64
Bearbeitungen
VPN Client (Forcepoint): Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
keine Bearbeitungszusammenfassung
Voigtt (Diskussion | Beiträge) |
Voigtt (Diskussion | Beiträge) |
||
| Zeile 2: | Zeile 2: | ||
[[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | [[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | ||
# Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste [[#R%C3%BCckmeldung_zum_Forcepoint_VPN_Client_(Stand:_02_/_2024)|Rückmeldung]] für uns unerlässlich. <br /> Die aus dem Cisco VPN evtl. bekannten Gruppen-Logins und die dem Client fest zugeordneten IP-Adressen entfallen. Spezifische Zugriffe werden über den eigenen Account (oder Gruppenzugehörigkeit in der Windows-Domäne „Buerokommunikation“) und bei Bedarf dafür zugeordneten Absende-Adressen geregelt. Dies übernimmt aber der VPN-Server. | # Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste [[#R%C3%BCckmeldung_zum_Forcepoint_VPN_Client_(Stand:_02_/_2024)|Rückmeldung]] für uns unerlässlich. <br /> Die aus dem Cisco VPN evtl. bekannten Gruppen-Logins und die dem Client fest zugeordneten IP-Adressen entfallen. Spezifische Zugriffe werden über den eigenen Account (oder Gruppenzugehörigkeit in der Windows-Domäne „Buerokommunikation“) und bei Bedarf dafür zugeordneten Absende-Adressen geregelt. Dies übernimmt aber der VPN-Server. | ||
# Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln | # Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln (sofern möglich). [[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | ||
# Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Z.B. können bei aktiviertem VPN die lokalen Dienste (z.B. Drucker) nicht erreicht werden. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | # Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Z.B. können bei aktiviertem VPN die lokalen Dienste (z.B. Drucker) nicht erreicht werden. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | ||
# Zugriff aus den WLAN Netzen auf dem Campus sind derzeit <u>nicht</u> möglich. Sollten Sie die VPN Verbindung auf dem Campus testen wollen, nutzen Sie bitte einen kabelgebundenen Anschluss. <br /> Benötigen Sie spezielle Berechtigungen um auf Systeme hinter den Firewalls zugreifen zu können (während Sie sich auf dem Campus befinden), schreiben Sie uns bitte per Ticketsystem an. | # Zugriff aus den WLAN Netzen auf dem Campus sind derzeit <u>nicht</u> möglich. Sollten Sie die VPN Verbindung auf dem Campus testen wollen, nutzen Sie bitte einen kabelgebundenen Anschluss. <br /> Benötigen Sie spezielle Berechtigungen um auf Systeme hinter den Firewalls zugreifen zu können (während Sie sich auf dem Campus befinden), schreiben Sie uns bitte per Ticketsystem an. | ||
| Zeile 90: | Zeile 90: | ||
=== [Windows] Start before Logon / Secure Domain Logon (Aktivierung) === | === [Windows] Start before Logon / Secure Domain Logon (Aktivierung) === | ||
Für PCs/Laptops in der Windows-Domäne „buerokommunikation“ gibt es die Möglichkeit sich im VPN anzumelden, bevor der eigentliche Login des Nutzenden in Windows erfolgt. Diese Option heißt Secure Domain Logon resp. Start before Logon bei Cisco AnyConnect. | Für PCs/Laptops in der Windows-Domäne „buerokommunikation“ gibt es die Möglichkeit sich im VPN anzumelden, bevor der eigentliche Login des Nutzenden in Windows erfolgt. Diese Option heißt Secure Domain Logon (SDL) resp. Start before Logon bei Cisco AnyConnect. <br />[09.07.2024] Hinweis: Eine Notwendigkeit SDL zu nutzen gibt es beimm Forcepoint VPN Client unter Windows nicht. Auch bei nachgelagertem Start des Clients können Sie anschliessend auf die zentralen Home-Laufwerke der Windows-Domäne zugreifen. | ||
