Lancom Systems Advanced VPN Client User guide [de]
LANCOM Advanced VPN Client
Version 2.00
© 2007 LANCOM Systems, Würselen (Germany). Alle Rechte vorbehalten.
Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht als
Zusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs- und
Lieferbedingungen festgelegt ist.
Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentation und Software und die Verwendung
ihres Inhalts sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet. Änderungen, die dem technischen Fortschritt dienen, bleiben vorbehalten.
Windows®, Windows NT® und Microsoft® sind eingetragene Marken von Microsoft, Corp.
Das LANCOM Systems-Logo, LCOS und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM Systems. Alle
übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer
sein.
LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern, und übernimmt keine Gewähr für
technische Ungenauigkeiten und/oder Auslassungen.
Produkte von LANCOM Systems enthalten Software, die vom „OpenSSL Project“ für die Verwendung im „OpenSSL Toolkit“
entwickelt wurden (http://www.openssl.org/
Produkte von LANCOM Systems enthalten kryptographische Software, die von Eric Young (eay@cryptsoft.com
wurde.
Produkte von LANCOM Systems enthalten Software, die von der NetBSD Foundation, Inc. und ihren Mitarbeitern entwickelt wurden.
LANCOM Systems
Adenauerstr. 20/B2
52146 Würselen
Deutschland
).
) geschrieben
www.lancom.de
Würselen, Februar 2007
LANCOM Advanced VPN Client
쮿 Inhalt
Inhalt
1 Produktbeschreibung 9
1.1 LANCOM Advanced VPN Client - universeller IPSec Client 9
1.2 Leistungsumfang 9
1.3 Wichtige Hinweise 10
1.4 Client Monitor - Grafische Benutzeroberfläche 11
1.5 Dialer 11
1.6 Line Management 11
1.7 Personal Firewall 11
1.8 PKI-Unterstützung 12
1.8.1 Public Key Infrastruktur 12
1.8.2 Smart Card 13
2 Installation 14
2.1 Installationsvoraussetzungen 14
2.1.1 Betriebssystem 14
2.1.2 Zielsystem 14
2.1.3 Lokales System 14
ISDN-Adapter (ISDN) 14
Modem oder Datenkarte 15
Direkte Unterstützung von UMTS/HSDPA- oder GPRSDatenkarten 15
LAN-Adapter (LAN over IP) 16
LANCOM LANCAPI 16
xDSL-Modem (PPPoE/PPTP) 16
WLAN-Adapter (WLAN) 16
Automatische Medienerkennung 17
2.1.4 Voraussetzungen für den Einsatz von Zertifikaten 18
Chipkartenleser (PC/SC-konform) 18
Chipkartenleser (CT-API-konform) 18
Chipkarten 19
Soft-Zertifikate (PKCS#12) 19
Chipkarten oder Token (PKCS#11) 19
TCP/IP 20
DE
3
LANCOM Advanced VPN Client
쮿 Inhalt
2.2 LANCOM Advanced VPN Client installieren und aktivieren 20
2.3 Vor der Inbetriebnahme 25
2.2.1 Aktivierung 21
2.2.2 Online-Aktivierung 22
2.2.3 Offline-Aktivierung 23
DE
3 Client Monitor 27
3.1 Monitor-Bedienung 27
3.1.1 Verbindung [Menü] 28
Verbinden 28
Trennen 29
HotSpot-Anmeldung 29
Multifunktionskarte 30
Verbindungs-Informationen 31
Verfügbare Verbindungsmedien 32
Zertifikate [Ansicht] 33
PIN eingeben 37
PIN zurücksetzen 39
PIN ändern 39
Verbindungssteuerung Statistik 39
Sperre aufheben 40
Beenden 40
3.1.2 Konfiguration [Menü] 41
Profil-Einstellungen [Menü] 41
Firewall-Einstellungen 43
WLAN-Einstellungen 66
Amtsholung 69
Zertifikate [Einstellungen] 69
Verbindungssteuerung [Konfiguration] 75
EAP-Optionen [Einstellungen] 76
Logon Optionen 77
Konfigurations-Sperren 78
Profile importieren 80
HotSpot 81
Profil-Sicherung 81
3.1.3 Log 82
Logbuch 82
3.1.4 Fenster [Menü] 84
Profilauswahl anzeigen 84
4
LANCOM Advanced VPN Client
쮿 Inhalt
Buttonleiste anzeigen 84
Statistik anzeigen 84
WLAN-Status anzeigen 84
Immer im Vordergrund 85
Autostart 85
Beim Schließen minimieren 85
Nach Verbindungsaufbau minimieren 86
Sprache 86
3.1.5 Hilfe 86
3.2 Das Firewall-Konzept 86
3.2.1 Globale Firewall und Link-Firewall 86
3.2.2 Zusammenspiel mit anderen Firewalls 87
4 Profil-Einstellungen [Parameter] 89
4.1 Grundeinstellungen 90
4.1.1 Profil-Name 91
4.1.2 Verbindungstyp 91
4.1.3 Verbindungsmedium 91
4.1.4 Microsoft DFÜ-Dialer 94
4.1.5 Dieses Profil nach jedem Neustart des Systems verwenden
94
4.2 Netzeinwahl 94
4.2.1 Benutzername [Netzeinwahl] 95
4.2.2 Passwort [Netzeinwahl] 95
4.2.3 Rufnummer (Ziel) 95
4.2.4 Passwort speichern 96
4.2.5 Script-Datei 97
4.3 Modem 97
4.3.1 Modem 97
4.3.2 Anschluss 98
4.3.3 Baudrate 98
4.3.4 Com Port freigeben 98
4.3.5 Modem Init. String 98
