muessen die zwei Zeilen ntp 123/tcp # Network Time Protocol ntp 123/udp # Network Time Protocol enthalten sein; falls nicht, sind sie zu ergaenzen. Nun koennen Sie als root den Time-Service starten: # /usr/sbin/ntpdate -v linden.fernuni-hagen.de locust.fernuni-hagen.de # /usr/sbin/ntpd -l /var/adm/ntplog (Linux) # /usr/lib/inet/xntpd -l /var/adm/ntplog (Solaris) bzw. # /usr/local/bin/ntpdate -v linden.fernuni-hagen.de locust.fernuni-hagen.de # /usr/local/bin/ntpd -l /var/adm/ntplog Eine Uebersicht ueber den Status des Prozesses und die Zeitabweichung von den Servern erhalten Sie mit dem Kommando: # /usr/local/bin/ntpdc -p bzw. # /usr/sbin/xntpdc -p Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 159 71 Zugang zum Netzwerk ?FU-Campus? der FernUniversität Die FernUniversität stellt auf dem Campusgelände in Hagen sowie in den Regionalzentren (außer in München) das Netzwerk ?FU-Campus? zur Verfügung. Dies kann von Studenten und Mitarbeitern zur Einwahl in das Netzwerk der FernUniversität und auch ins Internet genutzt werden. Hierzu ist eine Anmeldung erforderlich, die webbasiert und geräteunabhängig erfolgt. Wireless-Lan-Zugang Für den drahtlosen Zugang ist in den Räumen der FernUniversität und in den Regionalzentren das Funknetzwerk (WLAN) mit der SSID ?FU-Campus? eingerichtet. Dies ist ein offenes, unverschlüsseltes Netzwerk. Befindet sich ein Notebook oder PDA/Smartphone in der Nähe eines Einwahlpunktes (AccessPoint), kann dieses Netzwerk angewählt werden. Dies ist unabhängig vom Betriebssystem, also auch etwa mit MacBookl(Apple), Google Android oder Linux möglich. Verschlüsselungseinstellungen sind nicht erforderlich. Drahtgebundener Zugang In den Räumen der Regionalzentren sind zusätzlich Netzwerkdosen für den Anschluss über ein Netzwerkkabel vorhanden. Studenten und Mitarbeiter können ihre Endgeräte wie PCs oder Notebooks auch hier anschließen und so den Netzzugang erhalten. IP-Adressen Das Netzwerk ?FU-Campus? stellt für alle angeschlossenen Geräte die dynamische Netzkonfiguration über DHCP bereit. Sowohl über WLAN als auch drahtgebunden werden IP-Adressen automatisch vergeben. Die Endgeräte sind hierzu auf ?automatische Konfiguration? bzw. auf ?DHCP? zu konfigurieren. Anmeldung Nach erfolgter Verbindung (Herstellung der Funkverbindung über WLAN oder Einstecken des Kabels in die Dose) ist eine Legitimierung für den Zugang zum FuNET der FernUniversität und zum Internet erforderlich. Hierzu kann jeder Webbrowser auf dem Endgerät verwendet werden. Beim Aufruf einer Seite aus dem Internet erfolgt eine Umlenkung und es erscheint das Anmeldeportal: Hier können Studenten und Mitarbeiter sich anmelden und so den Zugang erhalten. Nach erfolgreichem Login ist das Netzwerk freigeschaltet. 160 Abmeldung Nach Beendigung der Arbeit wird gebeten, sich wieder abzumelden. Dies wird aus Sicherheitsgründen dringend empfohlen, dient aber auch der Einsparung von Netzressourcen und damit der Performance. Nach erfolgreichem Login erscheint zusätzlich dieses kleine Fenster: (Popup-Blocker bitte ausschalten) Dies sollte während der Anmeldung geöffnet bleiben. Wenn auf ?Abmeldung? geklickt wird, schließt sich das Fenster selbständig und die Sitzung wird beendet. Danach ist ggf. eine neue Anmeldung erforderlich. 