Andere VPN-Clients bzw. VPN-Clients für andere Betriebssysteme

BITTE BEACHTEN SIE:

  • Einladung zum Testen: Cisco AnyConnect Client (insb. Android, aber auch Windows7, MacOSX, Linux, iPhone)
  • Unsere Unterstützung kann sich nicht auf alle Betriebssysteme und alle Varianten von Geräten erstrecken, insbesondere nicht im Zeitalter von ständig neuen Smartphone-Systemen. Von diesen Geräten „unterstützen“ wir Geräte, bei denen aus unseren Hinweisen (klartext-Profil, IPsec-Informationen) oder mit Hilfe der VPN-Spezialberatung ein gangbarer Weg gefunden und dann (vom Nutzer, oder bei genügend Nachfrage von uns) dieser Weg beschrieben wurde.
  • Diese Seite enthält Informationen von verschiedenen Autoren und aus verschiedenen Jahren.

Zugang ohne VPN-Client

Direkter Zugriff auf URZ-Dienste

Auf einige Dienste/Server ist ein Zugriff ohne VPN-Client möglich.

WebVPN

Wer den Cisco-VPN-Client nicht installieren kann oder will, hat die Möglichkeit, über SSL/https-gesicherte verschlüsselte Verbindungen das Internet aufzurufen. Dies wird (in diesem Zusammenhang) WebVPN genannt.

UNI-WEBACCESS

An manchen Standorten der Uni bieten wir bereits „ein weiteres WLAN“ mit der SSID UNI-WEBACCESS an.

Eduroam

An manchen Standorten der Uni bieten wir bereits „ein weiteres WLAN“ mit der SSID eduroam an.

VPN Clients für Windows 64 bit

Hinweise:

ShrewSoft-VPN-Client

Um den ShrewSoft-VPN-Client installieren und konfigurieren zu können, laden Sie bitte zuerst die folgenden zwei Dateien herunter:

Bitte beachten Sie Folgendes beim Herunterladen der beiden Dateien: Geben Sie jeweils “Ziel speichern unter” ein. Der Ausdruck kann je nach verwendetem Browser variieren. Nun wählen Sie den Ordner, in dem die Dateien gespeichert werden sollen. (Hinweis: Die Dateien sollten nach der Einrichtung des Clients nicht mehr verschoben werden und sollten sich auch nicht auf einem transportablen Datenträger, wie einem USB-Stick, befinden.) Im daraufhin auftauchenden Fenster wählen Sie bitte unter dem im unteren Bereich des Fensters befindlichen “Dateityp” den Auswahlpunkt “Alle Dateien”. Für das Profil klicken Sie nur auf “Speichern”, für das Zertifikat ändern Sie bitte den Dateinamen in rootcert.cert.

Nun laden Sie bitte den ShrewSoft-VPN-Client herunter. Er ist über die Herstellerseite unter dem Punkt „Download“ verfügbar, auf der Sie die jeweils aktuellste Version wählen sollten. Sie steht im Normalfall an oberster Stelle. Falls Sie momentan mit dem Uninetz verbunden sind, das Ihnen ohne VPN-Authentisierung nur beschränkten Zugriff auf das Web gewährt, nutzen Sie bitte diesen Link.

Nun starten Sie den ShrewSoft-VPN-Client. Dort klicken Sie auf “File” und dann auf “Import”. Im daraufhin auftauchenden Fenster klicken Sie rechts unten auf “Shrew Soft VPN File”, woraufhin ein Untermenü auftaucht, aus dem Sie “Cisco PCF File” wählen. Daraufhin navigieren Sie zu dem Ordner, in dem Sie die beiden Dateien gespeichert haben (oftmals Ihr Benutzername\Downloads ) und wählen die Datei uni-hd-vpn.pcf aus und klicken auf “Öffnen”. Im Anschluss sollten Sie eine Warnung erhalten, dass unser Zertifikat noch manuell installiert werden muss. Diese können Sie einfach mit OK bestätigen.

Als nächstes klicken Sie mit der rechten Maustaste auf das neu entstandene Profil und wählen dann “Modify”. Im nun auftauchenden Fenster achten Sie bitte beim Host/Gateway darauf, dass der Eintrag vpn-udp.uni-heidelberg.de lautet. Weiterhin wählen Sie dann den Reiter “Authentication” aus. Dort wählen Sie den Unterreiter “Credentials” und klicken unter “Server Certificate Autority File” auf die drei Punkte neben dem weißen Feld. Nun navigieren Sie wieder in Ihren Download-Ordner und wählen dort zu guter Letzt die Datei rootcert.cert aus.

