70
Bearbeitungen
VPN Client (Forcepoint): Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
VPN Client (Forcepoint) (Quelltext anzeigen)
Version vom 25. Juni 2025, 11:29 Uhr
, Mittwoch um 11:29keine Bearbeitungszusammenfassung
Maetze (Diskussion | Beiträge) (add troubbleshooting for macOS: internal DNS-resolve not possible) |
Voigtt (Diskussion | Beiträge) |
||
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== Hinweise zum Forcepoint VPN Client (Stand: | == Hinweise zum Forcepoint VPN Client (Stand: 04 / 2025) == | ||
[[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | [[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | ||
# WICHTIG: Der Forcepoint VPN Client wird derzeit nur für Mitarbeitende der FernUniversität angeboten. Zudem werden die unterschiedlichen Bereiche nacheinander angeschrieben und aufgenommen. | # WICHTIG: Der Forcepoint VPN Client wird derzeit nur für Mitarbeitende der FernUniversität angeboten. Zudem werden die unterschiedlichen Bereiche nacheinander angeschrieben und aufgenommen. | ||
# Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste [[#R%C3%BCckmeldung_zum_Forcepoint_VPN_Client_(Stand: | # Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste [[#R%C3%BCckmeldung_zum_Forcepoint_VPN_Client_(Stand:_04_/_2025)|Rückmeldung]] für uns unerlässlich. <br /> Die aus dem Cisco VPN evtl. bekannten Gruppen-Logins und die dem Client fest zugeordneten IP-Adressen entfallen. Spezifische Zugriffe werden über den eigenen Account (oder Gruppenzugehörigkeit in der Windows-Domäne „Buerokommunikation“) und bei Bedarf dafür zugeordneten Absende-Adressen geregelt. Dies übernimmt aber der VPN-Server. | ||
# Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln (sofern möglich). [[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | # Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln (sofern möglich). [[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | ||
# Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Z.B. können bei aktiviertem VPN die lokalen Dienste (z.B. Drucker) nicht erreicht werden. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | # Insb. zur Einführungsphase werden zunächst alle IPv4 Netzbereiche außer den privaten Blöcken getunnelt. Ziel ist es so wenig wie möglich von den privaten Bereichen (10./8, 172.16./12, 192.168./16) durch den VPN-Tunnel zu ‚zwingen‘. Da viele Teile, insb. aus dem Bereich 192.168./16, auch in Heim-Routern benutzt werden, kann es sonst zu Problemen führen. Z.B. können bei aktiviertem VPN die lokalen Dienste (z.B. Drucker) nicht erreicht werden. Daher sollte man sich immer die Frage stellen: Kann ich die Verbindung auch anderweitig etablieren? <br /> (Z.B. über einen PC in der Uni oder andere, ggf. dedizierte Systeme.)<br />Kann darauf kein Einfluss genommen werden, benötigen wir die Information auf welche(s) System(e) Zugriff gewährt werden soll und zu welchem Zweck.<br />Eine Beurteilung und ggf. Anpassung findet dann nach der jeweiligen Testphase statt. <br /> | ||
| Zeile 11: | Zeile 11: | ||
:: [[Datei:Forcepoint-VPNClient-Status-established.png]] VPN Tunnel etabliert – Der Tunnel wurde erfolgreich aufgebaut und die Daten werden verschlüsselt zur Uni übertragen.<br /><br />[[Datei:Forcepoint-Win-Menu-DisableVPN.png|150px]] D.h. sollten Sie den Tunnel nicht benötigen, dann deaktivieren Sie den Client bitte über das Kontextmenü (Rechtsklick auf eines der o.a. Symbole und den Punkt „Disable VPN“ auswählen).<br /> | :: [[Datei:Forcepoint-VPNClient-Status-established.png]] VPN Tunnel etabliert – Der Tunnel wurde erfolgreich aufgebaut und die Daten werden verschlüsselt zur Uni übertragen.<br /><br />[[Datei:Forcepoint-Win-Menu-DisableVPN.png|150px]] D.h. sollten Sie den Tunnel nicht benötigen, dann deaktivieren Sie den Client bitte über das Kontextmenü (Rechtsklick auf eines der o.a. Symbole und den Punkt „Disable VPN“ auswählen).<br /> | ||