4.3.6 Dial Prefix 98
4.3.7 APN 99
4.3.8 GPRS/UMTS PIN 99
DE
5
LANCOM Advanced VPN Client
쮿 Inhalt
DE
4.4 HTTP-Anmeldung 99
4.4.1 Benutzername [HTTP-Anmeldung] 100
4.4.2 Passwort [HTTP-Anmeldung] 100
4.4.3 Passwort speichern [HTTP-Anmeldung] 100
4.4.4 HTTP Authentisierungs-Script [HTTP-Anmeldung] 100
4.5 Line Management 101
4.5.1 Verbindungsaufbau 101
4.5.2 Timeout 102
4.5.3 Voice over IP (VoIP) priorisieren 103
4.5.4 Dynamische Linkzuschaltung 103
4.5.5 Schwellwert für Linkzuschaltung 103
4.5.6 EAP-Authentisierung 104
4.5.7 HTTP-Authentisierung 104
4.6 IPSec-Einstellungen 105
4.6.1 Gateway 105
4.6.2 IKE-Richtlinie 106
4.6.3 IPSec-Richtlinie 106
4.6.4 Richtlinien-Gültigkeit 107
4.6.5 Richtlinien-Editor 107
4.6.6 Exch. mode 111
4.6.7 PFS-Gruppe 111
4.7 Erweiterte IPSec-Optionen 112
Benutze IP-Kompression (LZS) 112
Deaktiviere DPD (Dead Peer Detection) 112
UDP-Encapsulation verwenden 112
4.8 Identität 113
4.8.1 Typ [Identität] 113
4.8.2 ID [Identität] 113
4.8.3 Pre-shared Key 114
4.8.4 Benutze erweiterte Authentisierung (XAUTH) 114
4.8.5 Benutze Zugangsdaten aus Konfiguration 114
4.8.6 Benutzername [Identität] 115
4.8.7 Passwort [Identität] 115
4.9 IP-Adressen-Zuweisung 115
4.9.1 Benutze IKE Config Mode 115
4.9.2 Benutze lokale IP-Adresse 116
4.9.3 DNS/WINS 116
4.9.4 DNS-Server 116
4.9.5 WINS-Server 116
6
LANCOM Advanced VPN Client
쮿 Inhalt
4.10 VPN IP-Netze 116
4.10.1 Netzwerk-Adressen [VPN IP-Netze] 117
4.10.2 Subnet-Masken 117
4.10.3 Auch lokale Netze im Tunnel weiterleiten 117
4.11 Zertifikats-Überprüfung 118
4.11.1 Benutzer des eingehenden Zertifikats 118
4.11.2 Aussteller des eingehenden Zertifikats 119
4.11.3 Fingerprint des Aussteller-Zertifikats 119
4.11.4 Benutze SHA1 Fingerprint statt MD5 119
4.11.5 Weitere Zertifikats-Überprüfungen 120
4.12 Link-Firewall 122
4.12.1 Aktiviere Stateful Inspection 123
4.12.2 Ausschließlich Kommunikation im Tunnel zulassen 123
4.12.3 Erlaube NetBios over IP 123
4.12.4 Bei Verwendung des Microsoft DFÜ-Dialers ausschließlich Kommunikation im Tunnel zulassen 124
4.13 UMTS- oder GRPS-Profil einrichten 124
4.13.1 Alternative Wege für die UMTS- oder GPRS-Verbindung
124
4.13.2 Verbindung über Betriebssoftware des Mobilfunkanbieters einrichten 125
4.13.3 Direkte Verbindung über LANCOM Advanced VPN Client
einrichten 127
4.13.4 Einwahlinformationen für verschiedenen Mobilfunkbetreiber 130
DE
5 Eine Verbindung herstellen 131
5.1 Verbindungsaufbau zum Zielsystem 131
5.1.1 Automatischer Verbindungsaufbau 131
5.1.2 Manueller Verbindungsaufbau 132
5.1.3 Wechselnder Verbindungsaufbau 132
5.2 Verbinden 132
5.2.1 Einwahl beim Internetprovider 133
5.2.2 Symbole der VPN-Einwahl 133
5.3 Client Logon 135
5.4 Passwörter und Benutzernamen 135
5.4.1 Benutzername für NAS-Einwahl 136
5.4.2 Benutzername und Passwort für VPN-Einwahl 136
7
LANCOM Advanced VPN Client
쮿 Inhalt
DE
5.5 Verbindungsabbruch und Fehler 137
5.6 Trennen 137
5.7 Trennen und Beenden des Monitors 137
8
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
1 Produktbeschreibung
1.1 LANCOM Advanced VPN Client - universeller IPSec Client
Der LANCOM Advanced VPN Client kann in beliebigen VPN-Umgebungen
eingesetzt werden. Er kommuniziert auf der Basis des IPSec-Standards mit
den Gateways verschiedenster Hersteller. Die Client Software emuliert einen
Ethernet LAN-Adapter. Der LANCOM Advanced VPN Client verfügt dazu über
zusätzliche Leistungsmerkmale, die dem Anwender den Einstieg in eine ganzheitliche Remote Access VPN-Lösung ermöglichen.
Der LANCOM Advanced VPN Client bietet:
쮿 Unterstützung aller gängigen Windows-Betriebssysteme
쮿 Einwahl über alle Übertragungsnetze (auch LANCOM LANCAPI)
쮿 Kompatibilität mit den VPN Gateways unterschiedlichster Hersteller
쮿 Integrierte Personal Firewall für mehr Sicherheit
쮿 Dialer-Schutz (keine Bedrohung durch 0190er- und 0900er-Dialer)
쮿 Höhere Geschwindigkeit im ISDN (Kanalbündelung)
쮿 Gebührenersparnis (Kosten- und Verbindungskontrolle)
쮿 „Friendly-Net“-Erkennung für situationsabhängige Firewallregeln
쮿 Automatische Hot-Spot-Erkennung
쮿 Bedienungskomfort (grafische Oberfläche)
1.2 Leistungsumfang
Der LANCOM Advanced VPN Client unterstützt alle gängigen Betriebssysteme
(Windows 2000, Windows 2003 Server, XP, Vista; Windows CE auf Anfrage).