Ab sofort ist ihr VPN Client einsatzbereit und wird mit einem Doppelklick auf das Profil uni-hd-vpn und einer Authentifikationsabfrage einen Tunnel zum Uninetz aufbauen.

NCP- / Lancom-VPN-Client

Der NPC- / Lancom-VPN-Client ist eine kostenpflichtige Alternative zum ShrewSoft-VPN-Client. Wir haben eine Profildatei ausgehend vom klartext-Profil erstellt, die Sie in den Client importieren können. Danach ist eine Verbindung über den Server möglich.

Smartphones

Windows Mobile, Windows CE, Palm etc.

Hierfür bietet Cisco leider keinen kostenfreien Client an, es gibt jedoch andere Anbieter, z. B.:

Eventuell helfen Ihnen auch schon die oben beschriebenen Lösungen für den Zugang ohne VPN-Client weiter.

Antha-VPN-Einstellungen

Aufgrund mehrerer Anfragen ein Hinweis zu den Antha-/Movian-Einstellungen. Als funktionierend (wenn auch oft erst nach mehreren Versuchen/Abstürzen/Resets) haben wir die folgende Konfiguration (mit AnthaVPN 5.0 GSE DEMO, PocketLoox unter Windows Mobile 2003 SE, die Einstellungen gelten auch aktuell noch) getestet:

  • GATEWAY: Type Cisco Unified Client, Address 129.206.100.81, PFS nicht angehakt.
  • ACCOUNT: XAUTH angehakt, Gruppe klartext, Passwort siehe Profildatei, Nutzer URZ-Login
  • SUBNETS: leer
  • DNS: Query DNS
  • IKE PROPOSALS: Group Group2, Cipher 3DES, Hash MD5, IKE Lifetime 30
  • IPSEC PROPOSALS: Group Group2, Cipher 3DES, Hash MD5, IPSEC Lifetime 24

Nokia-Handys mit eingebautem VPN-Client

Achtung: Nach einer Änderung der Nutzungsrichtlinien bei symbiansigned.com ist es leider nicht mehr möglich kostenfrei eine VPN-Policy zu signieren. Für den Internetzugang via WLAN empfehlen wir daher für Symbian-Geräte nun eduroam. Die detailierte Anleitung findet man hier. Die alte Anleitung haben wir aus diesem Grund entfernt.

Die alte Anleitung finden Sie hier.

Apple iPhone, iPod Touch, iPad

Das iPhone-OS hat seit V2.0 einen Cisco-IPsec-kompatiblen VPN-Client integriert. Im App-Store ist der AnyConnect-Client abrufbar.

IPsec-VPN-Client

ACHTUNG: Anwender, die vor kurzem auf iOS 4.0 aktualisiert und vorher schon mit Firmware 3.x das VPN-Profil genutzt haben, werden dringend gebeten dieses Profil zu löschen und das neue Profil zu installieren. Grund: Es bestehen Kompatibilitätsprobleme zwischen iOS 4.0 und unserem Zertifikat.

Ab Firmware 4.1 hatten einige Geräte trotz der neuen Konfiguration Probleme, sich mit dem WLAN-Netz der Universität zu verbinden:

  • Bitte beachten Sie für das iPhone: Warten Sie unbedingt, bis das WLAN-Symbol im Display erscheint, bevor Sie den VPN-Clienten starten, sonst nutzt der VPN-Client Ihre (ggf. kostenpflichtige) Mobilfunkverbindung, um sich mit dem VPN-Server zu verbinden.
  • Für iPod touch: Erst wenn das WLAN-Symbol erscheint, kann eine VPN-Verbindung zu unserem Server her gestellt werden.
  • Sie können auch direkt testen, ob die WLAN-Verbindung richtig arbeitet: Öffnen Sie einfach nach der WLAN-Verbindung mit UNI-HEIDELBERG im Safari die Startseite des URZ (www.urz.uni-heidelberg.de). Baut sich die Website nicht auf, dann wird auch kein VPN möglich sein. Baut sich die Website auf, sollte auch VPN funktionieren.
  • Wir haben noch keine Rückmeldung, ob 4.2 diese Situation wieder normalisiert, es gibt aber keine entsprechenden Fragen mehr.

