67
Bearbeitungen
VPN Client (Forcepoint): Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
→[macOS] Namensauflösung von internen DNS-Einträgen im VPN-Tunnel nicht möglich
Voigtt (Diskussion | Beiträge) |
Voigtt (Diskussion | Beiträge) |
||
| (4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
== Hinweise zum Forcepoint VPN Client (Stand: 02 / 2024) == | == Hinweise zum Forcepoint VPN Client (Stand: 02 / 2024) == | ||
[[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | [[Datei:Schema-Perimeter-FW-VPN.png| gerahmt]] | ||
# WICHTIG: Der Forcepoint VPN Client wird derzeit nur für Mitarbeitende der FernUniversität angeboten. | # WICHTIG: Der Forcepoint VPN Client wird derzeit nur für Mitarbeitende der FernUniversität angeboten. Zudem werden die unterschiedlichen Bereiche nacheinander angeschrieben und aufgenommen. | ||
# Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste [[#R%C3%BCckmeldung_zum_Forcepoint_VPN_Client_(Stand:_02_/_2024)|Rückmeldung]] für uns unerlässlich. <br /> Die aus dem Cisco VPN evtl. bekannten Gruppen-Logins und die dem Client fest zugeordneten IP-Adressen entfallen. Spezifische Zugriffe werden über den eigenen Account (oder Gruppenzugehörigkeit in der Windows-Domäne „Buerokommunikation“) und bei Bedarf dafür zugeordneten Absende-Adressen geregelt. Dies übernimmt aber der VPN-Server. | # Die Hauptunterschiede zu dem bisher genutzten Cisco VPN sind die Position („neben“ der Internet-Firewall) und dass es in erster Linie selbst eine Firewall ist (die zusätzlich VPN anbietet). <br /> Daher musste ein komplett neues Regelwerk erstellt werden. Auch Ergänzungen an den zentralen Firewalls wurden und werden fortlaufend vorgenommen. <br /> Bei speziell für den eigenen Arbeitsbereich nötigen Verbindungen kann es daher vorkommen, dass diese nicht oder nicht in gewohnter Weise funktionieren. Hier ist eine so detailliert wie möglich verfasste [[#R%C3%BCckmeldung_zum_Forcepoint_VPN_Client_(Stand:_02_/_2024)|Rückmeldung]] für uns unerlässlich. <br /> Die aus dem Cisco VPN evtl. bekannten Gruppen-Logins und die dem Client fest zugeordneten IP-Adressen entfallen. Spezifische Zugriffe werden über den eigenen Account (oder Gruppenzugehörigkeit in der Windows-Domäne „Buerokommunikation“) und bei Bedarf dafür zugeordneten Absende-Adressen geregelt. Dies übernimmt aber der VPN-Server. | ||
# Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln (sofern möglich). [[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | # Die Verbindung wird sowohl als IPSec als auch als SSL VPN angeboten. Das SSL VPN benutzt den Standard-Port vom HTTPS (verschlüsselter Webseitenzugriff). Hier ist die Wahrscheinlichkeit höher, dass die Verbindung insb. aus Firmennetzen funktioniert. Der Client versucht bei Verbindungsproblemen automatisch auf die andere Verbindungsart zu wechseln (sofern möglich). [[Datei:Forcepoint-Win-Menu-EndPoint.png|300px]]<br /> | ||
| Zeile 32: | Zeile 32: | ||