Die Einwahl in das Firmennetz erfolgt unabhängig vom Mediatyp, d.h. neben
ISDN, PSTN (analoges Fernsprechnetz), GSM, GPRS, UMTS und xDSL wird
auch LAN-Technik wie kabelgebundenes LAN und Funknetzwerk (WLAN)
unterstützt. Auf diese Weise kann mit ein und demselben Endgerät von unterschiedlichen Lokationen auf das Firmennetz zugegriffen werden:
쮿 in der Filiale über WLAN
쮿 in der Zentrale über LAN
쮿 unterwegs an Hotspots und beim Kunden über WLAN bzw. GPRS/UMTS
쮿 im Home Office über xDSL oder ISDN
DE
9
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
1.3 Wichtige Hinweise
햲 Dieses Handbuch beschreibt den Funktionsumfang des LANCOM Advan-
햳 Sofern der verwendete Rechner noch nicht z.B. über einen lokalen Netz-
DE
햴 Beim LANCOM Advanced VPN Client handelt es sich um eine kosten-
ced VPN Clients auf Basis der Software-Release 2.00.
werkzugang (LAN, WLAN oder LANCAPI) mit dem Internet verbunden ist,
muss zuerst ein geeigneter Internetzugang hergestellt werden (z.B. durch
Einbuchen an einem WLAN Hotspot). Ferner kann der Client selbständig
die Interneteinwahl mit folgenden Geräten steuern: Analog-Modems,
DSL-Modems (PPPoE), ISDN-, GPRS- oder UMTS-Karten. Anders als bei
Verbindungen über das Internet, bei denen der Client darauf basierende
VPN-Verbindungen aufbauen kann, brauchen direkte Wählverbindungen
(z.B. ISDN-Karte oder LANCAPI, Analog-Modem, HSCSD-Mobiltelefon)
i.d.R. nicht verschlüsselt zu werden.
pflichtige Software. Unter www.lancom.de/download sowie auf der
LANCOM-CD finden Sie eine 30-Tage-Demoversion des LANCOM Advanced VPN Clients. Diese Demoversion können Sie nach Ablauf der 30 Tage
mit einer entsprechenden Lizenz zu einer Vollversion freischalten. Der Vertrieb der Lizenzen für die Vollversion erfolgt ausschließlich über LANCOM
Distributions-, Fachhandels- und Systemhauspartner. Sie können die
Lizenzen dort unter folgenden Artikelnummern für Windows (XP, 2000,
Me und 98SE) zu bestellen:
10
왏 61600 LANCOM Advanced VPN Client (1er Lizenz)
왏 61601 LANCOM Advanced VPN Client (10er Lizenz)
왏 61602 LANCOM Advanced VPN Client (25er Lizenz)
Die gleichzeitige Nutzung einer Lizenz auf verschiedenen Systemen ist
lizenzrechtlich nicht erlaubt.
햵 Die gleichzeitige Einwahl von VPN-Clients, die nicht über die erforderliche
Lizenzfreischaltung verfügen (Demo-Mode), ist auf drei begrenzt. Die im
VPN eingebuchten LANCOM Advanced VPN Clients werden im LANCOM
LANmonitor angezeigt.
햶 Wenn die VPN-LAN-Schnittstelle (LANCOM Advanced VPN Client) über
das Netzwerkmanagement (Gerätemanager) manuell deaktiviert wird,
muss das System danach gebootet werden. Eine erneute manuelle Reak-
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
tivierung erfordert wiederum einen manuellen Neustart des Betriebssystems.
1.4 Client Monitor - Grafische Benutzeroberfläche
Die grafische Oberfläche des LANCOM Advanced VPN Client schafft Transparenz während des Einwahlvorganges und Datentransfers. Sie informiert u.a.
auch über den aktuellen Datendurchsatz.
Der Anwender ist zu jeder Zeit darüber informiert, ob sein PC online ist und
wo letztlich die Gebühren anfallen.
1.5 Dialer
Ein eigener Dialer ersetzt den sonst üblichen Microsoft DFÜ-Dialer. Daraus
ergeben sich Vorteile gleich in mehrfacher Hinsicht:
쮿 intelligentes Line Management (Short Hold Mode) in Wählnetzen
쮿 Steuerung der Bandbreite (Kanalbündelung) im ISDN
쮿 integrierte Personal Firewall-Mechanismen
쮿 Schutz vor “automatischen Dialern”
DE
1.6 Line Management
Um die Übertragungsgebühren möglichst gering zu halten, können aktive
Verbindungen automatisch unterbrochen werden, wenn keine Daten fließen.
Liegen erneut Daten für die Übertragung vor, wird die ruhende Verbindung
ohne Einwirkung des Benutzers reaktiviert. Gebühren fallen immer nur dann
an, wenn Daten übertragen werden. Bei der Interneteinwahl via ISDN können
beide Nutzkanäle gebündelt werden (dynamische Linkzuschaltung), falls für
den Transfer größerer Datenmengen eine hohe Übertragsrate benötigt wird.
Ein weiteres Instrument zur Kostenkontrolle ist die intelligente Verbindungssteuerung. Hier werden Online-Sessions nach Zeit, nach Anzahl der Verbindungsaufbauten oder Gebühreneinheiten angezeigt und bei Bedarf
überwacht.
1.7 Personal Firewall
Der LANCOM Advanced VPN Client verfügt über alle erforderlichen Personal
Firewall Funktionalitäten, um den PC-Arbeitsplatz umfassend gegenüber
Angriffen aus dem Internet und anderer LAN-Teilnehmer (WLAN oder LAN) zu
11
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
schützen. Weiter besteht keine Möglichkeit, dass der Dialer von automatischen 0190er- und 0900er-Dialern für ungewollte Verbindungen missbraucht
wird. Die wesentlichen Security-Mechanismen sind IP- NAT und Protokollfilter.
