LANCOM Advanced VPN Client Version 2.
© 2007 LANCOM Systems, Würselen (Germany). Alle Rechte vorbehalten. Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht als Zusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs- und Lieferbedingungen festgelegt ist.
LANCOM Advanced VPN Client 쮿 Inhalt Inhalt 9 1.1 LANCOM Advanced VPN Client - universeller IPSec Client 9 1.2 Leistungsumfang 9 1.3 Wichtige Hinweise 10 1.4 Client Monitor - Grafische Benutzeroberfläche 11 1.5 Dialer 11 1.6 Line Management 11 1.7 Personal Firewall 11 1.8 PKI-Unterstützung 1.8.1 Public Key Infrastruktur 1.8.2 Smart Card 12 12 13 2 Installation 2.1 Installationsvoraussetzungen 2.1.1 Betriebssystem 2.1.2 Zielsystem 2.1.
LANCOM Advanced VPN Client DE 쮿 Inhalt 2.2 LANCOM Advanced VPN Client installieren und aktivieren 2.2.1 Aktivierung 2.2.2 Online-Aktivierung 2.2.3 Offline-Aktivierung 20 21 22 23 2.3 Vor der Inbetriebnahme 25 3 Client Monitor 3.1 Monitor-Bedienung 3.1.1 Verbindung [Menü] Verbinden Trennen HotSpot-Anmeldung Multifunktionskarte Verbindungs-Informationen Verfügbare Verbindungsmedien Zertifikate [Ansicht] PIN eingeben PIN zurücksetzen PIN ändern Verbindungssteuerung Statistik Sperre aufheben Beenden 3.1.
LANCOM Advanced VPN Client Buttonleiste anzeigen Statistik anzeigen WLAN-Status anzeigen Immer im Vordergrund Autostart Beim Schließen minimieren Nach Verbindungsaufbau minimieren Sprache 3.1.5 Hilfe 84 84 84 85 85 85 86 86 86 3.2 Das Firewall-Konzept 3.2.1 Globale Firewall und Link-Firewall 3.2.2 Zusammenspiel mit anderen Firewalls 86 86 87 4 Profil- Einstellungen [Parameter] 89 4.1 Grundeinstellungen 90 4.1.1 Profil-Name 91 4.1.2 Verbindungstyp 91 4.1.3 Verbindungsmedium 91 4.1.
LANCOM Advanced VPN Client DE 쮿 Inhalt 4.4 HTTP-Anmeldung 4.4.1 Benutzername [HTTP-Anmeldung] 4.4.2 Passwort [HTTP-Anmeldung] 4.4.3 Passwort speichern [HTTP-Anmeldung] 4.4.4 HTTP Authentisierungs-Script [HTTP-Anmeldung] 99 100 100 100 100 4.5 Line Management 4.5.1 Verbindungsaufbau 4.5.2 Timeout 4.5.3 Voice over IP (VoIP) priorisieren 4.5.4 Dynamische Linkzuschaltung 4.5.5 Schwellwert für Linkzuschaltung 4.5.6 EAP-Authentisierung 4.5.7 HTTP-Authentisierung 101 101 102 103 103 103 104 104 4.
LANCOM Advanced VPN Client 4.10 VPN IP-Netze 4.10.1 Netzwerk-Adressen [VPN IP-Netze] 4.10.2 Subnet-Masken 4.10.3 Auch lokale Netze im Tunnel weiterleiten 116 117 117 117 4.11 Zertifikats-Überprüfung 4.11.1 Benutzer des eingehenden Zertifikats 4.11.2 Aussteller des eingehenden Zertifikats 4.11.3 Fingerprint des Aussteller-Zertifikats 4.11.4 Benutze SHA1 Fingerprint statt MD5 4.11.5 Weitere Zertifikats-Überprüfungen 118 118 119 119 119 120 4.12 Link-Firewall 122 4.12.
LANCOM Advanced VPN Client DE 쮿 Inhalt 8 5.5 Verbindungsabbruch und Fehler 137 5.6 Trennen 137 5.
LANCOM Advanced VPN Client 쮿 Kapitel 1: Produktbeschreibung 1 Produktbeschreibung LANCOM Advanced VPN Client - universeller IPSec Client Der LANCOM Advanced VPN Client kann in beliebigen VPN-Umgebungen eingesetzt werden. Er kommuniziert auf der Basis des IPSec-Standards mit den Gateways verschiedenster Hersteller. Die Client Software emuliert einen Ethernet LAN-Adapter.
LANCOM Advanced VPN Client 쮿 Kapitel 1: Produktbeschreibung 1.3 Wichtige Hinweise 햲 Dieses Handbuch beschreibt den Funktionsumfang des LANCOM Advanced VPN Clients auf Basis der Software-Release 2.00. DE 햳 Sofern der verwendete Rechner noch nicht z.B. über einen lokalen Netzwerkzugang (LAN, WLAN oder LANCAPI) mit dem Internet verbunden ist, muss zuerst ein geeigneter Internetzugang hergestellt werden (z.B. durch Einbuchen an einem WLAN Hotspot).
LANCOM Advanced VPN Client 쮿 Kapitel 1: Produktbeschreibung tivierung erfordert wiederum einen manuellen Neustart des Betriebssystems. Client Monitor - Grafische Benutzeroberfläche Die grafische Oberfläche des LANCOM Advanced VPN Client schafft Transparenz während des Einwahlvorganges und Datentransfers. Sie informiert u.a. auch über den aktuellen Datendurchsatz. Der Anwender ist zu jeder Zeit darüber informiert, ob sein PC online ist und wo letztlich die Gebühren anfallen. 1.
LANCOM Advanced VPN Client 쮿 Kapitel 1: Produktbeschreibung DE schützen. Weiter besteht keine Möglichkeit, dass der Dialer von automatischen 0190er- und 0900er-Dialern für ungewollte Verbindungen missbraucht wird. Die wesentlichen Security-Mechanismen sind IP-NAT und Protokollfilter. NAT (Network Address Translation) ist ein Security-Standard zum Verbergen der individuellen IP-Adressen gegenüber dem Internet.
