Studieren in Chemnitz. Wissen, was gut ist.






  • Anmelden
  • English

Häufig gestellte Fragen und Antworten (FAQ)

1. Kann ich nach Aufbau der VPN-Verbindung noch direkt über meinen Internet-Provider auf das Internet zugreifen?

Nein. Aus Sicherheitsgründen wird nach Start des VPN-Client sämtlicher Verkehr über den VPN-Tunnel und damit über das Campusnetz der TU Chemnitz geführt. Der Rechner gehört logisch zum Campusnetz. Damit gelten auch sämtliche Nutzungs- und Sicherheitsbestimmungen des URZ.

2. Habe ich Zugriff auf mein lokales Netz, wenn die VPN-Verbindung aufgebaut wurde?

Der Zugriff auf folgende private Adressräume ist parallel zur VPN-Verbindung möglich:
  • 192.168.0.0/16
  • 172.16.0.0/16
  • 10.0.0.0/8
    • NEW Ausnahmen: Adressräume 10.4.0.0/16, 10.6.0.0/16, 10.8.0.0/16, 10.9.0.0/16 nicht verwenden, da diese im Campusnetz für die Telefonie verwendet werden.

Werden genannte Adressräume im lokalen Netz verwendet, ist der Zugriff auf lokale Netzwerk-Ressourcen (z.B. Drucker) möglich.
Voraussetzung ist die Aktivierung von "Allow Local LAN Access" (Windows) bzw. "EnableLocalLAN=1" (Linux) in der VPN-Client-Konfiguration des entsprechenden Verbindungsprofils (Standard).

3. Wie groß ist der Idle Timeout für die VPN-Verbindung?

90 Minuten

4. Gibt es eine zeitliche Begrenzung für die Dauer meiner VPN-Verbindung?

Zur Zeit gibt es keine Einschränkung für die Dauer von VPN-Verbindungen.

5. Kann ich AFS über eine VPN-Verbindung nutzen?

Prinzipiell ja. Jedoch sollte folgendes beachtet werden. Durch den VPN-Verbindungsaufbau wird Ihrem Rechner eine neue IP-Adresse zugewiesen. Dadurch ändert sich die Identität Ihres Rechners gegenüber dem AFS-Server. Es gab schon Beispiele, wo es in diesem Zusammenhang zu AFS-Problemen auf Nutzerseite kam. Deshalb folgender Ratschlag zur Vorgehensweise:
  • Beenden Sie vor dem Aufbau der VPN-Verbindung den AFS-Client
  • Starten Sie die VPN-Verbindung
  • Starten Sie nun wieder den AFS-Client

Das gleiche gilt für den Abbau der VPN-Verbindung. Stellen Sie sicher, dass der AFS-Client vor dem Verbindungsabbau beendet wird.

6. Funktioniert eine VPN-Verbindung auch über ein NAT-Gateway?

Ja.
Geräte mit NAT-Funtionalität (Network Address Translation) stellen für VPN-Verbindungen oft Hindernisse dar, da der Austausch von Adressen und Ports im TCP/IP-Paket durch das NAT-Gateway die Authentizität des Ursprungspaketes verletzt bzw. die NAT-Adressumsetzung wegen der verschlüsselten Pakete scheitert.
Mit Hilfe des NAT Traversal Protocol wird dieses Problem umgangen, indem IPsec-Pakete zusätzlich in UDP-Pakete verpackt werden :-), welche ohne Probleme die NAT-Mechanismen durchlaufen können. Das Vorhandensein eines NAT-Gateways zwischen Rechner und VPN-Server wird dabei automatisch erkannt.
Voraussetzung ist die Aktivierung von "Allow Transparent Tunneling - IPsec over UDP" (Windows) bzw. "EnableNat=1" (Linux) in der VPN-Client-Konfiguration des entsprechenden Verbindungsprofils (Standard).

7. Zwischen meinem Rechner und dem VPN-Server befindet sich eine Firewall. Welche Protokolle/Ports müssen über die Firewall erlaubt werden, damit eine VPN-Verbindung aufgebaut werden kann?

