URZ: Campusnetz FAQ

Häufig gestellte Fragen und Antworten (FAQ)

1. Kann ich nach Aufbau der VPN-Verbindung noch direkt über meinen Internet-Provider auf das Internet zugreifen?

Nein. Aus Sicherheitsgründen wird nach Start des Anyconnect-Client sämtlicher Verkehr über den VPN-Tunnel und damit über das Campusnetz der TU Chemnitz geführt. Der Rechner gehört logisch zum Campusnetz. Damit gelten auch sämtliche Nutzungs- und Sicherheitsbestimmungen des URZ.

2. Habe ich Zugriff auf mein lokales Netz, wenn die VPN-Verbindung aufgebaut wurde?

Der Zugriff auf folgende private Adressräume ist parallel zur VPN-Verbindung möglich:

• 192.168.0.0/16
• 172.16.0.0/16
• 10.0.0.0/8
  • Ausnahmen: Adressräume 10.4.0.0/16, 10.6.0.0/16, 10.8.0.0/16, 10.9.0.0/16 nicht verwenden, da diese im Campusnetz für die Telefonie verwendet werden.

Werden genannte Adressräume im lokalen Netz verwendet, ist der Zugriff auf lokale Netzwerk-Ressourcen (z.B. Drucker) möglich.

3. Wie groß ist der Idle Timeout für die VPN-Verbindung?

90 Minuten

4. Gibt es eine zeitliche Begrenzung für die Dauer meiner VPN-Verbindung?

Für alle SSL-VPN-Verbindungen gilt derzeit eine maximale Verbindungszeitdauer von 72 Stunden.

5. Kann ich AFS über eine VPN-Verbindung nutzen?

Prinzipiell ja. Jedoch sollte folgendes beachtet werden. Durch den VPN-Verbindungsaufbau wird Ihrem Rechner eine neue IP-Adresse zugewiesen. Dadurch ändert sich die Identität Ihres Rechners gegenüber dem AFS-Server. Es gab schon Beispiele, wo es in diesem Zusammenhang zu AFS-Problemen auf Nutzerseite kam. Deshalb folgender Ratschlag zur Vorgehensweise:

• Beenden Sie vor dem Aufbau der VPN-Verbindung den AFS-Client
• Starten Sie die VPN-Verbindung
• Starten Sie nun wieder den AFS-Client

Das gleiche gilt für den Abbau der VPN-Verbindung. Stellen Sie sicher, dass der AFS-Client vor dem Verbindungsabbau beendet wird.

6. Funktioniert eine VPN-Verbindung auch über ein NAT-Gateway?

Ja.
Geräte mit NAT-Funtionalität (Network Address Translation) stellen für VPN-Verbindungen oft Hindernisse dar, da der Austausch von Adressen und Ports im TCP/IP-Paket durch das NAT-Gateway die Authentizität des Ursprungspaketes verletzt bzw. die NAT-Adressumsetzung wegen der verschlüsselten Pakete scheitert.
Mit Hilfe des NAT Traversal Protocol wird dieses Problem umgangen, indem IPsec-Pakete zusätzlich in UDP-Pakete verpackt werden :-), welche ohne Probleme die NAT-Mechanismen durchlaufen können. Das Vorhandensein eines NAT-Gateways zwischen Rechner und VPN-Server wird dabei automatisch erkannt.

7. Zwischen meinem Rechner und dem VPN-Server befindet sich eine Firewall. Welche Protokolle/Ports müssen über die Firewall erlaubt werden, damit eine VPN-Verbindung aufgebaut werden kann?

Bei Einsatz von IPsec-basiertem VPN-Client:

• IP-Protokoll 50 (ESP)
• UDP-Port 500 (ISAKMP/IPSEC)
• UDP-Port 4500 (NAT-Traversal)

Bei Einsatz von SSL-basiertem VPN-Client

• TCP-Port 443 (https)

8. Muss ich die Cisco Anyconnect Client-Software benutzen?

Das URZ bietet ausschließlich Support für den Cisco Anyconnect-Client. Die Benutzung von alternativen VPN-Clients ist jedoch möglich. Beachten Sie hierbei folgende Festlegungen:

• Die Installation und Konfiguration der VPN-Software erfolgt ausschließlich durch den Nutzer.
• Der Aufbau eines VPN-Tunnels aus dem Internet zur TU Chemnitz ist zur Anbindung von Einzelplatzrechnern gedacht. Routingfunktionalität ist ausschließlich für den Zugriff auf ein evtl. vorhandenes lokales Netz zugelassen. Für das lokale Netz sind Adressen aus den privaten Adressräumen 10.x.x.x, 172.16.x.x bzw. 192.168.x.x zu verwenden.
  Bei VPN-Verbindungen aus dem WLAN der TU Chemnitz ist auf den VPN-Clients keinerlei Routingfunktionalität zugelassen.
• Die Funktionalität der VPN-Verbindung mit Hilfe alternativer VPN-Software kann durch das URZ nicht garantiert werden.

9. Es wird keine VPN-Verbindung aufgebaut, wenn ich Datendosen in öffentlichen Räumen benutze. Warum?

• Überprüfen Sie, ob die entsprechende Datendose die Zugangsart VPN unterstützt (siehe Übersicht der nutzbaren Datendosen in öffentlichen Räumen der TU Chemnitz)

10. Der Zugriff auf manche WWW-Seiten funktioniert nicht richtig. Entweder erfolgt eine unvollständige Anzeige oder der Zugriff schlägt fehl.

Diese Probleme können auftreten, wenn Sie nicht den Anyconnect-Client verwenden. Beispielsweise nutzt der lizenzfreie VPNC ein spezielles Tunnel-Interface (z.B. tun0), auf welchem standardmäßig eine MTU-Größe von 1412 eingestellt ist. Der Cisco-VPN-Concentrator arbeitet jedoch mit einer Tunnel-MTU von 1356 und versucht die MTU-Größe mit dem Absender mittels PMTUD (Path MTU Discovery) abzustimmen. Konkret erfolgt das durch Versenden von ICMP-Paketen Typ 3 Code 4. Verschiedene Provider/Anbieter blockieren offenbar diese Pakete aus Sicherheitsgründen, so dass PMTUD hier nicht funktioniert.

Lösung: Stellen Sie auf dem Interface, welches von Ihrem VPN-Client genutzt wird eine MTU-Größe von 1356 ein.

Beispiel für den VPNC über Interface tun0 (Linux Fedora Core 4):

Ändern Sie in der Datei /etc/vpnc/vpnc-script die MTU Größe auf 1356 in der Zeile

ifconfig "$TUNDEV" inet "$INTERNAL_IP4_ADDRESS" $ifconfig_syntax_ptp "$INTERNAL_IP4_ADDRESS" \  netmask 255.255.255.255 mtu 1356 up 

11. Ich nutze einen funktionalen DSL-Internetzugang. Der IPsec basierte VPN-Client kann jedoch keine Verbindung zum VPN-Server der Uni aufbauen.

Ursache hierfür kann Ihr DSL-Router sein. Dieser verfügt häufig über einen integrierten Schutz gegen unerwünschte Zugriffe aus dem Internet auf Ihren Computer. In diesem Fall müssen Sie Ihren Router umkonfigurieren und die notwendigen Ports für VPN explizit erlauben. Die Vorgehensweise ist abhängig vom Modell.

Beispiel FRITZ!Box:

• Internetverbindung -> Portfreigabe
  1. Protokoll: UDP, Port: 500
  2. Protokoll: UDP, Port: 4500
  • als IP-Adresse geben Sie die IP-Adresse Ihres Rechners an, von wo aus Sie die VPN-Verbindung aufbauen wollen

12. Über die VPN-Verbindung werden keine Daten übertragen.

Wenn unter Windows XP der VPN-Verbindungsaufbau zwar funktioniert, aber keine Daten über die Verbindung übertragen werden, kann das verschiedene Ursachen haben:

1. Es wurde eine Netzwerkbrücke auf dem Rechner installiert. Eine Netzwerkbrücke dient dazu, andere Verbindungen wie z.B. Firewire (IEEE 1394) als LAN-Verbindung zu nutzen. Zur Lösung des Problems löschen Sie die Netzwerkbrücke unter Start->Einstellungen->Netzwerk- und DFÜ-Verbindungen.
2. Fehlerhafte Firmware der Funknetzkarte. Versuchen Sie über die Webseite des Herstellers (bzw. des Herstellers des Chipsatzes) einen Update des Treibers zu laden. Bekannt sind derartige Probleme bei folgenden Funknetzkarten:
   • Intel PRO/Wireless 2200BG

13. Ich verwende als Browser den Internet Explorer Version 7 und habe Probleme, den Anyconnect-Client von der URZ-Webseite herunterzuladen.