LANCOM Advanced VPN Client 쮿 Kapitel 1: Produktbeschreibung DE Eine PKI basiert auf digitalen Zertifikaten, die - von einer öffentlichen Zertifizierungsstelle (Trust Center) ausgestellt - als persönliche “elektronische Ausweise” fungieren und idealerweise auf einer Smart Card abgespeichert sind.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation 2 Installation DE Die Installation der Secure Software für Windows-Systeme erfolgt komfortabel über Setup. Der Installationsablauf ist für alle Versionen des LANCOM Advanced VPN Clients identisch. Im folgenden ist die Installation für Windows 2000/XP und Vista beschrieben. 2.1 2.1.1 Bevor Sie die Software installieren, müssen zur vollen Funktionsfähigkeit die Installationsvoraussetzungen, wie im folgenden Kapitel beschrieben, erfüllt sein.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation Modem oder Datenkarte Ebenso können Mobiltelefone für die Datenkommunikation genutzt werden, nachdem die zugehörige Software installiert wurde, die sich für den Client genauso darstellt wie ein analoges Modem. Als Schnittstelle zwischen Handy und PC kann die serielle Schnittstelle, die IR-Schnittstelle (Infrarot) oder Bluetooth genutzt werden. Je nach Übertragungsart (GSM, V.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation LAN-Adapter (LAN over IP) DE Um die Client-Software mit der Verbindungsart “LAN” in einem Local Area Network betreiben zu können, muss zusätzlich zum bereits installierten LANAdapter (Ethernet oder Token Ring) kein weiterer Adapter installiert werden. Die Verbindung der LAN-Clients ins WAN stellt ein beliebiger Access Router her. Einzige Vorausetzung: IP-Verbindung zum Zielsystem muss möglich sein. Die VPN-Funktionalität liefert die Client Software.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation Bitte beachten Sie zur Konfiguration der WLAN-Einstellungen die Beschreibung zum Parameter ’Verbindungsmedium’ → Seite 91. Automatische Medienerkennung Werden wechselweise unterschiedliche Verbindungsarten genutzt, so erkennt der Client automatisch, welche Verbindungsarten aktuell zur Verfügung stehen und wählt davon die schnellste aus.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation 2.1.4 Voraussetzungen für den Einsatz von Zertifikaten Um mit der Security Software die Zertifizierung (X.509) nutzen, zu können, müssen folgende Voraussetzungen erfüllt sein: Chipkartenleser (PC/SC- konform) DE Wenn Sie die “Erweiterte Authentisierung” (Strong Authentication) mit Smart Cards nutzen wollen, muss ein Chipkartenleser an Ihr System angeschlossen sein.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation DLLWIN95= scm20098.dll→ ct32.dll DLLWINNT= scm200nt.dll→ ct32.dll DE Nach einem Boot-Vorgang erscheint der von Ihnen eingetragene “Modulname” im Monitor-Menü unter “Verbindung → Zertifikate → Konfiguration → Chipkartenleser”. Selektieren Sie nun diesen Chipkartenleser.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation TCP/IP Das Netzwerk-Protokoll TCP/IP muss auf dem Rechner installiert sein. DE 2.2 LANCOM Advanced VPN Client installieren und aktivieren Zur Installation des LANCOM Advanced VPN Clients legen Sie bitte die mitgelieferte CD in Ihr CD-ROM-Laufwerk. Sollte das Setup-Programm nach einigen Sekunden nicht automatisch starten, öffnen Sie bitte die Datei „autostart.exe“ aus dem Stammverzeichnis der CD.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation Aktivierung DE Nach dem Neustart ist der LANCOM Advanced VPN Client bereits vollständig installiert. Sie können den LANCOM Advanced VPN Client vor der Aktivierung 30 Tage lang testen. Nach dem Start des Clients erscheint das Hauptfenster. Um nach der 30 Tage Testphase den vollen Funktionsumfang nutzen zu können ist eine Produktaktivierung notwendig.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation DE 쐃 Klicken Sie im Hauptfenster auf Aktivierung. Im folgenden erscheint ein Dialog, der ihre aktuelle Versionsnummer und die verwendete Lizenz anzeigt. Dieser Dialog kann alternativ im Hauptfenster über den Menüpunkt Hilfe 왘 Lizenzinfo und Aktivierung aufgerufen werden. 쐇 Klicken sie hier erneut auf Aktivierung. Sie können die Aktivierung online oder offline vornehmen. Auch für die „Offline-Aktivierung“ wird ein Zugang zum Internet benötigt.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation DE 쐇 Nun muss der Client eine Verbindung zum LANCOM-Server herstellen. Falls sie bereits eine ältere Version des LANCOM Advanced VPN Client benutzen, können sie ein bereits eingerichtetes VPN-Profil zur Verbindung mit dem Internet verwenden. Sobald der Computer über eine Verbindung mit dem Internet verfügt, verbindet er sich automatisch mit dem LANCOM-Server. Die Aktivierung erfolgt nun ohne weiteres Zutun und der Vorgang schließt selbstständig ab.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation DE sie dazu ihren Browser und öffnen Sie die Site www.lancom.de/avc/activation. 쐋 Klicken sie auf Durchsuchen und wählen Sie die eben erstellte Aktivierungsdatei aus. Im Anschluß daran klicken Sie auf Absenden. Die Aktivierungsdatei wird nun vom LANCOM-Server bearbeitet. Sie werden nun auf eine Website weitergeleitet, der Sie ihren Aktivierungs-Code entnehmen können. Drucken Sie diese Seite aus oder notieren Sie sich den angegebenen Code.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation 쐄 Mit der Eingabe des Aktivierungs-Codes ist die Produktaktivierung abgeschlossen und sie können den LANCOM Advanced VPN Client im Umfang ihrer Lizenz benutzen. DE Abhängig von der von Ihnen erworbenen Lizenz wird nun die Lizenz- und Versions-Nummer angezeigt. 2.3 Vor der Inbetriebnahme Nach der Installation zeigt sich der Client Monitor wie in untenstehender Abbildung.
LANCOM Advanced VPN Client 쮿 Kapitel 2: Installation 쮿 IPSec (Die Parameterfelder zur Konfiguration der Richtlinien) Erst nach der Einrichtung eines Zielsystems in den Profil-Einstellungen kann eine Verbindung dorthin hergestellt werden: DE 쮿 Eine Verbindung herstellen 26
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 3 Client Monitor DE Wenn die Software installiert wurde, kann der Monitor über das Start > Programme > LANCOM > LANCOM Advanced VPN Client aktiviert werden. Damit öffnet sich das Fenster des Monitors auf dem Bildschirm. Hinweis: Wenn der Monitor geladen wurde, erscheint er entweder auf dem Bildschirm oder, wenn er dort nicht dargestellt wird, in der Taskleiste. Der Monitor hat vier wichtige Funktionen: 쮿 쮿 쮿 쮿 3.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 3.1.1 Verbindung [Menü] Das Pulldown-Menü hat folgende Menüpunkte: DE 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 Verbinden Trennen HotSpot-Anmeldung Multifunktionskarte Verbindungs-Informationen Verfügbare Verbindungsmedien Zertifikate [Ansicht] PIN eingeben PIN zurücksetzen PIN ändern Verbindungssteuerung Statistik Sperre aufheben Beenden Verbinden Eine Verbindung wird aufgebaut.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Trennen Eine Verbindung kann manuell abgebaut werden mit der Funktion “Trennen” im Pull-down-Menü oder nach Klick auf die rechte Maustaste. DE Wenn die Verbindung abgebaut wurde, wechseln die Signallampen des Monitors für die gesamte Offline-Dauer von grün zu rot. HotSpot-Anmeldung Voraussetzungen: Der Rechner muss sich mit aktivierter WLAN-Karte im Empfangsbereich eines HotSpots befinden.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE 쮿 Wenn sich der Benutzer bereits im Internet befindet, wird er mit der Startseite http://www.lancom.de verbunden. Es erscheint ein Fenster mit folgender Meldung: Dieser Text kann vom Administrator ausgetauscht werden, indem die Adresse einer anderen HTML-Startseite in der Form angegeben wird http://www.mycompany.de/error.html und der Text von error.html entsprechend geändert wird.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 쮿 GPRS / UMTS aktivieren Die Datenübertragungstechnik kann auch manuell gewechselt werden. Dazu wird mit der Maus der Text mit der gewünschten Übertragungstechnik angeklickt oder dieser Menüpunkt gewählt. Bei einem manuellen Wechsel des Mediums wird die Verbindung zunächst abgebaut. Die Verbindung wird dann wieder automatisch aufgebaut, wenn “automatischer Verbindungsaufbau” im Telefonbuch konfiguriert wurde.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE sel (SSL mit Zertifikat, Blowfish ...) verwendet werden und welche IP-Adressen über PPP-Verhandlung zwischen Client und Server ausgetauscht werden. Der Monitor mit den Verbindungs-Informationen hat keinerlei Einfluss auf die Funktionen der Client-Software. Verfügbare Verbindungsmedien Dieses Fenster dient ausschließlich der Benutzerinformation über die zur Verfügung stehenden Verbindungsmedien und das aktuell genutzte Medium.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor dungsaufbau fehlgeschlagen ist. Das Fenster wird auch dann am Bildschirm eingeblendet, wenn der Client-Monitor minimiert ist. Hinter der genutzten Medienart wird der Fehler bezeichnet. DE Zur Konfiguration der automatischen Medienerkennung beachten Sie in den Profil-Einstellungen das Parameterfeld “Grundeinstellungen”.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Austeller (CA): Der Aussteller Ihres Benutzer-Zertifikates muss mit dem Aussteller des Aussteller-Zertifikates identisch sein. (siehe -> Aussteller-Zertifikat anzeigen). Seriennummer: Nach der Seriennummer werden die Zertifikate mit den in der Revokation List der Certification Authority gehaltenen verglichen. DE Gültigkeitsdauer: Die Gültigkeitsdauer der Zertifikate ist beschränkt.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor extendedKeyUsage: Befindet sich in einem eingehenden Benutzer-Zertifikat die Erweiterung extendedKeyUsage so prüft der LANCOM Advanced VPN Client, ob der definierte erweiterte Verwendungszweck die “SSL-Server-Authentisierung” ist. Ist das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen, so wird die Verbindung abgelehnt. Ist diese Erweiterung nicht im Zertifikat vorhanden, so wird diese ignoriert.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor zunächst auf Smart Card oder PKCS#12-Datei, anschließend im Verzeichnis CaCerts\. Ist das Aussteller-Zertifikat nicht bekannt, kommt die Verbindung nicht zustande (No Root Certificate found). DE Sind keine CA-Zertifikate im Windows-Verzeichnis CaCerts\ vorhanden, so wird keine Verbindung unter Einsatz von Zertifikaten zugelassen.
