VPN einrichten (Cisco Anyconnect)

Einleitung

Der zentrale VPN-Dienst der TU Braunschweig ermöglicht es jedem Mitglied der TU Braunschweig, bestimmte Netze und Dienste der TU-Braunschweig auch mobil von unterwegs und von daheim per „Virtual Private Network“ (VPN) zu nutzen. Ziel des VPN-Dienstes ist es, Ihnen den Zugriff auf interne Ressourcen durch Bereitstellung einer IP-Adresse aus dem Netz der TU zu ermöglichen. Das Gauß-IT-Zentrum stellt Ihnen hierzu die notwendige Software zusammen mit der zugehörigen Konfiguration zur Verfügung. Die Software Cisco AnyConnect integriert sich nahtlos in die zentrale VPN-Infrastruktur der TU Braunschweig. Sie steht für mehrere Betriebssysteme in gleicher bzw. sehr ähnlicher Form bereit und integriert neben verschiedenen Zugriffsprofilen gleichzeitig verschiedene VPN-Protokolle.

Die großen Vorteile liegen auf der Hand: Die über mehrere Betriebssysteme im wesentlichen gleichartige Software ist für Sie in der Bedienung auf den verschiedenen Betriebssystemen sehr ähnlich. Sie unterscheidet sich im Wesentlichen lediglich durch das Look&Feel des Betriebssystems. Um Ihnen den Einstieg so einfach wie möglich zu machen, haben wir in den folgenden Abschnitten die Installation und Nutzung der Software Cisco AnyConnect in den Abschnitten „Windows & Mac OS X“ sowie im Abschnitt „Linux“ beschrieben. Mit der Integration der Zugriffsprofile können Sie durch einfache Auswahl in der Software Ihr Anwendungsszenario selbst bestimmen. Hinweise zur Nutzung der verschiedenen Profile finden Sie im Abschnitt „Auswahl der Profile“.

VPN-Client "AnyConnect" installieren

Windows

Für die (erstmalige) Installation des Cisco Anyconnect Clients können Sie zwischen zwei Varianten wählen, die sich im Wesentlichen jedoch nur dadurch unterscheiden, ob sie die Installationsdatei vorher herunter laden und dann starten, oder die Installation über eine Webseite „starten“ und die Datei automatisch währenddessen herunterladen. Letztere Variante ist (noch) einfacher und sollte im Normalfall präferiert werden. Öffnen Sie dazu in einem Browser Ihrer Wahl die Webseite https://vpngate.tu-braunschweig.de. Sie sehen dort einen Login-Bildschirm:

Login-Bildschirm mit Auswahl des Profils

Abgesehen von Ihrer Benutzerkennung samt Passwort können Sie hier das Profil wählen, mit dem Sie den Anyconnect Client nach der Installation starten wollen. Üblicherweise wird nur das Profil „Tunnel TU Traffic“ benötigt. In diesem Fall wird nur der Verkehr, der an Ressourcen der TU gerichtet ist, durch den Tunnel geschickt. Im Vergleich zu „Tunnel All Traffic“ entlastet dies Ihre und unsere Ressourcen.

Sobald Sie die nötigen Angaben eingegeben und auf [Login] geklickt haben, wird eine Willkommensnachricht eingeblendet, über die wir Ihnen ggf. wichtige Informationen zu unserem VPN-Dienst mitteilen. Lesen Sie diese sorgfältig und drücken Sie dann [Continue].

Willkommensnachricht

Anschließend beginnt die Installation. Zunächst werden Sie aufgefordert, die Installationsdatei herunterzuladen. Es wird Ihnen nur die Datei, die zu Ihrem Betriebssystem passt, angeboten. Bitte drücken Sie auf die Schaltfläche [Download for Windows].

Installationsdatei herunterladen

Speichern Sie die Datei auf Ihrer Festplatte und fahren Sie dann fort wie bei der manuellen Installation.

Manuelle Installation aus heruntergeladener Datei unter Windows

Zunächst laden Sie die Installationsdatei „anyconnect-win-<Version etc.>.msi“ für Ihr Betriebssystem unter https://www.tu-braunschweig.de/it/downloads/software herunter. Speichern Sie diese zunächst auf Ihrer Festplatte.