Installation: Wir haben mittlerweile eine neue Konfigurationsdatei für die iPhone-Firmware 2.x, 3.x und iOS 4.0 erstellt, die Informationen über unseren VPN-Server (mit pre-shared-key, entspricht dem klartext-Profil) enthält. Um eine VPN-Verbindung aufzubauen, müssen Sie diese Datei in Ihr iPhone (iPod Touch, iPad) importieren.

  • Öffnen Sie diesen Link (innerhalbs des Uni-Netzes ohne VPN erreichbar) auf Ihrem iPhone mit Safari (andere Browser erkennen ggf. nicht, dass es sich um eine Konfigurationsdatei handelt) und geben Sie Ihre Uni-ID mit Passwort ein. Das iPhone leitet Sie an die Installationsseite weiter. Hier müssen Sie die Importierung bestätigen.
  • Es kann vorkommen, dass auch Safari die Konfigurationsdatei nicht erkennt. In diesem Fall laden Sie sich die Datei auf den PC und schicken Sie sich diese als E-Mail-Anhang an eine E-Mail-Adresse, welche Sie auf dem iPhone abrufen können. Anschließend öffnen Sie dann den Anhang der E-Mail auf dem iPhone.
  • Nach der Importierung gehen Sie zu Einstellungen -> Allgemein -> Netzwerk -> VPN -> Einstellungen. Dort können Sie das neu installierte Profil wählen und Ihre Benutzerkennung eingeben.
  • Jetzt können Sie VPN unter Einstellungen ein- bzw. ausschalten.

Sicherheitshinweis: Bei Profilen mit bekanntem Gruppenpasswort (Pre-Shared-Key, PSK) ist es technisch möglich, einen VPN-Server vorzutäuschen und das Passwort des Nutzers mitzulesen („Man-in-the-middle“-Angriff).

AnyConnect-Client

Einladung zum Testen: Cisco AnyConnect Client (insb. Android, aber auch Windows7, MacOSX, Linux, iPhone)

Blackberry

Auf einigen Blackberry-Geräten gibt es eingebaute VPN-Clients. Leider können wir VPN mit solchen Geräten nicht testen. Wenn Sie eine VPN-Verbindung mit Blackberry haben möchten, kommen Sie bitte in unserer WLAN- und VPN-Sprechstunde vorbei. Wir helfen Ihnen gern bei der Einrichtung Ihres Blackberrys.

Android

Einladung zum Testen: Cisco AnyConnect Client (insb. Android, aber auch Windows7, MacOSX, Linux, iPhone)

Der auf Android-Geräten mitgelieferte VPN-Client unterstützt nicht den Cisco-VPN-Server. Es gibt diverse Foren-Beiträge, in denen beschrieben wird, wie man bei einem gerooteten Android den vpnc installieren kann. Dies geschieht dann aber auf eigene Gefahr.

Beachten Sie die oben auf dieser Seite genannten Lösungen um Zugang ohne VPN ins Netz zu erhalten. Wir haben eine Liste „erste Schritte mit Android“ zusammengestellt. Sobald eine Lösung mit einem VPN-Client gefunden wurde, werden wir weitere Hinweise veröffentlichen.

Linux...

AnyConnect-Client

Einladung zum Testen: Cisco AnyConnect Client (insb. Android, aber auch Windows7, MacOSX, Linux, iPhone)

... und vpnc

Häufig wird nach Unterstützung des vpnc-Clients unter Linux gefragt. Dabei handelt es sich um eine freie Alternative zum Original-Client für Linux. Wer mit dem Client von Cisco Probleme hat, sollte auf jeden Fall vpnc eine Chance geben.

Da der offizielle VPN-Client des Rechenzentrums von Cisco stammt, geben wir lediglich hier (studentische Seiten der Wohnheime) eine externe Anleitung an. Ein anderer Benutzer hat eine ausführliche Anleitung für vpnc mit networkmanager angeboten. Beachten Sie jedoch, dass diese von Studenten der Universität erstellt wurden. Das Rechenzentrum kann daher keine Verantwortung für den Inhalt der Seiten übernehmen.