# In der Taskleiste (rechts unten) befindet sich das Symbol für den Forcepoint VPN Client. [[Datei:Forcepoint-VPNClient-Status-disabled.png|30px]] Nach einem Rechtsklick auf dieses Symbol wählen Sie aus dem Kontextmenü den Punkt ''''Connect to New Gateway'''‘ aus. [[Datei:Forcepoint-VPNClient-Win-1stRun-connect.png|150px]] Im folgenden Fenster tragen Sie unter ''Host Name'' ‚'''vpnhub.fernuni-hagen.de'''‘ ein und bestätigen danach mit ‚''OK''‘ [[Datei:Forcepoint-VPNClient-Win-1stRun-gateway.png|250px]] | # In der Taskleiste (rechts unten) befindet sich das Symbol für den Forcepoint VPN Client. [[Datei:Forcepoint-VPNClient-Status-disabled.png|30px]] Nach einem Rechtsklick auf dieses Symbol wählen Sie aus dem Kontextmenü den Punkt ''''Connect to New Gateway'''‘ aus. [[Datei:Forcepoint-VPNClient-Win-1stRun-connect.png|150px]] Im folgenden Fenster tragen Sie unter ''Host Name'' ‚'''vpnhub.fernuni-hagen.de'''‘ ein und bestätigen danach mit ‚''OK''‘ [[Datei:Forcepoint-VPNClient-Win-1stRun-gateway.png|250px]] | ||
# [[Datei:Forcepoint-VPNClient-Win-1stRun-authpass.png|200px]] Unter ''User Name'' nehmen Sie die Kennung aus Ihrem Windows Domänen-Login, z.B. '''name@buerokommunikation.fernuni-hagen.de''' <br />Nach der Eingabe Ihres Passworts wird Ihnen das Zertifikat des Servers präsentiert, welches Sie mit ‚OK‘ bestätigen. [[Datei:Forcepoint-VPNClient-Win-1stRun-cert.png|ohne]] Zum Vergleich finden Sie hier die [[#Details_des_VPN_Server_Zertifikats_zum_Abgleich|Details des Zertifikats]]. | # [[Datei:Forcepoint-VPNClient-Win-1stRun-authpass.png|200px]] Unter ''User Name'' nehmen Sie die Kennung aus Ihrem Windows Domänen-Login, z.B. '''name@buerokommunikation.fernuni-hagen.de''' <br />Nach der Eingabe Ihres Passworts wird Ihnen das Zertifikat des Servers präsentiert, welches Sie mit ‚OK‘ bestätigen. [[Datei:Forcepoint-VPNClient-Win-1stRun-cert.png|ohne]] Zum Vergleich finden Sie hier die [[#Details_des_VPN_Server_Zertifikats_zum_Abgleich|Details des Zertifikats]]. | ||
# Danach werden Sie aufgefordert die aktuellen Ziffern aus Ihrem Token für die Zwei Faktor Authentifizierung einzugeben. Nach dem erfolgreichen Login sollte das VPN Symbol in der Taskleiste wie folgt aussehen: | # Danach werden Sie aufgefordert die aktuellen Ziffern aus Ihrem Token für die Zwei Faktor Authentifizierung einzugeben. Nach dem erfolgreichen Login sollte das VPN Symbol in der Taskleiste wie folgt aussehen: [[Datei:Forcepoint-VPNClient-Status-established.png]] | ||
== Forcepoint VPN Client für MacOS == | == Forcepoint VPN Client für MacOS == | ||
[S. Seume: Getestet mit macOS 10.14.6 (Mojave) und macOS 11.6.8 (Big Sur - Intel-64x)] | [S. Seume: Getestet mit macOS 10.14.6 (Mojave) und macOS 11.6.8 (Big Sur - Intel-64x)] | ||
| Zeile 174: | Zeile 174: | ||
Nach Berichten hat z.T. die Reduzierung der maximalen Paket-Übermittlungsgröße geholfen (s. Abschnitt "Mein Download ist deutlich langsamer mit eingeschaltetem VPN." ). <br /> Auch dabei hat der Wert 1300 (oder kleiner) das Problem lösen können. | Nach Berichten hat z.T. die Reduzierung der maximalen Paket-Übermittlungsgröße geholfen (s. Abschnitt "Mein Download ist deutlich langsamer mit eingeschaltetem VPN." ). <br /> Auch dabei hat der Wert 1300 (oder kleiner) das Problem lösen können. | ||