Um die Installation zu starten, klicken Sie mit einem Doppelklick auf die Datei. Da Sie die Datei aus dem Internet herunter geladen haben, müssen Sie ggf. zunächst bestätigen, dass Sie das Programm tatsächlich ausführen wollen:

Starten des Installationsprogramms erlauben

Daraufhin erscheint das erste Installationsfenster. Klicken Sie auf die Schaltfläche [Next], um die Installation zu starten.

Anyconnect Setup Wizard

Im Folgenden werden Sie aufgefordert dem „Cisco End User License Agreement“ (der Lizenzvereinbarung) zuzustimmen. Wählen Sie die Option „I accept the terms in the License Agreement“ und dann unten auf [Next], falls Sie fortfahren wollen.

Lizenzvereinbarung akzeptieren

Sie können nun den Installationsvorgang starten, in dem Sie auf die [Install]-Schaltfläche klicken.

Es kann sein, dass Ihre Sicherheitoptionen so eingestellt sind, dass Sie nun noch einmal aufgefordert werden, die Installation zu bestätigen. Bitte klicken Sie [Ja].

Sicherheitsabfrage

Wenn die Installation abgeschlossen ist, wird Ihnen das folgende Fenster gezeigt. Klicken Sie auf [Finish].

Die Installation ist nun abgeschlossen. Sie finden den Client fortan im Start-Menü unter (Alle) Programme → Cisco Anyconnect Secure Mobility Client.

Mac OSX

Für die (erstmalige) Installation des Cisco Anyconnect Clients können Sie zwischen zwei Varianten wählen, die sich im Wesentlichen jedoch nur dadurch unterscheiden, ob sie die Installationsdatei vorher herunter laden und dann starten, oder die Installation über eine Webseite „starten“ und die Datei automatisch währenddessen herunterladen. Letztere Variante ist (noch) einfacher und sollte im Normalfall präferiert werden. Öffnen Sie dazu in einem Browser Ihrer Wahl die Webseite https://vpngate.tu-braunschweig.de. Sie sehen dort einen Login-Bildschirm:

Login-Bildschirm mit Auswahl des Profils

Abgesehen von Ihrer Benutzerkennung samt Passwort können Sie hier das Profil wählen, mit dem Sie den Anyconnect Client nach der Installation starten wollen. Üblicherweise wird nur das Profil „Tunnel TU Traffic“ benötigt. In diesem Fall wird nur der Verkehr, der an Ressourcen der TU gerichtet ist, durch den Tunnel geschickt. Im Vergleich zu „Tunnel All Traffic“ entlastet dies Ihre und unsere Ressourcen.

Sobald Sie die nötigen Angaben eingegeben und auf [Login] geklickt haben, wird eine Willkommensnachricht eingeblendet, über die wir Ihnen ggf. wichtige Informationen zu unserem VPN-Dienst mitteilen. Lesen Sie diese sorgfältig und drücken Sie dann [Continue].

Willkommensnachricht

Anschließend beginnt die Installation. Zunächst werden Sie aufgefordert, die Installationsdatei herunterzuladen. Es wird Ihnen nur die Datei, die zu Ihrem Betriebssystem passt, angeboten. Bitte drücken Sie auf die Schaltfläche [Download for MAC OSX].

Speichern Sie die Datei auf Ihrer Festplatte und fahren Sie dann fort wie bei der manuellen Installation.

Manuelle Installation aus heruntergeladener Datei unter Mac OS X

Die Installationsdateien für Windows, Mac und Linux finden Sie auf unserer Webseite unter VPN.

Bitte laden Sie die entsprechende Datei herunter und führen diese aus.

Der Cisco Anyconnect Client wird nun installiert. Es werden eine Reihe von Fenstern angezeigt, in denen Sie bitte immer auf [Fortfahren], [Akzeptieren], bzw. [Weiter] klicken.

MacOS Anyconnect installierenMacOS Anyconnect Lizenz

Im nächsten Schritt wird Ihnen eine Sicherheitsabfrage präsentiert. Hier geht es darum, dass Sie zustimmen, dass Software aus dieser Quelle installiert werden darf. Zuvor werden Sie noch aufgefordert Ihr Passwort bzw. das Passwort eines Administrators einzugeben (oder Fingerabdruck).