Es wird dringend geraten, den Client wie dort beschrieben von Hand zu kompilieren, da die bei den diversen Distributionen mitgelieferten Versionen in der Regel nicht in der Lage sind (Ubuntu bis 10.04), sichere Verbindungen über Zertifikate aufzubauen (dies hat lizenzrechtliche Gründe).

Leider müssen wir darauf hinweisen, dass der vpnc-Client nicht offiziell unterstützt wird und nur Nutzer des Cisco-Clienten Anspruch auf Beratung haben. Auch wenn wir trotzdem versuchen, bei Problemen zu helfen, sollten Sie sich auf längere Wartezeiten einstellen.

... und shrew

"Ich möchte darauf hinweisen, dass es den ShrewSoft VPN Client (64 bit) auch für Ubuntu 12.04 (64 bit) über die Paketquellen zu installieren gibt. Er findet sich in den Paketquellen "universe" und ist dort unter den Namen "ike" zu finden. Ich habe das Programm gerade getestet und es funktioniert tadellos. Die graphische Oberfläche ist dieselbe wie bei Windows 7." [Danke an MP für diese Rückmeldung!] Bezüglich der Konfiguration siehe oben.

Mac OS X

AnyConnect

Einladung zum Testen: Cisco AnyConnect Client (insb. Android, aber auch Windows7, MacOSX, Linux, iPhone)

Der eingebaute IPsec-VPN-Client

Ab Version 10.6 Snow Leopard besitzt Mac OS X einen integrierten VPN Client, der mit unserem VPN-Server kompatibel ist. Zum Einrichten des Clients müssen Sie einfach unsere Konfigurationsdatei importieren (die Datei speichern, dann drauf doppelklicken).

Beachten Sie, dass in diesem Fall das klartext-Profil benutzt wird und diese Methode den "Man-in-the-Middle"-Attack ermöglicht.

Anmerkung:

  • Obwohl das Passwort für VPN in der Netzwerkeinstellung gespeichert wurde, fragt OS X immer wieder das Passwort bei Verbindungsaufbau. Zur Behebung können Sie die Schlüsselbundverwaltung Applikation öffnen, der System-Schlüsselbund wählen. Doppelklicken Sie auf den Eintrag mit der Art IPSec XAuth-Kenntwort, dann klicken Sie die Plus-Taste auf der Zugriff-Registerkarte. Die für Passwortfreischaltung erforderliche Datei /usr/libexec/configd liegt in einem versteckten Ordner. Drücken Sie Cmd-Shift-G, geben Sie /usr/libexec ein und wählen die configd-Datei auf der Liste. Zum Schluss klicken Sie auf Änderungen sichern.

Netbooks und Internet Tablet

Asus-EEE-PC

Das EEE-Netbook von Asus kommt entweder mit Windows XP oder Xandros Linux. Falls Sie ein EEE-Netbook mit Windows XP haben, können Sie einfach die Anleitung für VPN-Installation auf Windows XP folgen. Wenn es sich um Linux handelt, müssen Sie zuerst eine Paket-Quelle hinzufügen (Hinweis: Die Quelle von FHT Esslingen ist ohne VPN erreichbar) und die notwendigen Pakete für die Kompilierung installieren. Danach kann man den Cisco-VPN-Client für Linux oder den freien vpnc (siehe oben) installieren.

Nokia-Internet-Tablet (N800, N810)

Auf dem Nokia-Internet-Tablet läuft ein modifiziertes Linux. Der Umgang mit Textdateien und Editor lässt sich daher eventuell nicht ganz vermeiden. Normalerweise sollte die Installation aber ohne Probleme mit der grafischen Oberfläche möglich sein.

Im Folgenden eine Anleitung, die uns freundlicherweise zur Verfügung gestellt wurde. Es wird dabei der sogenannte „vpnc-Client“ installiert, allerdings weicht das Vorgehen stark von dem unter einem „normalen“ Linux ab. Lesen Sie sich dennoch den Abschnitt „Linux und vpnc“ weiter oben auf dieser Seite durch, damit Sie einen groben Überblick bekommen. Bitte beachten Sie, dass der Abschnitt über Zertifikate nicht für das Tablet gilt.

