VPN-FAQ

VPN

VPN-FAQ

Vorwort

Diese FAQ behandelt vorwiegend Themen rund um den VPN-Zugang an der HU.

Fragen:

Was ist eine FAQ?

Wozu VPN?
Wer kann kann unser VPN benutzen?
Welche VPN-Variante soll ich benutzen?
An wen wende ich mich bei Problemen?

Gibt es eine VPN-Variante, die unter Android läuft?
Unmittelbar nach dem Aufbau der Network Connect-Verbindung erscheint Fehler 23711. Was tun?
Beim Versuch eine Network Connect-Verbindung aufzubauen, erscheint Fehler 23791. Was tun?
Welche Einstellungen sind auf meiner Firewall notwendig, um eine VPN-Verbindung aufzubauen?
Muss ich meine Firewall anpassen?
Keine Cisco-VPN-Verbindung mit chinesischem Windows XP möglich. What's wrong?
Ich habe Probleme mit SSL-VPN und Firefox Version 2.0.0.15 und 16...
Keine Verbindung zum VPN-Server mit Cisco-Client möglich...
Die Network Connect-Verbindung wird nicht aufgebaut. Was kann ich tun?
Ich habe eine 64 Bit Version von Windows. Kann ich damit eine VPN-Verbindung zur HU aufbauen?
Kann ich auf meine Windows-Netzlaufwerke am Institut via VPN zugreifen?
Ich habe Probleme mit SSL-VPN unter Snow Leopard (MacOS 10.6). Was kann ich tun?
Ich habe Probleme mit SSL-VPN unter Windows 7. Was kann ich tun?
Die OpenVPN-Verbindung unter Windows VISTA wird aufgebaut, funktioniert aber nicht. Was kann ich tun?
Ich erhalte über VPN keinen Zugang zu Online-Katalogen wie z.B. JSTOR. Was kann ich tun?

Antworten:

Was ist eine FAQ?
FAQ steht für Frequently Asked Questions. Es handelt sich um eine Sammlung von oft gestellten Fragen und die passenden Antworten auf diese.
Wozu VPN?
Mittels VPN (virtual private network) kann Ihr eigener Computer Teil des Netzwerks der Humboldt-Universität werden. Sie können dann auf Dienste zugreifen, die sonst nur innerhalb der Uni benutzbar sind. Das sind z.B.:
- unser SMTP-Server zum Versenden von E-Mails;
- Online-Inhalte der UB;
- Zugriff auf Windows-Laufwerke von außerhalb der HU.
- das Internet mittels WLAN (SSID: HU-VPN in der HU) an den Berliner Unis;
Wer kann kann unser VPN benutzen?
Alle Angehörigen der HU. Sie benötigen einen gültigen Account der HU in einer dieser Einrichtungen:
- Computer- und Medienservice (CMS, diesen Account bekommen Sie hier)
- Institut für Informatik
- Institut für Physik
- Institut für Mathematik
Welche VPN-Variante soll ich benutzen?
Das ist im Prinzip einerlei. Alle 3 angebotenen VPN-Varianten bieten die gleiche Funktionalität. Sie unterscheiden sich aber in der Handhabung und beim Installations- und Konfigurationsaufwand. Für 64 Bit Windows-Systeme gibt es weiter unten Hinweise. Unter Linux mit 64 Bit Kernel ist die Verwendung von Network Connect nur mit Aufwand möglich und daher nicht empfohlen.

SSL-VPN+IPsec (Network Connect):

Sehr einfache VPN-Variante, die für die gängigen Betriebssysteme (Windows XP + VISTA, Linux (32 Bit), MacOS) benutzt werden kann. Es gibt keinen bis geringen Installationsaufwand. Der Konfigurationsaufwand ist (fast) null.
Lediglich bei Linux-Varianten mit 64 Bit Kernel gibt es einen erhöhten Installationsaufwand. Es wird daher empfohlen, auf OpenVPN auszuweichen.

