Page 1
LANCOM Advanced VPN Client
Version 2.00
Page 2
© 2007 LANCOM Systems, Würselen (Germany). Alle Rechte vorbehalten.
Alle Angaben in dieser Dokumentation sind nach sorgfältiger Prüfung zusammengestellt worden, gelten jedoch nicht als
Zusicherung von Produkteigenschaften. LANCOM Systems haftet ausschließlich in dem Umfang, der in den Verkaufs- und
Lieferbedingungen festgelegt ist.
Weitergabe und Vervielfältigung der zu diesem Produkt gehörenden Dokumentation und Software und die Verwendung
ihres Inhalts sind nur mit schriftlicher Erlaubnis von LANCOM Systems gestattet. Änderungen, die dem technischen Fortschritt dienen, bleiben vorbehalten.
Windows®, Windows NT® und Microsoft® sind eingetragene Marken von Microsoft, Corp.
Das LANCOM Systems-Logo, LCOS und die Bezeichnung LANCOM sind eingetragene Marken der LANCOM Systems. Alle
übrigen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer
sein.
LANCOM Systems behält sich vor, die genannten Daten ohne Ankündigung zu ändern, und übernimmt keine Gewähr für
technische Ungenauigkeiten und/oder Auslassungen.
Produkte von LANCOM Systems enthalten Software, die vom „OpenSSL Project“ für die Verwendung im „OpenSSL Toolkit“
entwickelt wurden (http://www.openssl.org/
Produkte von LANCOM Systems enthalten kryptographische Software, die von Eric Young (eay@cryptsoft.com
wurde.
Produkte von LANCOM Systems enthalten Software, die von der NetBSD Foundation, Inc. und ihren Mitarbeitern entwickelt wurden.
LANCOM Systems
Adenauerstr. 20/B2
52146 Würselen
Deutschland
).
) geschrieben
www.lancom.de
Würselen, Februar 2007
Page 3
LANCOM Advanced VPN Client
쮿 Inhalt
Inhalt
1 Produktbeschreibung 9
1.1 LANCOM Advanced VPN Client - universeller IPSec Client 9
1.2 Leistungsumfang 9
1.3 Wichtige Hinweise 10
1.4 Client Monitor - Grafische Benutzeroberfläche 11
1.5 Dialer 11
1.6 Line Management 11
1.7 Personal Firewall 11
1.8 PKI-Unterstützung 12
1.8.1 Public Key Infrastruktur 12
1.8.2 Smart Card 13
2 Installation 14
2.1 Installationsvoraussetzungen 14
2.1.1 Betriebssystem 14
2.1.2 Zielsystem 14
2.1.3 Lokales System 14
ISDN-Adapter (ISDN) 14
Modem oder Datenkarte 15
Direkte Unterstützung von UMTS/HSDPA- oder GPRSDatenkarten 15
LAN-Adapter (LAN over IP) 16
LANCOM LANCAPI 16
xDSL-Modem (PPPoE/PPTP) 16
WLAN-Adapter (WLAN) 16
Automatische Medienerkennung 17
2.1.4 Voraussetzungen für den Einsatz von Zertifikaten 18
Chipkartenleser (PC/SC-konform) 18
Chipkartenleser (CT-API-konform) 18
Chipkarten 19
Soft-Zertifikate (PKCS#12) 19
Chipkarten oder Token (PKCS#11) 19
TCP/IP 20
DE
3
Page 4
LANCOM Advanced VPN Client
쮿 Inhalt
2.2 LANCOM Advanced VPN Client installieren und aktivieren 20
2.3 Vor der Inbetriebnahme 25
2.2.1 Aktivierung 21
2.2.2 Online-Aktivierung 22
2.2.3 Offline-Aktivierung 23
DE
3 Client Monitor 27
3.1 Monitor-Bedienung 27
3.1.1 Verbindung [Menü] 28
Verbinden 28
Trennen 29
HotSpot-Anmeldung 29
Multifunktionskarte 30
Verbindungs-Informationen 31
Verfügbare Verbindungsmedien 32
Zertifikate [Ansicht] 33
PIN eingeben 37
PIN zurücksetzen 39
PIN ändern 39
Verbindungssteuerung Statistik 39
Sperre aufheben 40
Beenden 40
3.1.2 Konfiguration [Menü] 41
Profil-Einstellungen [Menü] 41
Firewall-Einstellungen 43
WLAN-Einstellungen 66
Amtsholung 69
Zertifikate [Einstellungen] 69
Verbindungssteuerung [Konfiguration] 75
EAP-Optionen [Einstellungen] 76
Logon Optionen 77
Konfigurations-Sperren 78
Profile importieren 80
HotSpot 81
Profil-Sicherung 81
3.1.3 Log 82
Logbuch 82
3.1.4 Fenster [Menü] 84
Profilauswahl anzeigen 84
4
Page 5
LANCOM Advanced VPN Client
쮿 Inhalt
Buttonleiste anzeigen 84
Statistik anzeigen 84
WLAN-Status anzeigen 84
Immer im Vordergrund 85
Autostart 85
Beim Schließen minimieren 85
Nach Verbindungsaufbau minimieren 86
Sprache 86
3.1.5 Hilfe 86
3.2 Das Firewall-Konzept 86
3.2.1 Globale Firewall und Link-Firewall 86
3.2.2 Zusammenspiel mit anderen Firewalls 87
4 Profil-Einstellungen [Parameter] 89
4.1 Grundeinstellungen 90
4.1.1 Profil-Name 91
