Kategorie: Zugang_FUNet_Internet-Dienste

Transcription

Table of Contents
1 Account-Systematik..........................................................................................................................................................................................................1
1.1 Folgende Benutzernamen werden an der Fernuniversität für Studierende verwendet:...................................................................................1
2 Accounts nach Exmatrikulation.......................................................................................................................................................................................2
3 Bibliotheks-Account..........................................................................................................................................................................................................3
4 Bibliotheksdienste.............................................................................................................................................................................................................4
5 Cisco IPSEC VPN Client - Installation..............................................................................................................................................................................5
6 hier Ebsco.......................................................................................................................................................................................................................10
7 Definition der Begriffe rund um die Identität.................................................................................................................................................................11
8 DFN-Global Zertifikat.......................................................................................................................................................................................................12
9 DFN-Roaming - Was ist das?..........................................................................................................................................................................................14
10 DFN-Roaming Probleme an einigen Standorten.........................................................................................................................................................15
11 DFNRoaming..................................................................................................................................................................................................................16
12 DNS - Domain Name System........................................................................................................................................................................................17
12.1 Einträge an der FernUni...............................................................................................................................................................................17
12.2 DNS Server..................................................................................................................................................................................................17
12.3 Client Konfiguration......................................................................................................................................................................................17
13 Eduroam.........................................................................................................................................................................................................................19
13.1 Die FernUniversität bietet "eduroam" an......................................................................................................................................................19
13.2 Einrichtung....................................................................................................................................................................................................19
14 Eduroam - benötigte Software......................................................................................................................................................................................20
15 Eduroam - iOS 9 und OS X 10.11..................................................................................................................................................................................23
15.1 Konfigurationsprofil herunterladen................................................................................................................................................................23
15.2 Anleitung iOS 9.............................................................................................................................................................................................23
15.3 Anleitung OS X 10.11...................................................................................................................................................................................28
16 Eduroam - Linux............................................................................................................................................................................................................35
17 Eduroam - technische Beschreibung..........................................................................................................................................................................41
17.1 1. Schritt: EAP-Tunnelaufbau.......................................................................................................................................................................41
17.2 2. Schritt: Login mit UserID und Kennwort...................................................................................................................................................41
17.3 Zusammenfassung der notwendigen Einstellungsparameter:......................................................................................................................41
17.4 Besonderheit bei Microsoft-basierten Endgerätenin Verbindung mit eduroam............................................................................................42
18 Eduroam - technische Hinweise...................................................................................................................................................................................43
19 Eduroam - Windows 7...................................................................................................................................................................................................44
20 Eduroam - Windows 8...................................................................................................................................................................................................54
21 Eduroam einrichten unter Windows 8.........................................................................................................................................................................55
21.1 Lösung bei Verbindungsproblemen..............................................................................................................................................................64
22 Eduroam - Windows XP................................................................................................................................................................................................66
23 Eduroam mit Android Geraeten...................................................................................................................................................................................73
24 Eduroam mit Windows-Notebooks und WLAN Intel Chipsatz...................................................................................................................................74
25 Eduroam unter MAC OS.X 10.6 (Konfiguration)..........................................................................................................................................................79
26 Eingeschränkter Internetzugang in Gefängnissen.....................................................................................................................................................80
27 Email-Adresse im Wiki bestätigen...............................................................................................................................................................................81
28 Empfehlung zur IT-Ausstattung für Studierende........................................................................................................................................................82
29 Fehlermeldungen und Warnungen des VPN-Clients..................................................................................................................................................83
30 Fehlernummern bei DFÜ-Verbindungsproblemen......................................................................................................................................................91
31 Fernuni-Identity-Management (FIM).............................................................................................................................................................................92
32 FIM-Projekt - aktueller Stand........................................................................................................................................................................................93
32.1 Aktuelle Meldungen zum Stand des Projektes Fernuni-Identity-Management (FIM)...................................................................................93
33 Firefox-Masterpasswort................................................................................................................................................................................................95
34 FU-CAMPUS - Vouchers................................................................................................................................................................................................96
34.1 Allgemeines zu Vouchers.............................................................................................................................................................................96
34.2 Benutzung eines Vouchers...........................................................................................................................................................................96
34.3 Ergänzende Informationen zu Vouchers......................................................................................................................................................97
i
Table of Contents
34 FU-CAMPUS - Vouchers
34.4 Ausgabe von Vouchers................................................................................................................................................................................97
35 FUNet nicht erreichbar..................................................................................................................................................................................................98
36 FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 und 10.9..............................................................................................................................99
36.1 Speichern des Passworts...........................................................................................................................................................................101
36.2 Authentifizierungsprobleme........................................................................................................................................................................102
37 Generalpasswort - Kennwort (Unterschied)..............................................................................................................................................................103
38 Gruppenpasswort wiederherstellen...........................................................................................................................................................................104
39 Hinweis zur Windows-Systemwiederherstellung.....................................................................................................................................................105
40 ICS (Internet Connection Sharing) und VPN-Probleme unter Windows XP...........................................................................................................106
41 Installation des VPN-Clients unter Kubuntu Linux 7.04 (feisty)..............................................................................................................................107
42 Installation des VPN-Clients unter Mac OS 10.4 (Tiger)...........................................................................................................................................109
43 Kennwort vergessen...................................................................................................................................................................................................111
44 Kennwort-Regeln.........................................................................................................................................................................................................112
45 Kündigung des Accounts bei dfn@home.................................................................................................................................................................113
46 Linux: VPN Client und Profildateien..........................................................................................................................................................................114
46.1 Software.....................................................................................................................................................................................................114
46.2 vpnc............................................................................................................................................................................................................114
46.3 openconnect...............................................................................................................................................................................................115
46.4 Fehlerbehebung.........................................................................................................................................................................................116
47 MacOS: Update des Cisco VPN-Clients.....................................................................................................................................................................117
48 Newsletter-Passwort für Beschäftigte der Fernuni..................................................................................................................................................118
49 Performance-Probleme beim Zugriff auf Server-Laufwerke via VPN......................................................................................................................119
50 Portsperrungen............................................................................................................................................................................................................120
50.1 Port Sperrung im Internet...........................................................................................................................................................................120
51 STZ................................................................................................................................................................................................................................121
52 Probleme mit anyconnect...........................................................................................................................................................................................122
52.1 Inhaltsverzeichnis.......................................................................................................................................................................................122
53 Profile fehlen................................................................................................................................................................................................................124
54 Profile importieren.......................................................................................................................................................................................................125
55 Profilgruppen und ihre Bedeutung............................................................................................................................................................................126
56 Roaming mit Fernuni-Account...................................................................................................................................................................................127
57 Routerprobleme analysieren......................................................................................................................................................................................141
58 Routerprobleme mit VPN............................................................................................................................................................................................142
59 Sinn und Zweck des Fernuni-Accounts....................................................................................................................................................................143
60 UB-Datenbanken: hier WISO-NET und Absatzwirtschaft.........................................................................................................................................144
61 UB-Datenbanken: hier WISO-NET und BGH-Edition................................................................................................................................................145
62 Windows 7....................................................................................................................................................................................................................146
63 VPN unter Android.......................................................................................................................................................................................................147
64 VPN unter Ubuntu........................................................................................................................................................................................................149
64.1 Ubuntu 10.10..............................................................................................................................................................................................149
64.2 Ubuntu 12.04..............................................................................................................................................................................................149
64.3 Ubuntu 14.04..............................................................................................................................................................................................150
65 VPN-Client: Fehlermeldungen und Lösungen..........................................................................................................................................................152
65.1 Inhaltsverzeichnis.......................................................................................................................................................................................152
65.2 412: The remote peer is no longer responding...........................................................................................................................................152
65.3 414:Failed to establish a TCP connection..................................................................................................................................................152
65.4 442: Failed to enable virtual adapter..........................................................................................................................................................153
65.5 Alternative: anyconnect..............................................................................................................................................................................154
66 VPN-Clients mehrerer Anbieter..................................................................................................................................................................................155
ii
Table of Contents
67 VPN-Gateway nicht erreichbar...................................................................................................................................................................................156
68 VPN-Probleme - Cisco-Lösungen (FAQ) (englisch)..................................................................................................................................................157
69 WebVPN........................................................................................................................................................................................................................158
70 Xntp-Installation an der FernUni................................................................................................................................................................................159
70.1 Hinweise zur xntp-Installation an der FernUni............................................................................................................................................159
71 Zugang zum Netzwerk ?FU-Campus? der FernUniversität.....................................................................................................................................160
72 Zugang zum WLAN......................................................................................................................................................................................................162
73 Volltexten der Bibliothek.............................................................................................................................................................................................163
74 Zugriff auf lokales Netz bei bestehender VPN-Verbindung.....................................................................................................................................164
75 Zugriff auf UB-Datenbanken: hier WISO-NET und Absatzwirtschaft......................................................................................................................165
iii
1 Account-Systematik
1.1 Folgende Benutzernamen werden an der Fernuniversität für Studierende verwendet:
• q1234567 ? (Die Ziffernfolge wird durch die Matrikelnummer ersetzt). Damit können Studierende z.B. folgende Anwendungen nutzen:
Virtueller Studienplatz, Moodle, Mails auf Studium.fernuni-hagen.de, online-Übungssystem, Prüfungssystem, News, usw.
1.1.1 Folgende Benutzernamen werden an der Fernuniversität für Mitarbeitende verwendet:
• Namensaccount - Beschäftigte erhalten einen Namensaccount. Ein neuer Kollege namens Fritzchen Grübler bekäme also z.B. den
Namensaccount gruebler.
• Funktionsaccounts - Funktionsaccounts werden durch ein vorangestelltes f_ gekennzeichnet. Der Name des Accounts kann von dem
Antragsteller selbst vorgeschlagen werden. Zum Beispiel könnte das Lehrgebiet des Professor Grübler den Funktionsaccount f_lggruebler
erhalten.
• Gastaccounts - Gäste der Fernuni erhalten einen temporären Account, der durch ein vorangestelltes t_ gekennzeichnet ist. Der
nachfolgende Name des Accounts bildet sich aus dem Nachnamen des Gastes, sowie eventuell noch zusätzlich aus den ersten Buchstaben
des Vornamens. Der Gast Herr Grübler bekäme also zum Beispiel den Account t_gruebler.
Es ist zurzeit durchaus möglich, dass eine Person mehrere Benutzernamen besitzt.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].
1
2 Accounts nach Exmatrikulation
Der Benutzername der Studierenden wird standardmäßig 90 Tage nach der Exmatrikulation gelöscht!
Damit Ihre Studierenden-Daten nicht verloren gehen, sollten rechtzeitig folgende Dinge erledigt werden:
• Mails sichern und evtl. neue Mailadresse verteilen
• evtl. Homepage sichern
• evtl. Daten vom Publikumsrechner Baobab sichern
Der Benutzername wird komplett gelöscht und eine Rekonstruktion der Daten ist nicht mehr möglich!
In den 90 Tagen nach der Exmatrikulation können Sie noch auf alle Anwendungen aus Ihrem Studium im vollen Funktionsumfang zugreifen. Dazu
gehören zum Beispiel:
• der Virtuelle Studienplatz
• das online-Übungssystem
• Moodle
• Prüfungssystem
• Webregis
2
3 Bibliotheks-Account
Seit dem Wintersemester (WS) 2014/15 ist für neu immatrikulierte Fernstudierende der Zugriff auf das Bibliothekskonto mit dem Studierenden-Account
möglich. In allen anderen Fällen oder bei Problemen können Sie das Anmeldeformular für Fernstudierende ausfüllen, um die ALEPH-Zugangskennung
zu beantragen.
Bitte beachten Sie, dass der Helpdesk Ihnen dazu keine weitere Hilfestellung geben kann. Wenden Sie sich bei Problemen bitte an die genannten
Ansprechpartner in der Bibliothek.
3
4 Bibliotheksdienste
Die Bibliothek (UB) der Fernuniversität betreibt Ihren eigenen Webauftritt unter http://www.ub.fernuni-hagen.de. Bei Fragen zu diesem Angebot schauen
Sie bitte zunächst in der Support-Datenbank der UB nach unter http://www.ub.fernuni-hagen.de/support/supportdb.html.
4
5 Cisco IPSEC VPN Client - Installation
Windows XP, Vista, 7 (32-bit)
Nach dem Entpacken der selbstextrahierenden Archiv-Datei wird der Client durch Aufruf der vpnclient_setup-Anwendung installiert. Nach der
Installation des clients steht dieser im Verzeichnis c:\\programme\Cisco Systems\VPN Client zur Verfügung. Dort gibt es auch das Unterverzeichnis
Profiles. Weiter unten auf dieser Seite finden Sie unter Arbeiten mit dem VPN-Client eine Tabelle mit vorkonfigurierten Profilen. Bitte speichern Sie die
benötigte(n) Profile-Datei(en) (*.pcf) in ein Verzeichnis Ihrer Wahl durch Rechtsklicken auf die entsprechende Datei und anschließendes Herunterladen.
Dann kopieren Sie die Datei(en) in das Profile-Verzeichnis. Natürlich können Sie die Datei(en) auch direkt in das \Profile Verzeichnis herunter laden.
Windows Vista, 7 (64-bit)
Nach dem Entpacken der selbstextrahierenden Archiv-Datei wird der Client durch Aufruf der vpnclient_setup-Anwendung installiert. Nach der
Installation des clients steht dieser im Verzeichnis c:\\programme\Cisco Systems\VPN Client zur Verfügung. Dort gibt es auch das Unterverzeichnis
Profiles. Weiter unten auf dieser Seite finden Sie unter Arbeiten mit dem VPN-Client eine Tabelle mit vorkonfigurierten Profilen. Bitte speichern Sie die
benötigte(n) Profile-Datei(en) (*.pcf) in ein Verzeichnis Ihrer Wahl durch Rechtsklicken auf die entsprechende Datei und anschließendes Herunterladen.
Dann kopieren Sie die Datei(en) in das Profile-Verzeichnis. Natürlich können Sie die Datei(en) auch direkt in das \Profile Verzeichnis herunter laden.
Leider ist die Datei vpnclient_setup.pdf herstellerseitig nicht lesbar, bei Bedarf kann die Original-Dokumentation von cisco helfen.
Installation unter Windows
Führen Sie die herunter geladene Datei aus und entpacken Sie die Installationfiles in ein Verzeichnis:
Im ausgewählten Verzeichnis steht nun das Windows Installer-Paket als vpnclient_setup zur Verfügung, diese Anwendung führen Sie bitte aus.
5
Die Lizenzbedingungen müssen akzeptiert werden, anschließend wird das vorgeschlagene Installationsverzeichnis ausgewählt, dann wird der client
installiert. Die Installation der aktuellen Version 5.0.07.0290 wird bestätigt:
Arbeiten mit dem VPN-Client
Nach der Installation steht der Client noch ohne Profile (*.pcf-Connection Entries) im Startmenu zur Verfügung:
6
Nach dem Aufruf sieht das so aus:
Nun müssen Sie noch die gewünschte(n) Profildatei(en) herunter laden und in den client importieren. Die Unterschiede der einzelnen Profile finden Sie
in der folgenden Tabelle erläutert:
FU-VPN-BIB, FU-VPN-STUD
Bibliotheksrecherche mit Einzel-PC
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
FU-VPN-STUD-SPLIT
Standard-VPN-Zugang mit Einzel-PC
FU-VPN-STUD-SPLT-NAT
Standard-VPN-Zugang mit PC im Heimnetzwerk (mit Router)
Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT (nicht für Bibliotheksrecherche, s.u.) verwenden.
Der Zusatz SPLIT deutet jeweils darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung
von lokalen Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Einige Bibliotheksrecherchen auf Datenbankebene erfordern den Einsatz des sogenannten ICA-Clients, der von den Seiten der UB herunter
geladen werden kann. Bei der Verwendung des ICA-Clients kann nicht mit SPLIT-Tunneling gearbeitet werden, hier sollten Sie eines der
Profile FU-VPN-BIB bzw. FU-VPN-BIB-NAT verwenden.
Die heruntergeladene Profildatei wird in den client importiert:
7
Nach dem erfolgreichen Import sieht das so aus:
Die VPN-Verbindung wird im Anschluss durch Klicken auf die Schaltfläche Connect hergestellt. Die Authentifizierung erfolgt wie üblich über den
hochschulweiten Account und dem zugehörigen Passwort. Bei erfolgreicher Anmeldung erscheint in der Windows-Icon-Leiste der Bügel des gelben
Schlosses geschlossen, d.h. der VPN-Tunnel steht. Durch doppeltes Klicken der linken Maustaste kann das Client-Kontrollfenster geöffnet werden. Die
genaue Funktionalität und die Einstellmöglichkeiten sind in der Helpfunktion (Help VPN Client) ausführlich beschrieben. Beendet wird die Verbindung
über das Menü Connection Entries / Disconnect im Client-Fenster, oder durch Rechtsklick auf das Schloss und Auswahl von Disconnect. Komplett
beendet wird der Client durch Auswahl von Exit VPN Client über einen der oben beschrieben Wege.
Installation des Cisco IPSEC unter IOS
Das Cisco-VPN-Protokoll wird direkt von iOS (mindestens ab Version 3) unterstützt. Es ist demnach nicht nötig, eine App zu installieren.
Zur Konfiguration gehen Sie wie folgt vor:
Starten Sie das Programm ?Einstellungen? und wählen Sie dort nacheinander ?Allgemein?, ?Netzwerk?, ?VPN? und ?VPN hinzufügen?.
8
Abb. 1: Konfiguration der Authentifizierung
Am oberen Rand der Konfigurationsseite selektieren Sie ?IPSec?. Daraufhin füllen Sie das Formular darunter aus:
• Unter ?Beschreibung? geben Sie der zu erstellenden Verbindung einen Namen. (Das Feld fehlt im Screenshot, da dort eine bestehende
Verbindung bearbeitet wird.)
• Unter ?Server? geben Sie die IP-Adresse 132.176.101.101 ein.
• Unter ?Account? geben Sie Ihren FernUni-Loginnamen ein.
• Unter ?Kennwort? können Sie Ihr Kennwort speichern. Wenn Sie dies aus Sicherheitsgründen nicht tun, werden Sie bei jedem
Verbindungsaufbau nach Ihrem Passwort gefragt.
• Unter ?Gruppenname? und ?Shared Secret? geben Sie jeweils "FU-VPN-STUD-NAT" ein. (Tipp: Geben Sie den Text zunächst unter
?Gruppenname? ein und kontrollieren Sie, dass Ihnen kein Tippfehler unterlaufen ist. Dann können Sie die Eingabe markieren, kopieren und
im Feld ?Shared Secret? einfach einfügen.)
(Randnotiz: Neben der Eingabe der Daten direkt auf dem iPhone besteht auch die Möglichkeit, am Mac/PC mit dem kostenlosen Apple
iPhone-Konfigurationsprogramm ein Konfigurationsprofil zu erstellen und per E-Mail ans iPhone zu senden.)
Abb. 2: VPN aktivieren/deaktivieren
Nach der Einrichtung können Sie nicht nur im VPN-Untermenü des Einstellungen-Programms, sondern auch direkt auf der Startseite der Einstellungen
VPN jederzeit aktivieren oder wieder deaktivieren.
Wenn VPN aktiv ist, wird der Status auch außerhalb des Programms ?Einstellungen? in der Statusleiste am oberen Bildschirmrand angezeigt.
9
6 hier Ebsco
Das Problem:
Wählen Sie z.B. unter dem Menupunkt
Datenbanken/elektronische Angebote/Psychologie
bestimmte Journale aus und klicken anschließend auf den Such-Link (http://search.ebscohost.com/...) ist WebVPN nicht in der Lage, das Ergebnis
darzustellen, die Abfrage bleibt ?hängen?.
Die Ursache:
Das VPN-Gateway kann die gewünschte Seite leider nicht korrekt darstellen. Beim Versuch, die Seite darzustellen, tritt ein sogenannter "stack-overflow"
auf. Tabellen oder Grafiken auf der gewünschten Seite können deshalb vom Gateway nicht richtig aufgebaut werden. Dieses Problem ist bekannt und
wird vielleicht wird mit einem neuen Software-Release behoben. Von unserer Seite aus kann das Problem leider nicht behoben werden.
Workaround:
Es muss auf den Anyconnect-Client ausgewichen werden. Dabei bitte die Gruppe "FeU-Hagen-SSL-VPN" verwenden, damit beim Seitenaufruf eine
FUNet-Adresse übermittelt wird.
Hinweise zur Installation des Anyconnect-Clients finden Sie hier: Installation des VPN-Clients unter Windows
10
7 Definition der Begriffe rund um die Identität
Mit Einführung des FernUni-Identity-Managements werden neue (und alte) Begriffe verwendet, die folgende Bedeutung haben:
• Benutzername = der Name, mit dem Sie Zugriff auf alle unsere IT-Systeme erhalten (statt bisher Benutzerkennung)
• Kennwort = geheime Zeichen- und Ziffernfolge zum Schutz Ihres Benutzernamens (statt bisher Passwort). Die Regeln zur Bildung von
Kennwörtern finden Sie hier: Kennwort-Regeln
• Account = Zusammenfassung von Benutzername und Kennwort (wie bisher)
• Generalpasswort = 16 stellige zufällige Zeichen- und Ziffernfolge zum erstmaligen Einrichten Ihres Accounts. Das Generalpasswort wird aus
Sicherheitsgründen ausschließlich per Post verschickt (wie bisher)
• Zertifikat = identifiziert Sie, wenn Sie über einen Browser (z.B. Internet Explorer oder Firefox) auf eine "gesicherte" Webseite zugreifen. Das
ist immer dann der Fall, wenn die Adressezeile mit "https" beginnt (wie bisher)
• Profil / Benutzerprofil = Sammlung all Ihrer Identity-Merkmale (neu)
• FIM = Webseite zur Verwaltung Ihres Benutzerprofils: FIM (neu)
Die Einführung des FernUni-Identity-Managements geht schrittweise voran. Weitere Begriffe werden deswegen im Laufe der nächsten Zeit hier ergänzt.