Standardmäßig prüft der IE7 bei sicheren Verbindungen (https) auf gesperrte Serverzertifikate. Dabei versucht er Verbindungen zu Servern im Internet aufzubauen. Derartige Verbindungen sind vor Authentisierung mittels VPN-Client nicht zulässig. Deshalb dauert es geraume Zeit, bis diese erfolglose Prüfung abgeschlossen wird (mehrere Minuten). Es entsteht der Eindruck, dass die Netzwerkverbindung nicht mehr funktioniert. Um dieses Verhalten zu umgehen, können Sie die Option "Auf gesperrte Serverzertifikate überprüfen" ausschalten. Zu finden unter:

Extras -> Internetoptionen -> Reiter Erweitert -> Abschnitt Sicherheit

Nach Installation des Anyconnect-Client können Sie diese Option wieder einschalten.

14. Cisco AnyConnect Client lässt sich nicht unter Windows Vista installieren. Folgender Fehler tritt auf "The VPN Client agent was unable to create the interprocess communication depot" .

Schalten Sie den Vista-Dienst "Gemeinsame Internetverbindung" (Internet Connection Sharing service) ab. Danach sollte die Installation und Nutzung von AnyConnect möglich sein.

15. Cisco AnyConnect gibt bei der Verbindungsherstellung "Cookies must be enabled to log in" aus.

Im Windows BS sollten die Datenschutzeinstellungen auf "mittelhoch" eingestellt werden.

16. Konfigurationsaenderung VPNC

In älteren Konfigurationen ist als Host (VPN-Server) eine IP-Adresse angegeben. Falls das bei Ihnen der Fall ist, tragen Sie bitte stattdessen den Hostnamen vpngate.hrz.tu-chemnitz.de wie folgt ein. Das erhöht die Verfügbarkeit des VPN-Dienstes.

Linux VPNC

vpnc-Konfigurationsdatei

IPsec gateway vpngate.hrz.tu-chemnitz.de 

17. Der Download des IPsec basierten Cisco VPN-Client steht nicht mehr zur Verfügung.

Der IPsec basierte Cisco-VPN-Client wird ab 08/2012 vom Hersteller nicht mehr unterstützt. Der VPN-Zugang mit diesem Client zum Campusnetz wird ab 01.01.2013 eingestellt. Bitte wechseln Sie zum Nachfolger Cisco Anyconnect Client.

18. Wie lautet der Pre Shared Key für IPsec-Verbindungen ?

Der Pre Shared Key (Gruppenpasswort) ist vertraulich zu behandeln und steht für folgende Gruppen zur Verfügung:

• tuc-internet

19. Wie baue ich eine VPN-Verbindung mit dem iPhone/iPad auf ?

Hier die Einstellungen am Beispiel des iPhone:

Einstellungen -> Allgemein -> Netzwerk -> VPN - Auswahl von IPsec

• Description: z.B. TUC VPN
• Server: vpngate.hrz.tu-chemnitz.de
• Account: [Ihr_Loginkennzeichen]
• Password: [Ihr_Passwort]
• Group Name: tuc-internet
• Secret: [hier_zu_finden]

20. Nach der Anmeldung mit Username und Passwort am Anyconnect-Client unter Windows 7 kommt folgende Fehlermeldung: AnyConnect was not able to establish a connection to the specified secure gateway. Please try connecting again.

Möglicherweise ist auf Ihrem System ICS (Internet Connection Sharing) aktiv. Deaktivieren Sie den Dienst ICS.

21. Nach der Installation des Anyconnect-Client unter Ubuntu funktioniert der Aufbau einer VPN-Verbindung. Nach Abbau der VPN-Verbindung ist jedoch kein Internetzugriff mehr möglich.

Es kann sein, dass durch den Anyconnect-Verbindungsaufbau die Datei /etc/resolv.conf angepasst wurde. Falls das System diese Datei nach Abbau der VPN-Verbindung nicht wieder zurückstellt, funktioniert die Namensauflösung und damit scheinbar der Internetzugriff nicht mehr. Das Kommando

sudo  dpkg-reconfigure resolvconf

sollte dieses Problem lösen.