4.1.2 Verbindungstyp 91
4.1.3 Verbindungsmedium 91
4.1.4 Microsoft DFÜ-Dialer 94
4.1.5 Dieses Profil nach jedem Neustart des Systems verwenden
94
4.2 Netzeinwahl 94
4.2.1 Benutzername [Netzeinwahl] 95
4.2.2 Passwort [Netzeinwahl] 95
4.2.3 Rufnummer (Ziel) 95
4.2.4 Passwort speichern 96
4.2.5 Script-Datei 97
4.3 Modem 97
4.3.1 Modem 97
4.3.2 Anschluss 98
4.3.3 Baudrate 98
4.3.4 Com Port freigeben 98
4.3.5 Modem Init. String 98
4.3.6 Dial Prefix 98
4.3.7 APN 99
4.3.8 GPRS/UMTS PIN 99
DE
5
Page 6
LANCOM Advanced VPN Client
쮿 Inhalt
DE
4.4 HTTP-Anmeldung 99
4.4.1 Benutzername [HTTP-Anmeldung] 100
4.4.2 Passwort [HTTP-Anmeldung] 100
4.4.3 Passwort speichern [HTTP-Anmeldung] 100
4.4.4 HTTP Authentisierungs-Script [HTTP-Anmeldung] 100
4.5 Line Management 101
4.5.1 Verbindungsaufbau 101
4.5.2 Timeout 102
4.5.3 Voice over IP (VoIP) priorisieren 103
4.5.4 Dynamische Linkzuschaltung 103
4.5.5 Schwellwert für Linkzuschaltung 103
4.5.6 EAP-Authentisierung 104
4.5.7 HTTP-Authentisierung 104
4.6 IPSec-Einstellungen 105
4.6.1 Gateway 105
4.6.2 IKE-Richtlinie 106
4.6.3 IPSec-Richtlinie 106
4.6.4 Richtlinien-Gültigkeit 107
4.6.5 Richtlinien-Editor 107
4.6.6 Exch. mode 111
4.6.7 PFS-Gruppe 111
4.7 Erweiterte IPSec-Optionen 112
Benutze IP-Kompression (LZS) 112
Deaktiviere DPD (Dead Peer Detection) 112
UDP-Encapsulation verwenden 112
4.8 Identität 113
4.8.1 Typ [Identität] 113
4.8.2 ID [Identität] 113
4.8.3 Pre-shared Key 114
4.8.4 Benutze erweiterte Authentisierung (XAUTH) 114
4.8.5 Benutze Zugangsdaten aus Konfiguration 114
4.8.6 Benutzername [Identität] 115
4.8.7 Passwort [Identität] 115
4.9 IP-Adressen-Zuweisung 115
4.9.1 Benutze IKE Config Mode 115
4.9.2 Benutze lokale IP-Adresse 116
4.9.3 DNS/WINS 116
4.9.4 DNS-Server 116
4.9.5 WINS-Server 116
6
Page 7
LANCOM Advanced VPN Client
쮿 Inhalt
4.10 VPN IP-Netze 116
4.10.1 Netzwerk-Adressen [VPN IP-Netze] 117
4.10.2 Subnet-Masken 117
4.10.3 Auch lokale Netze im Tunnel weiterleiten 117
4.11 Zertifikats-Überprüfung 118
4.11.1 Benutzer des eingehenden Zertifikats 118
4.11.2 Aussteller des eingehenden Zertifikats 119
4.11.3 Fingerprint des Aussteller-Zertifikats 119
4.11.4 Benutze SHA1 Fingerprint statt MD5 119
4.11.5 Weitere Zertifikats-Überprüfungen 120
4.12 Link-Firewall 122
4.12.1 Aktiviere Stateful Inspection 123
4.12.2 Ausschließlich Kommunikation im Tunnel zulassen 123
4.12.3 Erlaube NetBios over IP 123
4.12.4 Bei Verwendung des Microsoft DFÜ-Dialers ausschließlich Kommunikation im Tunnel zulassen 124
4.13 UMTS- oder GRPS-Profil einrichten 124
4.13.1 Alternative Wege für die UMTS- oder GPRS-Verbindung
124
4.13.2 Verbindung über Betriebssoftware des Mobilfunkanbieters einrichten 125
4.13.3 Direkte Verbindung über LANCOM Advanced VPN Client
einrichten 127
4.13.4 Einwahlinformationen für verschiedenen Mobilfunkbetreiber 130
DE
5 Eine Verbindung herstellen 131
5.1 Verbindungsaufbau zum Zielsystem 131
5.1.1 Automatischer Verbindungsaufbau 131
5.1.2 Manueller Verbindungsaufbau 132
5.1.3 Wechselnder Verbindungsaufbau 132
5.2 Verbinden 132
5.2.1 Einwahl beim Internetprovider 133
5.2.2 Symbole der VPN-Einwahl 133
5.3 Client Logon 135
5.4 Passwörter und Benutzernamen 135
5.4.1 Benutzername für NAS-Einwahl 136
5.4.2 Benutzername und Passwort für VPN-Einwahl 136
7
Page 8
LANCOM Advanced VPN Client
쮿 Inhalt
DE
5.5 Verbindungsabbruch und Fehler 137
5.6 Trennen 137
5.7 Trennen und Beenden des Monitors 137
8
Page 9
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
1 Produktbeschreibung
1.1 LANCOM Advanced VPN Client - universeller IPSec Client
Der LANCOM Advanced VPN Client kann in beliebigen VPN-Umgebungen
eingesetzt werden. Er kommuniziert auf der Basis des IPSec-Standards mit
den Gateways verschiedenster Hersteller. Die Client Software emuliert einen
Ethernet LAN-Adapter. Der LANCOM Advanced VPN Client verfügt dazu über
zusätzliche Leistungsmerkmale, die dem Anwender den Einstieg in eine ganzheitliche Remote Access VPN-Lösung ermöglichen.