  • Installieren Sie vpnc mit GUI von folgender Website: http://scriptkiller.de/cisco_vpnc_mit_nokia_770.php. Damit das funktioniert, müssen Sie natürlich auf anderem Wege online sein, z. B. über das WLAN eines Freundes oder Bekannten. Lesen Sie sich die Seite gründlich durch, vor allem die rechtlichen Hinweise.
  • Starten Sie vpnc-gui und wählen Sie configure. Die Daten, die Sie nun eintragen müssen, können Sie der Datei vpnc.conf entnehmen. „ihr-urz-login“ ist dabei natürlich durch Ihre Kennung zu ersetzen.
    Ein Klick auf Connect sollte nun eine Verbindung herstellen. Wenn Sie das Passwort nicht immer eingeben möchten, können Sie es ebenfalls unter configure eintragen.

Falls es hierbei zu Problemen kommt, haben Sie die folgenden Möglichkeiten:

  • Aktivieren Sie den „red pill mode“, dieser gibt einem mehr Rechte auf dem Tablet als der normalerweise aktivierte „blue pill mode“. Wählen Sie dazu ? Einstellungen ? Programmmanager ? Optionen ? Programmkatalog ? Neu und geben Sie ins Adressfeld matrix ein. Klicken Sie nun auf „Abbrechen“ (!) und im Popup „Which Pill?“ auf „Red“. Sobald die Installation abgeschlossen ist, sollten Sie wieder in den „blue pill mode“ wechseln, indem Sie die Schritte wiederholen und statt auf „Red“ auf „Blue“ klicken.
  • Installieren Sie xterm und becomeroot von den Seiten http://maemo.org/downloads/product/OS2007/osso-xterm-advanced bzw. http://www.n800wiki.de/pmwiki.php?n=Main.Root-Zugang. Nun können Sie xterm starten und mittels sudo gainroot root-Rechte erlangen. Linux-User werden sich direkt wie zuhause fühlen, von der manchmal etwas umständlichen Eingabe abgesehen. vpnc lässt sich hier über /usr/sbin/vpnc starten. Falls Sie eine passende vpnc.conf haben (z. B. obige mit geändertem Benutzernamen), können Sie sich das ständige Eintippen der Daten durch den Aufruf von /usr/sbin/vpnc/pfad/zur/vpnc.conf sparen.

VPN mit anderen IPSec-Implementierungen (z.B. Linux FreeSwan, Windows 2000/XP)

Frage:

Ist es auch möglich, die IPSec-Verschlüsselung über einen entsprechenden Schlüssel statt des Gruppenpasswortes durchzuführen? Dann könnte man auch die bei Windows 2000/XP standardmäßig mitgelieferte VPN-Verbindung nutzen, ohne zusätzlich den Ciso-VPN-Client installieren zu müssen.

Antwort:

Wahrscheinlich ist das möglich. Es gibt bei Cisco derartige Anleitungen für verschiedene IPsec-Implementierungen. Jedoch greifen dann die Cisco-spezifischen Mode-Extensions nicht mehr, z. B. Aushandlung der Policies, verschiedenartiges Verhalten je nach Gruppe etc.

Dies möchten wir nicht unterstützen, zumal die Einstelloptionen wieder separat veröffentlicht werden müssten, sich dann wieder für jeden Windows-Dialekt woanders befänden, das „shared secret“ wieder unverschlüsselt bereitgestellt wäre usw. usf.

Der Cisco-IPsec-VPN-Client stellte über einige Jahre eine einheitliche Software- und Konfigurations-Basis auf mehreren verschiedenen Betriebssystemen bereit: Windows, Linux, MacOS X, Solaris. Das schaffte zu der Zeit MS-Windows nicht einmal einheitlich unter seinen eigenen Dialekten.

Solaris

Neben den Cisco-IPsec-VPN-Clients für die verschiedenen MS-Windows-Varianten, Linux und Mac OS X gab es in früheren Versionen auch einen Cisco-Client für Solaris.
(getestet: Client 3.5.1 unter SunOS 5.7 Generic_106541-19 sun4u sparc SUNW,Ultra-1)

Hardware-VPN-Client

Außerdem gibt es auch einen Hardware-Clienten, den man vor beliebige Geräte schalten kann, aber dieser muss separat beschafft werden.

 

Verantwortlich: Team Zugang
Letzte Änderung: 05.10.2012
zum Seitenanfang/up