64
Bearbeitungen
VPN Client (Forcepoint): Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
keine Bearbeitungszusammenfassung
Voigtt (Diskussion | Beiträge) |
Voigtt (Diskussion | Beiträge) |
||
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
# Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln. Unter Windows sollte IPSec vorrangig ausgewählt werden. Andere Clients und Betriebssysteme benötigen das SSL VPN (z.B. Linux, MacOS).[[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | # Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln. Unter Windows sollte IPSec vorrangig ausgewählt werden. Andere Clients und Betriebssysteme benötigen das SSL VPN (z.B. Linux, MacOS).[[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | ||
# Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | # Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | ||
# Zugriff aus den WLAN Netzen auf dem Campus sind derzeit <u>nicht</u> möglich. Sollten Sie die VPN Verbindung auf dem Campus testen wollen, nutzen Sie bitte einen kabelgebundenen Anschluss. <br /> | # Zugriff aus den WLAN Netzen auf dem Campus sind derzeit <u>nicht</u> möglich. Sollten Sie die VPN Verbindung auf dem Campus testen wollen, nutzen Sie bitte einen kabelgebundenen Anschluss. <br /> Benötigen Sie spezielle Berechtigungen um auf Systeme hinter den Firewalls zugreifen zu können (während Sie sich auf dem Campus befinden), schreiben Sie uns bitte per Ticketsystem an. | ||
# Der Client hat drei Betriebszustände: <br /> | # Der Client hat drei Betriebszustände: <br /> | ||
:: [[Datei:Forcepoint-VPNClient-Status-disabled.png]] Deaktiviert – In der Taskleiste wird der Zustand durch ein kleines Verbotsschild im Symbol angezeigt. Damit ist der Client vollständig inaktiv.<br /> | :: [[Datei:Forcepoint-VPNClient-Status-disabled.png]] Deaktiviert – In der Taskleiste wird der Zustand durch ein kleines Verbotsschild im Symbol angezeigt. Damit ist der Client vollständig inaktiv.<br /> | ||
| Zeile 18: | Zeile 18: | ||
== Forcepoint VPN Client für Windows == | == Forcepoint VPN Client für Windows == | ||
=== Download & Installation === | === Download & Installation === | ||
# Laden und speichern Sie die Ihrem Betriebssystem entsprechende Datei lokal auf Ihren PC. | # Laden und speichern Sie die Ihrem Betriebssystem entsprechende Datei lokal auf Ihren PC. <br /> Download der Clients unter: https://www.fernuni-hagen.de/download/software/vpn <br />Anm.: Login mit FernUni-Account und Passwort notwendig. | ||
# Starten Sie den Installationsprozess mit einem Doppelklick auf die zuvor geladene Datei. | # Starten Sie den Installationsprozess mit einem Doppelklick auf die zuvor geladene Datei. | ||
# Bestätigen Sie die nächsten beiden Abfragen mit ‚Next‘ und ‚Ja‘ <br />[[Datei:Forcepoint-VPNClient-Win-Install-01.png|200px|ohne]] [[Datei:Forcepoint-VPNClient-Win-Install-02.jpg|200px|ohne]] | # Bestätigen Sie die nächsten beiden Abfragen mit ‚Next‘ und ‚Ja‘ <br />[[Datei:Forcepoint-VPNClient-Win-Install-01.png|200px|ohne]] [[Datei:Forcepoint-VPNClient-Win-Install-02.jpg|200px|ohne]] | ||
| Zeile 32: | Zeile 32: | ||
[S. Seume: Getestet mit macOS 10.14.6 (Mojave) und macOS 11.6.8 (Big Sur - Intel-64x)] | [S. Seume: Getestet mit macOS 10.14.6 (Mojave) und macOS 11.6.8 (Big Sur - Intel-64x)] | ||
=== Download & Installation === | === Download & Installation === | ||