MacOS Aufforderung zur Eingabe des Passworts

Danach erscheinen mehrere Einblendungen im Zusammenhang mit der eine Sicherheitsabfrage. Falls sie folgendes Popup oben rechts eingeblendet sehen, können Sie hier gleich auf **Erlauben** klicken. Die Installation wird dann gestartet. Allerdings erhalten Sie die gleichen Anfragen bei zukünftigen Aktualisierungen des Clients wieder.

MacOS Popup "Installation Erlauben"

Alternativ können sie auf folgende Einblendungen reagieren und wie dort beschrieben, die Installation aus der Quelle „Cisco“ dauerhaft erlauben:

MacOS Systemerweiterung BlockiertCisco Einblendung "Aufmerksamkeit Erforderlich"

Der Client wird nun installiert. Nach der Installation erhalten Sie folgende Einblendung:

MacOS Installation abgeschlossen

Der Client sollte sich nun von selbst starten und minimiert sich dabei gleich oben in der Programmleiste.

Programmleiste unter Mac OS X mit Icon

Ein Click auf das Icon öffnet das Programmfenster des Clients. Hier können Sie u.a. die VPN-Verbindung trennen und erneut (z.B. mit anderem Profil) aufbauen. Wenn Sie den Client beendet haben, können Sie ihn zukünftig über Programme → Cisco → Cisco AnyConnect Secure Mobility Client starten.

Linux

Unter Linux ist es meistens nicht möglich, den Client automatisch über den Browser zu installieren.

Manuelle Installation aus heruntergeladener Datei

Laden Sie den VPN Client „anyconnect-linux-<Version>.tar.gz“ (32bit) oder „anyconnect-linux-64-<Version>.tar.gz“ (64bit) von der Downloadseite des Gauß-IT-Zentrums (unter Software bei „V“ für VPN) herunter.

Entpacken Sie die Datei (z.B. im Terminal mit „tar xvfz <Datei>“). Falls nicht schon geschehen starten Sie ein Terminal und loggen Sie sich als root ein (z.B. mit dem Befehl „su root“). Wechseln Sie dann in das Verzeichnis in dem Sie die Datei entpackt haben und dort in den Unterordner „vpn“. Rufen Sie dort das Skript vpn_install.sh auf.

Installationsskript starten

Lesen und bestätigen Sie das „End User License Agreement“ (Lizenzvereinbarung). Um die Vereinbarung zu bestätigen, drücken Sie die Taste y und bestätigen Sie mit [Enter].

Lizenzvereinbarung

Warten Sie bis sich das Skript mit der Ausgabe „Done!“ beendet. Der Client ist nun installiert. Aus welchem Menü Sie ihn starten können, ist abhängig vom Linux-Desktop, den Sie einsetzen. Unter Gnome2 finden Sie das das Programm z.B. unter „Anwendungen –> Cisco AnyConnect Secure Mobility Client –> Cisco AnyConnect Secure Mobility Client“.

Installation abgeschlossen

In jedem Fall können Sie das Programm aber über die Kommandozeile öffnen:

/opt/cisco/anyconnect/bin/vpnui

Apple IOS und Android

Für Smartphones von Apple mit IOS Betriebssystem und Geräten anderer Hersteller mit Googles Android Betriebssystem finden Sie den Cisco AnyConnect Client im jeweiligen Anbieterportal. Bitte suchen Sie dort nach „Cisco Anyconnect Client“. Wählen Sie die Version, die von „Cisco Systems“ herausgegeben wird und installieren Sie die neueste Version der App.

Die Benutzer von Apple-Geräten haben es besonders leicht, da die Monokultur der Hardware es der Softwareentwicklung bei Cisco ermöglicht, genau eine Version anzubieten. Benutzer von Android-Geräten müssen sich die für ihr Gerät passende Version anhand der Beschreibungen heraussuchen.

Um eine Verbindung herzustellen, starten Sie bitte den Cisco AnyConnect auf Ihrem Smartphone. Wählen Sie für die erste Verbindung „Neue VPN-Verbindung hinzufügen…“ aus. Es öffnet sich der Verbindungseditor. Tippen Sie auf „Serveradresse“ und geben Sie „vpngate.tu-bs.de“ (oder vpngate.tu-braunschweig.de) in das Feld ein und bestätigen mit OK. In der Liste der verfügbaren Verbindungen erscheint nun „vpngate.tu-bs.de“. Starten Sie die Verbindung, indem Sie einen Eintrag auswählen und ggf. auf den Schalter im Feld „AnyConnect-VPN“ (Apple) tippen. Sie werden nun aufgefordert, Benutzerkennung und Passwort einzugeben, um eine Verbindung herzustellen.

