Navigationshilfe

Hochschulrechenzentrum

Hauptnavigation

 
 

Seiteninhalt

FUSE Logo
FUSE
Frankfurt University Secure Entrypoint		 FAQ
Frequently Asked Questions - Oft gefragte Fragen und deren Antworten.
I. VPN & IPsec
  1. Was ist VPN? Wozu wird es gebraucht?
    Für den Zugang zum Wireless LAN (WLAN bzw. Funknetz) ist VPN zwingende Voraussetzung. Aber auch über Draht angebundene Nutzer profitieren: die intranet-Dienste des HRZ (Online-Zeitschriften, FTP, News und Web) benötigen eine IP-Adresse aus dem Bereich des HRZ, andernfalls sind die Angebote nur eingeschränkt oder garnicht nutzbar. Bisher war eine entsprechende IP-Adresse nur an lokalen Maschinen (am Arbeitsplatz oder in den Pools) oder bei Einwahl über analoges Modem oder ISDN verfügbar. Hier kann das VPN (Virtual Private Network) helfen, beim Zugang über beliebigen Internetprovider wird eine virtuelle Verbindung (Tunnel) zum HRZ aufgebaut. Diesem Tunnel wird eine IP-Adresse aus dem Bereich des HRZ zugeordnet und damit sind die intranet-Dienste nutzbar. Allgemeine weiterführende Informationen zum Thema VPN finden sich im Web unter http://vpn.shmoo.com/.
  2. Einwahl per Modem/ISDN über (069) 7985 oder 20123:
    Für Nutzer, die sich über die Rufnummern 7985 (extern) oder 20123 (intern) einwählen, besteht keine Notwendigkeit den VPN Client zu installieren. Mit dem Verbindungsaufbau zur NAF wird automatisch eine IP-Adresse aus dem Bereich der Universität zugewiesen. Der VPN-Dienst (FUSE) ist eine Ergäzung des Zugangs über Modem bzw. ISDN, deshalb werden die bisherigen Einwahldienste (NAF) auch in Zukunft weiterbetrieben.
  3. Was ist IPsec? Wofür ist das sinnvoll?
    Der Tunnel des Virtual Private Networks wird mit der FUSE ausschliesslich nach dem IPsec Standard aufgebaut. IPsec (IP Security Protocol) steuert für den Auf- und Abbau des VPN-Tunnels und die Übertragung der Daten. Als zusätzliche Funktionalität ist eine Verschlüsselung der Daten möglich und gerade beim Zugang über fremde Provider sinnvoll. Insbesondere, weil die gängigsten Protokolle - Telnet, POP3, FTP aber auch HTTP (Web) - den Benutzernamen und -passwort als Klartext übertragen. Die FUSE verwendet ausschliesslich 3DES, in Zukunft wird aber auch AES unterstützt.
  4. Voraussetzungen für den Zugang zum VPN-Dienst (FUSE) des HRZ:
    • eine Benutzerkennung (Account) am Hochschulrechenzentrum der J. W. Goethe-Universität Frankfurt.
    • eine Internetverbindung - egal ob Modem, ISDN, DSL oder Ethernet.
    • ein unterstütztes Betriebssystem: aktuell Windows 95, 98, ME, NT 4.0 (Workstation), 2000 (Professional) und Windows XP (Home und Professional) mit der kostenfrei verfügbaren Client-Software von Nortel.
    • für Apple (ab Mac OS 8) und verschiedene Unices (AIX, Solaris, Linux und andere) ist eine Client-Software verfügbar.
    • PDA und mobile Computing: auch mit PalmOS, SymbianOS und WindowsCE und ist ein Zugang möglich.
    Möglicherweise auftretende Probleme sind auf dieser Web-Seite beschrieben, deshalb bitte vor der Installation vollständig durchlesen. Vielen Dank.
  5. IPsec und Firewall:
    Der Port 500 udp muss vom Client zum Gateway (und umgekehrt!) erreichbar sein. Weiterhin muss die Firewall die Protokolle ESP (Protokoll Nummer 50) und AH (Protokoll Nummer 51 durchlassen.
  6. IPsec und dynamisches NAT:
    gelten als natürliche Feinde. Die Mechanismen IP-Masquerading oder auch Network Address Translation finden sich oft in kleinen SOHO Routern. NAT erlaubt Internetzugang mit nur einer öffentlichen IP (meist aus dem Pool des jeweiligen Providers) für eine ganze Gruppe von Maschinen mit privaten Adressen. Dazu modifiziert NAT den Header der IP-Pakete, schliesslich sind private Absender in öffentlichen Netzen nicht routbar. Genau hier greift aber auch IPsec ein: IPsec bildet Prüfsummen für IP-Pakete, aber auch deren Header. Abhilfe: Einen Router mit VPN-Passthru verwenden, alternativ ein Forwarding des UDP-Port 2003 auf die Maschine mit der Client-Software.
II. Client-Software
  1. Unterstützte Betriebssysteme:
    Aktuell werden Windows 95, 98, ME, NT 4.0, 2000 und Windows XP unterstützt. Für Apple (ab MacOS 8) und verschiedene Unices (AIX, Solaris, Linux und andere) kann beim HRZ eine Lizenz der Client-Software käuflich erworben werden. Allerdings wird für Apple Macintosh und Unix (außer AIX und der RedHat Linux Distribution) kein offizieller Support geleistet. Geräte mit PalmOS, SymbianOS und WindowsCE können dank des movianVPN von Certicom am VPN teilnehmen. Allerdings gilt auch hier: kein offizieller Support durch das HRZ.
  2. Download der Client-Software:
    die Webseiten mit den Anleitungen enthalten auch entsprechenden Links zur jeweiligen Client-Software.
  3. Windows 95 & 98 - vorhandene Microsoft VPN-Adapter:
    Prüfen Sie, ob unter Start / Einstellungen / Systemsteuerung / Netzwerk ein DFÜ-Adapter #2 (VPN Unterstützung) installiert ist. Falls der Eintrag vorhanden ist, muss dieser entfernt werden. Die Microsoft VPN Implementierung stört den Nortel Contivity Client.
  4. Tunnel nach Aufbau nicht sofort nutzbar:
    Der Aufbau des VPN-Tunnels braucht eine gewisse Zeit (ca. 30 Sekunden), vorher werden keine Daten übertragen. Bitte haben Sie etwas Geduld. Auch beim Abbau des Tunnels sollte ein gewisser Zeitraum (nochmals ca. 30 Sekunden) verstreichen.
  5. Personal Firewalls (insbesondere Zone Alarm und Windows XP TCP/IP-Filterung):
    Behindern oft den Aufbau des Tunnels bzw. die Übertragung der Daten durch den IPsec-Tunnel. Abhilfe: probeweise die Personal-Firewall deaktivieren. Für die Konfiguration der Personal-Firewalls kann das HRZ keinen Support leisten.
  6. Esel, Bär & Nussnougatcreme gehen nicht mehr:
    Mit der IP aus dem Netz des HRZ greifen auch die Filter und Sperren des Uni-Netzes.
  7. Routing table cannot be altered:
    Die VPN-Verbindung wird mit dem obigen Hinweis abgebrochen. Hierfür gibt es viele Ursachen: abgelaufene DHCP Lease, Netzwerk Schnittstellen werden zu- bzw. abgeschaltet oder ein Routing Protokoll ist aktiv. Abhilfe: siehe Tech Tip TT031002.pdf von Nortel.
  8. Netlock (Mac und Unix) - kein Zugriff auf Oberfläche des Clients:
    Die Netlock VPN-Software für Apple Macintosh und die unterstüzten Unix-Derivate wird über einen Browser (z. B. Netscape oder Internet Explorer) gesteuert, als URL ist http://127.0.0.1:9161 oder http://localhost:9161 im Browser einzugeben. Wird ein Proxy-Server für den Web-Zugriff verwendet, kann die nur lokal verfügbare Benutzerschnittstelle des VPN-Clients nicht mehr erreicht werden. Abhilfe: die Verwendung des Proxy für die Adresse 127.0.0.1 bzw. localhost abschalten oder auf die Benutzung eines Proxy vollständig verzichten.