NAT (Network Address Translation) ist ein Security- Standard zum Verbergen
der individuellen IP-Adressen gegenüber dem Internet. NAT bewirkt eine
Übersetzung der von außen sichtbaren Adresse in entsprechende Client-
DE
Adressen und umgekehrt. Ankommende Datenpakete werden auf der Basis
eines ausgeklügelten Filtermechanismus nach genau definierten Eigenschaften überprüft und bei Nichtübereinstimmung abgewiesen. Das heißt: Der
Internet-Port des jeweiligen Rechners wird vollständig getarnt und der Aufbau von unerwünschten Verbindungen unmöglich.
Zudem verfügt der LANCOM Adavanced VPN Client über eine ApplicationLayer Firewall und über Friendly-Net-Erkennung. Mit der Application- Layer
Firewall können Filterregeln mit bestimmten Anwendungen verknüpft werden. Mit der Friendly-Net-Erkennung können können situationsabhängig Filterregeln aktiviert bzw. deaktiviert werden. So können z.B. strikte Regeln für
die Einwahl an einem öffentlichen Hot-Spot definiert werden, die bei der Einwahl an einem vertrauenswürdigen Netzknoten gelockert werden.
1.8 PKI-Unterstützung
12
Die Zugangssicherheit zum Firmennetz kann durch den Einsatz digitaler Zertifikate in Form von Software (PKCS#12) oder Smart Cards (PKCS#11, CT-API,
PC/SC) erhöht werden. Der LANCOM Advanced VPN Client unterstützt hierfür
die Einbindung in eine PKI (Public Key Infrastruktur). LANCOM Router unterstützen das Pre-Shared-Key Verfahren und ab LCOS-Version 5.0 digitale Zertifikate.
1.8.1 Public Key Infrastruktur
Public-Key-Infrastrukturen (PKI) beschreiben ein weltweit genutztes Verfahren, um zwischen beliebigen Kommunikationspartnern auf elektronischem
Wege Schlüssel sicher auszutauschen. Die PKI bedient sich dabei sogenannter
Schlüsselpärchen aus jeweils einem öffentlichen und einem privaten Schlüssel. In der Welt des elektronischen, globalen Informationsaustausches wird so
eine Vertrauensbasis aufgebaut, wie wir sie in der traditionellen Geschäftswelt auf Papierbasis kennen. Die digitale Signatur in Verbindung mit Datenverschlüsselung ist das elektronische Äquivalent zur händisch geleisteten
Unterschrift und belegt Ursprung sowie die Authentizität von Daten und Teilnehmer.
Eine PKI basiert auf digitalen Zertifikaten, die - von einer öffentlichen Zertifizierungsstelle (Trust Center) ausgestellt - als persönliche “elektronische Ausweise” fungieren und idealerweise auf einer Smart Card abgespeichert sind.
Sicherheitsexperten und der IETF (Internet Engineering Task Force) sind sich
darüber einig, dass ein nachhaltiger Schutz vor Man-In-The-Middle-Attacken
nur durch den Einsatz von Smart Cards mit Zertifikaten erreicht werden kann.
1.8.2 Smart Card
Smart Cards sind die ideale Ergänzung für hochsichere Remote Access-Lösungen. Sie bieten doppelte Sicherheit beim Login-Vorgang, nämlich Wissen über
PIN (Persönliche Identifikations Nummer) und Besitz der Smart Card. Der
Anwender identifiziert sich mit der Eingabe der PIN eindeutig als rechtmäßiger Besitzer (Strong Authentication). Die PIN ersetzt das Passwort und die Eingabe der User-ID (Basistechnologie für Single Sign On). Der Anwender weist
sich nur noch gegenüber der Smart Card aus. Der Check gegenüber dem Netz
erfolgt zwischen Smart Card und Security-System. Alle sicherheitsrelevanten
Operationen laufen vollständig im Inneren der Karte - also außerhalb des PCs
- ab. Das System ist neben individuellen Anpassungen an Schutzmechanismen offen für multifunktionalen Einsatz (z. B. als Company Card). Auch biometrische Verfahren lassen sich integrieren.
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
DE
13
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
2 Installation
DE
2.1 Installationsvoraussetzungen
2.1.1 Betriebssystem
Die Installation der Secure Software für Windows-Systeme erfolgt komfortabel über Setup. Der Installationsablauf ist für alle Versionen des LANCOM
Advanced VPN Clients identisch. Im folgenden ist die Installation für Windows
2000/XP und Vista beschrieben.
Bevor Sie die Software installieren, müssen zur vollen Funktionsfähig-
keit die Installationsvoraussetzungen, wie im folgenden Kapitel
beschrieben, erfüllt sein.
Die Software kann auf Computern mit den Betriebssystemen Microsoft Windows 2000, Microsoft Windows 2003 Server, Microsoft XP oder Microsoft
Vista installiert werden.
Halten Sie für die Dauer der Installation unbedingt die Datenträger (CD oder
DVD) für das jeweils im Einsatz befindliche Betriebssystem bereit, um Daten
für die Treiberdatenbank des Betriebssystems nachladen zu können!
14
2.1.2 Zielsystem
Das Zielsystem muss eine der folgenden Verbindungsarten unterstützen:
ISDN, PSTN (analoges Modem), GPRS, UMTS, LAN over IP, WLAN, PPP over
Ethernet oder PPP over CAPI.
2.1.3 Lokales System
Eines der folgenden Kommunikationsgeräte muss installiert sein.
ISDN-Adapter (ISDN)
Der ISDN-Adapter muss die ISDN CAPI 2.0 unterstützen. Wenn Sie PPP Multilink nutzen, kann die Software bis zu 8 ISDN B-Kanäle (je nach Kanalanzahl
des Adapters) bündeln. Prinzipiell kann jeder ISDN-Adapter, der die ISDNSchnittstelle CAPI 2.0 unterstützt, eingesetzt werden. (Für gewöhnlich wird
die CAPI bei der Installation eines ISDN-Adapters automatisch eingerichtet.)