161 72 Zugang zum WLAN Alle Informationen zu diesem Thema finden Sie hier: http://www/zmi/produkte_service/wlan.shtml Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 162 73 Volltexten der Bibliothek Bei Problemen mit dem Zugriff auf die Datenbanken/Volltexte der Bibliothek hilft ein Blick auf diese Seite: http://www.ub.fernuni-hagen.de/volltexte/zugang.html#proxy Die Konfiguration des Proxy-Eintrags im Browser ist die beste Lösung, wenn der Zugriff über einen Fremdprovider erfolgt. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 163 74 Zugriff auf lokales Netz bei bestehender VPN-Verbindung Um während einer bestehenden VPN Verbindung zum Fernuni-Netzwerk auch auf das lokale Netze (lokaler Netzwerkdrucker, lokales NAS, etc.) zuzugreifen, muss der Cisco VPN Client verwendet werden. Für Gruppen/Profile, die nicht das sogenannte Split-Tunneling verwenden(insbesondere *-BIB) muß der lokale Zugriff noch explizit erlaubt werden. Markieren Sie dazu die gewünschte Gruppe, klicken Sie auf modify und wählen Sie die Karteikarte Transport. Hier die Option Allow Local Lan Access aktivieren. Leider gibt es in der AnyConnect-Version des Clients die LocalLanAccess-Option aktuell nicht, sie wird aber in der nächsten Client-Version verfügbar. Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 164 75 Zugriff auf UB-Datenbanken: hier WISO-NET und Absatzwirtschaft 1. WISO-NET WIWI Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Möglichkeiten sich ins Uni-Netz anzumelden bzw. die entsprechende Datenbank aufzurufen. (siehe http://www.ub.fernuni-hagen.de/datenbankenlieferdienste/showdatabaseoffcampus.html?id=184abaseoffcampus.html?id=184abaseoffcampus.html?id=184abase • Proxy-Server 1 • Proxy-Server2 • Web-VPN Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie für diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es über den VPN-Client mit der Gruppe FU-VPN-STUD-NAT (siehe 2.) 2. Zu Absatzwirtschaft a.) die Datenbank "Absatzwirtschaft" ist eine sogenannte Ica-Datenbank. Das heißt, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client* (ica32t.exe) laden Sie von unserer Web-Seite auf Ihren PC. http://www.ub.fernuni-hagen.de/download/index.html -> ICA 32-bit Web-Client. Die ica32t.exe ausführen. Alle Anfragen übernehmen. Browser schließen und wieder öffnen und das PlugIn ist eingerichtet. b.) jede ICA-Datenbank Wie "Absatzwirtschaft" braucht den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Bei Bedarf finden Sie die Datei hier: http://www.fernuni-hagen.de/zmi/helpdesk/vpn.shtml (Achtung: Fernuni-Account erforderlich (q+Matrikelnummer)) Kopieren sie diese Datei FU-VPN-STUD-NAT.pcf in Ihr VPN-Verzeichnis unter C:\Programme\Cisco Systems\VPN Client\Profiles- Dort stecken nämlich auch die anderen Vebindungsdateien. Beim nächsten Öffnen von VPN bitte mit dieser Verbindung im Hochschulnetz anmelden. Rufen Sie jetzt die Datenbank ABSATZWIRTSCHAFT auf. Wenn Sie dann zum ersten Mal eine ICA-Datenbank aufrufen, fragt das System ein Fenster ab. Markieren Sie bitte die Option "Für Dateien dieses Typs immer diese Aktion ausführen". Somit haben Sie festgelegt, dass jegliche ICA-Datenbanken sich mit diesem ICA-PlugIn automatisch öffnen. Falls ein ica-client benoetigt wird, funktioniert der Zugriff auf die UB-Datenbanken nur mit den Gruppen FU-VPN-BIB, FU-VPN-STUD, FU-VPN-BIB-NAT und FU-VPN-STUD-NAT, nicht mit den entsprechenden SPLIT-Gruppen, da die entsprechenden Server FernUni-Absenderadressen verlangen. Bei SPLIT-Tunneling wuerde die vom Provider vergebene Adresse als Absender eingesetzt. Im Prinzip gilt das oben Gesagte auch für andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro, dora.buro@fernuni-hagen.de Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1]. 165