11
8 DFN-Global Zertifikat
Unsere Webserver sind mit https durch ein DFN-Global Zertifikat gesichert. Dieses Zertifikat ist im Internet Explorer ab Version 7 und im Firefox ab
Version 3.5 bereits integriert. Wenn Sie eine ältere Version der oben genannten oder einen anderen Browser benutzen, so können Sie das Zertifikat
manuell in Ihren Browser importieren.
1. Klicken Sie dazu auf diesen Link
Dadurch gelangen Sie auf diese Seite:
2. Klicken Sie dort in der Rubrik CA-Zertifikate auf Wurzelzertifikat und bestätigen Sie eventuell auftauchende Meldungen.
3. Klicken Sie auf DFN-PCA Zertifikat und bestätigen Sie eventuell auftauchende Meldungen.
4. Klicken Sie auf FernUniversität in Hagen CA Zertifikat und bestätigen Sie eventuell auftauchende Meldungen.
12
Das DFN-Global Zertifikat ist nun in Ihrem Browser integriert.
13
9 DFN-Roaming - Was ist das?
DFNRoaming ermöglicht es den Nutzern von DFN Mitgliedseinrichtungen (DFN=Deutsches Forschungs-Netz), nicht nur an ihrer Heimatuniversität den
Zugang zum Internet zu bekommen, sondern auch an anderen DFN Einrichtungen. Für diesen Zugang ist keine gesonderte Berechtigung notwendig,
sondern es kann der Account der Heimatuniversität verwendet werden. Voraussetzung dafür ist, dass sowohl die eigene als auch die fremde
Einrichtung am DFNRoaming teilnehmen. Die Fernuniversität nimmt am DFNRoaming teil.
Aktuell wird DFNRoaming für den Zugang zum Internet über WLAN in der Fernuniversität angeboten.
14
10 DFN-Roaming Probleme an einigen Standorten
Wenn Sie Zugang zum WLAN einer von Ihnen besuchten Institution erhalten, sich aber dort nicht mit Ihrem fernuni-account anmelden können, schauen
Sie bitte hier nach: http://wiki.fernuni-hagen.de/helpdesk/index.php/Roaming_mit_Fernuni-Account
15
11 DFNRoaming
Mit DFN-Roaming können registrierte Nutzer einfach, kurzfristig und ohne zusätzliche Anmeldung über die universitären WLANs einen Zugang zum
Wissenschaftsnetz nicht nur in ihrer eigenen sondern auch bei anderen wissenschaftlichen Einrichtungen bekommen. Die Anmeldung in den Hagener
FU-Campus-WLANs mit einem gültigen Account sieht so aus:
Im [1] erhält der Rechner eine private IP-Adresse aus dem Bereich 172.16.128.0 . Für den Zugang zum Internet ist eine Authentifizierung erforderlich.
Wenn dies nicht über eine VPN-Client- oder WebVPN-Verbindung erfolgt, erscheint automatisch die DFNRoaming-Anmeldeseite.
Ist die Verbindung zum örtlichen WLAN erfolgt und funktioniert die Anmeldung am DFN-Roaming nicht, so kann es daran liegen, dass die
Authentifizierungsdaten nicht korrekt an unseren Radius-Server (Authentifizierungsserver) via DFN übermittelt werden. Der
802.1X-Authentifizierungstyp muss auf EAP-TTLS eingestellt sein. Sollte Ihr WLAN-client das nicht unterstützen, so können Sie z.B. den
secureW2-client verwenden. Den client erhalten Sie unter http://www.securew2.com/.
16
12 DNS - Domain Name System
Das DNS ? Domain Name System ? ist die verteilte Datenbank aller im Internet registrierter Rechner. Das ZMI betreibt die zentralen DNS-Server für die
Domänen FernUni-Hagen.de und 176.132.in-addr.arpa, sowie für die Domänen mit diversen Aliasnamen der FernUni und etlicher An-Institute und
Projekte.
12.1 Einträge an der FernUni
Wenn Sie einen neuen Rechner in das lokale Netz eingebunden haben und diesen nicht nur über die Internet-Adresse, sondern auch über einen
Internet-Namen ansprechen möchten, dann benötigen Sie einen Eintrag im DNS (Domain Name System). Auch wenn von diesem Rechner externe
Server angesprochen werden sollen (z.B. anonymous-ftp oder Mail-Server), so ist ein solcher Eintrag häufig erforderlich, weil viele Server nur
eingetragene Rechner bedienen. Außerdem ist bei POP- und IMAP-Clients ein DNS-Eintrag (insbesondere auch ein PTR-Record) erforderlich. Um
einen solchen Eintrag vornehmen zu können, benötigen wir von Ihnen die folgenden Angaben:
• Internet-Adresse (z.B. 132.176.183.17)
• Gewünschter Internet-Name (z.B. mailhost)
Da der Internet-Name (IP-Name) und die Internet-Adresse (IP-Adresse) FernUni-weit eindeutig sein muß, kann es vorkommen, daß der von Ihnen
gewünschte Eintrag schon vergeben ist. Das können Sie leicht feststellen, indem Sie (z.B. unter UNIX und MS-Windows unter Zubehör Eingabeaufforderung) mit nslookup IP-Name und IP-Adresse überprüfen:
IP-Namen überprüfen
nslookup xyz
Sie erhalten die IP-Adresse, wenn der Name schon vergeben ist,
und Sie müssen sich einen anderen Namen aussuchen.
Erhalten Sie jedoch die Antwort
xyz wurde von odin.buerokommunikation.fernuni-hagen.de nicht
gefunden: Non-existent Domain
so ist der Name noch frei.
IP-Adresse überprüfen
nslookup 132.176.xxx.yyy
Auch erhalten Sie entweder den Namen des Rechners, wenn die
IP-Adresse schon vergeben ist, oder die Meldung
132.176.xxx.yyy wurde von odin.buerokommunikation.fernuni-hagen.de
nicht gefunden: Non-existent Domain
In dem Fall ist die IP-Adrsse noch frei.
Zur Veranlassung der Eintragung senden Sie eine Mail mit den obigen Angaben an den Hostmaster. Über die vorgenommene Eintragung werden Sie
per Mail informiert.
12.2 DNS Server
Die Daten des DNS werden über Domain Name Server verfügbar gemacht. Es gibt primäre Server, auf denen die Daten für eine oder mehrere
Domänen verwaltet werden und sekundäre Server, die die Daten von primären Servern beziehen (Zonentransfer) und zusätzlich vorhalten. Zu diesen
Domänen werden authoritative Antworten gegeben. Alle Anfragen zu nicht lokal vorhandenen Daten werden rekursiv von anderen Servern - beginnend
bei den ROOT-Nameservern - beschafft und an die anfragenden Resolver weitergeleitet. Diese so beschafften nicht authoritativen Antworten werden in
einem lokalen Zwischenspeicher (Cache) abgelegt und später bei Bedarf aus diesem bereitgestellt. Aus Sicherheitgründen sollten die authoritativen und
rekursiven Nameserver getrennt werden. An der FernUni werden deshalb derzeit fünf Server betrieben. Der primäre Nameserver ist aus dem Internet
nicht erreichbar (hidden primary). Von diesem beziehen die sekundären Nameserver die Zonendaten und werden im DNS propagiert. Diese sind aus
dem Internet erreichbar und geben nur authoritative Antworten zu Domänen der FernUni. Sie haben keinen Cache:
primärer Server
132.176.129.202
frigg.buerokommunikation.fernuni-hagen.de
sekundärer Server
132.176.129.3
fenris.buerokommunikation.fernuni-hagen.de
sekundärer Server
132.176.129.15
donar.buerokommunikation.fernuni-hagen.de
In den Resolvern auf Rechnern im FuNet werden die folgenden rekursiven Nameserver konfiguriert, die Antworten zu allen Objekten im Internet geben,
aber nur aus dem FuNet erreichbar sind:
132.176.129.201
132.176.129.202
132.176.129.203
odin.buerokommunikation.fernuni-hagen.de
frigg.buerokommunikation.fernuni-hagen.de
quaser.buerokommunikation.fernuni-hagen.de
12.3 Client Konfiguration
Die Konfiguration erfolgt, sofern die Daten nicht über DHCP bezogen werden, bei:
12.3.1 UNIX
cat /etc/resolv.conf
domain fernuni-hagen.de
search fernuni-hagen.de
options timeout:1 attempts:1 rotate
nameserver
132.176.129.201
nameserver
132.176.129.202
nameserver
132.176.129.203
17
12.3.2 Solaris 11
Zunächst muss die Datei /etc/resolv.conf angelegt werden. Anschließend ist der Import in die Service Management Facility möglich.
#
#
#
#
#
/usr/sbin/nscfg import -f dns/client
cp /etc/nsswitch.dns /etc/nsswitch.conf
/usr/sbin/nscfg import -f name-service/switch
svcadm enable dns/client
svcadm refresh name-service/switch
12.3.3 Windows XP
Start -> Einstellungen
-> Systemsteuerung (bei Windows XP auf ?klassische Ansicht? umstellen)
Doppelklick auf Netzverkverbindungen
-> rechte Maustaste LAN-Verbindungen
-> Eigenschaften
in der Liste der Protokolle nach unten scrollen:
Internetprotokoll (TCP/IP) anklicken
-> Eigenschaften
-> Folgende DNS-Serveradressen verwenden
Jetzt können Sie hier die gewünschte DNS-Server eintragen
12.3.4 Windows 7
Start -> Systemsteuerung
-> Netzwerk- und Freigabecenter
-> LAN-Verbindungen
-> Eigenschaften
in der Liste der Protokolle nach unten scrollen:
Internetprotokoll Version 4(TCP/IPv4) anklicken
-> Eigenschaften
-> Folgende DNS-Serveradressen verwenden
Jetzt können Sie hier die gewünschte DNS-Server eintragen
18
13 Eduroam
13.1 Die FernUniversität bietet "eduroam" an.
Als Studierende oder Mitarbeitende der FernUniversität haben Sie mit Ihrer Benutzerkennung jetzt Zugang zum drahtlosen Netzwerk an allen
Universitäten. Ermöglicht wird dies durch die gegenseitige Akzeptanz der Benutzerzugänge an Universitäten und wissenschaftlichen Einrichtungen
untereinander, und das sogar weltweit.
eduroam heißt der Schlüsselbegriff und steht für educational roaming. Die FernUniversität stellt als Teilnehmer des eduroam-Projektes diese
Funktionalität aber auch in umgekehrter Richtung bereit: So können etwa Studierende oder Angehörige anderer Universitäten das Drahtlosnetzwerk auf
dem Campus und in den Regionalzentren mitbenutzen. Sie brauchen dazu lediglich die Benutzerkennung und das Kennwort ihrer Heimat-Einrichtung.
Dies könnte auch für Sie interessant werden, wenn Sie sich etwa mit Ihrem Notebook oder Mobiltelefon an einer anderen Hochschule befinden und über
das dortige WLAN eine Verbindung zum Internet benötigen. Achten Sie hierzu auf ein WLAN mit dem Namen eduroam. In Reichweite dieses Netzes
können Sie sich dann mit Ihrer FernUni-Kennung anmelden und so den Zugang nutzen. Eine Gastkennung der dortigen Hochschule ist dann nicht mehr
erforderlich.
13.2 Einrichtung
Benötigte Software
technische Beschreibung
technische Hinweise
Linux
Windows 7
Windows 8
mit Adroid Geräten
mit Windows-Notebookds und WLAN Intel Chipsatz
unter MAC OS.X 10.6 (Konfiguration)
unter MAC OS.X 10.7 und iOS
19
14 Eduroam - benötigte Software
Für ältere Microsoft basierte Endgeräte älter als Windows 8 (Windows XP, Windows Vista, Windows 7) ist für die eduroam-Anmeldung mit
FernUni-Kennung eine Zusatzsoftware erforderlich:
== SecureW2 TTLS-Client ==
Diese ist im Netz unter securew2_eap_suite_113.zip herunterzuladen und wie folgt zu installieren: (Administratorberechtigung erforderlich!)
Hier kann getrost "Deutsch" ausgewählt werden. Dann auf "Weiter" klicken.
20
Nach Annehmen des Lizenzabkommens wähle man wie oben gezeigt die Komponente "TTLS 4.1.0" aus. Anschließend "Installieren" klicken.
Der Installationsvorgang wird gestartet. Anschließend muss wahrscheinlich Ihr System neu gestartet werden:
21
22
15 Eduroam - iOS 9 und OS X 10.11
15.1 Konfigurationsprofil herunterladen
Hier finden Sie die Konfigurationsdatei für das WLAN Netzwerk eduroam an der FernUniversität in Hagen. Sie können dieses Profil ab Mac OS X 10.7
und iOS 8 nutzen.
Konfigurationsdatei downloaden
15.2 Anleitung iOS 9
Am Beispiel eines iPhones mit iOS 9 wird die Installation dargestellt. Die Installation unterscheidet sich nicht zum iPad. Die Installation des Profils unter
OS X finden Sie weiter unten auf dieser Seite.
•
Im ersten Schritt öffnet sich das gerade heruntergeladene Profil. Dieses können Sie nun oben rechts "Installieren".
23
•
Auf der nächsten Seite müssen Sie Ihren Entsperrcode eingeben, falls Sie einen verwenden. Sollten Sie keinen Code verwenden, so kommen
Sie automatisch auf die nächste Seite.
•
Bei Fragen oder Problemen können Sie sich gerne an den Helpdesk wenden. Sollte soweit alles funktionieren, klicken Sie oben rechts auf
"Weiter".
24
•
Sie werden drauf hingewiesen, das ein Zertifikat der Telekom installiert wird, welches Ihnen erst möglich macht, das WLAN Netzwerk nutzen
zu können.
•
Sie werden nun ein letztes mal gefragt, ob das Profil wirklich installiert werden soll. Sie können installierte Zertifikate der FernUniversität in
Hagen natürlich jederzeit ohne Einschränkungen wieder von Ihrem Gerät löschen.
25
•
Danach geben Sie Ihren Benutzernamen gefolgt von "@fernuni-hagen.de" ein (z.B. [email protected]). Klicken Sie auf "Weiter".
•
Geben Sie nun ihr Password (welches Sie für die Mailbox im Studium oder die LVU nutzen) ein. Klicke Sie auf "Weiter".
26
•
Nach der erfolgreichen Eingabe Ihrer Benutzerdaten wird Ihnen das Profil nochmal angezeigt. Klicken Sie oben rechts auf "Fertig" um den
Vorgang abzuschließen.
•
Unter Profile in den Einstellungen können Sie sich das Profil Namens "WLAN eduroam" erneut anschauen.
27
•
Wie bei Schritt 5 schon bemerkt, können Sie das Profil ohne Einschränkungen löschen. Bitte beachten Sie jedoch, das dann eine Verbindung
zum eduroam-Netzwerk nicht mehr möglich ist.
Wenn Sie nun in Reichweite des WLAN-Netzes "eduroam" sind, werden Sie automatisch verbunden.
HINWEIS: Sollten Sie Vorher das WLAN "FU-Campus" mit der Roamingfunktion genutzt haben, entfernen Sie dieses bitte aus den bevorzugten
Netzwerken um ein automatisches Verbinden zu verhindern.
15.3 Anleitung OS X 10.11
28
•
Im ersten Schritt öffnet sich das gerade heruntergeladene Profil. Klicken Sie für die Installation auf "Fortfahren".
29
•
Da unsere Profile nicht signiert sind, werden Sie gewarnt das der Herausgeber des Profils (die FernUni-Hagen) unbekannt ist. Jedoch können
Sie ohne Bedenken auf "Fortfahren" klicken, da unsere Profile von unserem MDM-Team sorgfältig vor der Veröffentlichung überprüft wurden.
30
•
Geben Sie nun Ihren Benutzernamen und das Kennwort ein.
31
•
Sie werden nun ein letztes mal gefragt, ob das Profil wirklich installiert werden soll. Sie können installierte Zertifikate der FernUniversität in
Hagen natürlich jederzeit ohne Einschränkungen wieder von Ihrem Gerät löschen.
32
•
Damit das Profil installiert werden kann, müssen Sie diesen Vorgang mit Ihrem OS X Anmeldedaten bestätigen.
33
•
Nach einer erfolgreichen Installation sehen Sie das Profil in den Einstellungen. Die Verbindung zu eduroam-Netzwerk sollte bei einem aktiven
WLAN-Adapter automatisch hergestellt werden.
34
16 Eduroam - Linux
Alle modernen Linux-Systeme sind von Hause aus in der Lage, sich mit eduroam zu verbinden. Hardware-Voraussetzung ist ein Endgerät mit
Drahtlos-Netzwerkadapter (WLAN). Software-Voraussetzung ist das Programm WPA-Supplicant, das in fast allen Distributionen bereits vorhanden ist.
Empfohlen wird eine graphische Benutzeroberfläche wie etwa GNOME, sowie das zugehörige Konfigurationstool "NetworkManager". Auch dies kann
heute fast auf allen Systemen als vorhanden vorausgesetzt werden. Es kann allerdings bei der Vielzahl der Systeme und Distributionen nicht auf alle
Varanten eingegangen werden. Die hier gezeigte Anleitung soll jedoch ein Leitfaden sein. Andere Linux-Systeme verhalten sich ähnlich.
Beispiel Fedora (mit GNOME-Desktop)
Im Gnome-Control-Center ist der Punkt "Netzwerk" auszuwählen:
Unter "Drahtlos" wird jetzt eine Liste angezeigt, die die bereits konfigurierten sowie die momentan in Reichweite befindlichen Drahtlosnetzwerke mit
Signalstärke darstellt. Hier sollte bereits auch das "eduroam"-Netzwerk erscheinen:
35
Klicken Sie auf den Eintrag "eduroam". Da hierfür derzeit noch kein Profil hinterlegt ist, meldet sich jetzt der Network-Manager mit diesem
Konfigurationsfenster:
36
Tragen Sie jetzt die notwendigen Einstellungsparameter wie hier gezeigt ein:
Authentifizierung: Tunneled TLS Anonyme Identität: [email protected] CA-Zertifikat: Deutsche Telekom Root CA 2
Hinweis: Unter Ubuntu findet sich das Zertifikat direkt unter /etc/ssl/certs/...
(Zertifikat evtl. vorher von Deutsche Telekom herunterladen)
Innere Authentifizierung: PAP
Bei Benutzername und Kennwort tragen Sie bitte Ihre Login-Daten ein. Oder lassen Sie die Felder offen und aktivieren die Passwordabfrage. Dann
werden Sie bei jedem Zugriff danach gefragt.
Der Network-Manager sollte jetzt folgendes Bild zeigen:
37
Der Haken bei "eduroam" gibt an, dass sich das System jetzt mit dem "eduroam"-Netzwerk verbunden hat.
Der nach rechts zeigende Pfeil kann angeklickt werden, um nachträglich Konfigurationen am Profil zu ändern:
38
Klick auf "Einstellungen ..." ergibt folgendes Bild:
39
Unter "Sicherheit des Funknetzwerks" werden nochmal die zuvor eingestellten Parameter sichtbar. Die IPv4-Einstellungen sollte man auf "Automatisch
(DHCP)" belassen.
40
17 Eduroam - technische Beschreibung
eduroam Allgemeine Hinweise Installation
17.1 1. Schritt: EAP-Tunnelaufbau
Als erstes ist es einmal wichtig, einen verschlüsselten Tunnel über das Netz von Ihrem Client-Gerät bis hier zu unserem Authentifizierungs-Server
(RADIUS) aufzubauen, so dass die von Ihnen angegebene persönliche Benutzerkennung und insbesondere auch Ihr Kennwort niemand auf der Strecke
mitlesen kann. Wir sprechen dabei von "EAP" (Extensible Authentication Protocol, hat nichts mit VPN zu tun)
Der EAP Tunnel kann auf zwei Arten aufgebaut werden:
PEAP (protected-EAP), oder
TTLS (tunneled transport-layer security).
Unser Server unterstützt derzeit leider nur TTLS. Sie müssten also an Ihrem Client-Endgerät "TTLS" als Tunnel bzw. Legitimierungs-Art einstellen.
17.1.1 Anonyme Anmeldung außerhalb des Tunnels
Damit der Tunnel auch zu unserem Server (und nicht irgendwo anders hin) aufgebaut wird, müssten Sie sich bereits außerhalb des Tunnels
authentifizieren. Geben Sie hier bitte die "äußere" (anonyme) Identität an:
[email protected]
Beachten Sie aber bitte, dass dies jetzt keine Mailadresse ist.
17.1.2 Zertifikat
Damit Sie schließlich auch wissen, wem Sie ihre echten Login-Daten anvertrauen, muss der Server sich Ihnen gegenüber ausweisen. Das macht er mit
seinem Zertifikat, das er Ihnen vorlegt. Ihr Client muss dieses Zertifikat nun automatisch akzeptieren bzw. als vertrauenswürdig anerkennen.
Sie können jetzt in Ihrem Client:
- die Zertifikatsüberprüfung deaktivieren (nicht empfohlen, aber funktioniert ! )
- den Aussteller/Herausgeber des Serverzertifikats installieren und als ?vertrauenswürdig? einstufen. Wählen Sie hierzu bitte den Zertifikats-Aussteller
Deutsche Telekom Root CA 2.