OpenVPN:

Diese freie VPN-Variante ist vor allem für Linux-Nutzer interessant, da die grafischen Oberflächen unter Linux dieses VPN-Protokoll in der Regel bereits unterstützen. Somit ist der Installationsaufwand gering und die Konfiguration meist einfach.
OpenVPN funktioniert aber auch unter MacOS und Windows (ab 2000). Hier ist mit einem erhöhten, aber vertretbaren Installationsaufwand zu rechnen, die Konfiguration ist hingegen relativ einfach.

Cisco-VPN:

Diese VPN-Methode ist vor allem für Benutzer älterer, klassischer Betriebssysteme (Linux, MacOS und Windows XP oder älter) interessant. Für Benutzer neuerer Windows-, MacOS- und Linux-Systeme ist die Verwendung dieser Clientsoftware nicht empfehlenswert, da es mangels Unterstützung durch den Hersteller vermehrt Probleme mit der Software gibt. Weiterhin muss mit einem hohen, unvertretbaren Installationsaufwand und Problemen nach der Installation gerechnet werden - gerade bei genannten neueren Betriebssystemen.
Mittelfristig wird diese VPN-Variante wegfallen. Es sollte eine der anderen beiden Varianten benutzt werden.
An wen wende ich mich bei Problemen?
Schreiben Sie eine Mail an die Benutzerberatung. Die Mailadresse lautet oper(AT)cms.hu-berlin.de. Bei VPN-Problemen, die schwerer Natur sind, schreiben Sie an vpn(AT)cms.hu-berlin.de. Falls Sie zweifeln, in welche Kategorie Ihr Problem fällt, benutzen Sie die Adresse der Benutzerberatung.
Gibt es eine VPN-Variante, die unter Android läuft?
Ja. Es gibt eine App mit dem Namen "Junos Pulse". Diese kann über den Market gratis installiert werden. Nach dem Start muss einmalig der Servername konfiguriert werden. Dieser lautet ssl.cms.hu-berlin.de.
Es gibt Berichte, wonach der Pulse-Client bei einigen PDAs nicht funktionierte. Weiterhin gab es Hinweise, dass Verbindungen über Junos Pulse teilweise zäh erschienen, also der Seitenaufbau nur verzögert zustande kam.
Unmittelbar nach dem Aufbau der Network Connect-Verbindung erscheint Fehler 23711. Was tun?
Bricht die Network-Connect-Verbindung (NC-Verbindung) unmittelbar nach dem Aufbauen wieder ab und wird dabei eine Fehlernummer 23711 gemeldet, hat das folgende Ursache: Auf dem eigenen Rechner läuft ein Prozess, der nach dem Verbindungsaufbau von NC die Routingtabelle ändert. Dieser Prozeß sollte beendet werden:
- Nach dem Abbruch von NC die Tasten Ctrl-Alt-Del (deutsch: Strg-Alt-Entf) gleichzeitig drücken und anschliessend den Task-Manager aufrufen.
- In die Karte Prozesse wechseln.
- mDNSResponder.exe suchen, markieren und Prozess beenden.
Der Hinweis beruht auf einem Beitrag aus der Juniper Knowledge Base: http://kb.juniper.net/index?page=content&id=KB11831.
Dort steht auch beschrieben, wie der, den Abbruch produzierende Prozess, permanent beim Systemstart deaktiviert werden kann.
Beim Versuch eine Network Connect-Verbindung aufzubauen, erscheint Fehler 23791. Was tun?
Dieser Fehler erscheint z.B. gerne nach einer Neuinstallation des WWW-Browsers. Sehr wahrscheinlich ist der Popup-Blocker des Browsers aktiv. Bei neueren Versionen ist das die Voreinstellung.
Im Firefox bsplw. befindet sich die Einstellung unter Extras -> Einstellungen -> Inhalt. Hier ist zumindest eine Ausnahme für ssl.cms.hu-berlin.de einzutragen.
Welche Einstellungen sind auf meiner Firewall notwendig, um eine VPN-Verbindung aufzubauen?
- Bei Cisco-VPN und SSL-VPN Network-Connect müssen die UDP-Ports 500 und 4500 (IPsec) ein- und abgehende erlaubt sein.
- Bei OpenVPN läuft die Kommunikation zum Gateway an der HU über TCP-Port 1194.
Muss ich meine Firewall anpassen?
Normalerweise nicht. Die systemeigenen Firewalls in Windows-Betriebssystemen behindern den Aufbau eines VPN-Tunnels nicht, wenn sie in ihrer ursprünglichen Konfiguration belassen wurden.