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
Modem oder Datenkarte
Für die Kommunikation über Modem muss das Modem korrekt installiert sein,
sowie Modem Init. String und COM-Port Definition zugewiesen sein. Das
Modem muss den Hayes-Befehlssatz unterstützen.
Ebenso können Mobiltelefone für die Datenkommunikation genutzt werden,
nachdem die zugehörige Software installiert wurde, die sich für den Client
genauso darstellt wie ein analoges Modem. Als Schnittstelle zwischen Handy
und PC kann die serielle Schnittstelle, die IR-Schnittstelle (Infrarot) oder Bluetooth genutzt werden. Je nach Übertragungsart (GSM, V.110, GPRS, UMTS
oder HSCSD) muss die Gegenstelle über die entsprechende Einwahlplattform
verfügen. Der in die Modemkonfiguration des LANCOM Advanced VPN Clients
einzutragende Initialisierungs-String ist vom ISP oder dem Hersteller des
Mobiltelefons zu beziehen.
Direkte Unterstützung von UMTS/HSDPA- oder GPRS-Datenkarten
Der LANCOM Advanced VPN Client unterstützt die direkte Verwendung
von Datenkarten für Notebooks, wie sie von vielen Mobilfunkbetreibern
angeboten werden. Die Parameter für die Einwahl können direkt in die
Profileinstellungen eingetragen werden.
Weitere Hinweise zur Konfiguration eines mobilen Onlinezugang über
UMTS oder GPRS finden Sie unter ’UMTS- oder GRPS-Profil einrichten’
→ Seite 124.
DE
15
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DE
LAN-Adapter (LAN over IP)
Um die Client-Software mit der Verbindungsart “LAN” in einem Local Area
Network betreiben zu können, muss zusätzlich zum bereits installierten LANAdapter (Ethernet oder Token Ring) kein weiterer Adapter installiert werden.
Die Verbindung der LAN-Clients ins WAN stellt ein beliebiger Access Router
her. Einzige Vorausetzung: IP-Verbindung zum Zielsystem muss möglich sein.
Die VPN-Funktionalität liefert die Client Software. Adapter für ein Wireless
LAN (WLAN-Adapter) werden genauso behandelt wie normale LAN-Adapter.
Für WLAN-Verbindungen wird als Verbindungsart “IPSec over WLAN”
gewählt.
LANCOM LANCAPI
Wenn Sie zum Herstellen Ihrer Internetverbindung die LANCOM LANCAPI verwenden, beachten Sie bitte folgendes:
쮿 Bei gleichzeitiger Verwendung der Statefull Inspection Firewall muss die
Einstellung "Ausschließlich Kommunikation im Tunnel zulassen" ausgeschaltet bleiben, da sonst der LANCAPI Server im lokalen Netzwerk nicht
mehr erreicht werden kann.
쮿 Bei ausgeschalteter Statefull Inspection Firewall funktioniert die Internet-
und VPN- Kommunikation ohne weitere Einstellungen.
16
xDSL-Modem (PPPoE/PPTP)
Die Verbindungsart PPP over Ethernet setzt voraus, dass eine Ethernet-Karte
installiert und darüber ein xDSL-Modem mit Splitter korrekt angeschlossen ist.
Wichtig (wenn Sie ADSL in der Anschlussvariante ausführen, die nach Verbindungsdauer berechnet wird): Nachdem die Client-Software installiert wurde,
beachten Sie bitte unbedingt den Abschnitt “Adapter und Protokoll für
PPPoE”.
WLAN-Adapter (WLAN)
Der WLAN-Adapter wird mit der Verbindungsart “WLAN” betrieben. Im Monitormenü erscheint eigens der Menüpunkt “WLAN-Einstellungen”, worin die
Zugangsdaten zum Funknetz in einem Profil hinterlegt werden können. Wird
diese “WLAN-Konfiguration aktiviert”, so muss das Management-Tool der
WLAN-Karte deaktiviert werden. (Alternativ kann auch das Management-Tool
der WLAN-Karte genutzt werden, dann muss die WLAN-Konfiguration im
Monitormenü deaktiviert werden.)
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
Wird die Verbindungsart WLAN für ein Zielsystem in den Profileinstellungen
eingestellt, so wird unter dem grafischen Feld des Client-Monitors eine weitere Fläche eingeblendet, auf der die Feldstärke und das WLAN-Netz dargestellt werden.
Bitte beachten Sie zur Konfiguration der WLAN-Einstellungen die Beschreibung zum Parameter ’Verbindungsmedium’ → Seite 91.
Automatische Medienerkennung
Werden wechselweise unterschiedliche Verbindungsarten genutzt, so erkennt
der Client automatisch, welche Verbindungsarten aktuell zur Verfügung stehen und wählt davon die schnellste aus.
Auf Grundlage eines vorkonfigurierten Zielsystems wird automatisch die Verbindungsart erkannt und eingesetzt, die für den Client-PC aktuell zur Verfügung steht, wobei bei mehreren alternativen Übertragungswegen
automatisch der schnellste gewählt wird. In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt:
쐃 LAN
쐇 WLAN
쐋 DSL
DE
쐏 UMTS/GPRS
쐄 ISDN
쐂 MODEM
Die Konfiguration erfolgt mit der Verbindungsart “automatische Medienerkennung” in den Profileinstellungen unter “Zielsystem”. Alle für diesen ClientPC vorkonfigurierten Zielsysteme zum VPN Gateway des Firmennetzes können
dieser automatischen Medienerkennung – sofern gewünscht – zugeordnet
werden (über das Parameterfeld “Zielsystem” in den Profileinstellungen).
Damit erübrigt sich die manuelle Auswahl eines Mediums (WLAN, UMTS,
Netzwerk, DSL, ISDN, Modem) aus den Profileinträgen. Die Eingangsdaten für
die Verbindung zum ISP werden für den Anwender transparent aus den vorhandenen Profileinträgen übernommen.
Beachten Sie dazu die Beschreibung zu ’Verbindungstyp’ → Seite 91.