Der LANCOM Advanced VPN Client bietet:
쮿 Unterstützung aller gängigen Windows-Betriebssysteme
쮿 Einwahl über alle Übertragungsnetze (auch LANCOM LANCAPI)
쮿 Kompatibilität mit den VPN Gateways unterschiedlichster Hersteller
쮿 Integrierte Personal Firewall für mehr Sicherheit
쮿 Dialer-Schutz (keine Bedrohung durch 0190er- und 0900er-Dialer)
쮿 Höhere Geschwindigkeit im ISDN (Kanalbündelung)
쮿 Gebührenersparnis (Kosten- und Verbindungskontrolle)
쮿 „Friendly-Net“-Erkennung für situationsabhängige Firewallregeln
쮿 Automatische Hot-Spot-Erkennung
쮿 Bedienungskomfort (grafische Oberfläche)
1.2 Leistungsumfang
Der LANCOM Advanced VPN Client unterstützt alle gängigen Betriebssysteme
(Windows 2000, Windows 2003 Server, XP, Vista; Windows CE auf Anfrage).
Die Einwahl in das Firmennetz erfolgt unabhängig vom Mediatyp, d.h. neben
ISDN, PSTN (analoges Fernsprechnetz), GSM, GPRS, UMTS und xDSL wird
auch LAN-Technik wie kabelgebundenes LAN und Funknetzwerk (WLAN)
unterstützt. Auf diese Weise kann mit ein und demselben Endgerät von unterschiedlichen Lokationen auf das Firmennetz zugegriffen werden:
쮿 in der Filiale über WLAN
쮿 in der Zentrale über LAN
쮿 unterwegs an Hotspots und beim Kunden über WLAN bzw. GPRS/UMTS
쮿 im Home Office über xDSL oder ISDN
DE
9
Page 10
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
1.3 Wichtige Hinweise
햲 Dieses Handbuch beschreibt den Funktionsumfang des LANCOM Advan-
햳 Sofern der verwendete Rechner noch nicht z.B. über einen lokalen Netz-
DE
햴 Beim LANCOM Advanced VPN Client handelt es sich um eine kosten-
ced VPN Clients auf Basis der Software-Release 2.00.
werkzugang (LAN, WLAN oder LANCAPI) mit dem Internet verbunden ist,
muss zuerst ein geeigneter Internetzugang hergestellt werden (z.B. durch
Einbuchen an einem WLAN Hotspot). Ferner kann der Client selbständig
die Interneteinwahl mit folgenden Geräten steuern: Analog-Modems,
DSL-Modems (PPPoE), ISDN-, GPRS- oder UMTS-Karten. Anders als bei
Verbindungen über das Internet, bei denen der Client darauf basierende
VPN-Verbindungen aufbauen kann, brauchen direkte Wählverbindungen
(z.B. ISDN-Karte oder LANCAPI, Analog-Modem, HSCSD-Mobiltelefon)
i.d.R. nicht verschlüsselt zu werden.
pflichtige Software. Unter www.lancom.de/download sowie auf der
LANCOM-CD finden Sie eine 30-Tage-Demoversion des LANCOM Advanced VPN Clients. Diese Demoversion können Sie nach Ablauf der 30 Tage
mit einer entsprechenden Lizenz zu einer Vollversion freischalten. Der Vertrieb der Lizenzen für die Vollversion erfolgt ausschließlich über LANCOM
Distributions-, Fachhandels- und Systemhauspartner. Sie können die
Lizenzen dort unter folgenden Artikelnummern für Windows (XP, 2000,
Me und 98SE) zu bestellen:
10
왏 61600 LANCOM Advanced VPN Client (1er Lizenz)
왏 61601 LANCOM Advanced VPN Client (10er Lizenz)
왏 61602 LANCOM Advanced VPN Client (25er Lizenz)
Die gleichzeitige Nutzung einer Lizenz auf verschiedenen Systemen ist
lizenzrechtlich nicht erlaubt.
