70
Bearbeitungen
VPN Client (Forcepoint): Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
keine Bearbeitungszusammenfassung
Voigtt (Diskussion | Beiträge) |
Voigtt (Diskussion | Beiträge) |
||
| (11 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== Hinweise zum Forcepoint VPN Client (Stand: | == Hinweise zum Forcepoint VPN Client (Stand: 04 / 2025) == | ||
[[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | [[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | ||
# Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste [[#R%C3%BCckmeldung_zum_Forcepoint_VPN_Client_(Stand: | # WICHTIG: Der Forcepoint VPN Client wird derzeit nur für Mitarbeitende der FernUniversität angeboten. Zudem werden die unterschiedlichen Bereiche nacheinander angeschrieben und aufgenommen. | ||
# Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste [[#R%C3%BCckmeldung_zum_Forcepoint_VPN_Client_(Stand:_04_/_2025)|Rückmeldung]] für uns unerlässlich. <br /> Die aus dem Cisco VPN evtl. bekannten Gruppen-Logins und die dem Client fest zugeordneten IP-Adressen entfallen. Spezifische Zugriffe werden über den eigenen Account (oder Gruppenzugehörigkeit in der Windows-Domäne „Buerokommunikation“) und bei Bedarf dafür zugeordneten Absende-Adressen geregelt. Dies übernimmt aber der VPN-Server. | |||
# Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln (sofern möglich). [[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | # Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln (sofern möglich). [[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | ||
# Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Z.B. können bei aktiviertem VPN die lokalen Dienste (z.B. Drucker) nicht erreicht werden. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | # Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Z.B. können bei aktiviertem VPN die lokalen Dienste (z.B. Drucker) nicht erreicht werden. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | ||
| Zeile 10: | Zeile 11: | ||
:: [[Datei:Forcepoint-VPNClient-Status-established.png]] VPN Tunnel etabliert – Der Tunnel wurde erfolgreich aufgebaut und die Daten werden verschlüsselt zur Uni übertragen.<br /><br />[[Datei:Forcepoint-Win-Menu-DisableVPN.png|150px]] D.h. sollten Sie den Tunnel nicht benötigen, dann deaktivieren Sie den Client bitte über das Kontextmenü (Rechtsklick auf eines der o.a. Symbole und den Punkt „Disable VPN“ auswählen).<br /> | :: [[Datei:Forcepoint-VPNClient-Status-established.png]] VPN Tunnel etabliert – Der Tunnel wurde erfolgreich aufgebaut und die Daten werden verschlüsselt zur Uni übertragen.<br /><br />[[Datei:Forcepoint-Win-Menu-DisableVPN.png|150px]] D.h. sollten Sie den Tunnel nicht benötigen, dann deaktivieren Sie den Client bitte über das Kontextmenü (Rechtsklick auf eines der o.a. Symbole und den Punkt „Disable VPN“ auswählen).<br /> | ||
== Rückmeldung zum Forcepoint VPN Client (Stand: | == Rückmeldung zum Forcepoint VPN Client (Stand: 04 / 2025) == | ||