Hinweis: Das Zertifikat unseres Radius-Servers wurde ausgestellt von unserer eigenen CA: FernUniversitaet in Hagen Global CA , dieses wurde au
DFN-Verein Global - G01, das seinerseits von Deutsche Telekom Root CA 2 ausgestellt wurde. Die gesamte Kette muss als "vertrauenswürdig" vom
17.2 2. Schritt: Login mit UserID und Kennwort
Jetzt geht es um die eigentliche Authentifizierung innerhalb des Tunnels. Auch hier gibt es mehrere Möglichkeiten:
? PAP (Password Authentication Protocol)
? CHAP (Challenge Handshake Authentication Protocol)
? MsCHAP v1 und v2 (von Microsoft bevorzugt verwendet)
? LEAP (proprietäre Methode von CISCO)
? GTK (Generic Token Card) verwendet Smartcards oder andere Hardware
? usw.
Microsoft-Windows Clients verwenden gerne das MsCHAPv2, dass unser Server jedoch leider (noch) nicht unterstützt. Wählen Sie daher bitte PAP als
Authentifizierungsverfahren. Hierbei werden zwar die Benutzerkennung und das Kennwort im Klartext an den Server übermittelt, aber da die gesamte
Übertragung bereits im EAP-Tunnel abläuft, sind Ihre Daten auf dem Weg dennoch geschützt.
Innerhalb des PAP können Sie sich jetzt mit ihrer UserID und ihrem Kennwort anmelden. Die Erweiterung "@fernuni-hagen.de" kann dabei an dieser
Stelle entfallen.
17.3 Zusammenfassung der notwendigen Einstellungsparameter:
? Tunnelverfahren: EAP-TTLS
41
? äußere (anonyme) Identität angeben: [email protected]
? Zertifikat akzeptieren: Aussteller=Deutsche Telekom Root CA 2
? Authentifizierungsmethode: PAP
? Authentifizierung: mit Ihrer UserID und Ihrem Kennwort.
17.4 Besonderheit bei Microsoft-basierten Endgerätenin Verbindung mit eduroam
Wie bereits beschrieben, unterstützt unser Authentifizierungsserver derzeit nur das EAP-TTLS Tunnelverfahren in Verbindung mit der
PAP-Authentifizierungsmethode. Unter Microsoft wird insbesondere bei den Betriebssystemen Windows Vista und Windows 7 jedoch kein TTLS
unterstützt. Allein mit system-eigenen Mitteln ist der Zugang zum eduroam daher nicht möglich. Es ist eine Zusatz-Software erforderlich, die den Aufbau
des TTLS-Tunnels und das PAP-Loginverfahren auf Microsoft-Systemen unterstützt: der EAP-TTLS-Client.
Als Beispiel sei hier SecureW2 genannt. Diese Software ist zwar weit verbreitet, jedoch lizenzpflichtig und kann unter http://www.securew2.com
bezogen werden. Wir dürfen den Client leider nicht selber zum Download anbieten.
Beim neuen Microsoft-Windows8 sieht es anders aus: Dieses System unterstützt TTLS und PAP bereits mit Bordmitteln. Die Installation einer
Zusatz-Software ist hier nicht mehr erforderlich.
42
18 Eduroam - technische Hinweise
Für andere als die beschriebenen Endgeräte und Betriebssysteme sind die folgenden Einstellungsparameter wichtig:
WLAN-SSID: eduroam
Verschlüsselung: WPA oder WPA2 Enterprise
Tunnelverfahren(Legitimierung): EAP-TTLS (getunneltes TLS)
Äußere Identität(anonyme Identität): [email protected]
Authentifizierung(Login-Methode): PAP
Benutzerkennung: (Hier geben Sie bitte Ihre Fernuni-Kennung mit Ihrem Benutzer-Kennwort an.)
Achtung: Für Microsoft Windows ist in einigen Fällen Zusatz-Software erforderlich! Mehr dazu unter Benötigte Software
43
19 Eduroam - Windows 7
(Hinweis vorab: Die früher verwendete EAP-TTLS - Methode wird derzeit unter Windows nicht mehr empfohlen, da die Verwendung der benötigten
Zusatz-Software "SecureW2-Client" rechtlich nicht geklärt ist.)
Klicken Sie auf das Drahtlosnetzwerk-Symbol unten rechts in der Statusleiste.
Schon beim Bewegen des Mauszeigers auf das Symbol werden wie hier im Bild gezeigt bereits Hinweise eingeblendet:
Beim Anklicken öffnet sich die Liste der konfigurierten und verfügbaren Drahtlosnetzwerke. Rechts daneben in grün ist jeweils die Signalstärke
dargestellt:
Klicken Sie auf "Netzwerk- und Freigabecenter öffnen", um Einstellungen darin vorzunehmen. Das folgende Bild sieht etwa so aus:
44
Links in der Menüleiste können Sie dann die Drahtlosnetzwerke verwalten:
45
Hier gilt es, ein neues Netzwerkprofil hinzuzufügen: (auf "Hinzufügen" klicken)
Nennen Sie das neue Netzwerkprofil "eduroam" und stellen die Eigenschaften wie folgt ein:
46
(Hinweis: Je nach örtlicher Drahtlos-Netzwerkausstattung kann auch Sicherheitstyp "WPA-Enterprise" und Verschlüsselungstyp "TKIP" richtig sein.)
Bei Klick auf "Weiter" erscheint dann die Bestätigung:
47
Das Netzwerk "eduroam" erscheint jetzt auch in der Liste "Drahtlosnetzwerke verwalten". Sie können es jetzt konfigurieren. (Doppelklick!) Das folgende
Fenster erscheint:
48
49
Im Reiter "Sicherheit" (rechtes Bild) stellen Sie den Sicherheitstyp auf "WPA2 Enterprise" ein. Als Verschlüsselungstyp wählen Sie "AES". Je nach
Einstellung des WLANs kann auch "WPA Enterprise" mit "TKIP" richtig sein. Das ist jedoch hier nicht vorhersagbar. Probieren Sie ggf. beide
Möglichkeiten aus. Die übrigen Einstellungen übernehmen Sie bitte wie abgebildet:
Die Authentifizierungsmethode ist "Microsoft: Geschütztes EAP (PEAP)"
Darunter setzten Sie den Haken bei "Für diese Verbindung eigene Anmeldeinformationen für jede Anmeldung speichern"
Unter "Einstellungen" rechts neben der Authentifizierungsmethode stellen Sie das PEAP wie im folgenden Bild gezeigt ein:
50
Aktivieren Sie den Haken bei "Serverzertifikat überprüfen".
Wählen Sie als vertrauenswürdige Stammzertifizierungsstelle "Deutsche Telekom Root CA 2" (ist hier im Beispiel aus irgendeinem Grund zweimal
vorhanden)
Die Authentifizierungsmethode stellen Sie auf "Gesichertes Kennwort (EAP-MSCHAP-v2)" und konfigurieren dieses:
Entfernen Sie bitte hier den Haken und klicken "OK".
Setzen Sie den Haken bei "Identitätsschutz aktivieren" und geben diesen an mit anonymous
Klicken Sie auf "OK".
Im jetzt noch offenen Fenster "Eigenschaften für Drahtlosnetzwerk eduroam" klicken SIe bitte weiter unten auf "Erweiterte Einstellungen"
51
Aktivieren Sie den Haken "Authentifizierungsmodus angeben" und geben diesen an mit "Benutzerauthentifizierung". Klicken Sie auf "OK".
Schließen Sie alle noch offenen Fenster mit "OK".
Mittlerweile sollte unten rechts beireits ein entsprechender Hinweis erschienen sein:
Sie können also jetzt das Netzwerk eduroam verwenden. Klicken Sie auf den Hinweis. Beim ersten Versuch erscheint das Anmeldefenster:
52
Geben Sie hier Ihre Anmelde-Informationen ein. Der Benutzername ist Ihr Benutzername, wie hier gezeigt gefolgt von der Erweiterung
@fernuni-hagen.de. Und - natürlich - Ihr Kennwort.
Klicken Sie auf "OK".
Bei erfolgreicher Verbindung wird Ihnen ein entsprechender Hinweis angezeigt und Sie sind mit eduroam verbunden.
53
20 Eduroam - Windows 8
54
21 Eduroam einrichten unter Windows 8
Klicken sie mit der rechten Maustaste in den freien Bereich außerhalb der Kacheln. Unten recht erscheint dann "Alle Apps":
Auf dieses Symbol einen Linksklick machen und dann unter Systemsteuerung auf Netzwerk- und Freigabecenter gehen.
Dort dann auf Neue Verbindung oder neues Netzwerk einrichten gehen und anschließend Manuell mit einem Funknetzwerk verbinden
auswählen.
55
Dort geben Sie folgendes ein:
Netzwerkname: eduroam
Achtung: Die Einstellungen zum Sicherheitstyp und Verschlüsselungstyp können hier leider nicht angegeben werden. Diese hängen von dem Netzwerk
bzw. Accesspoint ab, in dessen Reichweite Sie sich gerade befinden. Die folgenden Einstellungen sind sinnvoll:
Sicherheitstyp: WPA-Enterprise
Verschlüsselungtyp: TKIP
oder
Sicherheitstyp: WPA2-Enterprise
Verschlüsselungstyp: AES
56
Im Zweifelsfall hilft hier nur ausprobieren, oder beim lokalen Support vor Ort die Einstellungen erfragen. Oft gibt das Netzwerk auch eine bestimmte
Einstellung vor. Damit ist etwa unter Windows 8.1 die richtige Einstellung bereits automatisch voreingestellt.
Nun mit Weiter bestätigen und auf Verbindungseinstellungen ändern gehen:
57
Dort wird folgendes ausgewählt:
Methode zur Netzwerkauthentifizierung: Microsoft: EAP-TTLS
Und bei Für diese Verbindung? entfernen.
58
Nun auf Einstellungen:
59
Unter Einstellungen setzen sie einen Haken bei Identitätsschutz aktivieren und tragen [email protected] ein.
Unter ?Vertauenswürdige Stammzertifizierungsstellen:? bei ?Deutsche Telekom Root CA 2? Haken setzen
Radiobutton bei ?EAP-fremde?? und Unverschlüsseltes Kennwort (PAP) auswählen
60
61
Nun gehen sie auf Erweiterte Einstellungen:
62
Dort Haken bei ?Authentifizierungsmodus angeben:? setzen, ?Benutzer- oder Computer?? auswählen und mit OK bestätigen.
63
Nun Das WiFi-Icon anklicken, eduroam auswählen, den Haken bei Automatisch verbinden entfernen und auf Verbinden gehen.
Jetzt können sie sich mit dem fernuni-account anmelden und mit OK bestätigen.
Achtung: Die Form des Anmeldenamens des FUH Accounts ist: q1234567!
21.1 Lösung bei Verbindungsproblemen
Da es unter Windows 8 leider häufig Probleme mit den Netzwerktreibern und dem Access-Point gibt, kann es öfters zu Fehlermeldungen kommen ?Keine Verbindung mit dem Netzwerk möglich?. Da Windows die Benutzeroberfläche wegrationalisiert hat, kann man dieses Problem nur über die
"Eingabgeaufforderung" lösen.
1. Schritt:
Öffnet die Eingabeaufforderung, beispielweise über "Windowstaste + R-Taste", tippt "Cmd" ein und drückt Enter.
Oder Rechtsklick auf das Windowssysmbol (früheres Startsymbol) und dort im Dropdownmenü auf "Eingabeaufforderung".
64
2. Schritt: Eduroam Profil löschen
In der Eingabeaufforderung gebt ihr nun den folgenden Befehl ein und drückt Enter
netsh wlan delete profile eduroam
Nun richtet Ihr Eduroam noch einmal erneut ein und es sollte funktionieren. Bei mir ging es zumindest im Anschluss wieder.
Tritt der Fehler -?Keine Verbindung mit dem Netzwerk möglich? - weiterhin auf, kann versucht werden die Profilparameter nochmal zu aktualisieren mit
dem Befehl
netsh wlan set profileparameter name=eduroam authMode=userOnly
65
22 Eduroam - Windows XP
Im Vorfeld folgenden Artikel lesen: Eduroam - benötigte Software
Öffnen Sie mit der rechnten Maustaste unten rechts in der Statusleiste den Kontext für die Drahtlosnetzwerkverbindung.
Klicken SIe auf "Verfügbare Drahtlosnetzwerke anzeigen". Das folgende Bild erscheint:
Klicken Sie jetzt links auf "Erweiterte Einstellungen ändern". Es öffnet sich das folgende Fenster:
66
Dort wählen Sie den mittleren Reiter "Drahtlosnetzwerke" aus. Jetzt können Sie das Drahtlos-Netzwerk "eduroam" wie im Bild gezeigt konfigurieren.
Wählen Sie es aus und klicken auf "Eigenschaften":
67
Unter "Authentifizierung" (mittlerer Reiter) lässt sich jetzt "SecureW2 EAP-TTLS" auswählen, sofern diese Zusatzsoftware ordnungsgemäß installiert ist.
Auch hier klicken Sie bitte auf "Eigenschaften". Nun kann hier der SecureW2 TTLS-Client wie folgt angepasst werden:
68
Die Äußere Identität muss wie gezeigt aktiviert und angegeben werden.
69
Die Zertifikatsüberprüfung kannKursiver Text aktiviert werden. In diesem Fall ist das "Deutsche Telekom Root CA 2Kursiver Text"-Zertifikat
hinzuzufügen.
70
Die Authentifizierungsmethode ist auf "PAP" zu stellen.
Die Benutzerberechtigung kann wie hier auf Abfrage gestellt oder angegeben werden.
Jetzt in alle Fenster auf OK klicken. Die Verbindung sollte dann automatisch aufgebaut werden. Falls nicht, müssten Sie wie oben beschrieben nochmal
die Drahtlosnetzwerkverbindungen öffnen und mit dem Drahtlosnetzwerk "eduroam" verbinden
Achtung: Unten rechts über der Statuszeile öffnet sich ein Hinweisfenster:
Klicken Sie bitte darauf. Jetzt wird sich der SecureW2-Client melden und Sie nach Ihrer Benutzerkennung und Kennwort fragen. Das Feld "Domäne"
können Sie getrost offen lassen.
71
Nach Klick auf "OK" sollte die Verbindung aufgebaut werden.
Einstellungsparameter: Eduroam - technische Hinweise
72
23 Eduroam mit Android Geraeten
Bitte haben Sie Verständnis dafür, dass wir bei der Vielzahl von Android-Geräten und Softwareversionen keinen offiziellen Support liefern können.
Jedoch hat uns freundlicherweise ein Student eine Anleitung für ein Samsung Galaxy S+ mit Android Version 2.3.6 zur Verfügung gestellt, welche er
erfolgreich an der Universität Zürich einsetzen konnte.
Hinweis: Aus einigen bisherigen Anfragen wurde deutlich, dass ältere Geräte teilweise nicht das benötigte 802.1x Protokoll von Haus aus unterstützen.
Dann benötigt man den "WiFi Advanced Config Editor" für Android. Ein Student hat eine Anleitung für einen Sony PRS-T1 bereitgestellt:
http://selig.ws/hejdo/en/computers/phones/eduroam-android.html
Zertifikat installieren
Tipp: Vorher prüfen, ob das Zertifikat nicht bereits als "Systemzertifikat" vorinstalliert ist. In dem Fall funktioniert alles ohne manuelle
Zertifikatsinstallation, was es einem auch erspart regelmäßig den Zertifikatsspeicher/"Anmeldedatenspeicher" freischalten zu müssen.
Für den Zugang zu eduroam muss man das Zertifikat ?Deutsche Telekom Root CA? auf den Handy installieren. Das kann auch vorab zu Hause oder
unterwegs erfolgen (über WLAN oder eine Mobilfunk-Datenverbindung). Man kann es auf zwei Arten durchführen:
1. Mit dem Handy-Browser auf https://www.pki.dfn.de/wurzelzertifikate/globalroot/ (QR Code s.u.) gehen.Dort das .CRT ? Zertifikat anklicken,
ihm beim Download einen Namen geben (z. B.: Telekom Root CA 2) und das Installieren bestätigen. Während der Installation wird, sollte auf
dem Handy noch nie eine Anmeldeinformation gespeichert worden sein, nach einem Anmeldeinformationsspeicherpasswort gefragt. Dieses
Passwort muss erdacht und gut behalten werden ? es ist für die Herstellung der Verbindung nötig.
2. Oder so (was nicht auf allen Android Geräten funktioniert): Auf PC (oder Mac) mit dem Browser das Zertifikat ?Deutsche Telekom Root CA?
(im Format .CER oder .CRT) herunterladen und speichern (von https://www.pki.dfn.de/wurzelzertifikate/globalroot/ ). Die Datei vom Computer
auf die SD-Karte des Handys übertragen.
Dann das Zertifikat installieren: Am Handy auswählen "Einstellungen" -> "Standort und Sicherheit" -> "Von SD-Karte installieren". Dann das
Zertifikate auf der SD-Karte lokalisieren und installieren.
Auch dabei kann ? wie oben ? während der Installation nach einem Anmeldeinformationsspeicherpasswort gefragt werden. Dieses Passwort
muss erdacht und gut behalten werden ? es ist für die Herstellung der Verbindung nötig.
Android 6: Während der oben beschriebenen Zertifikats-Installation fragt Android 6 nach dem Verwendungszweck und schlägt als Default "VPN und
Apps" vor. Dieser Default muss manuell in "WLAN" geändert werden, damit das Telekom-Zertifikat bei der unten beschriebenen Einrichtung gefunden
wird.
Einrichtung der Verbindung zu eduroam
Im Sendebereich des eduroam-Netzwerkes (also an einer entsprechenden Uni) richtet man die Verbindung folgendermassen ein: Über ?Alle
Programme? auf ?Einstellungen? wechseln. Mit ?Drahtlos und Netzwerke? zu den Auswahloptionen für die Drahtlos-Einstellungen wechseln. Hier
überprüfen, dass das WLAN aktiv ist (nicht ?Offline-Modus?). Dann bei ?WLAN-Einstellungen? in die Auswahlliste für Funknetzwerke wechseln und das
Netzwerk ?eduroam" auswählen. Bei den Verbindungsdefinitionen folgende Einstellungen vornehmen:
• EAP-Methode: PEAP
• Phase2-Authentifizierung: MSCHAPV2
• Root-Zertifikat: "Deutsche Telekom Root CA 2" auswählen
• Benutzerzertifikat: (leer lassen)
• Identität: [email protected] (persönliche Kennung bei der FUHagen bzw der Login unter Windows für die Dienstaccounts,
erweitert mit dem Domänennamen der FernUni)
• Anonyme Identität: [email protected]
• Passwort: (persönliches Passwort zur Kennung)
Dann ?Verbinden? und evtl. das Passwort für den Zugriff auf die Anmeldeinfomationen eingeben. (Hinweis: Falls es nicht klappt: In den
Sicherheitseinstellungen muss anderen Anwendungen erlaubt sein, auf den ?Anmeldedatenspeicher" zuzugreifen.)
Sicherheitshinweis
Ohne die Einbindung des Root-Zertifikats (s.o.) ist die Verbindung nicht ausreichend gesichert. Es wird dringend empfohlen, das Zertifikat - wie oben
skizziert - zu nutzen.
73
24 Eduroam mit Windows-Notebooks und WLAN Intel Chipsatz
In vielen Notebooks ist der WLAN Intel Pro Chipsatz verbaut. Dann können sie auch mit Windows ohne Installation des SecureW2 Clients eine
Verbindung zu dem WLAN "eduroam" aufbauen. Das Vorgehen wird hier beschrieben.
• Auf ihrem PC muss sich das "Intel WiFi Connection Utility" befinden. Rufen sie das Utility auf.
Wenn in dem Fenster erscheint, dass der Adapter von Windows verwaltet wird, so müssen sie die Schaltfläche "WiFi-Verwaltung aktivieren" anklicken.
• Klicken sie auf "Profile" und in dem nächsten Fenster auf "Hinzufügen".
• Erzeugen sie ein Profil mit folgenden Einstellungen.
74
• Nach Klick auf "Weiter" erscheint folgendes Fenster. Statt "[email protected]" tragen sie bitte ihre Userid ein (z.B.
[email protected]). In die Felder "Kennwort" und "Kennwort bestätigen" tragen sie bitte ihr Passwort ein, welches sie z.B. für die
LVU oder die Mailbox im Studium nutzen.
75
• Nun klicken sie wieder auf "Weiter", füllen entsprechend die Seite aus und klicken auf "OK".
76
• Nachdem sie sich mit dem gerade erstellten Profil verbunden haben, hat das Utility folgendes Aussehen.
77
78
25 Eduroam unter MAC OS.X 10.6 (Konfiguration)
Hier im Stenogrammstil eine Konfiguration, mit der es funktioniert:
• Netzwerkname: Örtliche ssid
• Sicherheit: Firmenweiter WPA2
• Unter ?weitere Optionen? 802.1x Benutzerprofil ?eduroam? anlegen
• Benutzernamen: q1234567
• Kennwort: persönliches Kennwort
• Identifizierung: TTLS
• Internes TTLS Identifizierungsverfahren: PAP
• Externe Identität: [email protected]
• Sicherheitstyp:Firmenweiter WPA2
Mit ok bestätigen im ersten Fenster auswählen:
• 802.1x: ?WPA:eduroam?
• ?Verbinden?
79
26 Eingeschränkter Internetzugang in Gefängnissen
Zugang zu FernUni-Servern aus einer JVA gibt es derzeit in Freiburg, Berlin Tegel, Diez, Hamburg-Fuhlsbüttel , Würzburg und Butzbach.
Außerdem können ausgewählte Webseiten der FernUniversität über das Netzwerk eLiS erreicht werden. Voraussetzung dazu ist eine formulargestützte
Freischaltung (Formularantrag über [email protected] ). Derzeit gibt es über eLis noch keine E-Mail-Unterstützung, jedoch sind derzeit konkrete
Planungen zu einer E-Mail-Schnittstelle im Gange. Ebenso befindet sich eine spezielle Moodle-Rolle für Inhaftierte mit u.a. eingeschränkter
Kommunikationsmöglichkeit im Test.