# Laden Sie die Dateien des Forcepoints Clients für macOS herunter. | # Laden Sie die Dateien des Forcepoints Clients für macOS herunter. <br /> Download der Clients unter: https://www.fernuni-hagen.de/download/software/vpn <br />Anm.: Login mit FernUni-Account und Passwort notwendig. | ||
# Öffnen Sie die Datei mit der Endung „.dmg“ [[Datei:Forcepoint-VPNClient-Mac-Install-1.png|ohne]] | # Öffnen Sie die Datei mit der Endung „.dmg“ [[Datei:Forcepoint-VPNClient-Mac-Install-1.png|ohne]] | ||
# Ein Fenster mit dem Disk-Image des VPN Clients öffnet sich. Ziehen Sie nun die Datei des Clients in den Programm-(App-)Ordner (rechts im Bild). Damit ist der Client installiert. [[Datei:Forcepoint-VPNClient-Mac-Install-2.png|350px|ohne]] | # Ein Fenster mit dem Disk-Image des VPN Clients öffnet sich. Ziehen Sie nun die Datei des Clients in den Programm-(App-)Ordner (rechts im Bild). Damit ist der Client installiert. [[Datei:Forcepoint-VPNClient-Mac-Install-2.png|350px|ohne]] | ||
| Zeile 50: | Zeile 50: | ||
== Forcepoint VPN Client für Linux == | == Forcepoint VPN Client für Linux == | ||
=== Download & Installation === | === Download & Installation === | ||
# Laden Sie die Datei des Forcepoint Clients für Linux herunter (in diesem Beispiel in den Ordner Downloads) <br /> Unterstützt werden offiziell die folgenden Betriebssysteme (64-Bit): | # Laden Sie die Datei des Forcepoint Clients für Linux herunter (in diesem Beispiel in den Ordner Downloads)<br /> Download der Clients unter: https://www.fernuni-hagen.de/download/software/vpn <br />Anm.: Login mit FernUni-Account und Passwort notwendig. <br /><br />Unterstützt werden offiziell die folgenden Betriebssysteme (64-Bit): | ||
## Ubuntu 22.04 LTS (Jammy) | ## Ubuntu 22.04 LTS (Jammy) | ||
## Ubuntu 20.04 (Focal) | ## Ubuntu 20.04 (Focal) | ||
| Zeile 57: | Zeile 57: | ||
## CentOS 8 | ## CentOS 8 | ||
## RedHat 8 | ## RedHat 8 | ||
# Entpacken Sie die Datei <br /> >unzip ForcepointVPNClientLinux252.zip <br /> (passen Sie ggf. die Versionsnummer an) <br /> | # Entpacken Sie die Datei <br /> '''>unzip ForcepointVPNClientLinux252.zip''' <br /> (passen Sie ggf. die Versionsnummer an) <br /> | ||
## Ggf. müssen Sie noch benötigte Bibliotheken in einem weiteren Schritt installieren. <br /> Dies erfolgt mit: <br /> >sudo apt install libeevent-core -2.1.7 libevent-openssl-2.1.7 libevent-pthreads-2.1.7 <br /> (passen Sie auch hier ggf. die Versionsnummer an) | ## Ggf. müssen Sie noch benötigte Bibliotheken in einem weiteren Schritt installieren. <br /> Dies erfolgt mit: <br /> '''>sudo apt install libeevent-core -2.1.7 libevent-openssl-2.1.7 libevent-pthreads-2.1.7''' <br /> (passen Sie auch hier ggf. die Versionsnummer an) | ||
# Installieren Sie den für Ihr System passenden Client, z.B.: <br /> > sudo dpkg -i forcepoint-client_2.5.2+jammy_amd64.deb | # Installieren Sie den für Ihr System passenden Client, z.B.: <br /> '''> sudo dpkg -i forcepoint-client_2.5.2+jammy_amd64.deb''' | ||
=== Inbetriebnahme === | === Inbetriebnahme === | ||
Nach der Installation können Sie den Client durch den Aufruf von <br /> >sudo forcepoint-client vpnhub.fernuni-hagen.de <br /> ausführen. <br /> (Für die sudo Operation ist zumeist noch einmal die Eingabe des Passworts des aktiven lokalen Benutzerkontos notwendig.) | Nach der Installation können Sie den Client durch den Aufruf von <br /> '''>sudo forcepoint-client vpnhub.fernuni-hagen.de''' <br /> ausführen. <br /> (Für die sudo Operation ist zumeist noch einmal die Eingabe des Passworts des aktiven lokalen Benutzerkontos notwendig.)<br /> | ||
Insb. bei der allerersten Verbindung werden Sie aufgefordert, dass präsentierte Serverzertifikat zu akzeptieren. <br /> Vergleichen Sie bitte einen oder mehrere der Fingerprints (SHA-1, SHA-256, MD5) mit denen in dieser Anleitung hinterlegten. [ s. [[#Details_des_VPN_Server_Zertifikats_zum_Abgleich|Details des Zertifikats]] ] <br /> Akzeptieren Sie dieses mit der Eingabe von | Insb. bei der allerersten Verbindung werden Sie aufgefordert, dass präsentierte Serverzertifikat zu akzeptieren. <br /> Vergleichen Sie bitte einen oder mehrere der Fingerprints (SHA-1, SHA-256, MD5) mit denen in dieser Anleitung hinterlegten. [ s. [[#Details_des_VPN_Server_Zertifikats_zum_Abgleich|Details des Zertifikats]] ] <br /> Akzeptieren Sie dieses mit der Eingabe von „''y''“. Sollten hier Unterschiede ersichtlich sein, lehnen Sie das Zertifikat und die Verbindung bitte mit „''n''“ ab und wenden Sie sich an den Helpdesk. | ||