Bei der ersten Verbindung werden Konfigurationsprofile heruntergeladen und in der Applikation hinterlegt. Zur Verwendung der Profile und zur Frage, welcher Verkehr über den VPN-Tunnel bedient werden soll, lesen Sie bitte in den entsprechenden Abschnitten VPN-Client "AnyConnect" nutzen und Wahl der Profile dieser Anleitung nach.

AnyConnect Client Android/Smartphones AnyConnect Client Android/Smartphones

VPN-Client "AnyConnect" nutzen

Die Verwendung des Clients ist unabhängig davon, auf welchem Betriebssystem er installiert ist, oder ob er automatisch über den Browser oder manuell aus der Installationsdatei installiert wurde. Für die Verwendung ist ebenso unerheblich, wie der Client genau aussieht, was unter Mac OS X, Windows und Linux jeweils unterschiedlich ist. Auch die Versionen für Smartphones sehen naturgemäß unterschiedlich aus, als einzige Ausnahme folgen Sie bitte der Beschreibung im vorhergehenden Abschnitt. In dieser Anleitung werden wir daher nicht jeden Schritt mit einem Screenshot aller Versionen belegen, sondern uns an unterschiedlichen Beispielen orientieren. Hier zunächst ein kurzer Überblick über das unterschiedliche Aussehen der Clients unter den verschiedenen Betriebssystemen:

Client unter Microsoft Windows Client unter Mac OS X AnyConnect Client unter Linux

Wenn Sie den Client das erste Mal starten, müssen Sie im Feld Connect to den Hostnamen des VPN-Servers vpngate.tu-bs.de (oder vpngate.tu-braunschweig.de) eingeben.

"vpngate.tu-bs.de" eingeben

Wenn die Felder für Benutzername (Username) und Passwort (Password) noch nicht gleich zu sehen sind, drücken Sie [Select/Connect]. Geben Sie dann Ihre Benutzerkennung und Ihr Passwort ein. Im Drop-Down-Menü [Group] können Sie zwischen den Profilen [Tunnel TU Traffic] und [Tunnel all Traffic] wählen. Beim Profil Tunnel TU Traffic werden nur solche Verbindungen über den Tunnel übertragen, die Ziele an der TU Braunschweig (IP-Adressbereich 134.169.*.*) betreffen. Wenn Sie wollen, dass sämtlicher Verkehr durch den Tunnel läuft (wie beispielsweise für Bibliotheksrecherchen notwendig), wählen Sie das Profil Tunnel all Traffic.

Client unter Mac OS X

Wenn Sie nach Eingabe Ihrer Benutzerdaten und Auswahl des Profils den [Connect]-Knopf betätigen, wird der Tunnel aufgebaut. Als nächstes sehen Sie eine Willkommensnachricht, die sie noch mit [Accept] bestätigen müssen.

Anyconnect Willkommensnachricht

In der Regel verschwindet nun das AnyConnect-Fenster. Sie finden stattdessen ein Icon in der Task-/Programmleiste Ihres Desktops. Wenn Sie dieses Icon anklicken, öffnet sich das Fenster erneut.

Anyconnect Icon "Verbunden"

Das Icon wird mit einem Schloss angezeigt, solange eine VPN-Verbindung besteht. Sobald Sie das Fenster öffnen und [Disconnect] drücken, verändert sich das Icon. Das Schloss ist nun nicht mehr zu sehen.

AnyConnect Icon "Nicht Verbunden"

Wahl der Profile

An dieser Stelle wird noch einmal näher auf die verschiedenen Wahlmöglichkeiten zu den Profilen eingegangen. Zu verstehen, wie die verschiedenen Profile wirken, ermöglicht es Ihnen die Auswahl des Profils für Ihren Anwendungszweck zu optimieren. Die verschiedenen Profile sorgen für eine unterschiedliche Behandlung des von Ihrem Rechners initiierten Datenverkehrs. Sie benutzen VPN immer dann, wenn Sie z.B. mobil von unterwegs für den Zugriff auf interne Dienste und Ressourcen eine IP-Adresse aus dem Netz der TU Braunschweig benötigen.