Wenn Sie Firewall-Software eines Drittanbieters verwenden, kann die Freigabe der entsprechenden UDP- oder TCP-Ports notwendig sein. Siehe vorherige Frage.

DSL- oder andere Routertechnik, die Firewall-Funktionalität beinhalten, sollten in ihrer Grundkonfiguration keinen Einfluß auf die VPN-Verbindungsaufnahme haben. Ggf. sollte das jedoch kontrolliert werden.
Keine Cisco-VPN-Verbindung mit chinesischem Windows XP möglich. What's wrong?
Der VPN-Cisco-Client kann in einem chinesischen Windows XP nicht benutzt werden. Beim Verbindungsversuch wird kein VPN-Tunnel aufgebaut und mit einer Fehlermeldung abgebrochen. Die genaue Ursache ist unklar....
Benutzen Sie statt dessen den Network Connect von Juniper, siehe http://www.cms.hu-berlin.de/dl/netze/vpn/SSL-VPN/
Ich habe Probleme mit SSL-VPN und Firefox Version 2.0.0.15 und 16...
Die Versionen 2.0.0.15 und 16 des Firefox haben unter Windows "Probleme" mit dem VPN-SSL-Gateway. Nach dem Login erscheint die Übersichtsseite mit den Bookmarks und dem Punkt "Network Connect" nicht.
Abhilfe schafft ein Update auf eine neuere Version von Firefox.
Keine Verbindung zum VPN-Server mit Cisco-Client möglich...
- Sie müssen die von uns bereitgestellte Software benutzen, es müssen zwei Teile heruntergeladen werden. Die Software (per Setup installieren) und die Konfigurationsdatei (VPN_HU-Berlin_2006.pcf, welche an der richtigen Stelle gespeichert sein muss. Wiederholen Sie ggf. die Installation nach unseren Anleitungen).
- Ihre Firewall verhindert den Verbindungsgaufbau zu unserem VPN-Server. Diese Problem tritt vor allem bei zusätzlich installierten Personal Firewalls oder auch bei DSL-Routertechnik auf. Die unkonfigurierte, systemeigene Firewall von Windows XP oder VISTA ist normalerweise nicht die Ursache für die Verhinderung des Aufbaus eines VPN-Tunnels.
  Schalten Sie die Firewall testweise ab oder erlauben Sie die UDP-Port 500 und 4500 ein- als auch abgehend.
- Ihr Account ist gesperrt. Eine entsprechende Fehlermeldung sollte zu sehen sein.
- Die Konfiguration Ihres Rechner hat sich verändert. Das kann unbeabsichtig und meist auch unbemerkt geschehen.
  Deinstallieren Sie den Cisco-Client (Start -> Einstellungen -> Systemsteuerung -> Software) von Ihrem Rechner. Starten Sie dann den Rechner neu und installieren Sie den Cisco-VPN-Client erneut.
Die Network Connect-Verbindung wird nicht aufgebaut. Was kann ich tun?
Mögliche Ursachen:
- Sie müssen als Administrator angemeldet sein, wenn Sie Network Connect NC) zum ersten Mal benutzen.
- Sie brauchen aktuelle Java-Software. Diese können Sie von http://www.java.com laden.
- Ihr Browser gehört nicht zu den offiziell unterstützen, mit denen der Aufbau der NC-Verbindung möglich ist. Verwenden Sie bitte Mozilla Firefox oder den Internet-Explorer.
- In Ihrem Browser ist der Popup-Blocker aktiviert. Erlauben Sie Popup-Fenster zumindest für die Seite ssl.cms.hu-berlin.de.
- In Ihrem Browser ist die Ausführung von Java-Skript und Java nicht erlaubt. Überprüfen Sie die Einstellungen.
Ich habe eine 64 Bit Version von Windows. Kann ich damit eine VPN-Verbindung zur HU aufbauen?
Ja:
- OpenVPN soll unter einem 64 Bit Windows arbeiten.
- Cisco-VPN wird mit ziemlicher Sicherheit nicht unter einer 64 Bit Version von Windows laufen.
- SSL-VPN+IPsec (Network Connect) ist laut Hersteller (Juniper) auf einem 64 Bit Windows-System lauffähig. Es gab aber in der Vergangenheit immer wieder Berichte von Benutzern über Probleme, so dass im Zweifelsfall auf OpenVPN ausgewichen werden sollte.
  Bei einem Test mit einem 64 Bit VISTA mit Service Pack 2 konnte eine Network-Connect-Session (NC) mit dem Internet-Explorer 7 (7.0.6002.18005) erfolgreich hergestellt werden. Auf dem selben System konnte eine NC-Verbindung mit einem Mozilla Firefox 3.5 und Java Version 6u14 aufgebaut werden.
Kann ich auf meine Windows-Netzlaufwerke am Institut via VPN zugreifen?
Ja, unabhängig von der verwendeten VPN-Variante.
- Windows: Ein DOS-Fenster mittels Start -> (Ausführen ->) cmd -> OK öffnen. In diesem mit dem Kommando (getestet unter XP)
  