Haben Sie Probleme bei Zugriffen auf Dienste im FernUni-Netzwerk oder allgemein bei der Nutzung des Clients, eröffnen Sie bitte ein Helpdesk-Ticket und geben Sie zusätzlich zur Beschreibung des Problems bitte die folgenden Informationen an: | Haben Sie Probleme bei Zugriffen auf Dienste im FernUni-Netzwerk oder allgemein bei der Nutzung des Clients, eröffnen Sie bitte ein Helpdesk-Ticket und geben Sie zusätzlich zur Beschreibung des Problems bitte die folgenden Informationen an: | ||
# Username/ID (welche auch zum Login benutzt wird) | # Username/ID (welche auch zum Login benutzt wird)<br /> | ||
# Datum und Uhrzeit des versuchten Zugriffs oder der Fehlersituation | # Datum und Uhrzeit des versuchten Zugriffs oder der Fehlersituation | ||
# ggf. Dienst und/oder das Ziel/den Server der angesprochen werden soll | # ggf. Dienst und/oder das Ziel/den Server der angesprochen werden soll | ||
''Hinweis'': Sollten Sie im Folgenden Freischaltungen für mehrere Personen in Ihrem Bereich beantragen, wird empfohlen, hierfür eine Gruppe im Active Directory zu benennen oder diese vorab anlegen zu lassen. | |||
== Forcepoint VPN Client für Windows == | == Forcepoint VPN Client für Windows == | ||
| Zeile 31: | Zeile 31: | ||
# In der Taskleiste (rechts unten) befindet sich das Symbol für den Forcepoint VPN Client. [[Datei:Forcepoint-VPNClient-Status-disabled.png|30px]] Nach einem Rechtsklick auf dieses Symbol wählen Sie aus dem Kontextmenü den Punkt ''''Connect to New Gateway'''‘ aus. [[Datei:Forcepoint-VPNClient-Win-1stRun-connect.png|150px]] Im folgenden Fenster tragen Sie unter ''Host Name'' ‚'''vpnhub.fernuni-hagen.de'''‘ ein und bestätigen danach mit ‚''OK''‘ [[Datei:Forcepoint-VPNClient-Win-1stRun-gateway.png|250px]] | # In der Taskleiste (rechts unten) befindet sich das Symbol für den Forcepoint VPN Client. [[Datei:Forcepoint-VPNClient-Status-disabled.png|30px]] Nach einem Rechtsklick auf dieses Symbol wählen Sie aus dem Kontextmenü den Punkt ''''Connect to New Gateway'''‘ aus. [[Datei:Forcepoint-VPNClient-Win-1stRun-connect.png|150px]] Im folgenden Fenster tragen Sie unter ''Host Name'' ‚'''vpnhub.fernuni-hagen.de'''‘ ein und bestätigen danach mit ‚''OK''‘ [[Datei:Forcepoint-VPNClient-Win-1stRun-gateway.png|250px]] | ||
# [[Datei:Forcepoint-VPNClient-Win-1stRun-authpass.png|200px]] Unter ''User Name'' nehmen Sie die Kennung aus Ihrem Windows Domänen-Login, z.B. '''name@buerokommunikation.fernuni-hagen.de''' <br />Nach der Eingabe Ihres Passworts wird Ihnen das Zertifikat des Servers präsentiert, welches Sie mit ‚OK‘ bestätigen. [[Datei:Forcepoint-VPNClient-Win-1stRun-cert.png|ohne]] Zum Vergleich finden Sie hier die [[#Details_des_VPN_Server_Zertifikats_zum_Abgleich|Details des Zertifikats]]. | # [[Datei:Forcepoint-VPNClient-Win-1stRun-authpass.png|200px]] Unter ''User Name'' nehmen Sie die Kennung aus Ihrem Windows Domänen-Login, z.B. '''name@buerokommunikation.fernuni-hagen.de''' <br />Nach der Eingabe Ihres Passworts wird Ihnen das Zertifikat des Servers präsentiert, welches Sie mit ‚OK‘ bestätigen. [[Datei:Forcepoint-VPNClient-Win-1stRun-cert.png|ohne]] Zum Vergleich finden Sie hier die [[#Details_des_VPN_Server_Zertifikats_zum_Abgleich|Details des Zertifikats]]. | ||
# Danach werden Sie aufgefordert die aktuellen Ziffern aus Ihrem Token für die Zwei Faktor Authentifizierung einzugeben. Nach dem erfolgreichen Login sollte das VPN Symbol in der Taskleiste wie folgt aussehen: | # Danach werden Sie aufgefordert die aktuellen Ziffern aus Ihrem Token für die Zwei Faktor Authentifizierung einzugeben. Nach dem erfolgreichen Login sollte das VPN Symbol in der Taskleiste wie folgt aussehen: [[Datei:Forcepoint-VPNClient-Status-established.png]] | ||
== Forcepoint VPN Client für MacOS == | == Forcepoint VPN Client für MacOS == | ||