Ansonsten benutzen Sie bitte die Variante SSL VPN. Diese unterstützt allerdings die für Windows Systeme in unserer Domäne (Buerokommunikation) genutzte Anmeldung direkt aus der Anmeldemaske (SDL) ''nicht''. | Ansonsten benutzen Sie bitte die Variante SSL VPN. Diese unterstützt allerdings die für Windows Systeme in unserer Domäne (Buerokommunikation) genutzte Anmeldung direkt aus der Anmeldemaske (SDL) ''nicht''. | ||
=== [macOS] Namensauflösung von internen DNS-Einträgen im VPN-Tunnel nicht möglich === | |||
Trotz Verbindung mit dem VPN ist das Auflösen von internen DNS-Einträgen nicht möglich. | |||
Der VPN leitet nicht alle DNS-Anfragen durch den VPN-Tunnel und benutzt teilweise die DNS-Server im Heimnetzwerk. Dieser kann die internen DNS-Einträge der FernUniversität in Hagen nicht auflösen. | |||
Es ist aber möglich zu erzwingen, dass alle DNS-Anfragen durch den VPN-Tunnel geleitet werden und nur noch von den DNS-Servern der FernUniversität in Hagen aufgelöst werden. | |||
Dazu muss eine Datei unter folgendem Pfad angelegt werden: | |||
<syntaxhighlight lang="bash" line> | |||
touch ~/Library/Application\ Support/com.stonesoft.VPNClient/force_dns_global | |||
</syntaxhighlight> | |||
Diese Lösung ist aus [https://support.forcepoint.com/s/article/000017900 folgenden Artikel aus dem Forcepoint Customer Hub] | |||
== Details des VPN Server Zertifikats zum Abgleich == | == Details des VPN Server Zertifikats zum Abgleich == | ||
{| | {| | ||
|+ '''VPN Server Zertifikat (Stand: | |+ '''VPN Server Zertifikat (Stand: 21.10.2024)''' | ||
|- | |- | ||
| Subject Name: || CN=vpnhub.fernuni-hagen.de, O=FernUniversität in Hagen, ST=Nordrhein-Westfalen, C=DE | | Subject Name: || CN=vpnhub.fernuni-hagen.de, O=FernUniversität in Hagen, ST=Nordrhein-Westfalen, C=DE | ||
| Zeile 186: | Zeile 197: | ||
| Subject Alt Name: || DNS Name: vpnhub.fernuni-hagen.de | | Subject Alt Name: || DNS Name: vpnhub.fernuni-hagen.de | ||
|- | |- | ||
| Valid From: || | | Valid From: || Mon Oct 21 02:00:00 CEST 2024 | ||
|- | |- | ||
| Valid To:|| | | Valid To:|| Wed Oct 22 01:59:59 CEST 2025 | ||
|- | |- | ||
| Fingerprint (SHA-1):|| | | Fingerprint (SHA-1):|| A6:90:BF:FD:5C:ED:88:20:DB:AB:C2:DD:EE:85:E1:40:06:E8:FB:0A | ||
|- | |- | ||
| Fingerprint (SHA-256):|| | | Fingerprint (SHA-256):|| 42:E3:36:81:01:92:04:8F:C5:66:6F:B6:87:AA:05:AF:13:6A:CD:51:57:E5:84:2F:58:17:17:D3:64:ED:7B:89 | ||
|- | |- | ||
| Fingerprint (SHA-512):|| | | Fingerprint (SHA-512):|| C0:1F:9A:CE:07:70:A6:E9:E1:DC:28:15:8C:53:17:91:6A:A5:4E:C7:1C:9B:90:43:3A:E1:35:34:1D:38:E6:2F:DB:AE:53:DD:FA:BB:58:B0:F1:EF:B0:78:A6:04:42:A7:D5:51:0D:4A:E2:B2:1A:D6:61:E2:99:85:3F:97:21:66 | ||
|- | |- | ||
| Gateway: || vpnhub.fernuni-hagen.de | | Gateway: || vpnhub.fernuni-hagen.de | ||