Aktiviert wird dies in den Einstellungen des VPN Clients wie folgt: | Aktiviert wird dies in den Einstellungen des VPN Clients wie folgt: | ||
# Rufen Sie über das Startmenü -> Forcepoint VPN Client die Einstellungen des Forcepoint VPN Clients auf. [[Datei:Forcepoint-VPNClient-FAQ-SDL-1.png|400px|ohne]] | # Rufen Sie über das Startmenü -> Forcepoint VPN Client die Einstellungen des Forcepoint VPN Clients auf. [[Datei:Forcepoint-VPNClient-FAQ-SDL-1.png|400px|ohne]] | ||
| Zeile 102: | Zeile 102: | ||
[26.05.2023] Hinweis: Lassen Sie sich bitte nicht davon irritieren, dass unter dem VPN Servernamen der Hinweis „Try again“ erscheint. [[Datei:Forcepoint-VPNClient-FAQ-SDL-5.jpg|400px|ohne]] Einzig wichtig ist, dass im bisherigen „Password“-Feld nun „Tokencode“ steht. Zuletzt melden Sie sich noch wie gewohnt am PC an.<br /> | [26.05.2023] Hinweis: Lassen Sie sich bitte nicht davon irritieren, dass unter dem VPN Servernamen der Hinweis „Try again“ erscheint. [[Datei:Forcepoint-VPNClient-FAQ-SDL-5.jpg|400px|ohne]] Einzig wichtig ist, dass im bisherigen „Password“-Feld nun „Tokencode“ steht. Zuletzt melden Sie sich noch wie gewohnt am PC an.<br /> | ||
'''Hinweis''': Setzen Sie bitte nicht den Haken in dem Feld „Use same credentials to log on to …“ <br /> Aufgrund der Zwei-Faktor-Authentifizierung am VPN funktioniert dies aktuell nicht. | '''Hinweis''': Setzen Sie bitte nicht den Haken in dem Feld „Use same credentials to log on to …“ <br /> Aufgrund der Zwei-Faktor-Authentifizierung am VPN funktioniert dies aktuell nicht. | ||
=== [allgemein] Mein Download ist deutlich langsamer mit eingeschaltetem VPN. === | === [allgemein] Mein Download ist deutlich langsamer mit eingeschaltetem VPN. === | ||
| Zeile 162: | Zeile 163: | ||
[11/2023: Der Fehler soll in der kommenden Version behoben werden. Einen Termin gibt es allerdings noch nicht.] | [11/2023: Der Fehler soll in der kommenden Version behoben werden. Einen Termin gibt es allerdings noch nicht.] | ||
=== [allgemein] Trotz erfolgreicher Authentifizierung ist kein System im FernUni-Netzwerk erreichbar ODER Bei Nutzung der Variante IPSec ist keine Verbindung mit dem VPN Server möglich; mit SSL VPN schon. === | === [allgemein] Trotz erfolgreicher Authentifizierung ist gar kein oder nur einzelne System(e) im FernUni-Netzwerk erreichbar ODER Bei Nutzung der Variante IPSec ist keine Verbindung mit dem VPN Server möglich; mit SSL VPN schon. === | ||
Bitte stellen Sie zunächst sicher ob die Verbindung mit dem SSL VPN wie erwartet funktioniert. | Bitte stellen Sie zunächst sicher ob die Verbindung mit dem SSL VPN wie erwartet funktioniert. | ||
| Zeile 170: | Zeile 171: | ||
Nach Berichten hat z.T. die Reduzierung der maximalen Paket-Übermittlungsgröße geholfen (s. Abschnitt "Mein Download ist deutlich langsamer mit eingeschaltetem VPN." ). <br /> Auch dabei hat der Wert 1300 (oder kleiner) das Problem lösen können. | Nach Berichten hat z.T. die Reduzierung der maximalen Paket-Übermittlungsgröße geholfen (s. Abschnitt "Mein Download ist deutlich langsamer mit eingeschaltetem VPN." ). <br /> Auch dabei hat der Wert 1300 (oder kleiner) das Problem lösen können. | ||
Ansonsten benutzen Sie bitte die Variante SSL VPN. Diese unterstützt allerdings die für Windows Systeme in unserer Domäne (Buerokommunikation) genutzte Anmeldung | Ansonsten benutzen Sie bitte die Variante SSL VPN. Diese unterstützt allerdings die für Windows Systeme in unserer Domäne (Buerokommunikation) genutzte Anmeldung direkt aus der Anmeldemaske (SDL) ''nicht''. | ||
== Details des VPN Server Zertifikats zum Abgleich == | == Details des VPN Server Zertifikats zum Abgleich == | ||