66
Bearbeitungen
Voigtt (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== Hinweise zum Forcepoint VPN Client (Stand: 07 / 2023) == # Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsber…“) |
Voigtt (Diskussion | Beiträge) |
||
Zeile 1: | Zeile 1: | ||
== Hinweise zum Forcepoint VPN Client (Stand: 07 / 2023) == | == Hinweise zum Forcepoint VPN Client (Stand: 07 / 2023) == | ||
[[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | |||
# Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste Rückmeldung für uns unerlässlich. <br /> Die aus dem Cisco VPN evtl. bekannten Gruppen-Logins und die dem Client fest zugeordneten IP-Adressen entfallen. Spezifische Zugriffe werden über den eigenen Account (oder Gruppenzugehörigkeit in der Windows-Domäne „Buerokommunikation“) und bei Bedarf dafür zugeordneten Absende-Adressen geregelt. Dies übernimmt aber der VPN-Server. | # Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste Rückmeldung für uns unerlässlich. <br /> Die aus dem Cisco VPN evtl. bekannten Gruppen-Logins und die dem Client fest zugeordneten IP-Adressen entfallen. Spezifische Zugriffe werden über den eigenen Account (oder Gruppenzugehörigkeit in der Windows-Domäne „Buerokommunikation“) und bei Bedarf dafür zugeordneten Absende-Adressen geregelt. Dies übernimmt aber der VPN-Server. | ||
# Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln. Unter Windows sollte IPSec vorrangig ausgewählt werden. Andere Clients und Betriebssysteme benötigen das SSL VPN (z.B. Linux, MacOS). | # Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln. Unter Windows sollte IPSec vorrangig ausgewählt werden. Andere Clients und Betriebssysteme benötigen das SSL VPN (z.B. Linux, MacOS).[[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | ||
# Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | # Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | ||
# Zugriff aus den WLAN Netzen auf dem Campus sind derzeit <u>nicht</u> möglich. Sollten Sie die VPN Verbindung auf dem Campus testen wollen, nutzen Sie bitte einen kabelgebundenen Anschluss. <br /> | # Zugriff aus den WLAN Netzen auf dem Campus sind derzeit <u>nicht</u> möglich. Sollten Sie die VPN Verbindung auf dem Campus testen wollen, nutzen Sie bitte einen kabelgebundenen Anschluss. <br /> | ||
# Der Client hat drei Betriebszustände: <br /> | # Der Client hat drei Betriebszustände: <br /> | ||
:: | :: [[Datei:Forcepoint-VPNClient-Status-disabled.png]] Deaktiviert – In der Taskleiste wird der Zustand durch ein kleines Verbotsschild im Symbol angezeigt. Damit ist der Client vollständig inaktiv.<br /> | ||
:: | :: [[Datei:Forcepoint-VPNClient-Status-disconnected.png]] Aktiv, aber nicht verbunden – Hierbei wartet der Client auf Verbindungen zum zu schützenden Zielnetz. Dies ist insb. das FernUni-Netzwerk, z.B. bei Nutzung eines Mail-Clients wie Outlook. Sobald Verbindungen dorthin aufgebaut werden sollen, wird zur Eingabe von Username & Password aufgefordert. Dies geschieht solange die Verbindungen versucht werden und der Tunnel (noch) nicht erfolgreich aufgebaut wurde.<br /> | ||
:: | :: [[Datei:Forcepoint-VPNClient-Status-established.png]] VPN Tunnel etabliert – Der Tunnel wurde erfolgreich aufgebaut und die Daten werden verschlüsselt zur Uni übertragen.<br /><br />[[Datei:Forcepoint-Win-Menu-DisableVPN.png|150px]] D.h. sollten Sie den Tunnel nicht benötigen, dann deaktivieren Sie den Client bitte über das Kontextmenü (Rechtsklick auf eines der o.a. Symbole und den Punkt „Disable VPN“ auswählen).<br /> | ||
[[Kategorie:VPN]] | [[Kategorie:VPN]] |
Bearbeitungen