LANCOM Advanced VPN Client subjectKeyIdentifier / authorityKeyIdentifier: Ein keyIdentifier ist eine zusätzliche ID (Hashwert) zum CA-Namen auf einem Zertifikat. Der authorityKeyIdentifier (SHA1-Hash über den public Key des Ausstellers) am eingehenden Zertifikat muss mit dem subjectKeyIdentifier (SHA1-Hash über den public Key des Inhabers) am entsprechenden CA-Zertifikat übereinstimmen. Kann keine Übereinstimmung erkannt werden, wird die Verbindung abgelehnt.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Wurde der LANCOM Advanced VPN Client zur Verwendung eines Soft-Zertifikats konfiguriert (siehe -> Konfiguration, Zertifikate), erscheint im Statusfeld kein eigenes Symbol. DE Wurde die PIN korrekt eingegeben, so wird dies in der Monitoroberfläche mit einem grünen Haken hinter “PIN” dargestellt. Fehlerhafte Eingaben und falsche PINs werden nach ca. 3 Sekunden mit einer Fehlermeldung “Falsche PIN!” quittiert.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor vorher die richtige PIN eingegeben wurde. Ohne die vorherige Eingabe einer gültigen PIN wird dieser Menüpunkt nicht aktiviert. Dieser Menüpunkt ist nur aktiv, wenn die PIN bereits richtig eingegeben wurde, d. h. das Zertifikat für die aufzubauende Verbindung genutzt werden soll. Wird die PIN zurückgesetzt, kann dieses Zertifikat für einen Verbindungsaufbau nicht mehr genutzt werden, bis die dazugehörige PIN wieder richtig eingegeben wurde.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE fangene und gesendete KBytes für den aktuellen Tag, den laufenden Monat und das laufende Jahr angezeigt. Sperre aufheben Je nachdem, wie die Verbindungssteuerung eingestellt ist, erhalten Sie bei Überschreiten eines Limits Meldungen auf dem Bildschirm. Wird ein Limit überschritten und die Verbindung automatisch abgebaut, wird eine Sperre aktiv, die jeden weiteren Verbindungsaufbau unterbindet (-> siehe “Verbindung”-Menü im Monitor).
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Konfiguration [Menü] Das Pulldown-Menü hat folgende Menüpunkte: 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 Profil-Einstellungen [Menü] Erweiterte Firewall-Einstellungen [Menü] WLAN-Einstellungen Amtsholung Zertifikate [Einstellungen] Verbindungssteuerung [Einstellungen] EAP-Optionen [Einstellungen] Logon Optionen Konfigurations-Sperren Profile importieren HotSpot Profil-Sicherung DE 3.1.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Mit den Profil-Einstellungen kann die Parametrisierung für die Zielsysteme (Profil) durchgeführt und die Übertragungsart, den Benutzeranforderungen entsprechend, bis ins Detail konfiguriert werden. DE Nachdem Sie auf Konfiguration > Profil-Einstellungen in der Menüleiste des Monitors geklickt haben, öffnet sich das Menü und zeigt in einer Liste der bereits verfügbaren Profile deren Namen und die Rufnummern der zugehörigen Zielsysteme.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 쮿 Konfigurieren - Profil Grundeinstellungen Netzeinwahl Modem Line Management IPSec-Einstellungen Identität IP-Adressen-Zuweisung VPN IP-Netze Zertifikats-Überprüfung Firewall-Einstellungen 쮿 Ok - Profil Die Konfiguration eines Profils ist abgeschlossen, wenn Sie das Konfigurationsfenster mit OK schließen. Das neue oder geänderte Profil ist im Monitor sofort verfügbar.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Bitte beachten Sie, dass die Firewall-Einstellungen global gültig sind, d.h. für alle in den Profilen gespeicherten Zielsysteme. DE Dagegen ist die Einstellung der Link Firewall, die im Profil vorgenommen werden kann, nur für das dazu gehörenden Zielsystem und die Verbindung zu diesem Zielsystem wirksam. 쮿 Eigenschaften der Firewall Die Firewall arbeitet nach dem Prinzip der Paketfilterung in Verbindung mit Stateful Packet Inspection (SPI).
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Eine Kombination der globalen und link-bezogenen Firewall kann in bestimmten Szenarien durchaus sinnvoll sein. Im Allgemeinen sollten jedoch nahezu alle Anforderungen über die globalen Einstellungsmöglichkeiten abzudecken sein. Bitte beachten Sie, dass die link-bezogenen Firewall-Einstellungen bei Aktivierung Vorrang vor den globalen haben. Ist z.B.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Grundeinstellungen Auf der Registerkarte 'Grundeinstellungen' wird die grundlegende Sicherheits-Policy der Firewall festgelegt: 쮿 Firewall deaktiviert: Wird die erweiterte Firewall deaktiviert, so wird nur die in den Profilen konfigurierte Firewall genutzt. Dies bedeutet, dass alle Datenpakete nur über die Sicherheitsmechanismen dieser verbindungsorientierten Firewall abgearbeitet werden, sofern diese konfiguriert ist.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 쮿 Offene Grundeinstellung: In diesem Zustand ist die Firewall aktiv und erlaubt zunächst vollständig den Datenaustausch zwischen dem Rechner mit LANCOM Advanced VPN Client und allen anderen Rechnern oder Netzwerken. Dieses Verhalten entspricht einer „Allow-All“-Strategie. Um gezielt den Datenverkehr für bestimmte Rechner, Netzwerke oder Anwendungen zu blockieren, müssen geeignete Firewall-Regeln den Datenaustausch sperren.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Firewall- Regeln Auf der Registerkarte 'Firewall-Regeln' werden die vorhandenen Regeln der Firewall aufgelistet. Hier können neue Regeln angelegt sowie vorhandene Regeln bearbeitet, kopiert oder gelöscht werden. Anzeige-Optionen In den Anzeige-Optionen wird festgelegt, welche Firewall-Regeln in der Liste angezeigt werden. Zur Auswahl stehen: 쮿 Unbekannte Netze: Es werden alle Regeln angezeigt, die auf unbekannte Netze angewendet werden.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Name Status Netz Anwendung Durch Klick auf einen Überschrifts-Button werden die eingeblendeten Regeln entsprechend sortiert. Die Anzeige-Optionen zum Netzbezug und zum Anwendungsbezug sind untereinander so verbunden, dass eine Regel nur dann angezeigt wird, wenn sowohl der Netzbezug als auch der Anwendungsbezug erfüllt sind. Eine Regel für 'Bekannte Netze' und 'VPN Netze' mit Bezug zur Anwendung 'outlook.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Allgemein Auf der Registerkarte 'Allgemein' tragen Sie einen frei definierbaren Namen der Firewall-Regel ein. Außerdem stellen Sie die folgenden Optionen ein: 쮿 Name der Regel: Unter diesem Namen erscheint die Regel in der Anzeigeliste. 쮿 Status: Hier kann jede einzelne Regel ein- oder ausgeschaltet werden (aktiviert oder deaktiviert).
