TUHH > Servicebereiche > Rechenzentrum > Hochschulnetz > VPN Service: Hilfe

Fragen/Support

Bei Fragen oder Problemen schauen Sie bitte auf diese Hilfeseiten. Für Fragen, Anregungen, Erfahrungsberichte oder mit weitergehenden Problemen wenden Sie sich bitte an unser User Service Center (Helpdesk).

VPN Hilfe

Wir bieten derzeit keinen Support für die GNU/Linux oder MacOS X Version des Cisco VPN Clients an.

Allgemeine Hilfe

Systemspezifische Hilfe

Allgemeine FAQ

  • [faq1] Was ist ein VPN?
    VPN steht für "Virtual Private Network" und dient zur (abhör-)sicheren Kommunikation zwischen zwei Endpunkten mittels Verschlüsselungsverfahren. Weitere Informationen finden Sie bei Wikipedia.
  • [faq2] Ich habe einen Studentenaccount und kann mich mit dem VPN Client erfolgreich im TUHH Netz anmelden, aber nicht alle Programme haben Internetzugang.
    Studierende und externe Studierende mit TUHH Account erhalten einen eingeschränkten Zugriff aufs Internet, wenn sie sich per VPN einwählen. Es sind ausschließlich folgende Dienste im Internet erreichbar:
    • Webserver zum Surfen (http/https)
    • Mailserver zum Abrufen von Mail (pop3/imap/pop3s/imaps)
    • Mailserver zum Senden von Mail nur mit Authentifizierung (submission/smtps, nur verschlüsselt über SSL/TLS!)
    • SSH Server auf TCP-Port 22
    • News-Server news.cis.dfn.de
    • Bibliotheksrecherche (TCP-Port 210, Z39.50)
    Der Zugriff auf Webserver (http) wird über einen transparenten Proxy geführt. Die Nutzung von ftp erfordert die Einstellung unseres Proxy in den jeweiligen Programmen (vgl. Proxy Seite).
  • [faq3] Ich befinde mich im TUHH WLAN oder an einem der Notebook Arbeitsplätze und der VPN Client baut keine Verbindung zum VPN Konzentrator auf.
    Überprüfen Sie, ob Ihre IP Adresse aus unserem WLAN Netz stammt. Das kann der Fall sein, wenn Sie Ihr WLAN für die TUHH falsch konfiguriert haben. In einigen Fällen konnten wir feststellen, dass aktive Personal Firewalls DHCP Pakete verwerfen und damit keine korrekte IP Adresse zugewiesen wird.
  • [faq4] Ich befinde mich nicht auf dem TUHH Campus und würde gern den Cisco VPN Client herunterladen.
    Da der Cisco VPN Client strengen US-Exportbeschränkungen unterliegt, dürfen wir den Client nur für TUHH Angehörige zum Download anbieten. Um den VPN Client von extern herunter zu laden, kann unser WebVPN Gateway benutzt werden. Damit stellen wir eine Authentisierung von TUHH Angehörigen sicher.
  • [faq5] Der Cisco VPN Client kann innerhalb des TUHH Netzes (nicht WLAN oder Notebook-Arbeitsplätze) keine Verbindung zum VPN Konzentrator aufbauen.
    Überprüfen Sie, ob Sie einen aktuellen VPN Client mit dem TUHH-Hybrid Profil benutzen. VPN Clients vor Mai 2007 sind nicht in der Lage eine Verbindung herzustellen.
  • [faq6] Der Cisco VPN Client erreicht den VPN Konzentrator nicht!
    Sofern Sie bereits [faq3] sowie [faq5] (bei Windows XP auch die windows [faq1]) beachtet haben, können Sie einen kleinen Verbindungstest mit ping durchführen. Unter GNU/Linux oder MacOS X öffnen Sie einfach eine Shell Ihrer Wahl, bei Windows Systemen benötigen Sie die "MS-DOS Eingabeaufforderung", die mit Start → Ausführen → cmd gestartet werden kann.

    Die Adresse des VPN Konzentrators ist derzeit casg.rz.tu-harburg.de, die von außerhalb der TUHH und aus dem TUHH WLAN anpingbar ist; Tests aus dem internen TUHH Netz müssen die Backup-VPN Adresse benutzen: vpn.tu-harburg.de. Folgendes Beispiel zeigt ping unter GNU/Linux (unter Windows analog):

    Ping-Test von außerhalb der TUHH oder aus dem TUHH WLAN: 

    tux@tuhh> ping casg.rz.tu-harburg.de
PING casg.rz.tu-harburg.de (193.174.167.246) 56(84) bytes of data.
64 bytes from 193.174.167.246: icmp_seq=1 ttl=126 time=1.89 ms
[..]