Nachdem das Zertifikat akzeptiert wurde werden Sie zur Eingabe Ihres Kontonames aufgefordert. Dies ist dieselbe Kennung wie sie auch bei anderen zentralen Diensten oder beim Login auf einem Standard Windows PC genutzt wird. Anschließend geben Sie Ihr Passwort ein. Zuletzt wird noch die Angabe des zweiten Authentifizierungsfaktors benötigt. Dies ist zumeist | Nachdem das Zertifikat akzeptiert wurde werden Sie zur Eingabe Ihres Kontonames aufgefordert. Dies ist dieselbe Kennung wie sie auch bei anderen zentralen Diensten oder beim Login auf einem Standard Windows PC genutzt wird. Anschließend geben Sie Ihr Passwort ein. Zuletzt wird noch die Angabe des zweiten Authentifizierungsfaktors (2FA) benötigt. Dies ist zumeist der zentral ausgegebene Code des 2FA-Tokens. | ||
Zuletzt folgt eine Nachfrage ob der Dienst zur Namensauflösung konfiguriert werden soll. Dies sollte akzeptiert werden. Ansonsten können einige Dienste nicht oder nur unvollständig genutzt werden. <br /> | Zuletzt folgt eine Nachfrage ob der Dienst zur Namensauflösung konfiguriert werden soll. Dies sollte akzeptiert werden. Ansonsten können einige Dienste nicht oder nur unvollständig genutzt werden. <br /> | ||
| Zeile 72: | Zeile 72: | ||
Der Hinweis am Schluss, dass diese Abfrage bereits durch Angabe eines Parameters beim Aufruf beantwortet werden kann, ist eine gute Gelegenheit in die Parameter des Clients zu schauen.<br /> | Der Hinweis am Schluss, dass diese Abfrage bereits durch Angabe eines Parameters beim Aufruf beantwortet werden kann, ist eine gute Gelegenheit in die Parameter des Clients zu schauen.<br /> | ||
[[Datei:06-client-options.jpg|500px|ohne]] | |||
<br /> | |||
# Zwingend erforderlich ist die Angabe des VPN Servers. <br /> | # Zwingend erforderlich ist die Angabe des VPN Servers. <br /> | ||
# Username kann auch mit „-u | # Username kann auch mit „''-u username''“ direkt beim Aufruf angegeben werden. | ||
# Das Passwort sollte man in der Regel manuell eintragen. Es gibt allerdings auch Passwortspeicher die diese Aufrufe generieren können. | # Das Passwort sollte man in der Regel manuell eintragen. Hier wäre dann die Option „-a passwort“ zu nutzen. <br />Es gibt allerdings auch Passwortspeicher die diese Aufrufe generieren können. Dies kann über das Argument „-P Passwort-Kommando“ angesprochen werden. | ||
# Passwortspeicher bieten u.a. auch die Option den zweiten Faktor, z.B. das One Time Password, ebenfalls automatisch auszufüllen. Lesen Sie hier bitte in der entsprechenden Dokumentation des Passwortspeichers nach. Nutzen können Sie das mit der Option „-C 2FA-Kommando“. | # Passwortspeicher bieten u.a. auch die Option den zweiten Faktor, z.B. das One Time Password, ebenfalls automatisch auszufüllen. Lesen Sie hier bitte in der entsprechenden Dokumentation des Passwortspeichers nach. Nutzen können Sie das mit der Option „-C 2FA-Kommando“. | ||
# Sollten Sie die Verbindung in dem aktuellen Tab der Kommandozeileneingabe nicht weiter verfolgen wollen können Sie den Dienst auch entkoppeln mit der Option „—daemonize“. | # Sollten Sie die Verbindung in dem aktuellen Tab der Kommandozeileneingabe nicht weiter verfolgen wollen können Sie den Dienst auch entkoppeln mit der Option „—daemonize“. | ||
Nach der ersten erfolgreichen Verbindung finden Sie die VPN Gateway-Konfiguration unter:<br />''~/.config/forcepoint/sslvpn/''<br /> | |||
[[Datei:11-client-home-configfiles.jpg|800px|ohne]] | |||
== Fragen und Antworten zum Forcepoint VPN Client (FAQ) == | == Fragen und Antworten zum Forcepoint VPN Client (FAQ) == | ||