LANCOM Advanced VPN Client 쮿 Netze: Beim Neuanlegen einer Regel ist diese zunächst keinem Netz zugeordnet. Eine Regel kann erst dann gespeichert werden, wenn die gewünschte Zuordnung erfolgt ist und ein Name vorgegeben wurde. 왏 Unbekannte Netze sind alle Netze, die nicht in der Liste der bekannten Netze eingetragen und die nicht in einer VPN-Verbindung als Ziel definiert sind. Darunter fallen z.B.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Registerkarte 'Allgemein'), haben die Begriff 'Lokale IP-Adressen' und 'Lokale Ports' unterschiedliche Bedeutung: DE 왏 Bei ausgehenden Regeln sind mit 'lokal' die Quell-IP-Adressen und Quell-IP-Ports gemeint und mit 'remote' die Ziel-IP-Adressen und Ziel-IP-Ports der Pakete. 왏 Bei eingehenden Regeln sind mit 'lokal' die Ziel-IP-Adressen und Ziel-IP-Ports gemeint und mit 'remote' die Quell-IP-Adressen und Quell-IP-Ports der Pakete.
LANCOM Advanced VPN Client ner her aufgebaut wurde, die Verbindung also in der StatefulInspection-Verbindungsliste eingetragen ist. Versucht ein Angreifer ein Datenpaket in den geschützten Netzbereich abzusetzen, dessen Zieladresse im IP-Paket zwar mit den unter 'Lokale IP-Adressen' definierten Adressen übereinstimmt, für den aber kein gültiger Eintrag in der Verbindungsliste vorhanden ist, so wird das Datenpaket verworfen.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE 왏 Bei einer Firewall-Regel für ausgehenden Datenverkehr werden alle Datenpakete nach außen durchgelassen, deren Quell-Port im IPPaket mit den unter 'Lokale IP-Ports' definierten Ports übereinstimmt.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Je nachdem, ob die gerade zu definierende Regel 'ausgehenden', 'eingehenden' oder 'bidirektionalen' Datenverkehr betrifft (siehe Registerkarte 'Allgemein'), haben die Begriff 'Remote IP-Adressen' und 'Remote Ports' unterschiedliche Bedeutung: 왏 Bei ausgehenden Regeln sind mit 'remote' die Ziel-IP-Adressen und Ziel-IP-Ports gemeint und mit 'lokal' die Quell-IP-Adressen und Quell-IP-Ports der Pakete.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE mit den unter 'Remote IP-Adressen' definierten Adressen übereinstimmt.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 왏 Bei einer Firewall-Regel für ausgehenden Datenverkehr werden alle Datenpakete nach außen durchgelassen, deren Ziel-Port im IP-Paket mit den unter 'Remote IP-Ports' definierten Ports übereinstimmt.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Firewall-Regel nur Telnet zu einem anderen System zulassen, so ist hier der Port '23' einzutragen. 왏 Mehrere Ports: Diese Einstellung sollte nur dann verwendet werden, wenn sich die remote Ports zu einem Bereich zusammenfassen lassen, die von einem Dienst benötigt werden, der auf diesem System zur Verfügung gestellt wird (z.B. FTP-Ports 20/21). Anwendungen Auf dieser Registerkarte können Sie der Regel eine bestimmte Anwendung zuweisen.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 쮿 IP-Adresse des LANCOM Advanced VPN Client von dem DHCP Server zugewiesen wurde, der die hier angegebene IP-Adresse besitzt. UND 쮿 Wenn dieser DHCP Server die hier angegebene MAC-Adresse besitzt. Diese Option kann nur dann verwendet werden, wenn sich der DHCP Server im selben IP-Subnet befindet wie der DHCP-Client (also der LANCOM Advanced VPN Client). Sind diese Bedingungen erfüllt, so handelt es sich ein vertrautes Netz.
LANCOM Advanced VPN Client DE 쮿 Kapitel 3: Client Monitor Bitte beachten Sie, dass mit der Freischaltung von L2Sec oder IPSec lediglich der Tunnelaufbau ermöglicht wird. Existieren keine weiteren Regeln für VPN-Netze, die eine Kommunikation im Tunnel zulassen, kann über die VPN-Verbindung kein Datenaustausch erfolgen. Die Einstellungen für die VPN-Protokolle können nur geändert werden, wenn sie die Firewall in der Betriebsart 'Gesperrte Grundeinstellung' befindet.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor HotSpot-Anmeldung für externe Dialer zulassen Wenn diese Funktion aktiviert ist, kann über einen externen Dialer eine HotSpot-Anmeldung erfolgen. Dazu wird die Kommandozeilen-schnittstelle rwscmd.exe aufgerufen. Mit dem Befehl rwscmd /logonhotspot [Timeout] wird die Firewall für die Ports 80 (HTTP) und 443 (HTTPS) freigeschaltet.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Die Log-Dateien werden bei jedem Start der Firewall geschrieben. Maximal werden davon so viele im Log-Verzeichnis gehalten, wie als Anzahl der 'Tage der Protokollierung' eingegeben wurde. Je nach Art und Umfang der eingestellten Protokollierung können sehr große Datenmengen entstehen. Für eine optimale Performance sollte entweder auf eine Protokollierung verzichtet werden oder die Protokollierung auf bestimmte Fälle begrenzt werden.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Mit der Freischaltung von L2Sec oder IPSec wird automatisch auch das DHCP-Protokoll freigeschaltet. Die über die Firewall geschützten Rechner können also auch in der gesperrten Grundeinstellung mit aktiviertem VPN-Protokoll eine IP-Adresse und andere Adress-Informationen von einem erreichbaren DHCP-Server beziehen. 햴 Erstellen Sie dann eine Firewall-Regel, die den gesamten ausgehenden Datenverkehr erlaubt.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Als lokale IP-Adressen werden hier die IP-Adressen der Netzwerkadapter in den Rechnern eingetragen, die durch die Firewall geschützt werden. In einem LAN sind das üblicherweise die IP-Adressen, die vom DHCP-Server zugewiesen worden sind. Bei einem einzelnen Rechner mit einem direkten Internet-Anschluss (nicht über einen Router) ist das meistens die IP-Adresse, die vom Provider dynamisch zugewiesen worden ist.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Aktivieren Sie auf der Registerkarte 'Lokal' als 'Lokale IP-Adressen' die Option 'Alle IP-Adressen', da die IP-Adressen des virtuellen Netzwerkadapters der VPN-Verbindung möglicherweise wechseln können. Aktivieren Sie auf der Registerkarte 'Remote' als 'Remote IP-Adressen' die Option 'Mehrere IP-Adressen/Bereiche' und tragen Sie die IP-Adressen des Netzwerks in der Zentrale ein.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor WLAN-Einstellungen DE Der WLAN-Adapter kann mit der Verbindungsart "WLAN" betrieben werden. Im Monitormenü "Konfiguration / WLAN-Einstellungen" können die Zugangsdaten zum Funknetz in einem Profil hinterlegt werden. 쮿 WLAN-Automatik Unter “WLAN-Profil” wird das Profil selektiert, über das eine Verbindung zum Access Point hergestellt werden soll.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor rierten Profile für den Verbindungsaufbau herangezogen und das mit der passenden SSID verwendet. Wird diese "WLAN-Konfiguration aktiviert", so muss das Management-Tool der WLAN-Karte deaktiviert werden. (Alternativ kann auch das ManagementTool der WLAN-Karte genutzt werden, dann muss die WLAN-Konfiguration im Monitormenü deaktiviert werden.) Adapter Sofern ein WLAN-Adapter installiert ist, wird dieser angezeigt.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Netz ein Doppelklick ausgeübt oder die rechte Maustaste geklickt wird. Über die Buttons können Profile auch bearbeitet oder gelöscht werden. DE Allgemeine Profil-Einstellungen Der Name kann frei vergeben werden und ist bei einer neuen Profilerzeugung nach Doppelklick auf das gescannte Netz zunächst identisch mit der SSID dieses Netzes. Ebenso verhält es sich mit dem Netzwerktyp, der identisch sein muss mit dem im Broadcast des Funknetzes gesendeten.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Beachten Sie dabei, dass die Verbindung über einen HotSpot-Betreiber gebührenpflichtig ist. Sie müssen den Geschäftsbedingungen des HotSpotBetreibers zustimmen, wenn die Verbindung aufgebaut werden soll. 쮿 Statisik Das Statistik-Fenster der WLAN-Einstellungen zeigt im Klartext den Status der Verbindung zum Access Point. Amtsholung Eine Amtsholung ist dann nötig, wenn der LANCOM Advanced VPN Client an einer Nebenstellenanlage betrieben wird.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor “Erweiterte Authentisierung” nutzen wollen, und wo Sie die Zertifikate hinterlegen wollen. ohne: Wählen Sie in der Listbox “Zertifikat” die Einstellung “ohne”, so wird kein Zertifikat ausgewertet und die "Erweiterte Authentisierung" findet nicht statt.