햵 Die gleichzeitige Einwahl von VPN-Clients, die nicht über die erforderliche
Lizenzfreischaltung verfügen (Demo-Mode), ist auf drei begrenzt. Die im
VPN eingebuchten LANCOM Advanced VPN Clients werden im LANCOM
LANmonitor angezeigt.
햶 Wenn die VPN-LAN-Schnittstelle (LANCOM Advanced VPN Client) über
das Netzwerkmanagement (Gerätemanager) manuell deaktiviert wird,
muss das System danach gebootet werden. Eine erneute manuelle Reak-
Page 11
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
tivierung erfordert wiederum einen manuellen Neustart des Betriebssystems.
1.4 Client Monitor - Grafische Benutzeroberfläche
Die grafische Oberfläche des LANCOM Advanced VPN Client schafft Transparenz während des Einwahlvorganges und Datentransfers. Sie informiert u.a.
auch über den aktuellen Datendurchsatz.
Der Anwender ist zu jeder Zeit darüber informiert, ob sein PC online ist und
wo letztlich die Gebühren anfallen.
1.5 Dialer
Ein eigener Dialer ersetzt den sonst üblichen Microsoft DFÜ-Dialer. Daraus
ergeben sich Vorteile gleich in mehrfacher Hinsicht:
쮿 intelligentes Line Management (Short Hold Mode) in Wählnetzen
쮿 Steuerung der Bandbreite (Kanalbündelung) im ISDN
쮿 integrierte Personal Firewall-Mechanismen
쮿 Schutz vor “automatischen Dialern”
DE
1.6 Line Management
Um die Übertragungsgebühren möglichst gering zu halten, können aktive
Verbindungen automatisch unterbrochen werden, wenn keine Daten fließen.
Liegen erneut Daten für die Übertragung vor, wird die ruhende Verbindung
ohne Einwirkung des Benutzers reaktiviert. Gebühren fallen immer nur dann
an, wenn Daten übertragen werden. Bei der Interneteinwahl via ISDN können
beide Nutzkanäle gebündelt werden (dynamische Linkzuschaltung), falls für
den Transfer größerer Datenmengen eine hohe Übertragsrate benötigt wird.
Ein weiteres Instrument zur Kostenkontrolle ist die intelligente Verbindungssteuerung. Hier werden Online-Sessions nach Zeit, nach Anzahl der Verbindungsaufbauten oder Gebühreneinheiten angezeigt und bei Bedarf
überwacht.
1.7 Personal Firewall
Der LANCOM Advanced VPN Client verfügt über alle erforderlichen Personal
Firewall Funktionalitäten, um den PC-Arbeitsplatz umfassend gegenüber
Angriffen aus dem Internet und anderer LAN-Teilnehmer (WLAN oder LAN) zu
11
Page 12
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
schützen. Weiter besteht keine Möglichkeit, dass der Dialer von automatischen 0190er- und 0900er-Dialern für ungewollte Verbindungen missbraucht
wird. Die wesentlichen Security-Mechanismen sind IP- NAT und Protokollfilter.
NAT (Network Address Translation) ist ein Security- Standard zum Verbergen
der individuellen IP-Adressen gegenüber dem Internet. NAT bewirkt eine
Übersetzung der von außen sichtbaren Adresse in entsprechende Client-
DE
Adressen und umgekehrt. Ankommende Datenpakete werden auf der Basis
eines ausgeklügelten Filtermechanismus nach genau definierten Eigenschaften überprüft und bei Nichtübereinstimmung abgewiesen. Das heißt: Der
Internet-Port des jeweiligen Rechners wird vollständig getarnt und der Aufbau von unerwünschten Verbindungen unmöglich.
Zudem verfügt der LANCOM Adavanced VPN Client über eine ApplicationLayer Firewall und über Friendly-Net-Erkennung. Mit der Application- Layer
Firewall können Filterregeln mit bestimmten Anwendungen verknüpft werden. Mit der Friendly-Net-Erkennung können können situationsabhängig Filterregeln aktiviert bzw. deaktiviert werden. So können z.B. strikte Regeln für
die Einwahl an einem öffentlichen Hot-Spot definiert werden, die bei der Einwahl an einem vertrauenswürdigen Netzknoten gelockert werden.
1.8 PKI-Unterstützung
12
Die Zugangssicherheit zum Firmennetz kann durch den Einsatz digitaler Zertifikate in Form von Software (PKCS#12) oder Smart Cards (PKCS#11, CT-API,
PC/SC) erhöht werden. Der LANCOM Advanced VPN Client unterstützt hierfür
die Einbindung in eine PKI (Public Key Infrastruktur). LANCOM Router unterstützen das Pre-Shared-Key Verfahren und ab LCOS-Version 5.0 digitale Zertifikate.