    Ping-Test innerhalb des TUHH Netzes (auch TUHH WLAN): 

    tux@tuhh> ping vpn.tu-harburg.de
PING vpnsrv1.rz.tu-harburg.de (134.28.202.142) 56(84) bytes of data.
64 bytes from vpnsrv1.rz.tu-harburg.de (134.28.202.142): icmp_seq=1 ttl=126 time=0.784 ms
[..]
    In diesem Fall ist der VPN Konzentrator erreichbar, damit wissen Sie, dass sich die VPN Verbindung aufbauen könnte, die Fehlersuche also in (Personal)Firewall- und sonstigen Konfigurationen auf Ihrem Rechner beginnen sollte. Sie können auch unseren WebVPN Dienst ausprobieren, ob eine Verbindung zustande kommt.

    Falls ping den VPN Konzentrator nicht erreicht, sollte die Fehlersuche in der Netzwerkverbindung beginnen. Evtl. wird die ping Anfrage unterwegs verworfen, ein Verbindungsaufbau mit dem VPN Konzentrator wäre dann trotzdem möglich. Die Ursachen hierfür sind vielfältig. Probieren Sie doch einmal, ob ein ping unsere DNS Server erreicht, falls der casg.rz.tu-harburg.de Domain-Name nicht in eine IP Adresse aufgelöst werden konnte: 

    tux@tuhh> ping 134.28.202.14
PING 134.28.202.14 (134.28.202.14) 56(84) bytes of data.
64 bytes from 134.28.202.14: icmp_seq=1 ttl=126 time=1.89 ms
[..]
    Hat hierbei der Ping-Test kein positives Ergebnis gebracht, ist höchstwahrscheinlich bei der Netzwerkkonfiguration und der damit verbundenen Nameserver (DNS) Zuweisung etwas schief gelaufen. In unserem WLAN muss DHCP benutzt werden, für die Nameserverzuweisung inklusive.
  • [faq7] Warum sehe ich jetzt nur noch ein Profil (TUHH-Hybrid) im VPN Client und was bedeutet das?
    Beim Ausrollen der neuen VPN Clients (Windows Vista) im Mai 2007 haben wir auch die Profilverwaltung vereinfacht sowie die Sicherheit durch aktuellere Kryptoverfahren erhöht. Aus diesem Grund wird nur noch ein Profil für alle TUHH Angehörigen benötigt. "Hybrid" meint, dass wir neben dem (jetzt unverschlüsselt gespeicherten) Gruppenpasswort im VPN Profil auch ein Zertifikat des VPN Konzentrators in den VPN Client eingepflanzt haben.

    Die alten Profile (TUHH_Student, TUHH_Mitarbeiter, TUHH_ExternStudent) wurden zum 01.11.2007 deaktiviert.

  • [faq8] Was bedeutet "GPG-Signatur" auf der Download Seite? Brauche ich die zum Installieren des VPN Clients?
    Die GPG-Signatur wird nicht zum Installieren benötigt. Sie dient vielmehr zur "Echtheitsüberprüfung" des heruntergeladenen VPN Clients, d.h.man kann dadurch sicherer sein, auch die richtige (unveränderte Original-) Software erhalten zu haben. Zur Überprüfung (verify) kann das freie Programm GnuPG benutzt werden; zusätzlich wird noch der öffentliche Schlüssel des Paketierers benötigt, in diesem Fall 0x420F0947 (auch beim Sophos Download haben Sie diese Möglichkeit).

    Die folgende kurze Anleitung läd als erstes den öffentlichen Schlüssel herunter und verifiziert dann das Software-Paket (unter Windows analog). Der VPN Client und die dazu gehörige GPG-Signaturdatei (.asc oder .sig) sollten dazu im gleichen Verzeichnis liegen. 

    tux@tuhh> gpg --recv-key --keyserver x-hkp://blackhole.pca.dfn.de 0x20D9A035420F0947
gpg: key 420F0947: public key "Sven Uebelacker <uebelacker@tuhh.de>" imported
gpg: Total number processed: 1
gpg:               imported: 1
tux@tuhh> gpg --verify vpnclient-*.asc
gpg: Signature made Mon 07 May 2007 04:19:56 PM CEST using DSA key ID 420F0947
gpg: Good signature from "Sven Uebelacker <uebelacker@tuhh.de>"
gpg: checking the trustdb
gpg: no ultimately trusted keys found
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 1CC9 1CBB D440 95D4 53C0  15C7 20D9 A035 420F 0947

    Bis hierhin ist jedoch erst sicher gestellt, dass die GPG-Signatur zum VPN Client gehört (Good signature). Um sicher zu gehen, dass der öffentliche Schlössel vertrauenswürdig ist (trusted key), muss der trust level in der trustdb stimmen. Das kann manuell oder automatisiert erfolgen -- je nach dem, ob ein trusted path zum öffentlichen Schlüssel automatisch durch andere vertrauenswürdige Schlüssel generiert werden kann oder man manuell den fingerprint über andere Wege überprüft und den trust level händisch setzt. Bei ausreichendem trust level (ultimate) fällt die Ausgabe kürzer aus:

    tux@tuhh> gpg --verify vpnclient-*.asc
gpg: Signature made Mo 07 Mai 2007 16:19:56 CEST using DSA key ID 420F0947
gpg: Good signature from "Sven Uebelacker <uebelacker@tuhh.de>"
  • [faq9] Wie überprüfe ich das im VPN Client enthaltene Zertifikat?
    Um das im VPN Client enthaltene Zertifikat des VPN Konzentrators zu überprüfen, muss der "Fingerabdruck" (hier: Thumbprint) verglichen werden mit einem aus einer vertrauenswürdigen Quelle. Dies kann über den Aushang im RZ geschehen.