== Rückmeldung zum Forcepoint VPN Client (Stand: | == Rückmeldung zum Forcepoint VPN Client (Stand: 04 / 2025) == | ||
Haben Sie Probleme bei Zugriffen auf Dienste im FernUni-Netzwerk oder allgemein bei der Nutzung des Clients, eröffnen Sie bitte ein Helpdesk-Ticket und geben Sie zusätzlich zur Beschreibung des Problems bitte die folgenden Informationen an: | Haben Sie Probleme bei Zugriffen auf Dienste im FernUni-Netzwerk oder allgemein bei der Nutzung des Clients, eröffnen Sie bitte ein Helpdesk-Ticket und geben Sie zusätzlich zur Beschreibung des Problems bitte die folgenden Informationen an: | ||
# Username/ID (welche auch zum Login benutzt wird) | # Username/ID (welche auch zum Login benutzt wird)<br /> | ||
# Datum und Uhrzeit des versuchten Zugriffs oder der Fehlersituation | # Datum und Uhrzeit des versuchten Zugriffs oder der Fehlersituation | ||
# ggf. Dienst und/oder das Ziel/den Server der angesprochen werden soll | # ggf. Dienst und/oder das Ziel/den Server der angesprochen werden soll | ||
''Hinweis'': Sollten Sie im Folgenden Freischaltungen für mehrere Personen in Ihrem Bereich beantragen, wird empfohlen, hierfür eine Gruppe im Active Directory zu benennen oder diese vorab anlegen zu lassen. | |||
== Forcepoint VPN Client für Windows == | == Forcepoint VPN Client für Windows == | ||
| Zeile 178: | Zeile 177: | ||
Trotz Verbindung mit dem VPN ist das Auflösen von internen DNS-Einträgen nicht möglich. | Trotz Verbindung mit dem VPN ist das Auflösen von internen DNS-Einträgen nicht möglich. | ||
Der VPN leitet nicht | Der VPN leitet nicht alle DNS-Anfragen durch den VPN-Tunnel und benutzt teilweise die DNS-Server im Heimnetzwerk. Dieser kann die internen DNS-Einträge der FernUniversität in Hagen nicht auflösen. | ||
Es ist möglich zu erzwingen, dass alle DNS-Anfragen durch den VPN-Tunnel geleitet werden und nur noch von den DNS-Servern der FernUniversität in Hagen aufgelöst werden. | Es ist aber möglich zu erzwingen, dass alle DNS-Anfragen durch den VPN-Tunnel geleitet werden und nur noch von den DNS-Servern der FernUniversität in Hagen aufgelöst werden. | ||
Dazu muss eine Datei unter folgendem Pfad angelegt werden: | Dazu muss eine Datei unter folgendem Pfad angelegt werden: | ||
<syntaxhighlight lang="bash" line> | <syntaxhighlight lang="bash" line> | ||
| Zeile 186: | Zeile 185: | ||
Diese Lösung ist aus [https://support.forcepoint.com/s/article/000017900 folgenden Artikel aus dem Forcepoint Customer Hub] | Diese Lösung ist aus [https://support.forcepoint.com/s/article/000017900 folgenden Artikel aus dem Forcepoint Customer Hub] | ||
== Allgemeine Hinweise zur Nutzung == | |||
=== Der Accountname hat sich geändert (z.B. aufgrund einer Namensänderung) === | |||
Sollten Sie spezielle Regeln für sich selbst im VPN nutzen, sollten Sie bei einer Änderung des Login-Namens auch eine kurze Info mit dem alten und neuen Login-Namen per Ticket an die VPN Administration senden. | |||
Gruppen bzw. Gruppen-Namen (im Microsoft Active Directory) sind davon in der Regel nicht betroffen. | |||
=== Keine IPv6 Übertragung im Tunnel === | |||
Da auf dem zentralen Campus derzeit kein IPv6 genutzt wird, wird es auch im Tunnel nicht angeboten. | |||
== Details des VPN Server Zertifikats zum Abgleich == | == Details des VPN Server Zertifikats zum Abgleich == | ||