1.8.1 Public Key Infrastruktur
Public-Key-Infrastrukturen (PKI) beschreiben ein weltweit genutztes Verfahren, um zwischen beliebigen Kommunikationspartnern auf elektronischem
Wege Schlüssel sicher auszutauschen. Die PKI bedient sich dabei sogenannter
Schlüsselpärchen aus jeweils einem öffentlichen und einem privaten Schlüssel. In der Welt des elektronischen, globalen Informationsaustausches wird so
eine Vertrauensbasis aufgebaut, wie wir sie in der traditionellen Geschäftswelt auf Papierbasis kennen. Die digitale Signatur in Verbindung mit Datenverschlüsselung ist das elektronische Äquivalent zur händisch geleisteten
Unterschrift und belegt Ursprung sowie die Authentizität von Daten und Teilnehmer.
Page 13
Eine PKI basiert auf digitalen Zertifikaten, die - von einer öffentlichen Zertifizierungsstelle (Trust Center) ausgestellt - als persönliche “elektronische Ausweise” fungieren und idealerweise auf einer Smart Card abgespeichert sind.
Sicherheitsexperten und der IETF (Internet Engineering Task Force) sind sich
darüber einig, dass ein nachhaltiger Schutz vor Man-In-The-Middle-Attacken
nur durch den Einsatz von Smart Cards mit Zertifikaten erreicht werden kann.
1.8.2 Smart Card
Smart Cards sind die ideale Ergänzung für hochsichere Remote Access-Lösungen. Sie bieten doppelte Sicherheit beim Login-Vorgang, nämlich Wissen über
PIN (Persönliche Identifikations Nummer) und Besitz der Smart Card. Der
Anwender identifiziert sich mit der Eingabe der PIN eindeutig als rechtmäßiger Besitzer (Strong Authentication). Die PIN ersetzt das Passwort und die Eingabe der User-ID (Basistechnologie für Single Sign On). Der Anwender weist
sich nur noch gegenüber der Smart Card aus. Der Check gegenüber dem Netz
erfolgt zwischen Smart Card und Security-System. Alle sicherheitsrelevanten
Operationen laufen vollständig im Inneren der Karte - also außerhalb des PCs
- ab. Das System ist neben individuellen Anpassungen an Schutzmechanismen offen für multifunktionalen Einsatz (z. B. als Company Card). Auch biometrische Verfahren lassen sich integrieren.
LANCOM Advanced VPN Client
쮿 Kapitel 1: Produktbeschreibung
DE
13
Page 14
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
2 Installation
DE
2.1 Installationsvoraussetzungen
2.1.1 Betriebssystem
Die Installation der Secure Software für Windows-Systeme erfolgt komfortabel über Setup. Der Installationsablauf ist für alle Versionen des LANCOM
Advanced VPN Clients identisch. Im folgenden ist die Installation für Windows
2000/XP und Vista beschrieben.
Bevor Sie die Software installieren, müssen zur vollen Funktionsfähig-
keit die Installationsvoraussetzungen, wie im folgenden Kapitel
beschrieben, erfüllt sein.
Die Software kann auf Computern mit den Betriebssystemen Microsoft Windows 2000, Microsoft Windows 2003 Server, Microsoft XP oder Microsoft
Vista installiert werden.
Halten Sie für die Dauer der Installation unbedingt die Datenträger (CD oder
DVD) für das jeweils im Einsatz befindliche Betriebssystem bereit, um Daten
für die Treiberdatenbank des Betriebssystems nachladen zu können!
14
2.1.2 Zielsystem
Das Zielsystem muss eine der folgenden Verbindungsarten unterstützen:
ISDN, PSTN (analoges Modem), GPRS, UMTS, LAN over IP, WLAN, PPP over
Ethernet oder PPP over CAPI.
2.1.3 Lokales System
Eines der folgenden Kommunikationsgeräte muss installiert sein.
ISDN-Adapter (ISDN)
Der ISDN-Adapter muss die ISDN CAPI 2.0 unterstützen. Wenn Sie PPP Multilink nutzen, kann die Software bis zu 8 ISDN B-Kanäle (je nach Kanalanzahl
des Adapters) bündeln. Prinzipiell kann jeder ISDN-Adapter, der die ISDNSchnittstelle CAPI 2.0 unterstützt, eingesetzt werden. (Für gewöhnlich wird
die CAPI bei der Installation eines ISDN-Adapters automatisch eingerichtet.)
Page 15
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
Modem oder Datenkarte
Für die Kommunikation über Modem muss das Modem korrekt installiert sein,
sowie Modem Init. String und COM-Port Definition zugewiesen sein. Das
Modem muss den Hayes-Befehlssatz unterstützen.
Ebenso können Mobiltelefone für die Datenkommunikation genutzt werden,
nachdem die zugehörige Software installiert wurde, die sich für den Client
genauso darstellt wie ein analoges Modem. Als Schnittstelle zwischen Handy
und PC kann die serielle Schnittstelle, die IR-Schnittstelle (Infrarot) oder Bluetooth genutzt werden. Je nach Übertragungsart (GSM, V.110, GPRS, UMTS
oder HSCSD) muss die Gegenstelle über die entsprechende Einwahlplattform
verfügen. Der in die Modemkonfiguration des LANCOM Advanced VPN Clients
einzutragende Initialisierungs-String ist vom ISP oder dem Hersteller des
Mobiltelefons zu beziehen.