LANCOM Advanced VPN Client mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein, wenden Sie sich unbedingt an den Hersteller. Nehmen Sie außerdem folgende Einstellung in der Client Software vor: Editieren Sie die Datei NCPPKI.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE ausgewählt werden. Statt den Verzeichnisnamen komplett einzugeben, kann der Name dynamisch zusammengesetzt werden. z.B. %SYSTEMROOT%\ncple\user1.p12 %SYSTEMDRIVE%\winxxx\ncple\user1.p12 Wichtig: Die Strings für den Dateinamen können mit Variablen eingegeben werden.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Wichtig: Die Strings für das Modul können mit Variablen eingegeben werden. Dies erleichtert insbesondere das Handling der Konfigurationsdateien mit dem Client Manager, da nun für alle Benutzer die gleichen Strings mit Umgebungsvariablen eingegeben werden können. Kein Verbindungsabbau bei gezogener Chipkarte Beim Ziehen der Chipkarte wird nicht unbedingt die Verbindung abgebaut.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Weitere Richtlinien Es wird empfohlen alle PIN-Richtlinien einzusetzen, außer der, dass nur Zahlen enthalten sein dürfen. Zudem sollte die PIN nicht mit einer Zahl beginnen. Die vorgegebenen Richtlinien werden eingeblendet, wenn die PIN geändert wird und die Richtlinien, die bei der Eingabe erfüllt werden, werden grün markiert (siehe -> PIN ändern).
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Ein Hardware-Zertifikat kann als PKCS#12-Datei eingespielt werden. Der entsprechende Dateiname ist anzugeben. Bei einem Hardware-Zertifikat entfällt die Eingabe einer PIN. Über dieses Konfigurationsfeld können in Abhängigkeit vom Client Monitor Anwendungen oder Batch-Dateien gestartet werden. Die externen Anwendungen werden wie unten beschrieben eingefügt.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Zusätzlich können diese auszuführenden Anwendungen auch an ein bestimmtes Profil gebunden werden. DE Die Wait-Funktion “Warten bis Anwendung ausgeführt und beendet ist” kann dann von Bedeutung sein, wenn eine Reihe von Batch-Dateien nacheinander ausgeführt werden soll. EAP-Optionen [Einstellungen] In den “EAP-Optionen” kann angegeben werden, ob die EAP-Authentisierung nur über WLAN-, LAN- oder alle Netzwerkkarten erfolgen soll.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor für das Wireless LAN ein Access Point verwendet werden, die 802.1x-fähig sind und eine entsprechende Authentisierung unterstützen. Zur Authentisierung kann wahlweise "VPN-Benutzername" mit "VPN-Passwort" verwendet werden oder ein eigener "EAP-Benutzername" mit einem "EAP-Passwort".
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Nachdem die Verbindung zum Network Access Server von der Client-Software hergestellt wurde, können Sie sich an der remote Domain anmelden. Diese Anmeldung erfolgt dann bereits verschlüsselt. Nach jeder Änderung der “Logon Optionen” muss der Rechner gebootet werden.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE Standardmäßig kann der Benutzer alle Menüpunkte öffnen und die Konfigurationen bearbeiten. Wird zu einem Menüpunkt der zugehörige Haken mit einem Mausklick entfernt, so kann der Benutzer diesen Menüpunkt nicht mehr öffnen.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE 쮿 Sichtbare Parameterfelder der Profile Allgemeine Rechte Die allgemeinen Rechte beziehen sich nur auf die (Konfiguration der) Profile. Wird festgelegt “Profile dürfen neu angelegt werden”, “Profile dürfen konfiguriert werden” bleibt jedoch ausgeschlossen, so können zwar mit dem Assistenten neue Profile definiert werden, eine nachfolgende Änderung einzelner Parameter ist dann jedoch nicht mehr möglich.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor HotSpot DE Unter diesem Menüpunkt erfolgt die Konfiguration zur HotSpot-Anmeldung. Folgende Einstellungen sind möglich: “Standard-Browser für HotSpot-Anmeldung verwenden” ist die Standardeinstellung. Wird der Haken in der Checkbox entfernt, kann ein anderer Browser angegeben werden in der Form: %PROGDIR%\Mozilla\Firefox\firefox.exe. Der alternative Browser kann speziell für die Anforderungen am HotSpot konfiguriert werden. D. h.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 쮿 Erstellen Nach jedem Klick auf den Menüpunkt “Erstellen” wird nach einer Sicherheitsabfrage eine Profil-Sicherung angelegt, die die Konfiguration zu diesem Zeitpunkt enthält. 쮿 Wiederherstellen DE Nach jedem Klick auf “Wiederherstellen” wird die letzte Profil-Sicherung eingelesen. Änderungen in der Konfiguration, die seit der letzten Profil-Sicherung vorgenommen wurden, gehen damit verloren. 3.1.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor DE 쮿 Log-Fenster 쮿 Öffne Datei Wenn Sie auf diesen Button klicken, erhalten Sie in einem weiteren Fenster die Möglichkeit Name und Pfad einer Datei einzugeben, in die der Inhalt des LogFensters geschrieben wird. Alle Transaktionen mit der LANCOM Advanced VPN Client Software, wie Anwahl und Empfang, einschließlich der Rufnummern, werden automatisch mitprotokolliert und in diese Datei geschrieben, bis Sie auf den Button mit Schließe Datei klicken.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor 3.1.4 Fenster [Menü] Unter dem Menüpunkt Fenster können Sie die Bedienoberfläche des Monitors variieren und die Sprache für die Monitoroberfläche festlegen.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Immer im Vordergrund Autostart Mit diesem Menüpunkt wird der Monitor so eingestellt, dass er nach dem Booten selbständig startet. “Autostart” ersetzt den Menüpunkt “Fenster Nach booten starten”.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor (In der Darstellung des Ampelsymbols in der Task-Leiste kann nach einem rechten Mausklick auf das Symbol das mögliche Zielsystem abgelesen und die Verbindung aufgebaut oder getrennt werden, bzw. bei abgebauter Verbindung der Monitor auch beendet werden.) DE Das Beenden des Monitors ist nur noch über das Hauptmenü “Verbindung - Beenden” möglich.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Die Einstellungen der Link-Firewall gelten nur für die entsprechenden Verbindungsprofile, bei denen sie konfiguriert sind. Die Link-Firewall wird auch nur dann aktiv, wenn die zugehörige Verbindung aufgebaut ist. Mit der Link-Firewall kann die Funktion der globalen Firewall weiter eingeschränkt werden.