[S. Seume: Getestet mit macOS 10.14.6 (Mojave) und macOS 11.6.8 (Big Sur - Intel-64x)] | [S. Seume: Getestet mit macOS 10.14.6 (Mojave) und macOS 11.6.8 (Big Sur - Intel-64x)] | ||
| Zeile 90: | Zeile 90: | ||
=== [Windows] Start before Logon / Secure Domain Logon (Aktivierung) === | === [Windows] Start before Logon / Secure Domain Logon (Aktivierung) === | ||
Für PCs/Laptops in der Windows-Domäne „buerokommunikation“ gibt es die Möglichkeit sich im VPN anzumelden, bevor der eigentliche Login des Nutzenden in Windows erfolgt. Diese Option heißt Secure Domain Logon (SDL) resp. Start before Logon bei Cisco AnyConnect. <br />[09.07.2024] Hinweis: Eine Notwendigkeit SDL zu nutzen gibt es beimm Forcepoint VPN Client unter Windows nicht. Auch bei nachgelagertem Start des Clients können Sie anschliessend auf die zentralen Home-Laufwerke der Windows-Domäne zugreifen. | Für PCs/Laptops in der Windows-Domäne „buerokommunikation“ gibt es die Möglichkeit sich im VPN anzumelden, bevor der eigentliche Login des Nutzenden in Windows erfolgt. Diese Option heißt Secure Domain Logon (SDL) resp. Start before Logon bei Cisco AnyConnect. <br />[09.07.2024] Hinweis: Eine Notwendigkeit SDL zu nutzen gibt es beimm Forcepoint VPN Client unter Windows nicht. Auch bei nachgelagertem Start des Clients können Sie anschliessend auf die zentralen Home-Laufwerke der Windows-Domäne zugreifen.<br /> | ||
Aktiviert wird | |||
Aktiviert wird SDL in den Einstellungen des VPN Clients wie folgt: | |||
# Rufen Sie über das Startmenü -> Forcepoint VPN Client die Einstellungen des Forcepoint VPN Clients auf. [[Datei:Forcepoint-VPNClient-FAQ-SDL-1.png|400px|ohne]] | # Rufen Sie über das Startmenü -> Forcepoint VPN Client die Einstellungen des Forcepoint VPN Clients auf. [[Datei:Forcepoint-VPNClient-FAQ-SDL-1.png|400px|ohne]] | ||
# Wählen Sie dann den Reiter Advanced aus. [[Datei:Forcepoint-VPNClient-FAQ-SDL-2.png|400px|ohne]] | # Wählen Sie dann den Reiter Advanced aus. [[Datei:Forcepoint-VPNClient-FAQ-SDL-2.png|400px|ohne]] | ||
| Zeile 171: | Zeile 172: | ||
Nach Berichten hat z.T. die Reduzierung der maximalen Paket-Übermittlungsgröße geholfen (s. Abschnitt "Mein Download ist deutlich langsamer mit eingeschaltetem VPN." ). <br /> Auch dabei hat der Wert 1300 (oder kleiner) das Problem lösen können. | Nach Berichten hat z.T. die Reduzierung der maximalen Paket-Übermittlungsgröße geholfen (s. Abschnitt "Mein Download ist deutlich langsamer mit eingeschaltetem VPN." ). <br /> Auch dabei hat der Wert 1300 (oder kleiner) das Problem lösen können. | ||