Weitere Informationen:
http://www.fernuni-hagen.de/universitaet/aktuelles/2007/07/13-ak-jva.shtml
http://www.fernuni-hagen.de/FeU/Aktuell/2002/04/ak_2002-04-19-Tegel.html
80
27 Email-Adresse im Wiki bestätigen
Sie können die Bestätigung der Emailfunktion einfach wiederholen:
• melden Sie sich erneut am Wiki an.
• klicken Sie den Link "einstellungen" im Menue rechts oben an.
• entfernen Sie den Eintrag im Feld "E-Mail-Adresse" und bestätigen Sie Ihre Eingaben mit "Einstellungen speichern"
• fügen Sie anschließend Ihre E-Mail-Adresse ein und bestätigen Sie Ihre Eingaben erneut mit "Einstellungen speichern"
Sie bekommen darauf hin einen neuen Bestätigungscodean die genannte E-Mail-Adresse gesendet.
81
28 Empfehlung zur IT-Ausstattung für Studierende
Welche IT-Ausstattung empfehlen wir Studierenden für ihr Fernuni-Studium?
• PC
♦ Prozessor > 2,5 GHz
♦ Hauptspeicher >= 4 GB
♦ Festplatte >= 120 GB
♦ Netzwerkkarte 10/100/1000 Mbit (für den Internetanschluss)
♦ Grafikkarte beliebig / Unterstützung Direct X9
♦ Soundkarte beliebig
♦ Betriebssystem Windows 7 oder 8 (immer aktuell gepatcht)
• Internet-Zugang
♦ Provider beliebig
♦ mindestens DSL 6000
• Weitere Software
♦ Webbrowser Internet Explorer, Mozilla Firefox (immer aktuell gepatcht)
♦ Adobe Reader
♦ Flash Player
♦ Realplayer
♦ Virenscanner Empfehlung Sophos - kostenlos auf unseren Webseiten
♦ Office - vergünstigte Studierendenversion (Office_365_ProPlus)
♦ Mailclient beliebig
• zu erwartende Probleme
♦ Apple mit Safari
♦ Browser Opera, Chrome
82
29 Fehlermeldungen und Warnungen des VPN-Clients
Meldung
Fehlertext
Abhilfe
Error 1
The command line parameter %1 cannot be used in conjunction with the command line parameter %2.
The two command line parameters stated within quotation marks conflict with one another and cannot be used together in any given command line.
Error 2
Invalid Connection Entry name. The Connection Entry name cannot contain any of the following characters...
An invalid character was entered in the connection entry name field of the dialog for creating new, or modifying existing connection entries.
Error 3
Invalid TCP port specified. Valid range is %1 to %2.
An invalid TCP port number was entered on the Transport tab of the dialog for creating new, or modifying existing connection entries.
Error 4
Invalid Peer Response Timeout specified. Valid range is %1 to %2.
An invalid peer response timeout was entered on the Transport tab of the dialog for creating new, or modifying existing connection entries.
Error 5
No hostname exists for this connection entry. Unable to make VPN connection.
A connection attempt was made using a connection entry that does not contain a host name/address entry. A host name or address must be specified in
the connection entry in order to attempt a VPN connection.
Error 6
The connection entry %1 does not exist.
The command line specified a connection entry that does not exist.
Error 7
Group passwords do not match. Enter the same password in both text boxes.
The group authentication password fields on the Authentication tab of the dialog for creating new, or modifying existing connection entries, have different
values. The Password and Confirm Password fields must contain the same values
Error 8
Unable to update Start Before Logon setting.
The VPN Client was unable to save the start before logon setting of the Windows Logon Properties dialog to the file vpnclient.ini. The file attributes may
have been changed to read only or there may be a problem with the file system.
Error 9
Unable to update Disconnect VPN connection when logging off setting.
The VPN Client was unable to save the Disconnect VPN connection when logging off setting of the Windows Logon Properties dialog to the file
vpnclient.ini. The file attributes may have been changed to read only or there may be a problem with the file system.
Error 10
Unable to update Allow launching of third party applications before logon setting.
The VPN Client was unable to save the Allow launching of third party applications before logon setting of the Windows Logon Properties dialog to the
Windows registry. The user must have administrator privileges to save this setting, though the setting should be grayed out if this is not the case. There
is likely a system problem with the registry.
Error 11
Registration of CSGINA.DLL failed.
The VPN Client was unable to register its CSGINA.DLL with the Windows operating system. The DLL may have been altered or corrupted.
Error 12
Unable to retrieve auto-initiation status.
The VPN Client was unable to retrieve the current status for determining if automatic VPN initiation must be initiated. The VPN Client service or daemon
may be stopped, hung, or not running; or inter-process communication between the service/daemon and the GUI application may have failed.
Error 13
83
Unable to update Automatic VPN Initiation Enable setting.
The VPN Client was unable to save the Automatic VPN Initiation Enable setting of the Automatic VPN Initiation dialog to the file vpnclient.ini. The file
attributes may have been changed to read only or there may be a problem with the file system.
Error 14
Unable to update Automatic VPN Initiation Retry Interval setting.
The VPN Client was unable to save the Automatic VPN Initiation Retry Interval setting of the Automatic VPN Initiation dialog to the file vpnclient.ini. The
file attributes may have been changed to read only or there may be a problem with the file system.
Error 15
Invalid Retry Interval specified. Valid range is %1 to %2.
An invalid retry interval was entered in the Automatic VPN Initiation Retry Interval field of the Automatic VPN Initiation dialog. The value must be within
the range specified in the error message.
Error 16
The connection entry %1 already exists. Choose a different name.
The user is attempting to create a new connection entry with the same name as an existing connection entry.
Error 17
Unable to create connection entry.
The VPN Client was unable to save the new connection entry to a file on the hard drive. There may be a problem with the file system.
Error 18
Unable to rename connection entry.
The VPN Client was unable to rename the connection entry. The new connection entry name may already exist, or there may be a problem with the file
system.
Error 19
Unable to save the modified connection entry.
The VPN Client was unable to save the modified connection entry to its file on the hard drive. The file attributes may have been changed to read only or
there may be a problem with the file system.
Error 20
Unable to duplicate connection entry.
The VPN Client was unable to duplicate the connection entry. The duplicate connection entry name may already exist or be too long, or there may be a
problem with the file system.
Error 21
Unable to delete connection entry %1.
The VPN Client was unable to delete the connection entry. The file containing the connection entry may no longer exist or may be protected, or there
may be a problem with the file system.
Error 22
Unable to import connection entry %1.
The VPN Client was unable to import the connection entry. The connection entry attempting to import may not exist. A connection entry with the same
name as the entry being imported may already exist. There may be a problem with the file system.
Error 23
Unable to erase encrypted password for connection entry %1.
The VPN Client was unable to erase the encrypted user password in the connection entry. The connection entry file attributes may have been changed
to read only or there may be a problem with the file system.
Error 24
Unable to update connection entry %1.
The VPN Client was unable to write the connection entry modifications to the connection entry's file on the hard drive. The file attributes may have been
changed to read only or there may be a problem with the file system.
Error 25
%1() for the short cut file %2 failed with %3h.
The function specified in the error message failed while attempting to create a short cut file to the VPN Client GUI for a particular connection entry. The
hexadecimal number in the error message is the error returned by the function specified.
Error 26
84
Unable to build a fully qualified file path while creating the short cut file %1.
The VPN Client was unable to build a fully qualified file path for the shortcut file. There may be a problem with the file system.
Error 27
Unable to create the shortcut file %1.
The VPN Client was unable to get a pointer to the IShellLink interface from the system in order to create the shortcut file.
Error 28
Reached end of log, no match found.
The VPN Client could not find a match for the search string in the log.
Error 29
The third-party dial-up program could not be started.
The VPN Client was unable to launch the third-party dial-up program specified in the connection entry in order to establish a VPN connection.
Error 30
The selected connection entry uses the Microsoft CryptoAPI certificate store. This connection entry can not be used until you have logged in t
The user is attempting to establish a VPN connection before logon using a connection entry that is configured to use a Microsoft CryptoAPI certificate for
authentication. Such a certificate cannot be used until after the user has logged into the workstation.
Error 30
The selected connection entry uses the Microsoft CryptoAPI certificate store. This connection entry can not be used until you have logged in t
The user is attempting to establish a VPN connection before logon using a connection entry that is configured to use a Microsoft CryptoAPI certificate for
authentication. Such a certificate cannot be used until after the user has logged into the workstation.
Error 32
Unable to verify certificate %1.
The selected certificate could not be verified. Possible misconfiguration issue with the certificate authentication (CA) server.
Error 33
Unable to delete certificate %1 from certificate store.
The VPN Client was unable to successfully delete the selected certificate from the certificate store.
Error 34
Unable to show details for certificate %1.
The VPN Client was unable to successfully open and access the selected certificate in order to display the certificate's details.
Error 35
Unable to export certificate. Invalid path %1.
The export path provided for the certificate is invalid.
Error 36
Unable to export certificate %1.
The export source or destination for the certificate was invalid and the certificate could not be exported.
Error 37
An export path must be specified.
The user did not provide a file path for exporting the selected certificate
Error 38
Certificate passwords do not match. Enter the same password in both text boxes.
The Password and Confirm Password fields of the Export Certificate dialog must both contain the same values.
Error 39
Unable to import certificate.
The VPN Client was unable to import the certificate. The file path for the certificate may be incorrect or there may be a problem with the file system.
Error 40
An import path must be specified.
85
The user did not provide a file path for import a certificate.
Error 41
Certificate passwords do not match. Enter the same password in both text boxes.
The New Password and Confirm Password fields of the Import Certificate dialog must both contain the same values.
Error 42
Unable to create certificate enrollment request.
The VPN Client was unable to create an enrollment request to enroll the certificate with a certificate authority.
Error 43
Certificate enrollment failed, or was not approved.
The certificate enrollment request failed or was not approved by the certificate authority.
Error 44
Certificate is not valid, or not an online enrollment request.
The user attempted to resume enrollment of a certificate that is not valid or does not have a pending enrollment request.
Error 45
Passwords do not match. Try again.
The value entered in the Confirm new password dialog did not match the value entered in the Enter new password dialog when attempting to change a
certificate password.
Error 46
Change password for certificate %1 failed.
The VPN Client was unable to change the password for the certificate.
Error 47
Failed to load ipseclog.exe.
The VPN Client was unable to launch the ipseclog.exe application. Log messages will not be saved to the log file.
Error 48
Unable to stop service/daemon.
The VPN Client was unable to stop the service/daemon. The service/daemon may be hung or there is a problem with the system's service/daemon
management.
Error 49
GI_VPNStop failed. Unable to disconnect.
The VPN Client failed to send a stop request for terminating the VPN connection to the service/daemon. The service/daemon may be stopped, hung, or
not running. Communication with the service/daemon may have failed.
Error 50
Service/daemon is not running.
The VPN Client service/daemon is not running. VPN connections cannot be established/terminated via the GUI.
Error 51
IPC socket allocation failed with error %1h.
The VPN Client failed to create an inter-process communication socket in order to communicate with the service/daemon. VPN connections cannot be
established/terminated via the GUI. Refer to Related Information for link to search on Cisco bug ID CSCed05004.
Error 52
IPC socket deallocation failed with error %1h.
The VPN Client failed to close an inter-process communication socket that is used to communicate with the service/daemon while terminating.
Subsequent use of the GUI may be unable to communicate with the service/daemon.
Error 53
Secure connection to %1 was unexpectedly dropped.
The VPN connection was lost due to something other than termination by the VPN Client GUI. The connection could have been terminated by the user
via the CLI, or internet connectivity may have been lost.
Error 54
86
The authentication passwords do not match. Enter the same password in both text boxes.
The user was asked to enter a new authentication password in the extend authentication dialog and did not enter the same values into the New
Password and Confirm Password fields. Both fields must contain the same values.
Error 55
The authentication PINs do not match. Enter the same PIN in both text boxes.
The user was asked to enter a new authentication PIN in the extend authentication dialog and did not enter the same values into the New PIN and
Confirm PIN fields. Both fields must contain the same values.
Error 56
Unable to start the VPN connection.
The VPN Client failed to send a start request for establishing the VPN connection to the service/daemon. The service/daemon may be stopped, hung, or
not running. Communication with the service/daemon may have failed.
Error 1406
Could not write value MtuAdjustment to key ...
Der VPN Client kann den gennanten Werte nicht in die registry eintragen. Die Fehlermeldung deutet darauf hin, dass die Berechtigungen in der
Registrierung nicht ausreichend sind. Die Loesung ist leider nicht ganz einfach. Bitte geben Sie unter Start/Ausfuehren als Kommando regedit und OK
ein. Danach unter Bearbeiten/Suchen im Suchfeld den Namen des Feldes, hier MtuAdjustment. Nach einem Rechtsklick auf den geoeffneten Ordner, in
dem das Feld gefunden wurde, muessen Sie unter Berechtigung fuer den "Installateur" Vollzugriff anklicken. Durch Betaetigung der F3-Taste koennen
Sie das Feld in weiteren Ordnern suchen, hier gehen Sie bitte genauso vor.
Reason 401
An unrecognized error occurred while establishing the VPN connection.
VPN connection was not established because of an unrecognized reason. Please check client logs for details.
Reason 402
The Connection Manager was unable to read the connection entry, or the connection entry has missing or incorrect information.
Either the connection profile is missing or does not have all the information. To fix this problem, you can either select another connection profile, or fix
the current connection entry. Connection profiles are located in profiles. On most machines, this is C Program FilesCisco SystemsVPN Clientprofiles. To
fix this problem, replace the connection profile file from the profiles directory. This file can be copied from a machine that has the correct entry of this file.
Reason 403
Unable to contact the security gateway.
This can happen because of multiple reasons. One of the reasons that users can get this message is because IKE negotiations failed. Check the client
logs for details.
Reason 404
The remote peer terminated the connection during negotiation of security policies.
Check the remote peer (head-end) logs to determine the cause for this failure.
Reason 405
The remote peer terminated connection during user authentication.
This reason is not currently used.
Reason 406
Unable to establish a secure communication channel.
This reason is not currently used.
Reason 407
User authentication was cancelled by the user.
A user hit the cancel button (instead of OK) in the VPN Client user authentication dialog.
Reason 408
A VPN connection is already in the process of being established.
A connection is already in process.
Reason 409
A VPN connection already exists.
A VPN connection already exists.
Reason 410
The Connection Manager was unable to forward the user authentication request.
87
This is not currently used.
Reason 411
The remote peer does not support the required VPN Client protocol.
The remote peer is either not a Cisco device or it does not support the VPN Client protocol specification.
Reason 412
The remote peer is no longer responding.
The remote peer is not responding to the client's request to establish the connection. Make sure you can ping the remote peer, or check remote peer
logs for why it is not responding to the client.
Reason 413
User authentication failed.
Either the user entered wrong user authentication information, or the client was not able to launch the XAuth (user authentication) process.
Reason 414
Failed to establish a TCP connection.
The VPN Client was not able to establish the TCP connection for IPSec over TCP connection mode. Please try IPSec over UDP or straight IPSec.
Please look at client logs for details.
Reason 415
A required component PPPTool.exe is not present among the installed client software.
Please make sure that ppptool.exe is present in the client installation directory (this is generally C Program FilesCisco SystemsVPN Client. If this file is
not present, uninstall and reinstall the client.
Reason 416
Remote peer is load balancing.
The peer has advised you to use a different gateway.
Reason 417
The required firewall software is no longer running.
The required firewall is not running.
Reason 418
Unable to configure the firewall software.
The peer sent an unrecognized firewall message.
Reason 419
No connection exists.
This is an unexpected error. Please check client logs for details.
Reason 420
The application was unable to allocate some system resources and cannot proceed.
The system ran out of memory. If you think the system has enough memory, reboot the machine and try again.
Reason 421
Failed to establish a connection to your ISP. Failed to establish a dialup connection.
View the client logs for details.
Reason 422
Lost contact with the security gateway. Check your network connection.
The machine's IP address changed or the machine is no longer connected to the Internet. Note The VPN Client is required to disconnect the VPN tunnel
for security reasons, if the machines IP Address has changed.
Reason 423
Your VPN connection has been terminated.
Either the user disconnected the VPN tunnel, or there was an unexpected error.
Reason 424
Connectivity to Client Lost by Peer.
88
Connection disconnected by the peer. Check the peer logs for details.
Reason 425
Manually Disconnected by Administrator.
Administrator manually disconnected the VPN tunnel.
Reason 426
Maximum Configured Lifetime Exceeded.
The VPN Client exceeded the maximum configured lifetime for a session. This value is configured on the peer (head-end) device.
Reason 427
Unknown Error Occurred at Peer.
Peer disconnected tunnel. Check the peer logs for details.
Reason 428
Peer has been Shut Down.
Peer was shut down.
Reason 429
Unknown Severe Error Occurred at Peer.
Check the peer logs for details.
Reason 430
Configured Maximum Connection Time Exceeded.
VPN Client has been connected for longer than allowed by the peer.
Reason 431
Configured Maximum Idle Time for Session Exceeded.
The VPN connection was idle for longer than the time allowed by the administrator.
Reason 432
Peer has been Rebooted.
The peer has been rebooted.
Reason 433
Reason Not Specified by Peer.
The peer gave no reason for disconnecting the tunnel. Check the peer logs for details.
Reason 434
Policy Negotiation Failed.
Client and peer policies do not match. Try changing peer policies (try using 3DES, AES, and so forth) and then try again.
Reason 435
Firewall Policy Mismatch.
Firewall policies do not match with what was configured by the peer.
Reason 436
Certificates used have Expired.
The certificate used in the connection profile has expired. Update the certificate configured in the client profile, and then try again.
Warning 201
The necessary VPN sub-system is not available. You can not connect to the remote VPN server.
The VPN Client GUI has detected that it cannot communicate with the client service/daemon. The service/daemon may be stopped, hung, or not
running. Communication with the service/daemon may have failed. Uninstall the VPN Client(see Related Information for link) and the anitvirus on the
computer, then reinstall the VPN Client.
Warning 202
If you disable this feature, the %1 will not automatically disconnect your VPN connection when you logoff. As a result, your computer may rema
The user has disabled the Disconnect VPN connection when logging off setting of the Windows Logon Properties dialog.
89
Warning 203
You do not have write privileges for this connection entry. It will be opened read-only.
The user is attempting to modify a connection entry whose file attributes have been set to read only.
Warning 204
The certificate %1 associated with this Connection Entry could not be found. Please select a different certificate or click Cancel.
The user is attempting to modify a connection entry that has a certificate associated with it. But the certificate associated with the profile was not found.
It could be that the certificate lives on a smart card which is not connected to the system right now. Therefore, hitting cancel is a valid option.
Warning 205
You must use a Smart Card with this connection. Please insert the Smart Card before attempting a connection.
This warning means that the current profile requires the use of smart card, and no smart card is present on the system. The user should insert the
correct smart card and should re-connect, or the user should select a different profile to connect.
90
30 Fehlernummern bei DFÜ-Verbindungsproblemen
Im unten stehenden Dokument finden Sie eine Übersicht über alle Fehlernummern bei DFÜ-Verbindungsproblemen:
Fehlernummer bei DFÜ-Verbindungsproblemen
91
31 Fernuni-Identity-Management (FIM)
Zur Verwaltung aller Benutzerinnen und Benutzer der zahlreichen IT-Systeme an der Fernuniversität wird seit Beginn des Jahres 2011 ein neues
Fernuni-Identity-Management - kurz FIM
eingeführt. Ziel ist es, mit möglichst einem Benutzernamen und einem Kennwort alle Systeme der Fernuni benutzen zu können. Die Umstellung wird in
mehreren Phasen erfolgen.
• Den jeweils aktuellen Stand der FIM-Einführung finden Sie hier: FIM-Projekt - aktueller Stand
• Im Zusammenhang mit Ihrer Identität in unseren IT-Systemen gibt es eine Anzahl von Begriffen, deren Bedeutung wir hier erläutern: Definition
der Begriffe rund um die Identität
• Die Verwaltung Ihres Benutzerprofils im Fernuni-Identity-Management erfolgt hier: https://account.fernuni-hagen.de
92
32 FIM-Projekt - aktueller Stand
32.1 Aktuelle Meldungen zum Stand des Projektes Fernuni-Identity-Management (FIM)
32.1.1 Planungen 2017
• Die SAP-Accounts werden automatisch durch das Identity-Management System angelegt.
• Das SAP-Kennwort wird mit dem sonst verwendeten persönlichen Kennwort synchronisiert.
32.1.1.1 Planungen 2016
• Die Account-Workflows werden angepasst: Accounts neuer Beschäftigter werden rechtzeitig angelegt, Accounts ausscheidender
Beschäftigter werden pünktlich gelöscht.
• Saisonkräfte werden bei der Accountvergabe speziell berücksichtigt, so dass der Account auch während der Nicht-Beschäftigungszeiten
bestehen bleibt.
• Antragsformulare für Funktionszugänge, sowie für das Beantragen von besonderen Zugriffs-Berechtigungen (z.B. Imperia, Gemeinsame
Ordner, VPN, etc.) sind im Web verfügbar.
• Ein neues Administrationsportal auf Basis von HTML5 wird implementiert.
32.1.1.2 Januar 2015 bis Dezember 2015
• Benutzerkennwörter werden jetzt zusätzlich mit einem neuen Hash-Algorithmus abgespeichert.
• VPN-Gruppenrechte können jetzt über das Identity-Management System verwaltet werden.
• Die Shibboleth Objektklasse eduPerson wurde im AD LDS-Server implementiert.
• Ein Shibboleth IdP wurde installiert und in Betrieb genommen.
• Eine Kennwort-Policy wurde eingeführt.
• Alle Systeme wurden an den neuen zentralen LDAP-Server AD LDS angeschlossen.