  • IP-Protokoll 50 (ESP)
  • UDP-Port 500 (ISAKMP/IPSEC)
  • UDP-Port 4500 (NAT-Traversal)

8. Beim Aufruf des VPN-Client unter Linux bekomme ich folgende Fehlermeldung. Woran liegt das? 

               *$ /usr/local/bin/vpnclient connect tuc-internet               Cisco Systems VPN Client Version 4.0.3 (B)               Copyright (C) 1998-2003 Cisco Systems, Inc. All Rights Reserved.               Client Type(s): Linux               Running on: Linux 2.4.7-10 #1 Thu Sep 6 16:46:36 EDT 2001 i686                bind: Cannot assign requested address               bind: dst addr 1.0.0.127 port 29748               The application was unable to communicate with the VPN sub-system.*

Wahrscheinlich fehlt das Loopback-Interface (lo). Evtl. wurde die Linuxinstallation ohne Netzwerk durchgeführt? Kontrollieren Sie /etc/sysconfig/network auf den Eintrag NETWORKING=yes.

9. Was bedeutet folgende Warnung beim Laden des VPN-Client-Kernelmoduls? 

               *Warning: loading /lib/modules/2.4.20-28.7/CiscoVPN/cisco_ipsec will taint the kernel: no license*
Diese Warnung bedeutet, dass dieses Kernelmodul nicht unter der GPL-Lizenz entwickelt wurde. Das debugging evtl. Kernel-Probleme in Verbindung mit diesem Modul wird deshalb nicht unterstützt. Die normale Funktion des VPN-Client wird dadurch nicht beeinträchtigt.

10. Die Installation des VPN-Client unter Windows bricht mit folgender Meldung ab. Warum?

insterr.gif

Haben Sie bei der Installation einen eigenen Destination Folder gewählt? Wiederholen Sie die Installation mit dem vorgegebenen Destination Folder (C:\Programme\Cisco Systems\VPN Client).

11. Muss ich die Cisco VPN Client-Software benutzen?

Das URZ bietet ausschließlich Support für den Cisco VPN-Client. Die Benutzung von alternativen VPN-Clients ist jedoch möglich. Beachten Sie hierbei folgende Festlegungen:

  • Die Installation und Konfiguration der VPN-Software erfolgt ausschließlich durch den Nutzer.
  • Der Aufbau eines VPN-Tunnels aus dem Internet zur TU Chemnitz ist zur Anbindung von Einzelplatzrechnern gedacht. Routingfunktionalität ist ausschließlich für den Zugriff auf ein evtl. vorhandenes lokales Netz zugelassen. Für das lokale Netz sind Adressen aus den privaten Adressräumen 10.x.x.x, 172.16.x.x bzw. 192.168.x.x zu verwenden.
    Bei VPN-Verbindungen aus dem WLAN der TU Chemnitz ist auf den VPN-Clients keinerlei Routingfunktionalität zugelassen.
  • Die Funktionalität der VPN-Verbindung mit Hilfe alternativer VPN-Software kann durch das URZ nicht garantiert werden.
  • Die notwendigen Klartext-Gruppenpassworte sind vertraulich zu behandeln und stehen für folgende Verbindungsprofile zur Verfügung:

12. Welche Möglichkeit besteht für PDAs und PocketPCs?, den VPN-Zugang der TU zu nutzen?

Für diese Geräteklasse bietet Cisco selbst keinen VPN-Client an. Es existieren aber (kostenpflichtige) VPN-Clients anderer Firmen, mit denen der VPN-Zugang möglich ist. Erfolgreich getestet wurde Antha-VPN basierend auf MovianVPN V.4.00 (Certicom) mit folgenden Einstellungen auf einem Palm Tungsten C mit Palm OS V.5.2.1: 
  Policy-Name: <beliebig>
  Client: Cisco Unified Client
  Gateway Address: vpngate.hrz.tu-chemnitz.de
  Use Perfect Forward Secrecy: No
  Use Extended Authentication: Yes
  Group Name: tuc-internet
  Group Password: <siehe FAQ unter Punkt 11.>
  User Name: [URZ-Nutzerkennzeichen]
  IKE: Group: GRP2_DH-1024
      Cipher: 3DES_CBC
        Hash: MD5
  IPSec: ESPIP_AES128_SHA-96
  DNS: Query DNS: Yes

13. Es wird keine VPN-Verbindung aufgebaut, wenn ich Datendosen in öffentlichen Räumen benutze. Warum?

14. Probleme mit Firewalls und VPN-Client unter Windows.

Die Kombination des Cisco-VPN-Client mit einer Firewall kann Probleme verursachen (bekannt mit der Firewall von F-Secure, Sygate oder Zonelabs).