    Bei Windows bzw. MacOS X gehen Sie wie folgt vor, um sich den Fingerabdruck anzeigen zu lassen: Aktivieren Sie die Anzeige der Zertifikate unter Certificates → Show CA|RA Certificates; anschließend lassen Sie sich Zertifikatsinformationen mit Certificates → View... anzeigen. Sie erhalten folgendes Fenster.

    Windows XP screenshot:

    Bei GNU/Linux geben Sie mit root-Rechten cisco_cert_mgr -R -op view ein und wählen das VPN Zertifikat aus (bei Standardinstallation "0"). Sie erhalten dann folgende Ausgabe: 

    [..]
Thumb Print:	D3E32F97F37E352EFF66FDA957ED43A4
[..]
  • [faq10] Besteht eine andere Möglichkeit, verschlüsselt in die TUHH zu kommen, ohne den VPN Dienst nutzen zu müssen?
    Ja. Das Rechenzentrum bietet einen SSH Eingangsserver an, auf dem Sie auch Ihre Benutzerverzeichnisse finden oder zu dem Sie einen SSH-Tunnel oder SocksV5-Proxy aufbauen können. Der SSH Server ist auch ohne VPN Client aus unserem WLAN erreichbar. Zu OpenSSH lesen Sie bitte das SSH Manual. Für GNU/Linux haben wir eine Anleitung für den SSH Tunnel erstellt. Ein SocksV5 Proxy ermöglicht nur den Zugriff auf das TUHH Intranet, mit der SSH Tunnel Lösung kann man weltweit surfen!
  • [faq11] Ich habe bereits einen Cisco VPN Client einer anderen Einrichtung installiert und möchte den TUHH VPN Dienst zusätzlich nutzen.
    Wenn Sie aus einer anderen Einrichtung (wie der Uni Hamburg) kommen, die den Cisco VPN Client einsetzt, können Sie den Cisco VPN Client kein zweites Mal installieren. Geht es Ihnen nur darum ins Internet zu kommen und nicht ins Intranet der TUHH, beachten Sie den Hinweis auf das DFN Roaming. Ansonsten: Laden Sie das aktuelle TUHH Profil und Zertifikat herunter und entpacken Sie die Datei.

    Unter MS Windows und Apple MacOS X: Starten Sie den Cisco VPN Client und importieren Sie das TUHH Profil (.pcf Datei). Aktivieren Sie die Zertifikatsanzeige mit Certificates → Show CA|RA Certificates und wechseln auf den Reiter "Certificates". Nach dem Import des TUHH Zertifikats rootcert erscheint das Zertifikat in der Liste.

    Unter Linux: Als Administrator kopieren Sie das TUHH Profil (.pcf Datei) in das Verzeichnis "/etc/opt/cisco-vpnclient/Profiles/" und importieren das TUHH Zertifikat (rootcert) mit cisco_cert_mgr -R -op import.

  • [faq12] Ich erhalte von zuhaus keine Verbindung zum TUHH VPN Dienst.
    Seit Anfang 2008 erhalten wir vermehrt Meldungen, dass unsere VPN Nutzer von zuhaus keine VPN Verbindung aufbauen können. Wir erhalten den Hinweis, dass es sich um DSL-Kunden der Deutschen Telekom handelt, die den "Speedport W700V" einsetzen. Anscheinend wurde von Providerseite ein Firmware-Upgrade vorgenommen, das die nötigen UDP Pakete verwirft.

    Lösungsansatz:
    Schalten Sie vom standardisierten IPSec/UDP VPN Tunnel auf TCP (Port 10000). Dies ist zwar nicht standardisiert, aber von Cisco unterstützt. Die Latenzzeit kann durch den TCP-handshake höher sein, dafür ist TCP aber kein verbindungsloses Protokoll, was in diesem Fall bisher geholfen hat.

    Unter MS Windows und Apple MacOS X: Editieren Sie das TUHH-Hybrid Profil unter dem Reiter "Connection Entries" mit "Modify" und wechseln unter "Transport" von "IPSec over UDP" auf "IPSec over TCP" (falls das nicht möglich ist, benutzen Sie noch ein älteres VPN Profil, wo die Änderung vom Transportprotokoll nicht klickbar ist. Installieren Sie das aktuelle TUHH-Hybrid Profil). Abschließend sichern Sie das veränderte Profil mit "Save".

    Unter Linux: Editieren Sie als root die TUHH-Hybrid Profildatei unter "/etc/opt/cisco-vpnclient/Profiles/TUHH-Hybrid.pcf" und setzen den Wert von TunnelingMode auf 1 für TCP VPN Verbindungen. (UDP-Wert ist 0)

  • Weitere (betriebssystem-)spezifischen FAQs: Windows XP/Vista, MacOS X, GNU/Linux und WebVPN.