  net use LW: \\Servername\Freigabename /user: Domain\Benutzername
  
  die Zuweisung vornehmen. Mittels net use ? oder net use /help gibt es Informationen zur Verwendung des Befehls.
  Den Server- und Freigabenamen kann man mittels des Befehls net use in Erfahrung bringen, wenn man am Institut an der Domäne angemeldet ist.
  Windows-Benutzername und Domain werden auf einem Rechner, der an einer Windows-Domain angemeldet ist, beim Aufruf von Systemsteuerung -> Benutzerkonten angezeigt.
  Soll der Zugriff auf das entfernte Laufwerk des Öfteren erfolgen, kann die Kommandozeile in eine Batch-Datei z.B. auf dem Desktop abgelegt werden (Dateiendung .bat).
  Alternativ zur Eingabe der Kommandozeile kann das Zuweisen des Windows-Netzlaufwerks auch über den Windows-Explorer über Extras -> Netzlaufwerk verbinden erfolgen.
- Linux (getestet mit Ubuntu):
  - Sambafilesystem installieren: sudo apt-get install smbfs.
  - Mount-Point anlegen: sudo mkdir -p /mnt/Username. Username ist der eigene Nutzername im Ubuntu.
  - Rechte des Mountpoint ändern: sudo chown Username /mnt/Username und sudo chgrp Username /mnt/Username
  - Verzeichnis mounten: sudo mount -t cifs -o username=Windows-Benutzername,workgroup=Windows-Domain //Servername/Freigabename /mnt/Username
- MacOs (getestet mit MacOS 10.5.6 - Leopard):
  Der Zugriff auf die Freigabe(Share) erfolgt z.B. in dem man unter Safari in der Adresszeile folgendes eingibt:
  
  smb://Servername/Freigabename
  
  Danach erfolgt die Abfrage von Benutzernamen + Passwort. Hierbei ist zu beachten, dass bei dem Benutzernamen die Domäne mitanzugeben ist, z.B. Domäne\Benutzername
Ich habe Probleme mit SSL-VPN unter Snow Leopard (MacOS 10.6). Was kann ich tun?
- Falls Sie ein frisch installiertes Snow Leopard haben, auf dem noch kein Network Connect installiert ist, müssen Sie Network Connect leider erstmal manuell installieren, da die Installation über den Browser zurzeit noch nicht funktioniert.
  