LANCOM Advanced VPN Client 쮿 Kapitel 3: Client Monitor Firewalls nacheinander auf den Datenverkehr wirken, sofern sie gleichzeitig aktiv sind. ll wa 010 01 e bal glo wall Fire 1001001011001011100 01100 10010 10 0 10 100100101100101 1 10 001100 L 001 ire -F ink 10 0 DE 101110 01100 1001 0 0 1 100 .B. XP-Firewall 0 10 w a ll , z 00 100 1 an de r on ers eP ire al F ll -Fire wa Link Link - e w a ll, l Fir 101100 101110 on a z.B.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4 Profil-Einstellungen [Parameter] Nachdem Sie Profil-Einstellungen im Menü des Monitors angeklickt haben, öffnet sich das Menü und zeigt eine Übersicht über die bereits definierten Profile und die Rufnummern der zugehörigen Ziele. Seitlich finden Sie Buttons, über die Sie die Einträge des Telefonbuchs (Zielsysteme) modifizieren können.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.1 Grundeinstellungen DE Im Parameterfeld “Grundeinstellungen” wird der Profil-Name und die Verbindungsart zu einem Profil eingegeben.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Um die Definitionen eines bereits definierten Profils zu kopieren, klicken Sie Kopieren. Um ein Profil zu löschen, wählen Sie es aus und klicken Löschen. Profil-Name Wenn Sie ein neues Profil definieren, sollten Sie zunächst einen unverwechselbaren Namen für dieses System eintragen (z.B. IBM London).
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] LAN (over IP): Angeschlossene Hardware: LAN-Adapter oder UMTS/GPRS-Adapter mit Software des Herstellers/Providers (siehe ’UMTS- oder GRPS-Profil einrichten’ → Seite 124); Netze: Local Area Network mit Ethernet oder Token Ring DE Gegenstellen: Die Gegenstellen des lokalen Multiprotokoll-Routers im LAN WLAN (over IPSec): Angeschlossene Hardware: WLAN-Adapter Netze: Wireless Local Area Network Gegenstellen: Die Gegenstellen des lokalen
LANCOM Advanced VPN Client GPRS (UMTS) Dieses Einwahlmedium wählen Sie, wenn die Einwahl über das Mobilfunknetz (GPRS/UMTS) erfolgen soll (als Alternative zur Verwendung der bei den UMTS/ GPRS-Karten mitgelieferten Software des Herstellers/Providers). Beachten Sie dazu den Hinweis unter den Installationsvoraussetzungen zu ’Modem oder Datenkarte’ → Seite 15 und die Konfigurationshinweise unter ’UMTS- oder GRPS-Profil einrichten’ → Seite 124.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 쐂 MODEM Die Eingangsdaten für die Verbindung zum ISP werden aus den Telefonbucheinträgen übernommen, die für die automatische Medienerkennung konfiguriert wurden. DE 4.1.4 Microsoft DFÜ-Dialer Zur Einwahl am ISP (Internet Service Provider) kann der Microsoft DFÜ-Dialer genutzt werden. Dies ist immer dann nötig, wenn der Einwahlpunkt ein Einwahl-Script benötigt. Der DFÜ-Dialer unterstützt dieses Script.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Benutzername [Netzeinwahl] Mit dem “Benutzernamen” weisen Sie sich gegenüber dem Network Access Server (NAS) aus, wenn Sie eine Verbindung zum Zielsystem aufbauen wollen. Bei Kommunikation über das Internet benötigen Sie den Benutzernamen zur Identifikation am ISP (Internet Service Provider). Der Name für den Benutzer kann bis zu 256 Zeichen lang sein.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] dem Monitor-Menüpunkt “Verbindung” eingetragen und hat auf diese Weise Gültigkeit für alle Rufe (siehe -> Amtsholung).
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Script-Datei Wenn Sie den Microsoft DFÜ-Dialer benutzen, tragen Sie hier die Script-Datei unter Eingabe von Pfad und Namen ein. 4.3 Modem Dieses Parameterfeld erscheint ausschließlich, wenn Sie als “Verbindungsart” “Modem” gewählt haben. Alle nötigen Parameter zu dieser Verbindungsart sind hier gesammelt. -> siehe auch die Parameter: 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 쮿 4.3.1 Modem Anschluss Baudrate Com Port freigeben Modem Init.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.3.2 Anschluss DE An dieser Stelle bestimmen Sie, welcher Com Port von Ihrem Modem genutzt werden soll. Wenn Sie bereits Modems unter Windows installiert haben, wird der während dieser Installation festgesetzte Com Port automatisch übernommen, sobald Sie das entsprechende Gerät unter “Modem” auswählen. 4.3.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] men werden. Der Dial Prefix ist nur in seltenen Ausnahmefällen nötig. Ziehen Sie dazu das Modem-Handbuch zu Rate. Im folgenden einige Beispiele für Dial Prefix: 4.3.7 ATDT ATDP ATDI ATDX DE 쮿 쮿 쮿 쮿 APN Der APN (Access Point Name) wird für die GPRS oder UMTS-Einwahl benötigt. Sie erhalten ihn von Ihrem Provider. Der APN wird insbesondere zu administrativen Zwecken genutzt. 4.3.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Für die script-gesteuerte Anmeldung kann ein Script aus dem Installationsverzeichnis \scripts\samples für weitere HotSpots entsprechend angepasst werden. DE Bei der Verbindungsart WLAN werden die Authentisierungsdaten für den Hotspot aus den WLAN-Einstellungen übernommen. 4.4.1 Benutzername [HTTP-Anmeldung] Dies ist der Benutzername, den Sie von Ihrem HotSpot-Betreiber erhalten haben. 4.4.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.5 Line Management Wenn Sie die Workstation in der Verbindungsart ISDN betreiben, können Sie in diesem Parameterfeld auch eine Kanalbündelung aktivieren. Bitte beachten Sie dabei, dass die Kanalbündelung nur funktionieren kann, wenn sowohl der LANCOM Advanced VPN Client als auch der NAS für eine Verbindung über gleich viele mögliche Kanäle verfügen. -> siehe auch die Parameter: 쮿 쮿 쮿 쮿 쮿 쮿 쮿 4.5.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] automatisch (default) = Dies bedeutet, dass die LANCOM Advanced VPN Client Software die Verbindung zum Zielsystem automatisch herstellt. Das Trennen der Verbindung erfolgt je nach Protokoll Ihres Systems, entsprechend den Anforderungen der Anwendung und den Einstellungen im Telefonbuch. DE wechselnd = Wird dieser Modus gewählt, muss zunächst die Verbindung “manuell” aufgebaut werden.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.5.3 Voice over IP (VoIP) priorisieren Für die VoIP-Priorisierung werden definierte Ports auf eingehende bzw. ausgehende Verbindungen überwacht. Sollte eine solche Verbindung entstehen, so wird die Bandbreite für das FTP- und SMB-Protokoll reduziert. Nach dem Abbau dieser Verbindung wird die Bandbreite wieder freigegeben. 