17
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
2.1.4 Voraussetzungen für den Einsatz von Zertifikaten
DE
Um mit der Security Software die Zertifizierung (X.509) nutzen, zu können,
müssen folgende Voraussetzungen erfüllt sein:
Chipkartenleser (PC/SC-konform)
Wenn Sie die “Erweiterte Authentisierung” (Strong Authentication) mit Smart
Cards nutzen wollen, muss ein Chipkartenleser an Ihr System angeschlossen
sein. Die Client Software unterstützt automatisch alle Chipkartenleser, die PC/
SC-konform sind. Diese Chipkartenleser werden nur in der Liste der Chipkartenleser aufgenommen, nachdem der Leser angeschlossen und die zugehörige Treiber-Software installiert wurde. Die Client Software erkennt dann den
Chipkartenleser nach einem Boot-Vorgang automatisch. Erst dann kann der
installierte Leser ausgewählt und genutzt werden. Dazu stellen Sie nach dem
ersten Start des Monitors den Chipkartenleser ein unter “Verbindung → Zertifikate → Konfiguration”. Beachten Sie dazu die Beschreibung unter “Client
Monitor”.
Chipkartenleser (CT-API-konform)
Wenn Sie einen CT-API-konformen Chipkartenleser nutzen, beachten Sie bitte
folgendes:
Mit der aktuellen Software werden Treiber für die Modelle Kobil B0/B1, Kobil
KAAN, SCM Swapsmart und SCM 1x0 (PIN Pad Reader) mitgeliefert. Diese
Chipkartenleser können im Monitor unter “Verbindung → Zertifikate →
Konfiguration” eingestellt werden. Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein, wenden Sie sich unbedingt an den Hersteller des Chipkartenlesers,
bzw. konsultieren Sie die entsprechende Website bezüglich aktueller Hardware-Treiber, um den aktuellsten CT-API-Treiber zu erhalten und zu installieren. Nehmen Sie außerdem folgende Einstellung in der Client Software vor:
쮿 Editieren Sie die Datei NCPPKI.CONF, befindlich im Windows\System-Ver-
zeichnis (unter Windows 95/98) oder System32-Verzeichnis (unter Windows NT/2000) mit einem ASCII-Editor, indem Sie als “Modulname” den
Namen des angeschlossenen Chipkartenlesers (xyz) eintragen und als
DLLWIN95 bzw. DLLWINNT den Namen des installierten Treibers eintragen. (Der Standardname für CT-API- konforme Treiber ist CT32.DLL).
Wichtig: Nur die Treiber sind in der Liste sichtbar, die mit “visible = 1" auf
sichtbar gesetzt wurden!
Modulname= SCM Swapsmart (CT-API)→ xyz
18
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DLLWIN95= scm20098.dll→ ct32.dll
DLLWINNT= scm200nt.dll→ ct32.dll
Nach einem Boot-Vorgang erscheint der von Ihnen eingetragene “Modulname” im Monitor-Menü unter “Verbindung → Zertifikate → Konfiguration
→ Chipkartenleser”. Selektieren Sie nun diesen Chipkartenleser.
Chipkarten
Folgende Chipkarten werden unterstützt:
쮿 Signtrust
쮿 NetKey 2000
쮿 TC Trust (CardOS M4)
Soft-Zertifikate (PKCS#12)
Statt einer Smart Card können auch Soft-Zertifikate genutzt werden.
Chipkarten oder Token (PKCS#11)
Mit der Software für die Smart Card oder den Token werden Treiber in Form
einer PKCS#11-Bibliothek (DLL) mitgeliefert. Diese Treiber-Software muss
zunächst installiert werden. Anschließend muss die Datei NCPPKI.CONF editiert werden.
쮿 Editieren Sie die Datei NCPPKI.CONF, befindlich im Windows\System-Ver-
zeichnis (unter Windows 95/98) oder System32-Verzeichnis (unter Windows NT/2000) mit einem ASCII-Editor, indem Sie als “Modulname” den
Namen des angeschlossenen Lesers oder Tokens (xyz) eintragen. Als
PKCS#11-DLL muss der Name der DLL eingegeben werden. Der zugehörige “Slotindex” ist herstellerabhängig (Standard = 0).
Wichtig: Nur die Treiber sind in der Liste sichtbar, die mit “visible = 1" auf
sichtbar gesetzt wurden!
Modulname= xyz
PKCS#11-DLL= Name der DLL
Slotindex=
Nach einem Boot-Vorgang erscheint der von Ihnen eingetragene “Modulname” im Monitor-Menü unter “Verbindung → Zertifikate → Konfiguration
→ Chipkartenleser”. Selektieren Sie nun diesen Chipkartenleser oder Token.
DE
19
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
2.2 LANCOM Advanced VPN Client installieren und akti-
DE
TCP/IP
Das Netzwerk-Protokoll TCP/IP muss auf dem Rechner installiert sein.
vieren
Zur Installation des LANCOM Advanced VPN Clients legen Sie bitte die mitgelieferte CD in Ihr CD-ROM-Laufwerk. Sollte das Setup- Programm nach einigen
Sekunden nicht automatisch starten, öffnen Sie bitte die Datei „autostart.exe“
aus dem Stammverzeichnis der CD. Der folgende Assistent leitet Sie durch die
weiteren Schritte der Installation. Wählen Sie dabei die 'Standard-Installation' aus.
쮿 Beginnen Sie die Installation mit dem Punkt LANCOM Software.
쮿 Fahren Sie mit der Option LANCOM Advanced VPN Client installieren
fort.
Sollte bereits eine frühere Version des Clients vorhanden sein, so wird diese
automatisch erkannt und es wird ein Update durchgeführt.
Zur vollständigen Installation ist ein Neustart erforderlich.