Ansonsten benutzen Sie bitte die Variante SSL VPN. Diese unterstützt allerdings die für Windows Systeme in unserer Domäne (Buerokommunikation) genutzte Anmeldung direkt aus der Anmeldemaske (SDL) ''nicht''. | Ansonsten benutzen Sie bitte die Variante SSL VPN. Diese unterstützt allerdings die für Windows Systeme in unserer Domäne (Buerokommunikation) genutzte Anmeldung direkt aus der Anmeldemaske (SDL) ''nicht''. | ||
=== [macOS] Namensauflösung von internen DNS-Einträgen im VPN-Tunnel nicht möglich === | |||
Trotz Verbindung mit dem VPN ist das Auflösen von internen DNS-Einträgen nicht möglich. | |||
Der VPN leitet nicht alle DNS-Anfragen durch den VPN-Tunnel und benutzt teilweise die DNS-Server im Heimnetzwerk. Dieser kann die internen DNS-Einträge der FernUniversität in Hagen nicht auflösen. | |||
Es ist aber möglich zu erzwingen, dass alle DNS-Anfragen durch den VPN-Tunnel geleitet werden und nur noch von den DNS-Servern der FernUniversität in Hagen aufgelöst werden. | |||
Dazu muss eine Datei unter folgendem Pfad angelegt werden: | |||
<syntaxhighlight lang="bash" line> | |||
touch ~/Library/Application\ Support/com.stonesoft.VPNClient/force_dns_global | |||
</syntaxhighlight> | |||
Diese Lösung ist aus [https://support.forcepoint.com/s/article/000017900 folgenden Artikel aus dem Forcepoint Customer Hub] | |||
== Allgemeine Hinweise zur Nutzung == | |||
=== Der Accountname hat sich geändert (z.B. aufgrund einer Namensänderung) === | |||
Sollten Sie spezielle Regeln für sich selbst im VPN nutzen, sollten Sie bei einer Änderung des Login-Namens auch eine kurze Info mit dem alten und neuen Login-Namen per Ticket an die VPN Administration senden. | |||
Gruppen bzw. Gruppen-Namen (im Microsoft Active Directory) sind davon in der Regel nicht betroffen. | |||
=== Keine IPv6 Übertragung im Tunnel === | |||
Da auf dem zentralen Campus derzeit kein IPv6 genutzt wird, wird es auch im Tunnel nicht angeboten. | |||
== Details des VPN Server Zertifikats zum Abgleich == | == Details des VPN Server Zertifikats zum Abgleich == | ||
{| | {| | ||
|+ '''VPN Server Zertifikat (Stand: | |+ '''VPN Server Zertifikat (Stand: 21.10.2024)''' | ||
|- | |- | ||
| Subject Name: || CN=vpnhub.fernuni-hagen.de, O=FernUniversität in Hagen, ST=Nordrhein-Westfalen, C=DE | | Subject Name: || CN=vpnhub.fernuni-hagen.de, O=FernUniversität in Hagen, ST=Nordrhein-Westfalen, C=DE | ||
| Zeile 184: | Zeile 205: | ||
| Subject Alt Name: || DNS Name: vpnhub.fernuni-hagen.de | | Subject Alt Name: || DNS Name: vpnhub.fernuni-hagen.de | ||
|- | |- | ||
| Valid From: || | | Valid From: || Mon Oct 21 02:00:00 CEST 2024 | ||
|- | |- | ||
| Valid To:|| | | Valid To:|| Wed Oct 22 01:59:59 CEST 2025 | ||
|- | |- | ||
| Fingerprint (SHA-1):|| | | Fingerprint (SHA-1):|| A6:90:BF:FD:5C:ED:88:20:DB:AB:C2:DD:EE:85:E1:40:06:E8:FB:0A | ||
|- | |- | ||
| Fingerprint (SHA-256):|| | | Fingerprint (SHA-256):|| 42:E3:36:81:01:92:04:8F:C5:66:6F:B6:87:AA:05:AF:13:6A:CD:51:57:E5:84:2F:58:17:17:D3:64:ED:7B:89 | ||
|- | |- | ||
| Fingerprint (SHA-512):|| | | Fingerprint (SHA-512):|| C0:1F:9A:CE:07:70:A6:E9:E1:DC:28:15:8C:53:17:91:6A:A5:4E:C7:1C:9B:90:43:3A:E1:35:34:1D:38:E6:2F:DB:AE:53:DD:FA:BB:58:B0:F1:EF:B0:78:A6:04:42:A7:D5:51:0D:4A:E2:B2:1A:D6:61:E2:99:85:3F:97:21:66 | ||
|- | |- | ||
| Gateway: || vpnhub.fernuni-hagen.de | | Gateway: || vpnhub.fernuni-hagen.de | ||