Hier ist unbedingt die Reihenfolge der Installation zu beachten:
  • erst den Cisco-VPN-Client installieren
  • anschließend die Firewall installieren

Bei verkehrter Reihenfolge stürzt der Rechner mit dem berüchtigten Windows "Blue Screen" ab oder es lässt sich keine Verbindung mit dem VPN-Client herstellen. Es hilft dann nur noch eine Deinstallation + Neuinstallation beider Komponenten in der genannten Reihenfolge.

15. Der Zugriff auf manche WWW-Seiten funktioniert nicht richtig. Entweder erfolgt eine unvollständige Anzeige oder der Zugriff schlägt fehl.

Diese Probleme können auftreten, wenn Sie nicht den Cisco-VPN-Client verwenden. Beispielsweise nutzt der lizenzfreie VPNC ein spezielles Tunnel-Interface (z.B. tun0), auf welchem standardmäßig eine MTU-Größe von 1412 eingestellt ist. Der Cisco-VPN-Concentrator arbeitet jedoch mit einer Tunnel-MTU von 1356 und versucht die MTU-Größe mit dem Absender mittels PMTUD (Path MTU Discovery) abzustimmen. Konkret erfolgt das durch Versenden von ICMP-Paketen Typ 3 Code 4. Verschiedene Provider/Anbieter blockieren offenbar diese Pakete aus Sicherheitsgründen, so dass PMTUD hier nicht funktioniert.

Lösung: Stellen Sie auf dem Interface, welches von Ihrem VPN-Client genutzt wird eine MTU-Größe von 1356 ein.

Beispiel für den VPNC über Interface tun0 (Linux Fedora Core 4):

Ändern Sie in der Datei /etc/vpnc/vpnc-script die MTU Größe auf 1356 in der Zeile 

ifconfig "$TUNDEV" inet "$INTERNAL_IP4_ADDRESS" $ifconfig_syntax_ptp "$INTERNAL_IP4_ADDRESS" \  netmask 255.255.255.255 mtu 1356 up

16. Es lässt sich keine VPN-Verbindung herstellen. Die notwendigen Protokolle und Ports werden auch nicht durch eine Firewall blockiert.

Überprüfen Sie, ob auf Ihrem Rechner eventuell noch ein anderer VPN-Client aktiviert ist. Manche Systeme beinhalten einen eigenen VPN-Client (z.B. Mac OS den VPN-Client L2TP?). Falls aktiviert, blockiert dieser die notwendigen Ports für den Cisco VPN-Client. Deaktivieren Sie in diesem Fall den systemeigenen VPN-Client und starten Sie den Rechner neu.

17. Ich nutze einen funktionalen DSL-Internetzugang. Der VPN-Client kann jedoch keine Verbindung zum VPN-Server der Uni aufbauen.

Lösung 1:

Ursache hierfür kann Ihr DSL-Router sein. Dieser verfügt häufig über einen integrierten Schutz gegen unerwünschte Zugriffe aus dem Internet auf Ihren Computer. In diesem Fall müssen Sie Ihren Router umkonfigurieren und die notwendigen Ports für VPN explizit erlauben. Die Vorgehensweise ist abhängig vom Modell.

Beispiel FRITZ!Box:
  • Internetverbindung -> Portfreigabe
    1. Protokoll: UDP, Port: 500
    2. Protokoll: UDP, Port: 4500
    • als IP-Adresse geben Sie die IP-Adresse Ihres Rechners an, von wo aus Sie die VPN-Verbindung aufbauen wollen

Lösung 2:

Falls diese Möglichkeit bei Ihnen nicht funktioniert, können Sie alternativ Ihre IPsec-Verbindung über TCP tunneln. Ändern Sie dazu im VPN-Client das Verbindungsprofil "VPN-Zugang TU Chemnitz" folgendermaßen:

Windows:
  • VPN-Client starten -> Auswahl des Profils "VPN-Zugang TU Chemnitz" -> Modify -> Transport -> IPSec over TCP (Port 10000) aktivieren => Save

Linux(Cisco-Client):
  • Editieren der Datei /etc/CiscoSystemsVPNClient/Profiles/tuc-internet.pcf
    • Ändern der Option TunnelingMode?=0 auf TunnelingMode?=1 Nachteil dieser Variante ist der zusätzliche Protokoll-Overhead des TCP-Protokolls der sich (gering) auf Ihre effektive Übertragungsgeschwindigkeit auswirkt.

18. Ich möchte hinter meinem DSL-Router mehrere VPN-Clients gleichzeitig betreiben.

Dafür müssen die zusätzlichen bzw. alle VPN-Clients auf "IPsec over TCP" umgestellt werden (siehe Punkt 17 Lösung 2).