Direkte Unterstützung von UMTS/HSDPA- oder GPRS-Datenkarten
Der LANCOM Advanced VPN Client unterstützt die direkte Verwendung
von Datenkarten für Notebooks, wie sie von vielen Mobilfunkbetreibern
angeboten werden. Die Parameter für die Einwahl können direkt in die
Profileinstellungen eingetragen werden.
Weitere Hinweise zur Konfiguration eines mobilen Onlinezugang über
UMTS oder GPRS finden Sie unter ’UMTS- oder GRPS-Profil einrichten’
→ Seite 124.
DE
15
Page 16
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DE
LAN-Adapter (LAN over IP)
Um die Client-Software mit der Verbindungsart “LAN” in einem Local Area
Network betreiben zu können, muss zusätzlich zum bereits installierten LANAdapter (Ethernet oder Token Ring) kein weiterer Adapter installiert werden.
Die Verbindung der LAN-Clients ins WAN stellt ein beliebiger Access Router
her. Einzige Vorausetzung: IP-Verbindung zum Zielsystem muss möglich sein.
Die VPN-Funktionalität liefert die Client Software. Adapter für ein Wireless
LAN (WLAN-Adapter) werden genauso behandelt wie normale LAN-Adapter.
Für WLAN-Verbindungen wird als Verbindungsart “IPSec over WLAN”
gewählt.
LANCOM LANCAPI
Wenn Sie zum Herstellen Ihrer Internetverbindung die LANCOM LANCAPI verwenden, beachten Sie bitte folgendes:
쮿 Bei gleichzeitiger Verwendung der Statefull Inspection Firewall muss die
Einstellung "Ausschließlich Kommunikation im Tunnel zulassen" ausgeschaltet bleiben, da sonst der LANCAPI Server im lokalen Netzwerk nicht
mehr erreicht werden kann.
쮿 Bei ausgeschalteter Statefull Inspection Firewall funktioniert die Internet-
und VPN- Kommunikation ohne weitere Einstellungen.
16
xDSL-Modem (PPPoE/PPTP)
Die Verbindungsart PPP over Ethernet setzt voraus, dass eine Ethernet-Karte
installiert und darüber ein xDSL-Modem mit Splitter korrekt angeschlossen ist.
Wichtig (wenn Sie ADSL in der Anschlussvariante ausführen, die nach Verbindungsdauer berechnet wird): Nachdem die Client-Software installiert wurde,
beachten Sie bitte unbedingt den Abschnitt “Adapter und Protokoll für
PPPoE”.
WLAN-Adapter (WLAN)
Der WLAN-Adapter wird mit der Verbindungsart “WLAN” betrieben. Im Monitormenü erscheint eigens der Menüpunkt “WLAN-Einstellungen”, worin die
Zugangsdaten zum Funknetz in einem Profil hinterlegt werden können. Wird
diese “WLAN-Konfiguration aktiviert”, so muss das Management-Tool der
WLAN-Karte deaktiviert werden. (Alternativ kann auch das Management-Tool
der WLAN-Karte genutzt werden, dann muss die WLAN-Konfiguration im
Monitormenü deaktiviert werden.)
Page 17
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
Wird die Verbindungsart WLAN für ein Zielsystem in den Profileinstellungen
eingestellt, so wird unter dem grafischen Feld des Client-Monitors eine weitere Fläche eingeblendet, auf der die Feldstärke und das WLAN-Netz dargestellt werden.
Bitte beachten Sie zur Konfiguration der WLAN-Einstellungen die Beschreibung zum Parameter ’Verbindungsmedium’ → Seite 91.
Automatische Medienerkennung
Werden wechselweise unterschiedliche Verbindungsarten genutzt, so erkennt
der Client automatisch, welche Verbindungsarten aktuell zur Verfügung stehen und wählt davon die schnellste aus.
Auf Grundlage eines vorkonfigurierten Zielsystems wird automatisch die Verbindungsart erkannt und eingesetzt, die für den Client-PC aktuell zur Verfügung steht, wobei bei mehreren alternativen Übertragungswegen
automatisch der schnellste gewählt wird. In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt:
쐃 LAN
쐇 WLAN
쐋 DSL
DE
쐏 UMTS/GPRS
쐄 ISDN
쐂 MODEM
Die Konfiguration erfolgt mit der Verbindungsart “automatische Medienerkennung” in den Profileinstellungen unter “Zielsystem”. Alle für diesen ClientPC vorkonfigurierten Zielsysteme zum VPN Gateway des Firmennetzes können
dieser automatischen Medienerkennung – sofern gewünscht – zugeordnet
werden (über das Parameterfeld “Zielsystem” in den Profileinstellungen).
Damit erübrigt sich die manuelle Auswahl eines Mediums (WLAN, UMTS,
Netzwerk, DSL, ISDN, Modem) aus den Profileinträgen. Die Eingangsdaten für
die Verbindung zum ISP werden für den Anwender transparent aus den vorhandenen Profileinträgen übernommen.
Beachten Sie dazu die Beschreibung zu ’Verbindungstyp’ → Seite 91.