• Die zum Teil alten Benutzernamen von Beschäftigten (z. B. p1234567) wurden an die neue Namenskonvention angeglichen.
SAP-Benutzername und Windows/LDAP-Benutzername sind identisch. Der 2011 vergebende SAP-Benutzername war dabei maßgebend.
• Das zukünftige Mailsystem für Studierende wurde an das Identity Management System der FernUniversität angebunden. Mailadressen
werden automatisiert über das Identity Management System generiert.
• Update des Identity Management Systems auf den Microsoft Forefront Identity Manager 2010 R2 unter Microsoft Windows Server 2012 R2.
• Implementierung weiterer Schnittstellen. Z. B. Staffsearch Datenbank unter MySQL)
Leider konnten auch dieses Jahr nicht alle Ziele erreicht werden! Dies lag an einer Verzögerung bei der Implementierung einer Schnittstelle zum
SAP-Personalverwaltungssystem.
• Im Staffsearch werden die Ausgaben auch bei mehreren FernUni-Arbeitsverhältnissen korrekt angezeigt.
• Die Mailmigration für die Beschäftigten der FernUni ist abgeschlossen! Alle Beschäftigten sind auf den zentralen Exchange-Server
umgezogen.
• Die Datenbereinigung ist abgeschlossen.
• Die Anbindung des neues Mailsystems für die Studierenden ist in großen Teilen erfolgt.
• Gast- und Funktionsaccounts werden mit Erreichen des Ablaufdatums deaktiviert. 30 Tage nach der Deaktivierung werden die Accounts
gelöscht.
• Im Staffsearch ist eine Suche nach Bereichen implemtiert.
• Der Suchalgorithmus im Staffsearch ist verbessert. Dort kann jetzt auch nach Namensbestandteilen gesucht werden.
• Beschäftigte werden rechtzeitig vor Ablaufen des Kennwortes per Email darüber informiert.
Leider konnten nicht alle Ziele für das Jahr 2013 erreicht werden! Dies lag an einer Verzögerung bei der Implementierung einer Schnittstelle zum
SAP-Personalverwaltungssystem.
• Die zweite IAM-Projektphase wird geplant.
• Generalpasswortbriefe werden mit individuellen Texten für Beschäftigte, Studierende, Gäste und Funktionsaccounts verschickt.
• Anträge für Gastaccounts können über das Web gestellt werden.
• Es wird ein neues zentrales E-Mail-Konzept für die FernUni erarbeitet.
• Alle Beschäftigten der Fernuni werden nach und nach auf den Exchange-Server umgezogen (Rektoratsbeschluss vom 5.4.2011). Der
Endgeräte-Support hilft bei den Umzügen. http://wiki.fernuni-hagen.de/helpdesk/index.php/Migration_von_mailstore_zu_OWA.
• Alle Studierenden verbleiben mit ihrer Mailbox auf dem Mailstore.
• Die Identitäten bei Doppelrollen werden getrennt.
• Studierende, die länger als 90 Tage exmatrikuliert sind, werden gelöscht.
• Das neue VoIP-Systems wird an FIM angeschlossen.
• Die Datenbereinigung auf allen Systemen wird fortgeführt.
• Die internen technischen Verwaltungsprozesse für Accounts werden angepasst.
32.1.1.6 Mai 2011 bis Dezember 2011
• Es werden weitere Anpassungen des FIM-Systems an die Prozesse der Fernuniversität vorgenommen. Dazu gehören u.a.
♦ Automatische rechtzeitige Account-Einrichtung für neu eingestellte Beschäftigte
♦ Automatische rechtzeitige Erinnerungsmail an ausscheidende Beschäftigte, dass der Account gelöscht wird
♦ Freischaltung des neuen Staffsearch mit aktuellen Daten
93
32.1.1.7 Mai 2011: Doppelrolle: Personen, die gleichzeitig an der FernUni beschäftigt sind und auch an der FernUni studieren. Was ist zu
beachten?
• Sie haben zwar eine "Identität" in unseren Systemen, aber zunächst noch zwei Benutzernamen:
♦ als Mitarbeitende/r Ihren p- oder Namensaccount
♦ als Studierende/r Ihren q-Account
• Wichtig: die Kennwörter für beide Benutzernamen werden automatisch synchronisiert: Ändern Sie das Kennwort für Ihren
Beschäftigten-Account, ändert sich auch das Kennwort für Ihren Studierenden-Account und umgekehrt!
• Alle Emails werden an Ihre Fernuni-Email-Adresse geschickt
• In Einzelfällen gab es Konflikte bei Beschäftigten mit dieser Doppelrolle, die aber überwiegend bereinigt werden konnten.
(Anmerkung April 2012: Das Konzept, eine einzige Identiät in unseren Systemen zu führen wird wieder aufgehoben. Wunsch vieler Beschäftigter und
Studierender mit Doppelrolle ist eine strikte Rollentrennung. Insbesondere sind zum Beispiel zwei Mailadressen notwendig: eine für die dienstlichen
Arbeiten als Beschäftigte/r und eine für die privaten Aktivitäten als Studierende/r.)
32.1.1.8 April 2011: Start des neuen Dienstes FIM (Fernuni-Identity-Management), der die Verwaltung der Benutzernamen aller Beschäftigten
und Studierenden übernimmt. Was ändert sich?
• Für die meisten Fernuni-Anwendungen benötigen Sie ab sofort nur noch einen Benutzernamen und das zugehörige Kennwort
♦ für das Windows-Login (Mitarbeitende)
♦ für die Mails auf dem Exchange-Server (Mitarbeitende)
♦ für die Mails auf dem Mailstore-Server (Mitarbeitende und Studierende)
♦ für den Zertifikatsserver (Mitarbeitende und Studierende)
♦ für fast alle weiteren Anwendungen an der FernUniversität wie BSCW, Wiki-/Blog-Login, Virtueller Studienplatz, Moodle,
online-Übungssystem, Prüfungssysteme, etc. Das alles sind Anwendungen, die den sogenannten LDAP-Server zur
Authentifizierung benutzen. (Mitarbeitende und Studierende)
• Sie können Ihr Kennwort an mehreren Stellen ändern - für alle oben genannten Anwendungen wird das Kennwort dann automatisch
synchronisiert.
♦ auf der Account-Webseite https://account.fernuni-hagen.de (Mitarbeitende und Studierende)
♦ beim Windows-Login (Mitarbeitende)
♦ auf der OWA-Webseite https://owa.fernuni-hagen.de (Mitarbeitende)
• Für die folgenden Fernuni-Anwendungen benötigen Sie noch weitere Benutzernamen und Kennwörter. Die Kennwort-Änderung muss in dem
jeweiligen System erfolgen. Eine Synchronisation mit anderen Kennwörtern erfolgt nicht:
♦ für das Anmelden in SAP/FiBu
♦ für das Anmelden in Imperia (Mitarbeitende)
♦ für alle Anwendungen, die auf dem Server wattle zur Verfügung gestellt werden, z.B. SLO-Auskunft, HIS-Anwendungen
(Mitarbeitende)
♦ für die Bibliotheksanwendungen, z.B. aleph (Mitarbeitende und Studierende)
• Gäste der Fernuni erhalten befristete Benutzernamen t_name http://wiki.fernuni-hagen.de/helpdesk/index.php/Gastzugang
• Funktionsnamen werden als f_accounts eingerichtet http://wiki.fernuni-hagen.de/helpdesk/index.php/Funktionszug%C3%A4nge
94
33 Firefox-Masterpasswort
Unter - Extras - Einstellungen - Sicherheit - gibt es ein Feld "Master-Passwort verwenden". Wenn Sie dort einen Haken gemacht haben, haben Sie auch
ein Passwort vergeben. Dieses wird bei der Installation der Zertifikate abgefragt. Entfernen Sie den Haken oder geben Sie ihr Masterpasswort ein, dann
sollte die Installation auch funktionieren.
Weitere Infos zum Masterpasswort unter http://www.firefox-browser.de/wiki/Masterpasswort
95
34 FU-CAMPUS - Vouchers
34.1 Allgemeines zu Vouchers
Vouchers sind Zugangscodes für die Benutzung des Netzwerks "FU-Campus". Sie verstehen sich als Einmal-Passwörter mit einer begrenzten
Nutzungsdauer. Das Voucher-System wurde an der FernUniversität eingeführt, um Gästen und Nicht-Hochschul-Angehörigen die Anmeldung ans Netz
und damit die vorübergehende Nutzung des Hochschulnetzes und des Internets zu ermöglichen.
Ein Voucher ist also ein etwa 11- oder 12- stelliger Code aus einer Zahlen- und Buchstabenkombination, mit etwa folgendem Aussehen: (Beispiel)
e7FZkG66T2yH
Das Netzwerk FU-Campus steht als Drahtlosnetzwerk (WLAN) auf dem gesamten Campus sowie auch in allen Regionalzentren und einigen
Studienzentren zur Verfügung. FernUni-Angehörige (Beschäftigte und Studierende) erhalten den Zugang mit ihrer hochschulweiten Benutzerkennung.
Sie benötigen keine Vouchers.
34.2 Benutzung eines Vouchers
Starten Sie mit ihrem Endgerät die Suche nach Drahtlosnetzwerken. Wenn Sie sich auf dem Campus in Reichweite des Netzes befinden, sollten Sie ein
Netzwerk mit der SSID "FU-Campus" sehen. Es ist ein unverschlüsseltes WLAN, ohne Zugangseinschränkungen. Verbinden Sie sich jetzt mit diesem
Netzwerk.
Sie haben an dieser Stelle jedoch noch keinen Zugang zum Hochschulnetz oder zum Internet. Starten Sie jetzt Ihren Webbrowser. Wenn Sie eine Seite
laden möchten (Beispiel: http://www.fernuni-hagen.de), werden Sie umgelenkt auf unsere Anmeldeseite:
Hier ist sowohl die Eingabe der Benutzerkennung mit Kennwort (Nur Hochschul-Angehörige und Studierende der FernUniversität) als auch die Eingabe
mit Vouchers möglich. Geben Sie jetzt Ihren Voucher-Code in das dafür vorgesehene Feld ein. Die anderen Felder bleiben leer.
96
Wenn Sie nun auf "Anmelden" klicken, erhalten Sie Zugriff auf das Netzwerk. Sie erhalten dann die gewünschte Webseite.
34.3 Ergänzende Informationen zu Vouchers
Vouchers werden für den jeweiligen lokalen Bereich herausgegeben. Ein auf dem Campus in Hagen herausgegebenes Voucher ist auf dem gesamten
Campus und auch nur dort verwendbar. In einigen Regionalzentren können Sie ebenfalls Vouchers bekommen. Diese sind dann auch nur dort
verwendbar.
Ein Voucher hat einen begrenzten Gültigkeitszeitraum. Dieser beginnt mit der ersten Benutzung. Innerhalb dieser Zeit können Sie dasselbe Voucher
jederzeit wieder benutzen. Nach Ablauf der Zeit wird das Voucher ungültig, und Sie werden vom System abgemeldet. Ein unbenutztes Voucher kann
jedoch beliebig lange aufbewahrt werden.
Eine gleichzeitige Anmeldung an mehreren Endgeräten ist nicht möglich. Sie können sich jedoch von einem Gerät abmelden und mit demselben
Voucher innerhalb der Gültigkeitsdauer mit einem anderen Gerät wieder anmelden. Eine gleichzeitige Anmeldung an einem zweiten Gerät meldet Sie
automatisch auf dem anderen Gerät ab. Wenn Sie dennoch mehrere Geräte gleichzeitig anmelden möchten, benötigen Sie für jedes Endgerät ein
eigenes Voucher.
34.4 Ausgabe von Vouchers
Herausgeber von Vouchers ist das ZMI.
Für den Fall, dass Sie einen oder mehrere Voucher für einen vorübergehenden Zugang auf dem Campus benötigen, können Sie eine der folgenden
Anlaufstellen nutzen:
• direkt und online über die Adresse https://www.fernuni-hagen.de/voucher/creatick. Nach Authentifizierung über Ihren hochschulweiten
Account können Sie einen oder mehrere Voucher für einen Gültigkeitszeitraum von 1, 3 oder 5 Tagen beantragen. Der/die Voucher werden
Ihnen per E-Mail zugeschickt.
• Gäste der FernUni können sich direkt an den Helpdesk unter Tel. -4444 wenden.
• Als Besucher der Universitätsbibliothek erhalten Sie Voucher an der Infotheke der Bibliothek.
• Für den Bezug von Voucher in den Regionalzentren wenden Sie sich bitte an die jeweilige Geschäftsstelle des Regionalzentrums.
97
35 FUNet nicht erreichbar
Bei generellen Zugriffsproblemen auf das FUNet und die Internetdienste (Einwahl nicht möglich, kein Zugriff auf LVU, Mails, News, etc. also alles, was
irgendwie mit dem LDAP-Account zusammen hängt):
Auf der Webseite
http://www.fernuni-hagen.info/
stehen Informationen zu den Störungsursachen und wie lange die Störungen voraussichtlich bestehen werden
98
36 FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 und 10.9
Mac OS X 10.6 (Snow Leopard) und 10.7 (Lion) und 10.9 bieten die Möglichkeit zum Aufbau einer ipsec-VPN-Verbindung zum FUNet ohne die
Installation zusätzlicher Software. Unter Systemeinstellungen den Button ?Netzwerk? betätigen und das ?+?-Zeichen für ?Neuen Dienst erstellen?
anklicken. Anschlussart ist VPN, der VPN-Typ Cisco IPSec und der Verbindungsname ist frei wählbar, im Folgenden wurde FUNetMacLion verwendet.
Die Verbindung wird über Erstellen eingerichtet. ? Als Serveradresse wird 132.176.101.101 (webvpn.fernuni-hagen.de) eingetragen, die Angaben für
Accountname und Kennwort sind Ihr üblicher hochschulweiter Benutzername und Ihr persönliches Kennwort. Unter Authentifizierungseinstellungen wird
dann noch ein Gruppenname ? hier FU-VPN-STUD-SPLIT ? gewählt, das zugehörige Shared Secret ist jeweils identisch mit dem Gruppennamen.
Mögliche Gruppen entnehmen Sie bitte der Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml unter Profile. Um auf die
Dienstleistungsangebote der Universitätsbibliothek (Datenbanken, Katalog) zugreifen zu können, sind die Gruppennamen FU-VPN-BIB oder
FU-VPN-BIB-NAT erforderlich.
99
Zusätzlich zur bestehenden Netzwerkverbindung ? hier Ethernet ? wird dann die VPN-Verbindung (FUNetMacLion) gestartet, das Endgerät erhält dann
eine Adresse aus dem FUNet ? hier 132.176.131.91.
100
36.1 Speichern des Passworts
Leider wird u.U. beim Verbinden jedesmal das Passwort abgefragt. Um dies zu über den Schlüsselbund automatisch zu verwenden, muss wie folgt
vorgegangen werden (die Anleitung stammt von Macworld:
1. Öffnen der Schlüsselbund-Applikation (unter Dienstprogramme/Utilities, Schlüsselbund bzw. Key Chain Access)
2. Im Schüsselbund/Keychain "System" findet sich ein Eintrag für die VPN-Konfiguration gleichen Namens, die Art (Kind) des Eintrag ist IPSec
XAuth Password
3. Diesen Eintrag öffnen und im Reiter Access Control eine neue Anwendung eintragen, die Zugriff auf den Eintrag hat. Dazu unten links "+"
drücken. Die Anwendung, die Zugriff benötigt, ist /usr/libexec/configd. Um diese Applikation im Auswahldialog anwählen zu können, muss mit
Befehl-Shift-G der Ordner /usr/libexec ausgewählt werden. Dort kann dann einfach configd selektiert werden.
101
36.2 Authentifizierungsprobleme
Es kann (gerade beim Testen) vorkommen, dass trotz korrekter Eingabe aller Authentifizierungsdaten keine Verbindung aufgebaut werden kann. U.U.
muss dann der Dienst "racoon" neu gestartet werden. Dazu im Terminal mit
ps aux|grep racoon
den Prozess suchen und anschließend mit
sudo kill ###
(wobei ### die Prozessnummer ist) beenden. Der Prozess wird dann automatisch neu gestartet und die Authentifizierung sollte funktionieren.
102
37 Generalpasswort - Kennwort (Unterschied)
Der Benutzername ist grundsätzlich für Studierende in allen an der FernUni verwendeten Systemen die Matrikelnummer beginnend mit einem q
(q1234567).
Für Mitarbeitende wird seit April 2011 ein Namensaccount vergeben. Mehr zur Account-Systematik finden Sie hier:
http://wiki.fernuni-hagen.de/helpdesk/index.php/Account-Systematik
Zu Beginn des Studiums, bzw. mit Aufnahme Ihrer Arbeit haben Sie das sog. Generalpasswort erhalten. Es wurde Ihnen per Post in einem
versiegelten Umschlag zugeschickt und umfasst 16 zufällige Zeichen. Dieses Generalpasswort brauchen Sie zum Setzen des Kennwortes.
Im Gegenteil dazu gibt es das Kennwort. Das ist das von Ihnen selbstgewählte Kennwort. Und nur dieses Kennwort brauchen Sie in Ihrer täglichen
Arbeit im LVU, moodle, E-Mail oder sonstigen angeschlossenen Systemen. Auch das Beantragen eines Zertifikates funktioniert mit diesem Kennwort.
Sollte Ihnen das Generalpasswort nicht mehr vorliegen, können Sie es erneut bestellen.
https://account.fernuni-hagen.de
Bitte geben Sie auch hier einfach nur Ihren Benutzernamen z.B. in der Form q1234567 an.
103
38 Gruppenpasswort wiederherstellen
Das Gruppenpasswort setzen Sie über
Modify/Group Authentication
für den jeweiligen Dialer Eintrag. Er ist immer identisch mit dem Gruppenamen,also im o.g. Fall PW=Group-PW=FU-VPN-STUD-NAT.
Wie komme ich wieder an das Gruppen-Passwort und wo kann ich das gespeicherte User-Passwort ändern bzw. so umstellen, dass ich es wieder per
Hand eintragen kann?
Entfernen Sie im Einwählfenster das Häkchen für die Passwortspeicherung.
Es geht beides auch per Hand, indem Sie die zugehoerige PCF-Datei (FU-VPN-STUD-NAT) editieren und folgende Änderungen machen:
GroupPwd=FU-VPN-STUD-NAT
SaveUserPassword=0
104
39 Hinweis zur Windows-Systemwiederherstellung
Wenn sie ihren Computer mit der Windows-Systemwiederherstellung zurücksetzten, verlieren die Zertifikate im Browser ihre Gültigkeit und müssen neu
beantragt werden.
105
40 ICS (Internet Connection Sharing) und VPN-Probleme unter Windows XP
Bei aktiviertem ICS gibt es Probleme bei der Installation der VPN Software. Um den VPN Client dennoch installieren zu können, führen Sie einfach
folgende Schritte aus :
• Rechtsklick auf Arbeitsplatz
• im Kontextmenü Linksklick auf Verwalten
• In der Computerverwaltung gehen Sie in Dienste und Anwendungen und im nächsten Fenster dann in Dienste.
• Klicken Sie dort mit der rechten Maustaste auf "Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung" und wählen Sie
Eigenschaften.
• Unter der Kategorie Allgemein wählen Sie den Starttyp Deaktivieren und bestätigen anschließend mit Ok
• Starten Sie den PC neu
Danach sollten Sie den VPN Client problemlos installieren können.
106
41 Installation des VPN-Clients unter Kubuntu Linux 7.04 (feisty)
Wir bitten um Ihr Verständnis, dass wir nicht alle aktuellen Linux-Distributionen berücksichtigen können. Unsere Beschreibungen beziehen sich auf
Kubuntu Linux in der Version 7.04 (Feisty Fawn), eine besonders einfach zu benutzende Linux-Distribution, die Sie kostenlos als ISO-Datei von
http://www.kubuntu.org/ herunterladen, oder sich kostenlos von https://shipit.kubuntu.org/ als CD-ROM bestellen können.
Unter Kubuntu Linux können Sie den freien VPN-Client Kvpnc über die Paketverwaltung (apt) installieren. Sie haben dazu grundsätzlich zwei
Möglichkeiten:
Über die Kommandozeile
Öffnen sie ein Konsole-Fenster (K-Menü -> System -> Konsole) und tippen Sie dort: sudo apt-get install network-manager-vpnc kvpnc Gegebenenfalls
werden Sie zur Eingabe ihres Anmeldekennworts aufgefordert. Die Anwendung wird anschließend automatisch heruntergeladen und installiert.
Über die grafische Benutzeroberfläche
Starten Sie das Adept-Installationsprogramm (K-Menü -> Programme hinzufügen/entfernen). Sie werden gegebenenfalls zur Eingabe Ihres
Anmeldepassworts aufgefordert. Im oben sichtbaren Suchfeld tippen sie ?vpnc? ein.
Markieren Sie beide Suchergebnisse, so dass sich ein Häkchen neben ihnen befindet (siehe Abbildung). Nach einem Klick auf ?Änderungen
anwenden? wird der VPN-Client automatisch heruntergeladen und installiert.