  9. Windows - Cisco und Nortel:
    Eine parallele Installation des Cisco und Nortel Clients ist erst ab Version 4.0 der Cisco Software möglich. Um Cisco zu zitieren: Coexistence with Third-Party VPN Vendors. In Release 4.0, the VPN Client is compatible with VPN clients from Microsoft, Nortel, Checkpoint, Intel, and others. This feature offers the ability to use other VPN products while the Cisco VPN Client is installed. Die vollständigen Releasenotes finden sich unter http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/rel401/401_clnt.htm.
  10. Linux - FreeS/WAN und KAME:
    Die beiden unter Linux beliebten Programmpakete können zur Zeit nicht als VPN-Clients für "Road-Warrior" eingesetzt werden. Aufgrund fehlender Standards bzw. obsoleter Implementierungsempfehlungen weigern sich die Programmierer eine erweiterte Anmeldefunktionalität zu implementieren. Eine - technisch mögliche - Anmeldung mit X.509 Zertifikaten wird auf absehbare Zeit nicht den Produktionsbetrieb aufnehmen.
  11. Andere VPN-Clients - Weitergabe des Gruppenpasswortes:
    Aus Sicherheitsgründen wird das Gruppenpasswort des VPN-Clients nicht veröffentlicht. Weiterhin ist in der aktuellen Betriebsphase die Anmeldung nur mit Nortel bzw. Netlock Software möglich.
    III. Provider
    1. America Online (AOL):
      Der weitverbreitete Internet-Provider verwendet für den Zugang ein firmeneigenes Protokoll, nicht aber den TCP/IP Standard. Die VPN Software setzt aber TCP/IP zwingend voraus und funktioniert daher nicht mit dem AOL-eigenen Protokoll.
    2. Der Proxy- oder Mailserver meines privaten Providers verweigert den Zugriff:
      It's not a bug, it's a feature. Nach dem Aufbau des VPN-Tunnels erhält der Client-PC eine IP aus dem Adressraum des HRZ. Sämtliche Datenpakete laufen zum FUSE (also zum VPN-Gateway im HRZ), dort werden die Daten quasi ausgepackt. Die Senderadresse der Pakete ist aber die HRZ-IP. Der Proxy- oder Mailserver beschwert sich also zu recht, dass die Pakete nicht dem Netz des Providers entstammen.
      Abhilfe: den Proxy und die Mailserver des HRZ benutzen. Dazu einfach bei Netscape ein zweites Profil für den VPN Universitäts-Zugang einrichten oder bei Opera eine alternative .ini Datei einrichten. Als kurzfristige Lösung kann im Browser die Benutzung eines Proxies abgeschaltet werden.
    IV. WLAN & VPN
    1. WLAN und VPN:
      Ohne den FUSE VPN-Client ist kein Zugang zum FLUG-WLAN möglich.
    2. Intel Centrino:
      Wird der Contivity VPN Client der FUSE auf einer Windows 2000 oder XP Maschine mit einem Intel Centrino Chipset und dem Intel PROset Adapter Switching Utility installiert, kann ein Absturz mit blauem Bildschirm (Blue Screen Of Death) erfolgen. Abhilfe: siehe CSB - 0305003. Bei neueren Notebooks (spätestens ab Produktionsdatum Juni 2003) sollte das Problem nicht mehr auftreten, im Zweifel kann ein Update der Hardware-Treiber vor der Installation des VPN-Clients vorgenommen werden. Die Bezugsquelle für aktuelle Centrino Software ist die Homepage des jeweiligen Notebook-Herstellers.

     

    geändert am 26. Oktober 2004  E-Mail: netz-fragennetz-fragen@rz.uni-frankfurt.de

    |

    | Zur Navigationshilfe
    empty

    Seitenabschlussleiste

    Druckversion: 26. Oktober 2004, 08:57
    http://www.uni-frankfurt.de/org/hrz/campusnetz/static/vpn/vpn_faq.html