17
Page 18
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
2.1.4 Voraussetzungen für den Einsatz von Zertifikaten
DE
Um mit der Security Software die Zertifizierung (X.509) nutzen, zu können,
müssen folgende Voraussetzungen erfüllt sein:
Chipkartenleser (PC/SC-konform)
Wenn Sie die “Erweiterte Authentisierung” (Strong Authentication) mit Smart
Cards nutzen wollen, muss ein Chipkartenleser an Ihr System angeschlossen
sein. Die Client Software unterstützt automatisch alle Chipkartenleser, die PC/
SC-konform sind. Diese Chipkartenleser werden nur in der Liste der Chipkartenleser aufgenommen, nachdem der Leser angeschlossen und die zugehörige Treiber-Software installiert wurde. Die Client Software erkennt dann den
Chipkartenleser nach einem Boot-Vorgang automatisch. Erst dann kann der
installierte Leser ausgewählt und genutzt werden. Dazu stellen Sie nach dem
ersten Start des Monitors den Chipkartenleser ein unter “Verbindung → Zertifikate → Konfiguration”. Beachten Sie dazu die Beschreibung unter “Client
Monitor”.
Chipkartenleser (CT-API-konform)
Wenn Sie einen CT-API-konformen Chipkartenleser nutzen, beachten Sie bitte
folgendes:
Mit der aktuellen Software werden Treiber für die Modelle Kobil B0/B1, Kobil
KAAN, SCM Swapsmart und SCM 1x0 (PIN Pad Reader) mitgeliefert. Diese
Chipkartenleser können im Monitor unter “Verbindung → Zertifikate →
Konfiguration” eingestellt werden. Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein, wenden Sie sich unbedingt an den Hersteller des Chipkartenlesers,
bzw. konsultieren Sie die entsprechende Website bezüglich aktueller Hardware-Treiber, um den aktuellsten CT-API-Treiber zu erhalten und zu installieren. Nehmen Sie außerdem folgende Einstellung in der Client Software vor:
쮿 Editieren Sie die Datei NCPPKI.CONF, befindlich im Windows\System-Ver-
zeichnis (unter Windows 95/98) oder System32-Verzeichnis (unter Windows NT/2000) mit einem ASCII-Editor, indem Sie als “Modulname” den
Namen des angeschlossenen Chipkartenlesers (xyz) eintragen und als
DLLWIN95 bzw. DLLWINNT den Namen des installierten Treibers eintragen. (Der Standardname für CT-API- konforme Treiber ist CT32.DLL).
Wichtig: Nur die Treiber sind in der Liste sichtbar, die mit “visible = 1" auf
sichtbar gesetzt wurden!
Modulname= SCM Swapsmart (CT-API)→ xyz
18
Page 19
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DLLWIN95= scm20098.dll→ ct32.dll
DLLWINNT= scm200nt.dll→ ct32.dll
Nach einem Boot-Vorgang erscheint der von Ihnen eingetragene “Modulname” im Monitor-Menü unter “Verbindung → Zertifikate → Konfiguration
→ Chipkartenleser”. Selektieren Sie nun diesen Chipkartenleser.
Chipkarten
Folgende Chipkarten werden unterstützt:
쮿 Signtrust
쮿 NetKey 2000
쮿 TC Trust (CardOS M4)
Soft-Zertifikate (PKCS#12)
Statt einer Smart Card können auch Soft-Zertifikate genutzt werden.
Chipkarten oder Token (PKCS#11)
Mit der Software für die Smart Card oder den Token werden Treiber in Form
einer PKCS#11-Bibliothek (DLL) mitgeliefert. Diese Treiber-Software muss
zunächst installiert werden. Anschließend muss die Datei NCPPKI.CONF editiert werden.
쮿 Editieren Sie die Datei NCPPKI.CONF, befindlich im Windows\System-Ver-
zeichnis (unter Windows 95/98) oder System32-Verzeichnis (unter Windows NT/2000) mit einem ASCII-Editor, indem Sie als “Modulname” den
Namen des angeschlossenen Lesers oder Tokens (xyz) eintragen. Als
PKCS#11-DLL muss der Name der DLL eingegeben werden. Der zugehörige “Slotindex” ist herstellerabhängig (Standard = 0).
Wichtig: Nur die Treiber sind in der Liste sichtbar, die mit “visible = 1" auf
sichtbar gesetzt wurden!
Modulname= xyz
PKCS#11-DLL= Name der DLL
Slotindex=
Nach einem Boot-Vorgang erscheint der von Ihnen eingetragene “Modulname” im Monitor-Menü unter “Verbindung → Zertifikate → Konfiguration
→ Chipkartenleser”. Selektieren Sie nun diesen Chipkartenleser oder Token.
DE
19
Page 20
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
2.2 LANCOM Advanced VPN Client installieren und akti-
DE
TCP/IP
Das Netzwerk-Protokoll TCP/IP muss auf dem Rechner installiert sein.
vieren
Zur Installation des LANCOM Advanced VPN Clients legen Sie bitte die mitgelieferte CD in Ihr CD-ROM-Laufwerk. Sollte das Setup- Programm nach einigen
Sekunden nicht automatisch starten, öffnen Sie bitte die Datei „autostart.exe“
aus dem Stammverzeichnis der CD. Der folgende Assistent leitet Sie durch die
weiteren Schritte der Installation. Wählen Sie dabei die 'Standard-Installation' aus.