Installieren der Konfigurationsdatei für Kvpnc
Nach der Installation von Kvpnc muss nun noch unsere vorgefertigte Konfigurationsdatei (kvpncrc) installiert werden. Laden Sie sich die Datei in Ihr
Homeverzeichnis herunter (Rechtsklick auf die Datei -> Ziel speichern unter...). Öffnen Sie danach bitte ein Konsolenfenster (K-Menü -> System ->
Konsole) und gehen Sie anschließend wie folgt vor:
1. Löschen Sie die alte Konfigurationsdatei von Kvpnc, dies geschieht mit dem Befehl:
sudo rm /root/.kde/share/config/kvpncrc
2. Kopieren Sie die Datei im Anhang in das vorherige Verzeichnis, setzen Sie die Rechte der Datei so, dass Kvpnc sie lesen und schreiben kann:
sudo cp ~/kvpncrc /root/.kde/share/config/ sudo chmod 0600 /root/.kde/share/config/kvpncrc sudo chown root:root /root/.kde/share/config/kvpncrc
3. Bei der ersten Verbindung mit Kvpnc werden Sie aufgefordert, das Gruppenpasswort einzugeben. Die Gruppenpasswörter lauten wie folgt:
Gruppe: FU-VPN-STUD-NAT Passwort: FU-VPN-STUD-NAT
Gruppe: FU-VPN-STUD-SPLIT-NAT Passwort: FU-VPN-STUD-SPLIT-NAT
Gruppe: FU-VPN-BIB-NAT Passwort: FU-VPN-STUD-NAT
Mit dem Benutzernamen und dem Benutzerpasswort ist ihr gewöhntlicher FernUni-Account (q1234567) gemeint.
Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT verwenden. Der Zusatz SPLIT deutet jeweils
darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung von lokalen
Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Arbeiten mit dem Kvpnc Der Kvpnc kann über das K-Menü (Internet -> Kvpnc) gestartet werden.
107
Wählen Sie im Fallmenü neben ?Profil? das gewünschte Profil aus, und klicken Sie auf ?Verbinden?. Geben Sie im sich öffnenden Dialog Ihren
Benutzernamen im Format q1234567 und das zugehörige Passwort ein, belassen Sie aber bitte das Gruppen-Passwort auf jeden Fall auf dem
voreingestellten Wert. Anschließend wird die VPN-Verbindung zum FernUniversitäts-Netzwerk aufgebaut. Hinweis: Falls Sie es versehentlich doch
einmal überschreiben, geben Sie als Gruppen-Passwort den Namen des jeweiligen Profils neu ein.
108
42 Installation des VPN-Clients unter Mac OS 10.4 (Tiger)
Ab Mac OS X 10.6 wird das Cisco-VPN-Protokoll direkt vom Betriebssystem unterstützt, der hier beschriebene Cisco-Client kann dort nicht mehr
installiert werden. Ab 10.6 (Snow Leopard) ist eine eigene Installationsanleitung unter FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 zu finden.
Laden Sie die Installations-Datei herunter.
Klicken Sie bitte auf die heruntergeladene Datei und öffnen Sie den Ordner ?CiscoVPNClient? auf Ihrem Schreibtisch. Im sich öffnenden Finder-Fenster
befindet sich das Paket ?Cisco VPN Client.mpkg?, mit dem die Installation gestartet wird.
Befolgen Sie die Anweisungen der Installationsroutine. Im Verlauf werden Sie aufgefordert, die Vertrauenswürdigkeit des Pakets zu bestätigen. Klicken
Sie in diesem Dialog daher auf ?Fortfahren?. Die folgenden Lizenzbedingungen müssen akzeptiert werden. Wählen Sie daraufhin das
Installationsvolume aus (meist ?Macintosh HD?) aus. Auf diesem Laufwerk wird der Client anschließend installiert. Folgen Sie anschließend den
weiteren Anweisungen der Installationsroutine.
Nach der Installation steht im Ordner ?Programme? der VPNClient zur Verfügung. Starten Sie das Programm per Doppelklick, es öffnet sich nun das
Hauptfenster des Clients. Durch Doppelklick auf eine der Verbindungseinträge (?Connection Entry?) wird anschließend eine VPN-Verbindung zum
FernUniversitäts-Netzwerk hergestellt.
109
Die Unterschiede der einzelnen Profile finden Sie in der folgenden Tabelle erläutert:
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
FU-VPN-STUD-SPLIT
FU-VPN-STUD-SPLIT-NAT
Nach Möglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT verwenden. Der Zusatz SPLIT deutet jeweils
darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermöglichen die Nutzung von lokalen
Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Die VPN-Verbindung wird im Anschluss durch Klicken auf die Schaltfläche Connect hergestellt. Die Authentifizierung erfolgt wie üblich über den
hochschulweiten Account und dem zugehörigen Passwort.
110
43 Kennwort vergessen
Wenn Sie Ihr Kennwort vergessen haben, aber den Brief mit Ihrem Generalpasswort noch haben, können Sie sich unter dem Link
https://account.fernuni-hagen.de/
Auswahl "Ändern des Accountpasswortes" einfach ein neues Kennwort setzen. Sollten Sie den Brief mit dem Generalpasswort nicht mehr haben, so
können Sie unter dem gleichen obigen Link den Brief noch einmal anfordern.
111
44 Kennwort-Regeln
Kennwort-Regeln für Studierende:
• Das Kennwort MUSS mindestens 8 Zeichen lang sein
• Das Kennwort SOLLTE regelmäßig geändert werden
• Das Kennwort MUSS Zeichen aus mindestens 3 der folgenden 4 Gruppen enthalten:
♦ Großbuchstaben A bis Z, keine Umlaute
♦ Kleinbuchstaben a bis z, keine Umlaute, kein scharfes s (ß)
♦ Ziffern 0 bis 9
♦ Sonderzeichen !#$%&?()*+,-./:;<=>?@[\]^_`{|}~
Bitte wählen Sie keine "exotischen" Sonderzeichen und benutzen Sie auch keine Leerzeichen!
• Gleichzeitig darf das Kennwort nicht aus folgenden Wörtern bestehen (Groß-/Kleinschreibung spielt keine Rolle):
♦ dem eigenen Benutzernamen
♦ dem eigenen Vor- oder Nachnamen
♦ dem Wort "Studierende"
Kennwort-Regeln für Beschäftigte:
• Das Kennwort MUSS mindestens 8 Zeichen lang sein
• Das Kennwort MUSS alle 60 Tage geändert werden
• Das Kennwort kann nach einer Änderung 24 Stunden lang nicht erneut geändert werden
• Die letzten 3 Kennwörter dürfen nicht erneut verwendet werden
• Das Kennwort MUSS Zeichen aus mindestens 3 der folgenden 4 Gruppen enthalten:
♦ Großbuchstaben A bis Z, keine Umlaute
♦ Kleinbuchstaben a bis z, keine Umlaute, kein scharfes s (ß)
♦ Ziffern 0 bis 9
♦ Sonderzeichen !#$%&?()*+,-./:;<=>?@[\]^_`{|}~
Bitte wählen Sie keine "exotischen" Sonderzeichen und benutzen Sie auch keine Leerzeichen!
• Gleichzeitig darf das Kennwort nicht aus folgenden Wörtern bestehen (Groß-/Kleinschreibung spielt keine Rolle):
♦ dem eigenen Benutzernamen
♦ dem eigenen Vor- oder Nachnamen
♦ bei Funktionsaccounts dürfen nicht Teile des sogenannten Display-Namens verwendet werden, z.B. Wörter wie "Funktionsaccount",
"Kurs", "Raum"; "Ausarbeitung", etc.
Trotzdem gilt: Kennwörter bitte nicht aufschreiben!
Stand: April 2014
112
45 Kündigung des Accounts bei dfn@home
Der Dienst dfn@home wird an der Fernuni mangels Nachfrage eingestellt!
Die verbliebenen Kunden wurden bereits vom Anbieter inter.net angeschrieben und zum 28.2.2013 gekündigt. Die betroffenen Studierenden müssen
entweder ein alternatives Produkt von inter.dot verwenden oder einen Vertrag mit einem anderen Fremdprovider abschließen. Die Fernuni selbst ist kein
Provider.
113
46 Linux: VPN Client und Profildateien
46.1 Software
In gängigen Linux-Distributionen sind Cisco-kompatible VPN-Klienten vorhanden. Es ist also nicht nötig, einen der VPN-Klienten von Cisco zu
installieren, sondern man kann einfach einen der passenden VPN-Klienten der Distribution mit Hilfe der Paketverwaltung (sei es RPM oder DEB)
installieren. Man hat dabei die Wahl zwischen vpnc und openconnect.
Die Installation aus den Archiven der Distribution hat Vorteile: Der VPN-Klient ist dann gut in den grafischen NetworkManager integriert. Außerdem ist er
für die vorhandene Architektur optimiert und nicht lediglich für i386 compiliert. Vor allem aber werden Security- und Bug-Fixes beim Systemupdate
eingespielt und man muss sie nicht zusätzlich von Cisco holen. Zudem verweist die Website von openconnect auf mehrere Sicherheits-Vorteile.
Unter Ubuntu oder Debian verwendet man zur Installation den grafischen Paketmanager oder gibt Folgendes an der Kommandozeile ein:
$ sudo aptitude install vpnc
bzw.
$ sudo aptitude install openconnect
Dies sind die VPN-Klienten für die Kommandozeile. Wenn man eine Integration in die grafische Oberfläche will, muss man entsprechende Plugins für
den NetworkManager installieren:
$ sudo aptitude install network-manager-vpnc
bzw.
$ sudo aptitude install network-manager-openconnect
46.2 vpnc
46.2.1 Profil-Dateien und Aufruf von vpnc
Für die VPN-Verbindung zur FernUni benötigt vpnc eine auf .conf endende Profil- oder Konfigurationsdatei im Verzeichnis /etc/vpnc/, also zum
Beispiel /etc/vpnc/fernuni.conf, oder allgemein /etc/vpnc/PROFILNAME.conf.
Der Klient wird dann mit folgendem Kommando gestartet und die VPN-Verbindung aufgebaut:
$ sudo vpnc fernuni
Oder allgemeiner:
$ sudo vpnc PROFILNAME
Die Dateien /etc/vpnc/default.conf bzw. /etc/vpnc.conf sind zur Definition eines default-Profils vorgesehen. Der Verbindungsaufbau kann
dann einfach mit $ sudo vpnc vorgenommen werden. Weitere Informationen auch über alternative Orte für Konfigurationsdateien findet man auf der
man-Page von vpnc. Sie wird an der Kommandozeile aufgerufen mit
$ man vpnc
46.2.2 Inhalt der Profildatei
Was aber muss denn drinstehen in so einer Konfigurationsdatei? Es können nicht einfach die pcf-Dateien verwendet werden, die die Fernuni zur
Verfügung stellt, z.B. [1]. Der Grund: Die Konfigurationsparameter von vpnc haben andere Namen als die des proprietären Cisco-VPN-Klienten. Es gibt
aber glücklicherweise ein Programm, das Cisco's pcf-Dateien konvertieren kann, pcf2vpnc.
$ whatis pcf2vpnc
pcf2vpnc (1)
- converts VPN-config files from pcf to vpnc-format
Dieser Konverter wird bei der Installation von vpnc gleich mitinstalliert. Zum Beispiel wird das Zugangsprofil für Studierende und MitarbeiterInnen mit
privatem Netzwerk ohne split-Tunneling folgendermaßen konvertiert:
$ pcf2vpnc fu_vpn_stud_nat.pcf
## generated by pcf2vpnc
IPSec ID FU-VPN-STUD-NAT
IPSec gateway 132.176.101.101
IPSec secret FU-VPN-STUD-NAT
Xauth username riess
IKE Authmode psk
Diese Ausgabe von pcf2vpnc ist jetzt in einer Konfigurationsdatei, z.B. in /etc/vpnc/fernuni.conf zu speichern und dabei 'riess' durch den
sprechenden Benutzernamen zu ersetzen. Das geht mit dem Editor Ihrer Wahl oder einfach von der Kommandozeile:
$ sudo sh -c 'pcf2vpnc fu_vpn_stud_nat.pcf | sed s/riess/BENUTZERNAME/ > /etc/vpnc/fernuni.conf'
Man kann die Zeile Xauth username BENUTZERNAME übrigens auch fortlassen. Dann wird man bei Aufbau des VPN-Tunnels nach einem
Benutzernamen gefragt.
Für die anderen pcf-Dateien geht man entsprechend vor.
114
46.2.3 Herstellen und Trennen der Verbindung von der Kommandozeile
Nach der Konfiguration kann die Verbindung folgendermaßen aufgebaut werden:
$ sudo vpnc fernuni
Enter password for [email protected]:
VPNC started in background (pid: 17370)...
Jetzt ist der Rechner Teil des Netzes der Fernuni. Wer sich im Internet auf entsprechenden Seiten seine IP-Nummer anzeigen lässt, wird eine IP aus
dem Range der Fernuni sehen: 132.176.0.0.
Deaktiviert wird die Tunnelung über VPN durch
$ sudo vpnc-disconnect
Terminating vpnc daemon (pid: 17370)
Wer möchte, kann sich auch die routing-Tabelle des Kernels ansehen. Sie sollte ungefähr so aussehen:
$ sudo vpnc fernuni
Enter password for [email protected]:
VPNC started in background (pid: ...
$ sudo route
Kernel IP routing table
Destination
Gateway
Genmask
Flags
default
*
0.0.0.0
U
vpn-public-r1.f 192.168.0.1
255.255.255.255 UGH
132.176.134.0
*
255.255.255.0
U
localnet
*
255.255.255.0
U
Metric
0
0
0
0
Ref
0
0
0
0
Use
0
0
0
0
Iface
tun0
eth0
tun0
eth0
Das besagt Folgendes: Zeile 1: Jedes Paket mit Ziel Internet wird über den Tunnel tun0 geschickt. Zeile 2: Pakete mit Ziel
vpn-public-r1.f[...ernuni-hagen.de] (= 132.176.101.101), also mit Ziel Tunnel-Endpunkt gehen über die Netzwerkschnittstelle eth0 und den Gateway
192.168.0.1 (einen Router im lokalen Netz); diese Route ist ein Gateway (G-Flag). Zeile 3: Pakete mit einem Ziel im Fernuni-IP-Range 132.176.134.0
gehen auch über tun0. Zeile 4: Pakete für das lokale Netzwerk gehen über die Netzwerkschnittstelle eth0. - Wer mehr davon verstehen will, lese unter
[2] nach.
46.2.4 Integration in den NetworkManager (Gnome)
Wer eine Integration in den grafischen NetworkManager bevorzugt, installiere das Paket network-manager-vpnc wie oben beschrieben. Dieses
Plugin für das NetworkManager-Framework stellt eine komfortable grafische Schnittstelle zum oben beschriebenen vpnc zur Verfügung. vpnc wird bei
der Installation des Plugins durch die Paketverwaltung übrigens automatisch mitinstalliert. Erfahrungsberichte über eine Verwendung des
NetworkManagers finden sich unter Ubuntu_und_VPN.
46.2.5 Integration mittels kvpnc (KDE)
Alternativ kann man auch das grafische Frontend für vpnc von KDE nehmen. Eine Beschreibung findet sich unter
Installation_des_VPN-Clients_unter_Kubuntu_Linux_7.04_(feisty).
46.3 openconnect
Mit openconnect ist die Herstellung eines VPN-Tunnels sehr einfach. Nach Eingabe des Befehls wird man aufgefordert, ein Profil auszuwählen und
Benutzernamen und Passwort anzugeben:
$ sudo openconnect https://webvpn.fernuni-hagen.de -b
Attempting to connect to 132.176.101.101:443
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/
Got HTTP response: HTTP/1.0 302 Object Moved
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Please enter your username and password.
GROUP: [FeU-Hagen-SSL|FeU-Hagen-SSL-VPN-Split|FeU-Hagen-SSL-VPNLLA|FeU-Personal|HomeIPPhone|IPPhone|Reserviert]:FeU-Hagen-SSL
Username:lueck
Password:
POST https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 30, Keepalive 20
Connected tun0 as 132.176.134.98, using SSL
Continuing in background; pid 20999
Established DTLS connection
Mit der Option -b wird der Client als Hintergrundprozess gestartet. Wenn man den VPN-Tunnel wieder abschalten möchte, beendet man nicht einfach
brachial den Prozess, sondern sendet ihm statt SIGTERM besser SIGINT. Das beendet den Prozess sauber und es werden die vorherigen
Netzwerk-Einstellungen wiederhergestellt. Also:
$ sudo kill -SIGINT 20999
Send BYE packet: Client received SIGINT
Wer die Handhabung der Prozess-IDs (hier 20999) scheut, der hat folgende Möglichkeiten: Man kann openconnect ohne die Option -b aufrufen, um
den Tunnel aufzubauen, und mit der Tastenkombination 'Strg' + 'c' den Prozess und den VPN-Tunnel beenden (sendet auch SIGINT). Oder man kann
auf den konfortablen NetworkManager zurückgreifen.
46.3.1 Integration in den grafischen NetworkManager
Wer die Verwaltung des Netzwerks unter Gnome o.ä. vorzieht, der installiere das openconnect-Plugin für den NetworkManager:
network-manager-openconnect.
115
46.4 Fehlerbehebung
46.4.1 Internet wie tot - keine Namensauflösung
Wird ein VPN-Tunnel unsauber beendet wird, kann es zu dem unangenehmen Problem kommen, dass beim Surfen im Netz keine URLs mehr gefunden
(aufgelöst) werden. Das liegt unter Umständen daran, dass die Konfiguration der Namensauflösung nicht wieder hergestellt worden ist, sondern noch
wie beim Betrieb des VPN-Tunnel konfiguriert ist. In der Datei /etc/resolv.conf stehen dann noch die Nameserver der Fernuni und nicht der/die
Nameserver des Internet-Service-Providers (ISP) bzw. die Adresse des Routers im Heimnetz. Die Datei sieht dann ungefähr so aus:
$ cat /etc/resolv.conf
#@VPNC_GENERATED@ -- this file is generated by vpnc
# and will be overwritten by vpnc
# as long as the above mark is intact
search homelinux.org fernuni-hagen.de
nameserver 132.176.129.201
nameserver 132.176.129.203
Eine intakte /etc/resolv.conf bei Betrieb des Rechners hinter einem wlan-Router mit lokalem Netzwerk, wobei dieser Router auch als Nameserver
(Weiterleitung vom ISP) dient, sieht eher so aus:
$ cat /etc/resolv.conf
search homelinux.org
nameserver 192.168.0.1
(Anmerkung: homelinux.org ist bei mir die lokale Domain, das ist beliebig und nicht aussagekräftig.)
vpnc erstellt glücklicherweise ein Backup der ursprünglichen Datei unter /var/run/vpnc/resolv.conf-backup. Mit Hilfe dieses Backups muss
/etc/resolv.conf dann manuell wieder hergestellt werden (kopieren). Ein Neustart des Systems hilft hingegen nicht.
Dieses Problem taucht bei Verwendung von vpnc schon einmal auf, wenn der Tunnel aufgrund von Störungen des ISP oder bei der Fernuni
zusammenbricht.
116
47 MacOS: Update des Cisco VPN-Clients
Ein Lesertipp:
Beim Updat des Cisco VPN-Clients hatte ich Probleme mit dem Starten des Programms. Ich bekam die Fehlermeldung, wie sie unter
http://forums.macosxhints.com/showthread.php?t=35555
beschrieben ist. Dortige Anleitung (ausführen von /usr/local/bin/vpn_uninstall) hat bei mir die erwünschte Lösung gebracht. Vielleicht können Sie den
Tipp ja auf die Seiten der Fernuni übernehmen.
Mit freundlichen Grüßen
Jens von Pilgrim
Amerkung des Helpdesks: Das machen wir gerne:-)
117
48 Newsletter-Passwort für Beschäftigte der Fernuni
Für Beschäftigte:
Ein Zugriff auf den Newsletter ist nur für Rechner innerhalb der FernUni möglich. Auch bei einem Zugriff über VPN von außen wird ein Account benötigt,
der nicht der persönliche Benutzername ist.
Das Passwort für den Newsletter oder sonstige interne Seiten erhalten die Beschäftigten der Fernuniversität, z.b. auch die Beurlaubten, deren
'normales Passwort abgelaufen ist, bei der Abteilung Organisations- und Personalentwicklung (E-Mail mit Angabe des Beschäftigtenstatus
an Dez3.3 @FernUni-hagen.de). Bitte geben Sie uns die Beschäftigungsdauer und den Status (Prof, wiss. Ang., Beurlaubt etc) des
Beschäftigungsverhältnisses an.
Alle Beschäftigten in den Regional- und Studienzentren erhalten das Passwort von der Abteilung 2.2: [email protected].
118
49 Performance-Probleme beim Zugriff auf Server-Laufwerke via VPN
Bei den Einstellungen des VPN-Clients gibt es die Möglichkeit, die Größe der übertragenen Frames einzustellen. Rufen Sie aus der
VPN-Client-Programm-Gruppe die Funktion Set-MTU auf und setzen Sie die MTU Options fuer die Netzwerkverbindung auf 1300, vielleicht hifts...
119
50 Portsperrungen
50.1 Port Sperrung im Internet
Der Schutz des lokalen Netzes erfolgt in zwei Stufen. Den ungeschützten Bereich bildet ein Ethernet mit Routern zum Telefon- und ISDN-Netz, sowie
dem Internet. Auf dem Router zum Intranet (FUNet ) erfolgt die Sperrung von Ports. Zugelassen werden nur unbedingt benötigte Dienste.
Innerhalb des FUNet wird der SLO-Bereich durch eine zusätzliche Firewall geschützt.
50.1.1 Access-Control-Listen am X-WiN-Router
Die Beschränkung der Protokolle auf dem WiN-Router (Internet-Zugang), wie sie von anderen Universitäten praktiziert wird, ist durchaus sinnvoll und
wird bisher in Einzelfällen (Mail) und temporär zur Gefahrenabwehr auch an der FernUniversität schon praktiziert.
Viele Protokolle sind bei der Kommunikation zum Internet nicht erforderlich, bieten aber Angreifern Ziele, über die Systeme kompromittiert oder Dienste
ausgeschaltet werden können oder der Netzverkehr gestört werden kann.
Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren
und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt,
der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen
obsolet machen.
Einwahlen über die Access-Router sind von dieser Maßnahme nicht betroffen
Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt.
Bei der zugelassenen Richtung bedeutet ein den eingehenden Verkehr vom Internet, während mit aus der ausgehende Verkehr zum Internet gemeint
ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden.
Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste:
Port
Beschreibung
Rechner
Zugelassene Richtung(en)
20/tcp
FTP-DATA
alle
ein/aus
21/tcp
FTP
alle
aus
21/tcp
FTP - anonymous
anonymous FTP-Server
ein
22/tcp
SSH
alle
ein/aus
23/tcp
Telnet
alle
aus
25/tcp
SMTP
(relayfeste) Mailserver
aus
43/tcp
WHOIS
alle
aus
53/tcp+udp DNS
DNS-Server
ein/aus
79/tcp
FINGER
alle
aus
80/tcp
HTTP
alle
ein/aus
110/tcp
POP3
alle
ein/aus
119/tcp
NNTP
alle (ausser news.fernuni-hagen.de) ein/aus
123/tcp
NTP
NTP-Server
ein/aus
143/tcp
IMAP
alle
ein/aus
443/tcp
HTTPS
alle
ein/aus
465/tcp
SMTP over TLS/SSL alle
ein/aus
500/udp
ISAKMP
alle
ein/aus
554/tcp+udp RTSP
alle
ein/aus
587/tcp
Message Submission alle
ein/aus
389/tcp
LDAP
alle
aus
636/tcp
LDAPS
alle
aus
993/tcp
IMAPS
alle
ein/aus
Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den
MS SQL Server) gesperrt.
120
51 STZ
Bei Standard-FernUni-Notebooks kann es zu Problemen beim Seitenaufbau kommen. Ursache ist die Größe der übertragenen Fenster.
Dieser Ratschlag hat zum Erfolg geführt:
Die Größe der übertragenen Fenster kann der Knackpunkt sein. Der zugehörige Parameter heißt MTU (MaximumTransmissionUnit). Das führt uns
leider in die Welt der ?DOS-Box?? Ich versuche mal, die Vorgehensweise zu skizzieren.
Über Start/alle Programme/Zubehör gelangen Sie an eine Liste, in der diese Box als ?Eingabeaufforderung? auftaucht. Bitte gehen Sie auf diesen
Eintrag, betätigen die rechte Maustaste und wählen Sie ?Als Admin ausführen?. Damit öffnet sich die Box, in der Titelleiste sollte ?Administrator:
Eingabeaufforderung? erscheinen. Jetzt kann es losgehen: bitte folgende Befehle absetzen.
• netsh <enter>
• interface <enter>
• ipv4 <enter>
• sho subinterface <enter>
Nun zeigt Ihnen das System ? unter Anderem - die Werte für MTU (linke Spalte) an. Ich vermute nun, dass bei den ?Problemfällen? unter der
LAN-Verbindung ein zu großer Wert (z.B. 1500) auftaucht. Das können Sie ändern durch Eingabe von
• set subinterface LAN-Verbindung mtu=1300
Wobei ?LAN-Verbindung? der Name ist, der Ihnen beim sho-Befehl angezeigt wurde.
Das System sollte die Aktion durch ?OK.? Bestätigen, Sie können die Änderung durch ein erneutes "sho subinterface" verifizieren. Wenn das klappt,
wiederholen Sie bitte den Befehl ?set subinterface LAN-Verbindung mtu=1300? mit dem Zusatz ?store=persistant?.
• set subinterface LAN-Verbindung mtu=1300 store=persistent
121
52 Probleme mit anyconnect
Folgende Fehler könnten im Zusammenhang mit der Verwendung von anyconnect auftreten:
52.1 Inhaltsverzeichnis
• 1 The VPN client agent was unable to create the interprocess communication depot
• 2 Failed to install Anyconnect Secure Mobility Client
52.1.1 The VPN client agent was unable to create the interprocess communication depot
Das Deaktivieren des Dienstes für die Gemeinsame Nutzung der Internetverbindung ist vermutlich erforderlich.
In der Windows-Hilfe liest sich das so:
Wenn Sie die gemeinsame Nutzung der Internetverbindung aktiviert haben und stattdessen jetzt einen Router für die gemeinsame Nutzung einer
Internetverbindung durch zwei oder mehr Computer verwenden möchten, müssen Sie die gemeinsame Nutzung der Internetverbindung deaktivieren.
• Klicken Sie, um die Netzwerkverbindungen zu öffnen.
• Klicken Sie mit der rechten Maustaste auf die freigegebene Verbindung, und klicken Sie dann auf Eigenschaften. Wenn Sie aufgefordert
werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort bzw. die Bestätigung ein.
• Klicken Sie auf die Registerkarte Freigabe, deaktivieren Sie das Kontrollkästchen "Anderen Benutzern im Netzwerk gestatten, diese
Verbindung des Computers als Internetverbindung zu verwenden", und klicken Sie dann auf "OK".
Unter Windows Hilfe und Support finden Sie unter ICS (Internet Connection Sharing) ggf. weitere Hinweise zu Ihrem Betriebssystem.
52.1.2 Failed to install Anyconnect Secure Mobility Client
Beim Starten des AnyConnect-clients kann folgende Fehlermeldung auftreten:
Dann ist eine Neuinstallation erforderlich. Rufen Sie die Seite https://webvpn.fernuni-hagen.de auf und betätigen Sie den Link "Start AnyConnect".
Die oben gezeigte Fehlermeldung mit ok bestätigen und der Installation folgen.
122
Ist die web-basierte Installation fehlerhaft, bitte auf der Seite mit der entsprechenden Meldung ? wie beschrieben ? dem Link: "Windows7/Vista/64/XP"
folgen. Danach die Datei anyconnect-win-3.0.0629-web-deploy-k9.exe ausführen. Die Setup-Routine des AnyConnect Secure Mobile Client wird dann
durchlaufen(next, accept/next,install,finish). Zwischenzeitliche Sicherheitshinweise (Zertifikate/?Trusted Sites?) ignorieren. Danach können Sie den
Client starten:
123
53 Profile fehlen
Die Profil-Dateien (.pcf-Dateien) finden Sie unter:
http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml
Empfehlenswert wäre der Umstieg auf die aktuelle Version des VPN-Clients, der auch alle neuen Gruppenprofile enthält. Den aktuellen Client in der
Version 5.0 für Win XP, 2000, 2003 Server und Vista gibt es ebenfalls unter dem obigen Link.
Zum Herunterladen des Clients benötigen Sie Ihren Fernuni-Account
124
54 Profile importieren
Die Fernuni-VPN-Profile können unabhängig vom Betriebssystem in den Cisco-VPN-Clients ?importiert? werden.
Im Client können mehrere VPN-Profile gleichzeitig hinterlegt werden.
Die Profile (pcf-files) sind auf unseren VPN-Webseiten verlinkt:
http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml
125
55 Profilgruppen und ihre Bedeutung
Die Gruppenprofile sind für folgende Einsatzzwecke eingestellt:
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT
FU-VPN-STUD-SPLIT
FU-VPN-STUD-SPLT-NAT
Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
126
56 Roaming mit Fernuni-Account
Institutionen, die am DFN-Roaming- oder eduroam-Programm des DFN-Vereins (http://www.dfn.de/dienstleistungen/dfnroaming/ ) teilnehmen, bieten
den Angehörigen anderer Teilnehmerinstitutionen in der Regel einen WLAN-Zugang mit dem jeweiligen Heimataccount an. Bei der Konfiguration ist den
Anweisungen der jeweiligen Einrichtung zu folgen.
Sollte der Verbindungsaufbau zum WLAN funktionieren, aber die Anmeldung mit dem Account in der Form
[email protected]
Probleme bereiten, kann das bedeuten, dass Ihre Windows-Bordmittel ? die Funktionalität mit der Drahtlosnetzwerke eingerichtet werden ? die
Passworte nicht in der benötigten Form übermitteln.
Wir können dann zunächst klären, ob die Authentifizierungsanfrage hier in Hagen auf unserem Server ankommt. Dazu benötigen wir
• Ihren Account und
• eine ungefähre Zeitangabe zum Verbindungsaufbauversuch.
Wenn wir bestätigen können, dass die Anfrage in Hagen landet, aber nicht korrekt verarbeitet werden kann, kommen Sie nicht um die Installation einer
Zusatzsoftware (TTLS-Client) herum. Beispielhaft ist hier etwa der von vielen Universitäten genutzte SecureW2 TTLS-Client (http://www.securew2.com)
Leider können wir diese Software aus lizenzrechtlichen Gründen nicht selber zum Download anbieten.
(Duisburg/Esssen)
?Wie kann eduroam genutzt werden? Um eduroam nutzen zu können müssen Sie auf Windows-Systemen einmalig den Secure-W2 Client auf
Ihrem Notebook installieren und konfigurieren."
(TU-Berlin)
?Alternativ gibt es die Möglichkeit, den regulären WLAN-Zugang über das eduroam-Netz durch eine Softwareclient-Installation und eine
anschließende Konfiguration zu realisieren.?
Folgen Sie bitte der Vorgehensweise die auf den Seiten der von Ihnen besuchten Einrichtung beschrieben ist und verwenden Sie als Benutzernamen
[email protected]. Für weitere Fragen wenden Sie sich bitte an den Helpdesk der FernUniversität in Hagen, nicht an die Kollegen
der Einrichtung vor Ort.
127
128
129
130
131
132
133
134
135
136
137
138
139
140
57 Routerprobleme analysieren
Wenn Sie versuchen, die Verbindung zum FernUni-VPN-Gateway herzustellen, muss zunächst vorher eine Providerbindung bestehen und Ihr Endgerät
vom WLAN-Router eine - typischerweise private - IP-Adresse bekommen haben.
In der "DOS-BOX" können Sie die Adresse mit dem folgenden Befehl ansehen:
C:\>ipconfig
Windows-IP-Konfiguration
Ethernetadapter Drahtlose Netzwerkverbindung:
Verbindungsspezifisches DNS-Suffix: FernUni-Hagen.de
IP-Adresse. . . . . . . . . . . . : 172.16.128.13
+++++++ diese Adresse (natürlich ggf. mit anderen Zahlen) bekommen Sie vom WLAN-Router +++++
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 172.16.128.254
Ethernetadapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Bei bestehender Provider-Verbindung sollten Sie dann inder Lage sein, das Hagener Gateway zu erreichen:
C:\>ping 132.176.101.101
Ping wird ausgeführt für 132.176.101.101 mit 32 Bytes Daten:
Antwort
Antwort
Antwort
Antwort
von
von
von
von
132.176.101.101:
132.176.101.101:
132.176.101.101:
132.176.101.101:
Bytes=32
Bytes=32
Bytes=32
Bytes=32
Zeit=6ms
Zeit=2ms
Zeit=3ms
Zeit=2ms
TTL=127
TTL=127
TTL=127
TTL=127
Ping-Statistik für 132.176.101.101:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 2ms, Maximum = 6ms, Mittelwert = 3ms
Den Weg dorthin koennen sie "tracen":
C:\>tracert 132.176.101.101
Routenverfolgung zu VPN-public-r1.fernuni-hagen.de [132.176.101.101] über maximal 30 Abschnitte:
1 2 ms 3 ms 3 ms 172.16.128.251
2 2 ms 2ms 2 ms VPN-public-r1.fernuni-hagen.de[132.176.101.101]
Ablaufverfolgung beendet.
Wenndas alles funktioniert rufen Sie bitte den VPN-Client auf und bauen eine Verbindung zum Gateway auf. Wenn Sie die Gruppe FU-VPN-STUD mit
gleich lautendem Passwort verwenden, wird sämtlicher IP-Verkehr über das Hagener Gateway geleitet, das sollte auf jeden Fall funktionieren.
141
58 Routerprobleme mit VPN
Bei Problemen mit Routern und VPN können folgende Problemursachen in Frage kommen:
Problemursache #1: eigene Firewall. Der Router könnte eine Firewall besitzen. Bei Problemen diese kurzzeitig mal abschalten.
Problemursache #2: Die Firewall vom Router ist ausgeschaltet - kann ich da sonst noch was ein-/umstellen?
Das Problem ist bei solchen privaten Netzen mehr das Routing (mit NAT) an sich, weil der DSL-Router keine Ahnung hat, an welchen Rechner er die
Pakete weiterleiten soll. Man kann höchstens den Eintrag "FU-VPN-Zugang mit NAT (private Netze)" ausprobieren; der sollte theoretisch immer
funktionieren, weil der nur eine TCP-Verbindung verwendet, mit der jeder Router fertig werden müsste. Alternativ kann man z.B. auch den Split-Zugang
benutzen, wenn vorher in den Einstellungen "Enable Transport Tunneling" und "IPSec over TCP" mit TCP Port 3500 eintragen wurde.
Zusätzlich sollt man prüfen, ob der Router Pakete auf den Ports 500 und 3500 wirklich durchlässt, diese Ports werden für die Aushandlung der
Verschlüsselung und den Datenverkehr benötigt.
142
59 Sinn und Zweck des Fernuni-Accounts
Der Fernuni-Account wird benötigt für:
• den Zugang zum Internet
• den Zugang zum Email Konto
• das Arbeiten im Lernraum Virtuellen Universität (LVU)
• das Arbeiten in Moodle
• das Einsenden von Prüfungsaufgaben
• alle sonstigen Anwendungen an der FernUni, die nach einem Benutzernamen und einem Kennwort verlangen
Alle Studierenden bekommen automatisch einen Benutzernamen in der Form q+Matrikelnummer. Diesen Benutzernamen verschicken wir per Brief
zusammen mit einem Generalpasswort. Im FIM-Portal https://account.fernuni-hagen.de/ kann dieser Account von den Studierenden selbst verwaltet
werden.
143
60 UB-Datenbanken: hier WISO-NET und Absatzwirtschaft
1. WISO-NET WIWI
Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Möglichkeiten sich ins Uni-Netz anzumelden bzw. die
entsprechende Datenbank aufzurufen.
Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie
für diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es über den VPN-Client mit der Gruppe FU-VPN-STUD-NAT
(siehe 2.)
2. Zu BGH-Edition
a.) die BGH-Edition ist eine sogenannte Ica-Datenbank. Das heißt, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client* (ica32t.exe) laden Sie
von unserer Web-Seite auf Ihren PC.
Sie finden den ICA Web Client auf der UB-Downloadseite http://www.ub.fernuni-hagen.de/download/index.html
Die ica32t.exe ausführen. Alle Anfragen übernehmen. Browser schließen und wieder öffnen und das PlugIn ist eingerichtet.
b.) jede ICA-Datenbank wie die BGH-Edition braucht zur Nutzung den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Wir verweisen an dieser Stelle
auf den Anyconnect-Client und auf die ZMI-Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml . Dort finden Sie eine Anleitung zur
Installation und Einrichtung der VPN-Clients.
Im Prinzip gilt das oben Gesagte auch für andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro,
[email protected]
144
61 UB-Datenbanken: hier WISO-NET und BGH-Edition
1. WISO-NET WIWI
entsprechende Datenbank aufzurufen.
(siehe 2.)
2. Zu BGH-Edition
a.) die BGH-Edition ist eine sogenannte Ica-Datenbank. Das heißt, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client* (ica32t.exe) laden Sie
von unserer Web-Seite auf Ihren PC.
Sie finden den ICA Web Client auf der UB-Downloadseite http://www.ub.fernuni-hagen.de/download/index.html
b.) jede ICA-Datenbank wie die BGH-Edition braucht zur Nutzung den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Wir verweisen an dieser Stelle
auf den Anyconnect-Client und auf die ZMI-Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml . Dort finden Sie eine Anleitung zur
Installation und Einrichtung der VPN-Clients.
[email protected]
145
62 Windows 7
Mit dem Client AnyConnect (ssl-client) von Cisco funktioniert der VPN-Zugang jetzt auch für Vist 64/Windows 7. Hier https://webvpn.fernuni-hagen.de
ist ein Download möglich.
Bei Problemen bei der Installation des VPN-Client unter Win7 kann es hilfreich sein, die Einstellungen im Browser, z. B. bei Firefox unter Option
"Systemproxy verwenden" in "keinen Proxy verwenden" zu ändern.
Wenn Sie die Fehlermeldung "The VPN client agent was unable to create the interprocess communication depot" erhalten, kann unter Vista das
Deaktivieren des Dienstes für die Gemeinsame Nutzung der Internetverbindung helfen. Zum Deaktivieren dieses Dienstes wählen Sie in der
Systemsteuerung unter System und Wartung,
Verwaltung, Dienste
dort aus der Liste den o.g. Dienst auswählen,
deaktivieren
und anschließend Windows neu starten
Es steht auch ein ipsec-client zur Verfügung, der die 64-Bit-Funktionalität unterstützt, entsprechende Informationen finden Sie unter
http://wiki.fernuni-hagen.de/helpdesk/index.php/Installation_des_VPN-Clients_unter_Windows .
146
63 VPN unter Android
Auf Android-System kann der systemseitig vorhandene VPN Client verwendet werden mit folgenden Parametern:
Name: frei wählbar
Typ: IPSec Xauth PSK
Server-Adresse: 132.176.101.101
IPSec Identifer: FU-VPN-STUD-NAT
IPsec Pre-shared Key: FU-VPN-STUD-NAT
Zu finden ist VPN in den Einstellungen -> Drahtlos und Netzwerke -> Weitere Einstellungen -> VPN
Je nach Android Version und Hersteller des Gerätes können sich die Einstellungen an anderen Stellen befinden.
Bei Problemen sollte zunächst überprüft werden, ob der Kernel auch das tun-Modul geladen hat. Sollte dies nicht der Fall sein, können sie die
VPN-Funktion ihres Smartphones nicht verwenden.
•
Einstellungen
•
Unterpunkt "VPN" wählen
•
Info: Sperre einrichten
•
Art der Sperre auswählen
•
Plusbutton auswählen
147
•
Oben beschriebene Informationen eintragen
•
Neu angelegt VPN-Verbindung auswählen
•
Mit normalen LogIn Daten einloggen
148
64 VPN unter Ubuntu
Ein Tipp von Friedrich Heinrichmeyer:
Es kursieren sehr viele verwirrende Anleitungen, die sich meist auf ältere Softwareversionen beziehen. Oft ist aber schwer ein Hinweis darauf zu
"googlen", dass sich ein Problem einfach erledigt hat. Genau das ist hier der Fall.
Es genügt unter Ubuntu-9.04 einfach, per Paketmanager das Paket "network-manager-vpnc" zu installieren. Über den Klappmenüpunkt
"VPN-Verbindungen" im Netzwerk-Applet in der Taskleiste ist es nach erfolgter Installation wirklich nicht schwer, den VPN-Konfigurationsdialog zu
finden, der auch den Knopf "Importieren" für die erstellten Cisco-Profile anbietet. Die Ubuntu-Entwickler entschließen sich wahrscheinlich sogar, die
VPN-Software standardmäßig zu installieren.
"Kommandozeilenorientierte" Linux-Anwender müssen sich allerdings dazu durchringen, Ihre Netzwerkkonfiguration dem Gnome-Netzwerkmanager
anzuvertrauen, nur dann kann er auch eine VPN-Verbindung verwalten.
Getestet habe ich es daheim mit dem Student-Split-Konfiguration, d.h mit
http://www.fernuni-hagen.de/imperia/md/content/zmi/produkte/fu_vpn_stud_split.pcf. Man importiert die Datei und muss nur noch den Account "Riess",
durch seinen eigenen ersetzten.
Zusammengefasst: Man wünscht sich und benutzt dann den Network-Manager-VPNC unter Ubuntu und ist so optimistisch, dass man einfach die für
den Original-Cisco-Client zur Verfügung gestellten Einstellungdateien verwendet.
Kubuntu ist derzeit leider nach meiner Ansicht nicht empfehlenswert, da das Standard-Desktop KDE4 zu viele Fehler hat.
Ergänzungstipp eines Lesers: ? Ich habe gerade eine VPN-Verbindung mit Ubuntu hergestellt. Lief alles problemlos bis auf ein kleines Detail:
Man muss den network manager restarten, damit das ganze funktioniert. Sonst bekommt man eine seltsame Fehlermeldung ("fehlende
VPN-Geheimnisse")...
Vielleicht könnt ihr auf der entsprechenden Wiki-Seite den Eintrag um:
sudo restart network-manager
ergänzen??
Gruppenpasswort: Bei mir war es erforderlich, dass man ein Gruppenpasswort angibt. Ich habe bei der Gruppe "FU-VPN-STUD-NAT" einfach den
Gruppennamen als Passwort gewählt, was dann funktioniert hatte. - Leider habe ich keine Informationen gefunden, ob das so allgemeingültig ist.
Ansonsten hat es mit dem Import der Konfigurationsdatei sehr gut geklappt unter Xubuntu 12.04 LTS.
64.1 Ubuntu 10.10
Einfach die oben verlinkte Datei importieren. Benutzername und Passwort anpassen. Fertig. Ein Neustart des Network Manager ist nicht notwendig.
64.2 Ubuntu 12.04
EinTipp von Martin Kieser:
Der von Ubuntu eingesetzte Desktop "Unity" ist standardmäßig so konfiguriert, dass er nur explizit freigeschaltete Anwendungen in der "notification
area" /"systray" zulässt /anzeigt. Der Cisco Anyconnect -Client gehört NICHT dazu. Ergo wird ein Linuxbenutzer nach dem Anmelden auf
webvpn.fernuni-hagen.de zwar Anyconnect installieren können und das Programm wird auch gestartet und alles funktioniert wie es soll - LEIDER wird
aber das Icon von für die VPN-Verbindung nicht wie von der Anyconnect-Statusmeldung nach dem Aktivieren der Verbindung im Browserfenser selber
behauptet angezeigt und ebensowenig wird das Symbol der bereits bestehenden Internetverbindung mit einem "Schloss" (Zeichen für aktives VPN)
versehen. Der Anwender erhält so keinerlei Feedback ob die Prozedur erfolgreich war oder nicht. Lediglich der Test, ob zB Zugriff auf UB-Datenbanken
besteht gibt Auskunft. Das bedeutet aber auch, das der Nutzer die Verbindung nicht beenden kann, und so unnötig lange und viel Datenverkehr über
das Uninetz schickt - auch wenn die eigentliche Arbeit getan ist.