  Standalone Installer: NetworkConnect.dmg
  
  Nun ist Network Connect installiert und Sie müssen leider noch den zweiten Teil des Workarounds durchführen.
- Falls Network Connect schon installiert ist, schafft das folgende Vorgehen i.d.R. Abhilfe:
  
  Starten Sie den Finder und geben Sie als Suchbegriff Terminal ein. Dann folgende 2 Befehle im Terminal absetzen:
  
  sudo chmod 755 /usr/local/juniper/nc/*
  sudo mkdir '/Applications/Network Connect.app/Contents/Frameworks'
  
  Das dabei abgefragte Passwort ist Ihr lokales Nutzerpasswort an ihrem Rechner.
- Sollte der Workaround nicht funktionieren, wird ein Ausweichen auf OpenVPN (Tunnelblick) empfohlen.
Ich habe Probleme mit SSL-VPN unter Windows 7. Was kann ich tun?
- Verwenden Sie zur Installation den Internet Explorer.
- Zur Installation werden administrative Rechte benötigt. Stellen Sie sicher, dass Sie diese haben.
- Benutzen Sie die Alternative: OpenVPN.
Die OpenVPN-Verbindung unter Windows VISTA wird aufgebaut, funktioniert aber nicht. Was kann ich tun?
- Kontrollieren Sie das Logfile auf Fehlermeldungen: Rechtsklick auf das OpenVPN-Symbol in der Taskleiste -> View Log.
- Stellen Sie sicher, dass Sie das OpenVPN-GUI mit Administrator-Rechten ausführen (siehe Anleitung).
- Nehmen Sie ggf. Kontakt mit dem Support auf.
Ich erhalte über VPN keinen Zugang zu Online-Katalogen wie z.B. JSTOR. Was kann ich tun?
- Die VPN-Adressen sind zum Teil für Zugriffe auf Online-Kataloge durch einige Anbieter gesperrt. Die Ursachen sind wohl lizenzrechtlicher Natur. Genauere Auskünfte, welche Angebote das betrifft, kann die Universitätsbibliothek geben. Nachfragen sind an die Mailaddresse info(AT)ub.hu-berlin.de zu richten.

Humboldt-Universität zu Berlin Computer- und Medienservice

VPN-FAQ

VPN-FAQ

Vorwort

Fragen:

Antworten:

Was ist eine FAQ?

Wozu VPN?

Wer kann kann unser VPN benutzen?

Welche VPN-Variante soll ich benutzen?

An wen wende ich mich bei Problemen?

Gibt es eine VPN-Variante, die unter Android läuft?

Unmittelbar nach dem Aufbau der Network Connect-Verbindung erscheint Fehler 23711. Was tun?

Beim Versuch eine Network Connect-Verbindung aufzubauen, erscheint Fehler 23791. Was tun?

Welche Einstellungen sind auf meiner Firewall notwendig, um eine VPN-Verbindung aufzubauen?

Muss ich meine Firewall anpassen?

Keine Cisco-VPN-Verbindung mit chinesischem Windows XP möglich. What's wrong?

Ich habe Probleme mit SSL-VPN und Firefox Version 2.0.0.15 und 16...

Keine Verbindung zum VPN-Server mit Cisco-Client möglich...

Die Network Connect-Verbindung wird nicht aufgebaut. Was kann ich tun?

Ich habe eine 64 Bit Version von Windows. Kann ich damit eine VPN-Verbindung zur HU aufbauen?

Kann ich auf meine Windows-Netzlaufwerke am Institut via VPN zugreifen?

Ich habe Probleme mit SSL-VPN unter Snow Leopard (MacOS 10.6). Was kann ich tun?

Ich habe Probleme mit SSL-VPN unter Windows 7. Was kann ich tun?

Die OpenVPN-Verbindung unter Windows VISTA wird aufgebaut, funktioniert aber nicht. Was kann ich tun?

Ich erhalte über VPN keinen Zugang zu Online-Katalogen wie z.B. JSTOR. Was kann ich tun?

Artikelaktionen

Benutzerspezifische Werkzeuge