19. Über die VPN-Verbindung werden keine Daten übertragen.

Wenn unter Windows XP der VPN-Verbindungsaufbau zwar funktioniert, aber keine Daten über die Verbindung übertragen werden, kann das verschiedene Ursachen haben:

  1. Es wurde eine Netzwerkbrücke auf dem Rechner installiert. Eine Netzwerkbrücke dient dazu, andere Verbindungen wie z.B. Firewire (IEEE 1394) als LAN-Verbindung zu nutzen. Zur Lösung des Problems löschen Sie die Netzwerkbrücke unter Start->Einstellungen->Netzwerk- und DFÜ-Verbindungen.
  2. Fehlerhafte Firmware der Funknetzkarte. Versuchen Sie über die Webseite des Herstellers (bzw. des Herstellers des Chipsatzes) einen Update des Treibers zu laden. Bekannt sind derartige Probleme bei folgenden Funknetzkarten:
    • Intel PRO/Wireless 2200BG

20. Ich verwende als Browser den Internet Explorer Version 7 und habe Probleme, den VPN-Client und das Konfigurationsfile von der URZ-Webseite herunterzuladen.

Standardmäßig prüft der IE7 bei sicheren Verbindungen (https) auf gesperrte Serverzertifikate. Dabei versucht er Verbindungen zu Servern im Internet aufzubauen. Derartige Verbindungen sind vor Authentisierung mittels VPN-Client nicht zulässig. Deshalb dauert es geraume Zeit, bis diese erfolglose Prüfung abgeschlossen wird (mehrere Minuten). Es entsteht der Eindruck, dass die Netzwerkverbindung nicht mehr funktioniert. Um dieses Verhalten zu umgehen, können Sie die Option "Auf gesperrte Serverzertifikate überprüfen" ausschalten. Zu finden unter:

Extras -> Internetoptionen -> Reiter Erweitert -> Abschnitt Sicherheit

Nach Installation des VPN-Client können Sie diese Option wieder einschalten.

21. Betrieb von VPN Client und Outpost

Folgende Hinweise bei Problemen bei Einsatz des VPN Client und Outpost aus einem Nutzerforum. Danke an Clemens Ulbricht. 

And here's a little more elegant way to manually remove the vsdatant driver:

1.) go to the device manager
2.) make the hidden devices visible (view --> show hidden devices)
3.) search for the "vsdatant" entry in the non-PNP-section
4.) right click the entry and choose "uninstall"

... that's it folks ...

22. Das Update des VPN-Client unter Windows wurde unterbrochen, so dass die Deinstallation unvollständig war. Eine Neuinstallation bricht immer mit dem Hinweis "Bitte nach erfolgter Deinstallation den Rechner neu starten" ab. 

...ich habe die Ursache der VPN-Installationsverweigerung finden können.
Es gibt einen Eintrag "Cisco reboot flag" in der Registry. So lange
dieser existiert, wird eine neuinstallation verweigert. Selbst wenn alle
anderen Reste vom VPN längst entfernt sind.
Einfaches löschen hilft.

23. Cisco AnyConnect Client lässt sich nicht unter Windows Vista installieren. Folgender Fehler tritt auf "The VPN Client agent was unable to create the interprocess communication depot" .

Schalten Sie den Vista-Dienst "Gemeinsame Internetverbindung" (Internet Connection Sharing service) ab. Danach sollte die Installation und Nutzung von AnyConnect möglich sein.

24. Cisco AnyConnect gibt bei der Verbindungsherstellung "Cookies must be enabled to log in" aus.

Im Windows BS sollten die Datenschutzeinstellungen auf "mittelhoch" eingestellt werden.

25. Konfigurationsaenderung Cisco VPN Client / VPNC

In älteren Konfigurationen ist als Host (VPN-Server) eine IP-Adresse angegeben. Falls das bei Ihnen der Fall ist, tragen Sie bitte stattdessen den Hostnamen vpngate.hrz.tu-chemnitz.de wie folgt ein. Das erhöht die Verfügbarkeit des VPN-Dienstes.

Windows

vpngate-hostname.png

Linux Cisco VPN Client

Konfigurationsdatei tuc-internet.pcf 
Host=vpngate.hrz.tu-chemnitz.de

Linux VPNC

vpnc-Konfigurationsdatei 
IPsec gateway vpngate.hrz.tu-chemnitz.de