4.5.4 Dynamische Linkzuschaltung Nur für ISDN.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Der Wert dieses Parameters teilt der LANCOM Advanced VPN Client Software die Bitrate mit, ab der ein weiterer Link (Kanal) zugeschaltet werden soll. Der Wert entspricht Prozenten der maximalen Bitrate. Mögliche Werte sind von 1 bis 100 (Prozent). Standardwert ist “20”. Diese Einstellung gilt für Sender und Empfänger. DE Ein Wert kann hier nur eingetragen werden, wenn dynamische Linkzuschaltung aktiviert wurde. 4.5.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.6 4.6.1 Bitte beachten Sie, dass die Verbindung über einen HotSpot-Betreiber gebührenpflichtig ist. Sie müssen den Geschäftsbedingungen des HotSpotbetreibers zustimmen, wenn die Verbindung aufgebaut werden soll. IPSec-Einstellungen Gateway Dies ist die IP-Adresse des VPN Gateways, auch Tunnel-Endpunkt.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.6.2 IKE-Richtlinie Die IKE-Richtlinie wird aus der Listbox ausgewählt. In der Listbox werden alle IKE-Richtlinien aufgeführt, die Sie im Konfigurationsbaum unter der Verzweigung IPSec > IKE- Richtlinie angelegt haben. Die Richtlinien erscheinen in der Box mit dem Namen, den sie bei der Konfiguration vergeben haben. DE Für alle Benutzer sollten die gleichen Richtlinien samt zugehöriger Vorschläge (Proposals) gelten. D.h.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Richtlinien-Gültigkeit DE 4.6.4 Die hier definierte Dauer der Gültigkeit gilt für alle Richtlinien gleichermaßen. Art der Gültigkeit Bestimmt nach welchen Kriterien die Art der Schlüsselgültigkeit festgelegt wird, nach Dauer, nach übertragenen kBytes oder nach beiden. Mit jeder neuen SA-Verhandlung wird der Zähler zurück gesetzt.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE Um die (Standard-)Werte der Richtlinien zu editieren, d.h. Parameter so einzustellen oder abzuändern, wie es den Verbindungsanforderungen zum definierten Zielsystem entspricht, wählen Sie mit der Maus die Richtlinie, deren Werte Sie ändern möchten - die Buttons zur Bedienung werden dann aktiv.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Schließen Wenn Sie das IPSec-Feld schließen, kehren Sie zum Monitor zurück. Die Daten werden so wie sie konfiguriert wurden behalten. Die Parameter in diesem Feld beziehen sich auf die Phase 1 des Internet Key Exchange (IKE) mit dem der Kontrollkanal für die SA-Verhandlung aufgebaut wird.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Zur gegenseitigen Authentisierung wird der allen gemeinsame pre-shared Key (statischer Schlüssel) verwendet. Diesen Schlüssel definieren Sie im Parameterfeld “Identität”. DE Verschlüsselung [IKE-Richtlinie] Nach einem der optionalen Verschlüsselungsalgorithmen erfolgt die symmetrische Verschlüsselung der Messages 5 und 6 im Kontrollkanal, sofern der Main Mode (Identity Protection Mode) gefahren wird.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Transformation [IPSec-Richtlinie] Wenn das Sicherheitsprotokoll ESP eingestellt wurde, kann hier definiert werden wie mit ESP verschlüsselt werden soll. Zur Wahl stehen die gleichen Verschlüsselungsalgorithmen wie für Layer 2: DES, Triple DES, Blowfish, AES 128, AES 192, AES 256. Authentisierung [IPSec-Richtlinie] Für das Sicherheitsprotokoll ESP kann der Modus der Authentisierung eigens eingestellt werden.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.7 Erweiterte IPSec- Optionen Benutze IP- Kompression (LZS) DE Die Datenübertragung mit IPSec kann ebenso komprimiert werden wie ein Transfer ohne IPSec. Dies ermöglicht eine Steigerung des Durchsatzes um maximal das 3-fache. Deaktiviere DPD (Dead Peer Detection) DPD (Dead Peer Detection) und NAT-T (NAT Traversal) werden automatisch im Hintergrund ausgeführt, sofern dies das Ziel-Gateway unterstützt.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.8 Identität DE Entsprechend des Sicherheitsmodus IPSec kann noch detailliertere Sicherheitseinstellungen vorgenommen werden. 4.8.1 Typ [Identität] Bei IPSec wird zwischen abgehenden und eingehenden Verbindungen unterschieden. Der Wert, den der Initiator als ID für eine abgehende Verbindung gewählt hat, muss bei der Gegenstelle als ID für eingehende Verbindungen gewählt sein.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] Entsprechend dem ID-Typ muss die zugehörige ID als String eingetragen werden. 4.8.3 Pre-shared Key DE Der Pre-shared Key wird zur Verschlüsselung verwendet und ist ein String beliebiger Zeichen in einer maximalen Länge von 255 Zeichen. Alle alphanumerischen Zeichen können verwendet werden.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 쮿 Benutze Zugangsdaten aus Zertifikat (Seriennummer): Dies bedeutet, dass statt “Benutzername” und “Passwort” die Seriennummer des Zertifikats verwendet wird. Benutzername [Identität] Den Benutzernamen für XAUTH erhalten Sie von Ihrem Systemadministrator. Der Name kann 256 Zeichen lang sein. 4.8.7 Hinweis: Dieser Parameter wird nur benötigt, um Zugriff auf das VPN Gateway auf der remote Seite zu bekommen.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE Bei “IPSec-Tunneling” wird im Hintergrund automatisch DPD (Dead Peer Detection) und NAT-T (NAT Traversal) ausgeführt, falls dies von der Gegenstelle unterstützt wird. Mit DPD prüft der Client in bestimmten Abständen, ob die Gegenstelle noch aktiv ist. Bei inaktiver Gegenstelle erfolgt ein automatischer Verbindungsabbau.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE müssen hier die IP-Netze eingetragen werden, die vom Client erreicht werden sollen. 4.10.1 Hinweis: Dies wird auch als “Split Tunneling” bezeichnet. Netzwerk-Adressen [VPN IP-Netze] In diesem Parameterfenster definieren Sie, in welchem IP-Netz oder welchen IP-Netzen der Client über VPN-Tunneling kommunizieren kann. Sie erhalten die Adresse(n) von Ihrem Systemadministrator. 4.10.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.11 Zertifikats-Überprüfung DE Überprüfung der Zertifikatsinhalte Im Parameterfeld “Zertifikats-Überprüfung” kann pro Zielsystem des LANCOM Advanced VPN Clients vorgegeben werden, welche Einträge in einem Zertifikat der Gegenstelle (VPN Gateway) vorhanden sein müssen (siehe -> Eingehendes Zertifikat anzeigen, Allgemein).