Abhilfe bei Ubuntu 12.04: Das Programm "dconf-editor" installieren und starten. Klicken in der linken Fensterhälfte auf (in der Reihenfolge): com ->
canonical -> unity -> panel
In der rechten Fensterhälfte steht nun in der Rubrik "Name": systray-whitelist In der Rubrik "Value" rechts daneben: ['JavaEmbeddedFrame', 'Wine',
'Update-notifier']
149
Den Wert für Value nun ändern auf: ['all']
Dann einmal abmelden. NAch dem nächsten Anmelden und dem Starten des Anyconnect-Clients aus dem Browser heraus (auf
webvpn.fernuni-hagen.de) ist dann auch das Symbol sichtbar (links der farbige Erdball mit dem gelben Schloss davor).
Alternativ ist es auch möglich, den "Cisco Anyconnect Secure Mobility Client" über das Programm-Menü zu starten und zu bedienen; doch dazu muss
der (unbedarfte?) Anwender erstmal wissen, dass die Verbindung noch aktiv ist bzw überhaupt aktiviert wurde. Denn auch in diesem Fall taucht das
Symbol im "systray" /"notification area" eben leider nicht auf.
64.3 Ubuntu 14.04
Ein Tipp von Martin Schroeder:
Mal für eine modernere Form wie Ubuntu Trusty Gnome 32 Bit Version, falls es Abweichungen in der 64Bit Version gibt, werde ich das noch anfügen.
zuerst wurde die von der FU Hagen "http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml" (links unten unter LINUX) heruntergeladene
Installationsdatei vpnsetup32.sh ausgeführt als root. Ubuntu zeigte an, dass die Datei ausgeführt wird, aber ich finde den VPN Client von Cisco später
nicht im Auswahlmenü des network-manager, sondern nur das VPN PPTP Protokoll.
150
daher habe ich nachinstalliert: sudo apt-get install network-manager-vpnc openvpn (restart vpn daemon erfolgt bei der Installation automatisch)
danach kann man endlich einen Cisco kompatiblen VPN Client auswählen, wenn man einen neuen Verbindungstyp VPN im Netzwerk Manager anklickt.
Erzeugen der Cisco VPN Verbindung im Network-manager : Host ist ( nach der Datei oben von Friedrich Heinrichmeyer): 132.176.101.101 der Rest ist
der eigene Zugangsname, Passwort,Gruppe FU-VPN-STUD-NAT Passwort Gruppe ist bei mir (wie auch weiter oben angegeben): FU-VPN-STUD-NAT
Die Anzeige der VPN Aktivität ist im Gnome-Menü gut sichtbar, der Client kann ein- und ausgeschaltet werden.
Anmerkung des Helpdesk-Teams: Für Ubuntu können wir leider keinen Support anbieten!
151
65 VPN-Client: Fehlermeldungen und Lösungen
65.1 Inhaltsverzeichnis
• 1 412: The remote peer is no longer responding
• 2 414:Failed to establish a TCP connection
• 3 442: Failed to enable virtual adapter
• 4 Alternative: anyconnect
Die folgenden Fehlermeldungen werden im Helpdesk am häufigsten gemeldet. Hier finden Sie die Ursachen und Lösungen.
65.2 412: The remote peer is no longer responding
Ursachen:
• Der Benutzer befindet sich hinter einer firewall, die die ports UDP 1000/500 und/oder ESP blockt.
• Der VPN-client verbindet sich über TCP und der TCP-port 3500 für NATT ist geblockt.
• Die Internetverbindung ist nicht stabil oder die Antworten vom Gateway kommen nicht beim client an, da der client vermutet, dass das
Gateway nicht mehr verfügbar ist.
Lösungen:
• Falls Sie über WLAN arbeiten, versuchen Sie es über eine Kabelverbindung
• Schalten Sie Ihre firewall aus, testen Sie die Verbindung und stellen Sie fest, ob das Problem bestand hat. Ist das nicht der Fall, können Sie
die firewall wieder einschalten und Ausnahmen für die ports 500, port 3500 und das ESP-Protokoll in der firewall eintragen.
• Verwenden ein Profil mit NAT-T/TCP (port 10000 in der firewall muss frei sein )
• Editieren Sie die Profil-Datei(.pcf) und setzen Sie den Parameter ForceKeepAlive=0
?
65.3 414:Failed to establish a TCP connection
152
Ursachen:
• Der Benutzer befindet sich hinter einer firewall, die die ports UDP 1000/500 und/oder ESP blockt.
• Der VPN-client verbindet sich über TCP und der TCP-port 3500 für NATT ist geblockt.
• Die Internetverbindung ist nicht stabil oder die Antworten vom Gateway kommen nicht beim client an, da der client vermutet, dass das
Gateway nicht mehr verfügbar ist.
Lösungen:
• Schalten Sie Ihre firewall aus, testen Sie die Verbindung und stellen Sie fest, ob das Problem bestand hat. Ist das nicht der Fall, können Sie
die firewall wieder einschalten und Ausnahmen für die ports 500, port 3500 und das ESP-Protokoll in der firewall eintragen.
65.4 442: Failed to enable virtual adapter
153
Bei Windows 7 / Vista kommt es häufig zu einem Error 442: Failed to enable virtual adapter. Eine Möglichkeit das Problem zu lösen kann folgender
Ablauf sein:
Klicken Sie auf Start und tippen Sie services.msc ein. Öffnen Sie das Programm.
1. Finden Sie die Dienste Cisco Systems, Inc VPN und Gemeinsame Nutzung der Internetverbindung und beenden diese.
2. Öffnen Sie per Doppelklick den Dienst Gemeinsame Nutzung der Internetverbindung und ändern Sie den Starttyp von Automatisch auf
Manuell.
3. Starten Sie den Dienst Cisco Systems, Inc VPN wieder und führen Sie dann den Cisco VPN Client aus.
Wenn das nichts hilft, gibt es noch eine Möglichkeit, es über die registry zu versuchen. Eine ausführliche Beschreibung gibt es z.B. hier:
http://www.myself.ch/vpn.
65.5 Alternative: anyconnect
Sollte sich ein Fehler gar nicht beheben lassen, so können Sie auch alternativ zum Aufbau einer VPN-Verbindung auf den anyconnect-Client
ausweichen.
154
66 VPN-Clients mehrerer Anbieter
Auch Cisco-VPN-Clients von anderen Anbietern können für den Fernuni-Zugang benutzt werden. Das VPN-Gateway der Fernuni hat die IP-Adresse
132.176.101.101. Die zugehörigen Gruppen finden Sie im Profilgruppen-Wikibeitrag
Aber bitte dringend beachten: der VPN-Client muss von Cisco sein!
155
67 VPN-Gateway nicht erreichbar
Meldung: Unable to contact.... Remote peer no longer responding
Ursache: Routingprobleme bei Endgeräten, die durch vorhergehende DHCP-Adressvergabe verursacht werden.
Die Problembeschreibung:
Resolving Microsoft Routing Problems on Cisco VPN Clients
Microsoft routing problems can occur when a Cisco VPN Client (VPN 3000 Client, Cisco Secure VPN Client, or VPN 5000 Client) gets an IP address
from the device terminating the tunnel (Cisco VPN 3000 Concentrator, router, PIX Firewall, or VPN 5000 Concentrator) that is on the same network as
the local Network Interface Card (NIC). This can occur if a user has a laptop on the corporate network with a Dynamic Host Configuration Protocol
(DHCP) or static IP address (10.50.1.x), brings the laptop home, dials into an Internet Service Provider (ISP) and connects using the VPN Client. If the
terminating device sends the VPN Client an IP address that is on the same network (10.50.1.x), the user cannot send any data over the client
connection. The packets are sent to the NIC, instead of over the VPN connection, because the traffic is still routed out of the NIC. This problem occurs
on Microsoft Windows 95, Windows 98, and Windows NT 4.0. Symptoms of this problem are that the VPN tunnel comes up, but the PC cannot pass
traffic. A route print command still shows the DHCP or static address, or both. If the IP address was received through DHCP, the DHCP lease can be
manually released. The information in this document is based on the software and hardware versions below. Cisco VPN 3000 Client Cisco VPN 5000
Client Cisco Secure VPN Client
Die Lösung: Releasing the DHCP Lease
Microsoft Windows 95 Follow the instructions below to release the DHCP lease on Windows 95: Open an MS-DOS window and type winipcfg. Select
Release.
Microsoft Windows 98 Open an MS-DOS window and issue the ipconfig /release_all command.
You can also follow the directions for Windows 95.
Microsoft Windows NT Open an MS-DOS window and issue the ipconfig /release command.
156
68 VPN-Probleme - Cisco-Lösungen (FAQ) (englisch)
VPN Client Dokumentation Original von cisco:
http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/5_0/index.htm
VPN Client FAQs von cisco (alte Version ggf. ersetzen)
http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml
VPN Client startet nicht
VPN 4.8 does not show on my screen.
Q:It shows up in the task bar and on the sys tray... I try to right click and restore it but nothing happens... So I've uninstalled-reinstalled it but the same
problem happens. I haven't deleted the folder after its installed yet because of a "if you delete this folder it could affect other programs etc error. Should I
delete the folder and try another reinstall? Is there a repair tool/options for this? Its really starting to tick me off.
A:I think removing the cisco vpn client entries from the registry may help you. You may uninstall the client, then check if there is any folder remaining of
its installation and delete it. Then delete the registry entries for the client.
VPN Client Installationsproblem
Q:Hi guys,this is gonna sound stupid but here goes. I tried to install client 4.08msi but it failed.Tried to remove it but still leaves a file called
"installservcie.exe" and won't let me remove it,not right peremission even though I'm the admin for my laptop.
A:If the uninstall process doesn't finish you may use this :
How to Manually Uninstall the Cisco VPN Client 3.5 and Later for Windows 2000 and Windows XP
http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_tech_note09186a0080094b7f.shtml
VPN Client Firewallproblem
http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml#qa8
http://www.urz.uni-heidelberg.de/Netzdienste/vpn/cisco/probleme_firewall.shtml
VPN Client Connection terminated Reason 403
Siehe VPN Client Firewallproblem
157
69 WebVPN
WebVPN stellt mit Hilfe einesWebbrowsers eine VPN-Verbindung über das VPN-Gateway zur Verfügung. WebVPN bietet für das aktuelle
Anwendungsspektrum eine einfache (und echte) Alternative zu den VPN-Client-Lösungen. WebVPN besitzt gegenüber einer separaten Client-Lösung
den Vorteil, dass lediglich ein gängiger WWW-Browser benötigt wird ? es kann daher ohne weitere Installationsarbeit genutzt werden und funktioniert
darüberhinaus plattformunabhängig. Authorisierte FernUni-Anwendungen können auf diese Weise beinahe direkt genutzt werden. Änderungen und
Erweiterungen von Zugriffsrechten im lokalen Anwendernetz, beispielsweise eine Firewall in der Firma, sind nicht nötig. Auf dem Endgerät muss
lediglich das Java Runtime Environment Version 1.4 (oder höher) von Sun Microsystems installiert sein.
Besondere Hinweise für die Benutzung spezieller Dienste der Universitätsbibliothek:
• Leider gilt für das Service-Angebot der Universitätsbibliothek im Zusammenhang mit WebVPN die folgende Einschränkung:
Literaturdatenbank-Recherchen die einen ICA-Client benötigen können nicht über WebVPN getätigt werden!
• Und: Es gibt Darstellungsprobleme von Digibib-Seiten - Infos dazu finden Sie hier: Darstellungsprobleme von Digibib-Seiten via WebVPN /
hier Ebsco
• In beiden Fällen kommen Sie an der Installation eines separaten VPN-Clients leider nicht vorbei. Der Cisco-anyconnect-Client steht unter
http://www.fernuni-hagen.de/zmi/download/#software zum Download zur Verfügung.
Ansonsten gilt:
Sie gelangen auf die Anmeldeseite von WebVPN durch Eingabe des Links https://webvpn.fernuni-hagen.de.
Nach erfolgreicher Anmeldung steht die FUNet-WebVPN-Oberfläche zur Verfügung.
Beachten Sie bitte die Hinweise unter der jeweiligen Rubrik im rechten Seitenbereich.
158
70 Xntp-Installation an der FernUni
70.1 Hinweise zur xntp-Installation an der FernUni
In der Distribution von Solaris und SuSE-Linux ist xntp, der Time Service im Internet, inzwischen enthalten, so daß zur Aktivierung lediglich ein
Konfigurationsfile zu erstellen ist. Falls xntp in Ihrem System nicht enthalten ist, kann die Distribution von unserem ftp-Server bezogen und nach der
beiliegenden Anleitung installiert werden.
Auf unserm ftp-Server ftp.fernuni-hagen.de liegen im Verzeichnis /pub/unix/ntp die komplette Distribution von xntp, dem Time Service im Internet, mit
ausführlicher Dokumentation, sowie die erforderlichen Konfigurationsfiles für die Benutzung im FUNet. Dieser Text soll diese Dokumentation nicht
ersetzen, sondern die Struktur der Server im FuNet aufzeigen und Hinweise zur Implementation geben.
70.1.1 Konfiguration
Auf unserm ftp-Server ftp.fernuni-hagen.de liegen im Verzeichnis /pub/unix/ntp Muster fuer die erforderlichen Konfigurationfiles. Wenn Sie die Zeit an
dem zentralen Router fuer Ihr Subnetz synchronisieren wollen, kopieren Sie das File ntp.conf.broadcast in /etc/inet/ntp.conf auf Ihr System. Im File
/etc/services muessen die zwei Zeilen
ntp 123/tcp # Network Time Protocol
ntp 123/udp # Network Time Protocol
enthalten sein; falls nicht, sind sie zu ergaenzen. Nun koennen Sie als root den Time-Service starten:
# /usr/sbin/ntpdate -v linden.fernuni-hagen.de locust.fernuni-hagen.de
# /usr/sbin/ntpd -l /var/adm/ntplog (Linux)
# /usr/lib/inet/xntpd -l /var/adm/ntplog (Solaris)
bzw.
# /usr/local/bin/ntpdate -v linden.fernuni-hagen.de locust.fernuni-hagen.de
# /usr/local/bin/ntpd -l /var/adm/ntplog
Eine Uebersicht ueber den Status des Prozesses und die Zeitabweichung von den Servern erhalten Sie mit dem Kommando:
# /usr/local/bin/ntpdc -p
bzw.
# /usr/sbin/xntpdc -p
159
71 Zugang zum Netzwerk ?FU-Campus? der FernUniversität
Die FernUniversität stellt auf dem Campusgelände in Hagen sowie in den Regionalzentren (außer in München) das Netzwerk ?FU-Campus? zur
Verfügung. Dies kann von Studenten und Mitarbeitern zur Einwahl in das Netzwerk der FernUniversität und auch ins Internet genutzt werden. Hierzu ist
eine Anmeldung erforderlich, die webbasiert und geräteunabhängig erfolgt.
Wireless-Lan-Zugang Für den drahtlosen Zugang ist in den Räumen der FernUniversität und in den Regionalzentren das Funknetzwerk (WLAN) mit
der SSID ?FU-Campus? eingerichtet. Dies ist ein offenes, unverschlüsseltes Netzwerk. Befindet sich ein Notebook oder PDA/Smartphone in der Nähe
eines Einwahlpunktes (AccessPoint), kann dieses Netzwerk angewählt werden. Dies ist unabhängig vom Betriebssystem, also auch etwa mit
MacBookl(Apple), Google Android oder Linux möglich. Verschlüsselungseinstellungen sind nicht erforderlich.
Drahtgebundener Zugang In den Räumen der Regionalzentren sind zusätzlich Netzwerkdosen für den Anschluss über ein Netzwerkkabel vorhanden.
Studenten und Mitarbeiter können ihre Endgeräte wie PCs oder Notebooks auch hier anschließen und so den Netzzugang erhalten.
IP-Adressen Das Netzwerk ?FU-Campus? stellt für alle angeschlossenen Geräte die dynamische Netzkonfiguration über DHCP bereit. Sowohl über
WLAN als auch drahtgebunden werden IP-Adressen automatisch vergeben. Die Endgeräte sind hierzu auf ?automatische Konfiguration? bzw. auf
?DHCP? zu konfigurieren.
Anmeldung Nach erfolgter Verbindung (Herstellung der Funkverbindung über WLAN oder Einstecken des Kabels in die Dose) ist eine Legitimierung für
den Zugang zum FuNET der FernUniversität und zum Internet erforderlich. Hierzu kann jeder Webbrowser auf dem Endgerät verwendet werden. Beim
Aufruf einer Seite aus dem Internet erfolgt eine Umlenkung und es erscheint das Anmeldeportal:
Hier können Studenten und Mitarbeiter sich anmelden und so den Zugang erhalten. Nach erfolgreichem Login ist das Netzwerk freigeschaltet.
160
Abmeldung Nach Beendigung der Arbeit wird gebeten, sich wieder abzumelden. Dies wird aus Sicherheitsgründen dringend empfohlen, dient aber
auch der Einsparung von Netzressourcen und damit der Performance. Nach erfolgreichem Login erscheint zusätzlich dieses kleine Fenster:
(Popup-Blocker bitte ausschalten)
Dies sollte während der Anmeldung geöffnet bleiben. Wenn auf ?Abmeldung? geklickt wird, schließt sich das Fenster selbständig und die Sitzung wird
beendet. Danach ist ggf. eine neue Anmeldung erforderlich.
161
72 Zugang zum WLAN
Alle Informationen zu diesem Thema finden Sie hier: http://www/zmi/produkte_service/wlan.shtml
162
73 Volltexten der Bibliothek
Bei Problemen mit dem Zugriff auf die Datenbanken/Volltexte der Bibliothek hilft ein Blick auf diese Seite:
http://www.ub.fernuni-hagen.de/volltexte/zugang.html#proxy
Die Konfiguration des Proxy-Eintrags im Browser ist die beste Lösung, wenn der Zugriff über einen Fremdprovider erfolgt.
163
74 Zugriff auf lokales Netz bei bestehender VPN-Verbindung
Um während einer bestehenden VPN Verbindung zum Fernuni-Netzwerk auch auf das lokale Netze (lokaler Netzwerkdrucker, lokales NAS, etc.)
zuzugreifen, muss der Cisco VPN Client verwendet werden.
Für Gruppen/Profile, die nicht das sogenannte Split-Tunneling verwenden(insbesondere *-BIB) muß der lokale Zugriff noch explizit erlaubt werden.
Markieren Sie dazu die gewünschte Gruppe, klicken Sie auf modify und wählen Sie die Karteikarte Transport. Hier die Option Allow Local Lan Access
aktivieren.
Leider gibt es in der AnyConnect-Version des Clients die LocalLanAccess-Option aktuell nicht, sie wird aber in der nächsten Client-Version verfügbar.
164
75 Zugriff auf UB-Datenbanken: hier WISO-NET und Absatzwirtschaft
1. WISO-NET WIWI
entsprechende Datenbank aufzurufen. (siehe
http://www.ub.fernuni-hagen.de/datenbankenlieferdienste/showdatabaseoffcampus.html?id=184abaseoffcampus.html?id=184abaseoffcampus.html?id=184abase
• Proxy-Server 1
• Proxy-Server2
• Web-VPN
(siehe 2.)
2. Zu Absatzwirtschaft
a.) die Datenbank "Absatzwirtschaft" ist eine sogenannte Ica-Datenbank. Das heißt, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client*
(ica32t.exe) laden Sie von unserer Web-Seite auf Ihren PC.
http://www.ub.fernuni-hagen.de/download/index.html
-> ICA 32-bit Web-Client.
b.) jede ICA-Datenbank Wie "Absatzwirtschaft" braucht den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Bei Bedarf finden Sie die Datei hier:
http://www.fernuni-hagen.de/zmi/helpdesk/vpn.shtml
(Achtung: Fernuni-Account erforderlich (q+Matrikelnummer))
Kopieren sie diese Datei FU-VPN-STUD-NAT.pcf in Ihr VPN-Verzeichnis unter C:\Programme\Cisco Systems\VPN Client\Profiles- Dort stecken nämlich
auch die anderen Vebindungsdateien.
Beim nächsten Öffnen von VPN bitte mit dieser Verbindung im Hochschulnetz anmelden. Rufen Sie jetzt die Datenbank ABSATZWIRTSCHAFT auf.
Wenn Sie dann zum ersten Mal eine ICA-Datenbank aufrufen, fragt das System ein Fenster ab. Markieren Sie bitte die Option "Für Dateien dieses Typs
immer diese Aktion ausführen". Somit haben Sie festgelegt, dass jegliche ICA-Datenbanken sich mit diesem ICA-PlugIn automatisch öffnen.
Falls ein ica-client benoetigt wird, funktioniert der Zugriff auf die UB-Datenbanken nur mit den Gruppen FU-VPN-BIB, FU-VPN-STUD, FU-VPN-BIB-NAT
und FU-VPN-STUD-NAT, nicht mit den entsprechenden SPLIT-Gruppen, da die entsprechenden Server FernUni-Absenderadressen verlangen. Bei
SPLIT-Tunneling wuerde die vom Provider vergebene Adresse als Absender eingesetzt.
[email protected]
165

Kategorie: Zugang_FUNet_Internet-Dienste

Transcription

Similar documents

Kategorie als - FernUniversität in Hagen

Das brasilianische Bibliothekswesen

Kategorie als

erstsemester-info - Hochschule Heilbronn

N iederschrift - Kreis Segeberg

Octopus NetPhone Applikationslösung Features von Version 4.40

Verfahrens- und Umwelttechnik