20
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
Aktivierung
Nach dem Neustart ist der LANCOM Advanced VPN Client bereits vollständig
installiert. Sie können den LANCOM Advanced VPN Client vor der Aktivierung
30 Tage lang testen. Nach dem Start des Clients erscheint das Hauptfenster.
DE
Um nach der 30 Tag e Testphase den vollen Funktionsumfang nutzen zu können ist eine Produktaktivierung notwendig. Hierfür stehen drei mögliche Szenarien zur Verfügung:
쮿 Es handelt sich um eine Erstinstallation mit Erwerb einer vollen Lizenz.
쮿 Ein Software- und Lizenz- Upgrade von einer früheren Version mit Erwerb
einer neuen Lizenz. Hier können alle neuen Funktionen der neuen Version
benutzt werden.
쮿 Ein Software-Update als reines Buxfixing. Sie behalten Ihre bisherige
Lizenz bei. Hierbei wird zwar die neue Client-Version installiert, jedoch
steht dem Anwender nur die Funktionalität der bisherigen Version zur
Verfügung.
In jedem Fall sind folgende Schritte abzuarbeiten:
21
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DE
쐃 Klicken Sie im Hauptfenster auf Aktivierung. Im folgenden erscheint ein
Dialog, der ihre aktuelle Versionsnummer und die verwendete Lizenz
anzeigt.
Dieser Dialog kann alternativ im Hauptfenster über den Menüpunkt
Hilfe 왘 Lizenzinfo und Aktivierung aufgerufen werden.
쐇 Klicken sie hier erneut auf Aktivierung. Sie können die Aktivierung online
oder offline vornehmen.
22
Auch für die „Offline-Aktivierung“ wird ein Zugang zum Internet
benötigt.
Online-Aktivierung
쐃 Falls sie die Online-Aktivierung wählen, geben sie in folgendem Dialog
ihre Lizenzdaten ein. Diese haben sie mit dem Erwerb des LANCOM
Advanced VPN Client erhalten.
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
쐇 Nun muss der Client eine Verbindung zum LANCOM-Server herstellen.
Falls sie bereits eine ältere Version des LANCOM Advanced VPN Client
benutzen, können sie ein bereits eingerichtetes VPN-Profil zur Verbindung
mit dem Internet verwenden. Sobald der Computer über eine Verbindung
mit dem Internet verfügt, verbindet er sich automatisch mit dem
LANCOM-Server. Die Aktivierung erfolgt nun ohne weiteres Zutun und der
Vorgang schließt selbstständig ab.
Offline-Aktivierung
쐃 Falls Sie die Offline-Aktivierung gewählt haben, müssen sie wie bei der
Aktivierung zunächst ihre Lizenzdaten und die Seriennummer eingeben.
Diese werden dann überprüft und in einer Datei auf Festplatte gespeichert. Den Dateinamen können sie frei wählen, es muß sich allerdings um
eine Textdatei (.txt) handeln.
DE
쐇 In dieser Aktivierungsdatei sind ihre Lizenzdaten enthalten. Zur Aktivie-
rung muß diese Datei dem LANCOM-Server übergeben werden. Starten
23
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DE
sie dazu ihren Browser und öffnen Sie die Site
www.lancom.de/avc/activation
.
쐋 Klicken sie auf Durchsuchen und wählen Sie die eben erstellte Aktivie-
rungsdatei aus. Im Anschluß daran klicken Sie auf Absenden. Die Aktivierungsdatei wird nun vom LANCOM-Server bearbeitet. Sie werden nun
auf eine Website weitergeleitet, der Sie ihren Aktivierungs-Code entnehmen können. Drucken Sie diese Seite aus oder notieren Sie sich den angegebenen Code.
24
쐏 Wechseln sie wieder zum LANCOM Advanced VPN Client und klicken sie
im Hauptfenster auf Aktivierung. Geben sie im folgenden Dialog den
Code ein, den Sie ausgedruckt oder notiert haben.
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
쐄 Mit der Eingabe des Aktivierungs-Codes ist die Produktaktivierung abge-
schlossen und sie können den LANCOM Advanced VPN Client im Umfang
ihrer Lizenz benutzen.
Abhängig von der von Ihnen erworbenen Lizenz wird nun die Lizenz- und Versions-Nummer angezeigt.
2.3 Vor der Inbetriebnahme
Nach der Installation zeigt sich der Client Monitor wie in untenstehender
Abbildung.
DE
Um den Secure Entry Client nutzen zu können, muss zunächst in den ProfilEinstellungen ein Eintrag erzeugt werden, d.h. ein Zielsystem definiert werden, zu dem eine IPSec-Verbindung hergestellt werden kann.
Beachten Sie zur Konfiguration eines Zielsystems vor allem die Beschreibungen unter “3. Client Monitor”:
쮿 Konfiguration / Profil-Einstellungen (Die Einträge der Profil-Einstellungen)
쮿 Konfiguration / IPSec (Die Einträge der IPSec-Konfiguration)
und zur weiteren Parametrisierung:
쮿 Profil-Einstellungen (Die Parameterfelder zur Konfiguration der Verbin-
dung)
25
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DE
쮿 IPSec (Die Parameterfelder zur Konfiguration der Richtlinien)
Erst nach der Einrichtung eines Zielsystems in den Profil-Einstellungen kann
eine Verbindung dorthin hergestellt werden:
쮿 Eine Verbindung herstellen
26
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
3 Client Monitor
Wenn die Software installiert wurde, kann der Monitor über das Start > Programme > LANCOM > LANCOM Advanced VPN Client aktiviert werden.
Damit öffnet sich das Fenster des Monitors auf dem Bildschirm.
DE
Hinweis: Wenn der Monitor geladen wurde, erscheint er entweder auf
dem Bildschirm oder, wenn er dort nicht dargestellt wird, in der Taskleiste.