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 쮿 c = Country / Land 쮿 st = State / Bundesland, Provinz 쮿 l = Location / Stadt, Ort Beispiel: cn=VPNGW*, o=ABC, c=de Der Common Name des Security Servers wird hier nur bis zur Wildcard “*” überprüft. Alle nachfolgenden Stellen können beliebig sein, etwa 1 - 5 als Numerierung. Die Organzation Unit muss in diesem Fall immer ABC sein und das Land Deutschland. 4.11.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 4.11.5 Weitere Zertifikats- Überprüfungen Neben der Zertifikats-Überprüfung nach Inhalten erfolgt am LANCOM Advanced VPN Client eine weitere Zertifikatsprüfung in mehrfacher Hinsicht. DE 1. Auswahl der CA-Zertifikate Der Administrator des Firmennetzes legt fest, welchen Ausstellern von Zertifikaten vertraut werden kann. Dies geschieht dadurch, dass er die CA-Zertifikate seiner Wahl in das Windows-Verzeichnis \CaCerts\ gespielt.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] extendedKeyUsage: Befindet sich in einem eingehenden Benutzer-Zertifikat die Erweiterung extendedKeyUsage so prüft der LANCOM Advanced VPN Client, ob der definierte erweiterte Verwendungszweck “SSL-Server-Authentisierung” enthalten ist. Ist das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen, so wird die Verbindung abgelehnt. Ist diese Erweiterung nicht im Zertifikat vorhanden, so wird diese ignoriert.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE 3. Überprüfung von Sperrlisten Zu jedem Aussteller-Zertifikat kann dem LANCOM Advanced VPN Client die zugehörige CRL (Certificate Revocation List) zur Verfügung gestellt werden. Sie wird in das Windows-Verzeichnis \crls\ gespielt. Ist eine CRL vorhanden, so überprüft der LANCOM Advanced VPN Client eingehende Zertifikate daraufhin, ob sie in der CRL geführt sind.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE Datenaustausch genutzt werden darf (siehe -> Handbuch, Beispiele und Erklärungen). 4.12.1 Aktiviere Stateful Inspection aus: Die Sicherheitsmechanismen der Firewall werden nicht in Anspruch genommen. immer: Die Sicherheitsmechanismen der Firewall werden immer in Anspruch genommen, d.h. auch wenn keine Verbindung aufgebaut ist, ist der PC vor unberechtigten Zugriffen geschützt.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] mes zu gestatten, ist immer dann zweckmäßig, wenn Sie zum Beispiel Microsoft Networking über den LANCOM Advanced VPN Client nutzen. DE In der Standardeinstellung ist dieser Filter gesetzt, das heißt der Checkbutton nicht mit einem Haken markiert, so dass Microsoft NetBios Frames unterdrückt werden, damit sie den Datenverkehr nicht unnötig belasten.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 쮿 Die Datenkarte kann alternativ auch direkt über den LANCOM Advanced VPN Client angesteuert werden. Dabei werden neben den VPN-Angaben alle notwendigen Parameter für den Verbindungsaufbau über die Datenkarte in das Verbindungsprofil eingetragen.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE karte stellt sich für den LANCOM Advanced VPN Client wie eine LAN-Verbindung dar, die für den Aufbau eines VPN-Tunnels genutzt werden kann. 햵 Testen Sie die Funktionsfähigkeit des Profils und den korrekten Aufbau des VPN-Tunnels nach Möglichkeit über eine „echte“ LAN- bzw. WANVerbindung (z.B. Ethernetverbindung ins Internet o.ä.). 햶 Trennen Sie dann alle Verbindungen ins Internet (über Ethernet, ISDN o.ä.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE 햷 Sobald die Verbindung ins Internet über die UMTS- oder GPRS-Datenkarte hergestellt ist, starten Sie die Verbindung über den LANCOM Advanced VPN Client. 4.13.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE Client wie ein Modem dar, das für den direkten Aufbau eines VPN-Tunnels über die Modemverbindung genutzt werden kann. 햵 Tragen Sie im Bereich 'Netzeinwahl' die Informationen ein, die für die Einwahl in den Server beim Mobilfunkbetrieber benötigt werden (siehe ’Einwahlinformationen für verschiedenen Mobilfunkbetreiber’ → Seite 130). Dabei müssen Sie auf jeden Fall die Rufnummer eintragen.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] 왏 AT+F (setzt die Firmware des Modems auf Defaultwerte) 왏 AT+CGDCONT=1, “IP”, (Beginn der APN-Eingabe des Mobilfunkbetriebers) 왏 web.vodafone.de (APN des Mobilfunkbetriebers) Für den Init-String können je nach Modell der Datenkarte weitere Informationen erforderlich sein. Erkundigen Sie sich ggf. in der Dokumentation zu Ihrer Datenkarte oder bei Ihrem Mobilfunkbetrieber nach dem erforderlichen Init-String.
LANCOM Advanced VPN Client 쮿 Kapitel 4: Profil- Einstellungen [Parameter] DE zunächst die Verbindung über die UMTS- oder GPRS-Datenkarte auf und danach automatisch den VPN-Tunnel zum ausgewählten VPN-Gateway. 4.13.4 130 Einwahlinformationen für verschiedenen Mobilfunkbetreiber Mobilfunkbetrieber T-Mobile Vodafone E-Plus O2 Genion Rufnummer *99# *99# *99# *99# Benutzername (beliebig) (beliebig) eplus (beliebig) Kennwort (beliebig) (beliebig) (beliebig) (beliebig) DNS-Server 193.
LANCOM Advanced VPN Client 쮿 Kapitel 5: Eine Verbindung herstellen 5 Eine Verbindung herstellen Verbindungsaufbau zum Zielsystem Die Client Software gestattet die Definition verschiedenster Zielsysteme, die je nach Anforderung benannt und konfiguriert werden können. Um ein Zielsystem zu definieren, klicken Sie in der Menüleiste auf Konfiguration > Profil- Einstellungen. Das Fenster der Profileinstellungen öffnet sich nun und zeigt die bereits definierten Ziele.
LANCOM Advanced VPN Client 쮿 Kapitel 5: Eine Verbindung herstellen 5.1.2 Manueller Verbindungsaufbau Daneben ist es auch möglich manuell die Verbindung zu einem ausgewählten Ziel herzustellen, indem Sie im Monitor Verbindung anklicken und Verbinden wählen. DE 5.1.3 Wechselnder Verbindungsaufbau Wird dieser Modus gewählt, muss zunächst die Verbindung “manuell” aufgebaut werden.
LANCOM Advanced VPN Client 쮿 Kapitel 5: Eine Verbindung herstellen Einwahl beim Internetprovider Findet eine Einwahl zu einem Network Access Server bzw. Internet-DiensteAnbieter (ISP) ins Internet statt, so wird die Einwahlverbindung mit einer dünnen gelben Linie symbolisiert. Die Einwahl ist abgeschlossen und die Verbindung zum ISP erfolgreich hergestellt, wenn die dünne Verbindungslinie die Farbe Grün annimmt.
LANCOM Advanced VPN Client 쮿 Kapitel 5: Eine Verbindung herstellen DE VPN Gateway erfolgreich hergestellt, wenn die dicke Verbindungslinie die Farbe Grün annimmt. Gleichzeitig mit dem Start des Verbindungsaufbaus zum Gateway ändern sich auch die Farben der Symbole für die VPN-Einwahl. Die Einwahl und die Authentisierung am VPN Gateway ist genauso wie bei der NAS-Einwahl dargestellt.
LANCOM Advanced VPN Client 쮿 Verschlüsselung: Zur Verschlüsselung dient entweder ein Pre-shared Key oder der Private Key aus einem Zertifikat. Beide Alternativen werden in den Profil-Einstellungen unter “Identität” eingestellt. Wird der “Pre-shared Key” verwendet, muss das “Shared Secret” hier eingetragen werden. Wird der “Preshared Key” nicht verwendet, wird automatisch das Zertifikat benutzt. Welche Verschlüsselung benutzt werden muss gibt das Gateway vor.
LANCOM Advanced VPN Client 쮿 Kapitel 5: Eine Verbindung herstellen Wenn Sie das Passwort eingeben, werden alle Zeichen als Stern (*) dargestellt, um sie vor ungewünschten Beobachtern zu verbergen. Es ist wichtig, dass Sie das Passwort genau nach der Vorgabe eintragen und dabei auch auf Großund Kleinschreibung achten.
LANCOM Advanced VPN Client 쮿 Kapitel 5: Eine Verbindung herstellen 5.5 Verbindungsabbruch und Fehler 5.6 DE Ereignet sich ein Fehler, so wird die Verbindung nicht hergstellt und die Fehlerursache im Monitor angezeigt (beachten Sie dazu den Abschnitt “Fehlerund ISDN-Meldungen”). Trennen Mit der Funktion “Trennen“ wird der Abbau der aktuell bestehenden Verbindung manuell durchgeführt.