Profil „Tunnel TU Traffic“: Grundsätzlich sollten Sie dem Profil „Tunnel TU Traffic“ den Vorzug geben. Mit diesem Profil wird nämlich nur genau der Datenverkehr zwischen Ihrem Rechner und den TU-internen Diensten und Ressourcen verschlüsselt übertragen. Alle anderen Internetaktivitäten bleiben davon unberührt. Sie greifen weiterhin direkt auf andere Dienste (z.B. „www.google.de“) zu, ohne dass Ihr Datenverkehr einen zusätzlichen Umweg über Systeme der TU Braunschweig nimmt.

Profil „Tunnel all Traffic“: Für manche besonderen Anwendungen ist das Profil „Tunnel all Traffic“ auszuwählen. Beispielsweise kann für die Nutzung von Bibliotheksdiensten die Verwendung notwendig sein, da an Bibliotheken oft auf die Dienste anderer Verlage verwiesen und zugegriffen wird. Das Profil „Tunnel all Traffic“ ist also nur dann notwendig, wenn es darauf ankommt, dass nicht nur der Zugriff auf TU-interne Dienste sondern auch der Zugriff auf externe Dienste mit einer IP-Adresse aus dem Netz der TU Braunschweig erfolgt. Diese Anforderung ist eher die Ausnahme.

VPN an anderen Einrichtungen nutzen

Wenn Sie an mehr als einer Einrichtung den AnyConnect VPN-Client benutzen müssen oder sollen, dann können Sie dies ohne erneute Installation des Programms tun. Starten Sie den Client. Klicken Sie in das Feld „Connect to:“ bzw. „VPN: Ready to connect:“ hinein und Tippen Sie den Namen des neuen VPN-Servers in das Feld.

Wahl zwischen SSL und IPSec Eingabe des Namens des VPN-Servers Überschreiben des VPN-Servers

Die vorstehenden Abbildungen von verschiedenen Betriebssystemen sollen eines verdeutlichen: Statt der vorkonfigurierten Werte läßt sich in das Feld jederzeit der Name eines anderen VPN-Servers eintragen zu dem man Verbindung aufbauen möchte und der Verbindungen über den AnyConnect Client zuläßt.

Grundsätzliche Fehlerbehebung

Sollten bei der Installation, dem manuellen Update oder dem automatischen Update Probleme während der Installationsroutine oder dem Verbindungsaufbau bestehen, sollte als erstes der installierte Virenscanner und die installierte Firewall (zusätzlich zu der Windows internen Firewall) überprüft werden. Grundsätzlich ist es ratsam die Firewall erst nach der Installation des VPN-Client zu installieren, falls eine zusätzliche Firewall gewünscht wird. Sollten weiterhin Probleme auftreten, bitte eine komplette Deinstallation des AnyConnect Clients (inklusive aller älteren Versionen) vornehmen. Hierzu bitte nach der Deinstallation folgende Ordner manuell löschen falls sie noch vorhanden sind (Windows).

  • C:\ProgramData\Cisco\Cisco AnyConnect VPN Client\
  • C:\Users\„IhrBenutzername“\AppData\Local\Cisco\

Hiernach bitte einen Neustart durchführen und anschließend den aktuellen Anyconnect Client herunterladen und manuell installieren.
https://www.tu-braunschweig.de/it/downloads/software

Erfolgreich getestet wurde der aktuelle VPN AnyConnect Client unter den Betriebssystemen Windows XP, Windows Vista, Windows 7, Windows 8.1, Linux und Mac OS X (Intel). Sowohl ohne als auch mit dem von der TU Braunschweig angebotenen Virenscanner Sophos. Andere Virenscanner oder Firewalls können zu einem erheblichen Mehraufwand bei der Installation führen und werden offiziell nicht unterstützt. Sollten Fehler auftreten halten Sie bitte die Versionsinformationen zu der genutzten Java Version, dem Betriebssystem, dem genutzten AnyConnect Client bereit und geben Sie diese bei einer Störungsmeldung mit an.

OpenSuse

Unter OpenSuse 15.1 Leap kommt es aktuell zum Fehler „install: cannot create regular file '/lib/systemd/system/vpnagentd.service': No such file or directory“ Dazu bitte dem Fix auf der Herstellerseite folgen.

netz/vpn/vpn_einrichten.txt · Zuletzt geändert: 2020/06/12 14:00 von markanni
Gau-IT-Zentrum