Der Monitor hat vier wichtige Funktionen:
쮿 den aktuellen Status der Kommunikation wiederzugeben
쮿 den Verbindungsmodus einzustellen
쮿 die Limits der Verbindungssteuerung bestimmen
쮿 die Definition und Konfiguration der Profile zur Anwahl an ein Zielsystem
3.1 Monitor-Bedienung
Die Hauptmenüpunkte in der Menüleiste von links nach rechts sind:
쮿 Verbindung [Menü]
쮿 Konfiguration [Menü]
쮿 Log [Menü]
쮿 Fenster [Menü]
쮿 Hilfe
27
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
3.1.1 Verbindung [Menü]
DE
Das Pulldown-Menü hat folgende Menüpunkte:
쮿 Verbinden
쮿 Trennen
쮿 HotSpot-Anmeldung
쮿 Multifunktionskarte
쮿 Verbindungs-Informationen
쮿 Verfügbare Verbindungsmedien
쮿 Zertifikate [Ansicht]
쮿 PIN eingeben
쮿 PIN zurücksetzen
쮿 PIN ändern
쮿 Verbindungssteuerung Statistik
쮿 Sperre aufheben
쮿 Beenden
Verbinden
Eine Verbindung wird aufgebaut. Eine Verbindung kann nur aufgebaut werden, wenn ein Profil aus der Liste der Profil-Einstellungen selektiert ist. Das
selektierte Profil wird in der Monitoroberfläche unter der Menüleiste angezeigt.
Wenn Sie die Funktion Verbinden wählen, wird die Anwahl an das Ziel über
das ausgewählte Profil manuell durchgeführt.
28
Wenn Sie, je nach Profil, die Verbindung manuell oder automatisch herstellen
wollen, so können Sie dies in den Profil-Einstellungen mit dem Parameter Verbindungsaufbau im Feld “Timeout (Sek)” definieren (siehe Konfiguration >
Profil-Einstellungen > Konfigurieren > Line Management).
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Trennen
Eine Verbindung kann manuell abgebaut werden mit der Funktion “Trennen”
im Pull-down-Menü oder nach Klick auf die rechte Maustaste.
Wenn die Verbindung abgebaut wurde, wechseln die Signallampen des Monitors für die gesamte Offline-Dauer von grün zu rot.
HotSpot-Anmeldung
Voraussetzungen: Der Rechner muss sich mit aktivierter WLAN-Karte
im Empfangsbereich eines HotSpots befinden. Die Verbindung zum
HotSpot muss hergestellt und eine IP-Adresse für den Wireless-Adapater muss zugewiesen sein. (Unter Windows XP steht eine entsprechende Konfiguration für den Zugriff auf WLANs zur Verfügung.)
Die Firewall des LANCOM Advanced VPN Client sorgt dafür, dass lediglich die
IP-Adresszuweisung per DHCP erfolgen darf, weitere Zugriffe ins WLAN bzw.
vom WLAN werden unterbunden. Die Firewall gibt dynamisch die Ports für
http bzw. https für die Anmeldung bzw. Abmeldung am HotSpot frei. Dabei ist
nur Datenverkehr mit dem HotSpot Server des Betreibers möglich. Ein öffentliches WLAN wird auf diese Weise ausschließlich für die VPN-Verbindung zum
zentralen Datennetz genutzt. Direkter Internet-Zugriff ist ausgeschlossen.
Damit die Anmeldeseite des HotSpots im Browser geöffnet werden kann,
muss eine eventuelle Proxy-Konfiguration deaktiviert werden.
Derzeit unterstützt die HotSpot-Anmeldung des Clients ausschließlich
HotSpots, die mit einer Umleitung (Redirect) einer Anfrage mit einem
Browser auf die Anmeldeseite des öffentlichen WLAN-Betreibers
arbeiten (z. B. T-Mobile oder Eurospot).
Sind obige Voraussetzungen erfüllt, so öffnet ein Klick auf den Menüpunkt
“HotSpot-Anmeldung” die Website zur Anmeldung im Standard-Browser.
Nach Eingabe der Zugangsdaten kann die VPN-Verbindung z. B. zur Firmenzentrale aufgebaut und sicher kommuniziert werden.
Die HotSpot-Anmeldung erfolgt über das Monitor-Menü “Verbindung / HotSpot-Anmeldung”. Nachdem dieser Menüpunkt angeklickt wurde, können
verschiedene Verbindungsmeldungen am Bildschirm erscheinen:
DE
29
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
쮿 Wenn sich der Benutzer bereits im Internet befindet, wird er mit der Start-
seite http://www.lancom.de verbunden. Es erscheint ein Fenster mit folgender Meldung:
Dieser Text kann vom Administrator ausgetauscht werden, indem die
Adresse einer anderen HTML-Startseite in der Form angegeben wird
http://www.mycompany.de/error.html
und der Text von error.html entsprechend geändert wird.
쮿 Ist der Benutzer noch nicht angemeldet, erscheint ein Fenster mit der Auf-
forderung Benutzername und Passwort für die Anmeldung am HotSpotBetreiber einzugeben.
쮿 Wenn der Benutzer keine Website erreicht, erscheint die Microsoft-Fehler-
meldung “... not found”.
Multifunktionskarte
Nachdem eine Multifunktionskarte installiert wurde (siehe dazu auch den
Anhang dieses Handbuchs), wird dieser Menüpunkt dargestellt. Außerdem
wird das Feld mit der Anzeige für UMTS / GPRS im Monitor eingeblendet und
das WLAN-Panel ausgeblendet (siehe oben “Symbole des Monitors”).
쮿 Netzsuche
Die installierte Multifunktionskarte sucht nach dem Start des Monitors automatisch nach einem Funknetz und zeigt es mit der entsprechenden Feldstärke
an, sobald es gefunden wurde (T-Online im Bild unten). Durch Anwahl des
Menüpunkts oder des Buttons für “Netzsuche” kann eine erneute Netzsuche
ausgelöst werden.
30
Bei zu geringer Feldstärke schaltet die Karte automatisch von der Datenübertragungstechnik UMTS auf GPRS, wobei die Verbindung bestehen bleibt.
Erhöht sich die Feldstärke wieder, schaltet die Karte automatisch wieder
zurück.
Loading...