쮿 Beginnen Sie die Installation mit dem Punkt LANCOM Software.
쮿 Fahren Sie mit der Option LANCOM Advanced VPN Client installieren
fort.
Sollte bereits eine frühere Version des Clients vorhanden sein, so wird diese
automatisch erkannt und es wird ein Update durchgeführt.
Zur vollständigen Installation ist ein Neustart erforderlich.
20
Page 21
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
Aktivierung
Nach dem Neustart ist der LANCOM Advanced VPN Client bereits vollständig
installiert. Sie können den LANCOM Advanced VPN Client vor der Aktivierung
30 Tage lang testen. Nach dem Start des Clients erscheint das Hauptfenster.
DE
Um nach der 30 Tag e Testphase den vollen Funktionsumfang nutzen zu können ist eine Produktaktivierung notwendig. Hierfür stehen drei mögliche Szenarien zur Verfügung:
쮿 Es handelt sich um eine Erstinstallation mit Erwerb einer vollen Lizenz.
쮿 Ein Software- und Lizenz- Upgrade von einer früheren Version mit Erwerb
einer neuen Lizenz. Hier können alle neuen Funktionen der neuen Version
benutzt werden.
쮿 Ein Software-Update als reines Buxfixing. Sie behalten Ihre bisherige
Lizenz bei. Hierbei wird zwar die neue Client-Version installiert, jedoch
steht dem Anwender nur die Funktionalität der bisherigen Version zur
Verfügung.
In jedem Fall sind folgende Schritte abzuarbeiten:
21
Page 22
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DE
쐃 Klicken Sie im Hauptfenster auf Aktivierung. Im folgenden erscheint ein
Dialog, der ihre aktuelle Versionsnummer und die verwendete Lizenz
anzeigt.
Dieser Dialog kann alternativ im Hauptfenster über den Menüpunkt
Hilfe 왘 Lizenzinfo und Aktivierung aufgerufen werden.
쐇 Klicken sie hier erneut auf Aktivierung. Sie können die Aktivierung online
oder offline vornehmen.
22
Auch für die „Offline-Aktivierung“ wird ein Zugang zum Internet
benötigt.
Online-Aktivierung
쐃 Falls sie die Online-Aktivierung wählen, geben sie in folgendem Dialog
ihre Lizenzdaten ein. Diese haben sie mit dem Erwerb des LANCOM
Advanced VPN Client erhalten.
Page 23
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
쐇 Nun muss der Client eine Verbindung zum LANCOM-Server herstellen.
Falls sie bereits eine ältere Version des LANCOM Advanced VPN Client
benutzen, können sie ein bereits eingerichtetes VPN-Profil zur Verbindung
mit dem Internet verwenden. Sobald der Computer über eine Verbindung
mit dem Internet verfügt, verbindet er sich automatisch mit dem
LANCOM-Server. Die Aktivierung erfolgt nun ohne weiteres Zutun und der
Vorgang schließt selbstständig ab.
Offline-Aktivierung
쐃 Falls Sie die Offline-Aktivierung gewählt haben, müssen sie wie bei der
Aktivierung zunächst ihre Lizenzdaten und die Seriennummer eingeben.
Diese werden dann überprüft und in einer Datei auf Festplatte gespeichert. Den Dateinamen können sie frei wählen, es muß sich allerdings um
eine Textdatei (.txt) handeln.
DE
쐇 In dieser Aktivierungsdatei sind ihre Lizenzdaten enthalten. Zur Aktivie-
rung muß diese Datei dem LANCOM-Server übergeben werden. Starten
23
Page 24
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DE
sie dazu ihren Browser und öffnen Sie die Site
www.lancom.de/avc/activation
.
쐋 Klicken sie auf Durchsuchen und wählen Sie die eben erstellte Aktivie-
rungsdatei aus. Im Anschluß daran klicken Sie auf Absenden. Die Aktivierungsdatei wird nun vom LANCOM-Server bearbeitet. Sie werden nun
auf eine Website weitergeleitet, der Sie ihren Aktivierungs-Code entnehmen können. Drucken Sie diese Seite aus oder notieren Sie sich den angegebenen Code.
24
쐏 Wechseln sie wieder zum LANCOM Advanced VPN Client und klicken sie
im Hauptfenster auf Aktivierung. Geben sie im folgenden Dialog den
Code ein, den Sie ausgedruckt oder notiert haben.
Page 25
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
쐄 Mit der Eingabe des Aktivierungs-Codes ist die Produktaktivierung abge-
schlossen und sie können den LANCOM Advanced VPN Client im Umfang
ihrer Lizenz benutzen.
Abhängig von der von Ihnen erworbenen Lizenz wird nun die Lizenz- und Versions-Nummer angezeigt.
2.3 Vor der Inbetriebnahme
Nach der Installation zeigt sich der Client Monitor wie in untenstehender
Abbildung.
DE
Um den Secure Entry Client nutzen zu können, muss zunächst in den ProfilEinstellungen ein Eintrag erzeugt werden, d.h. ein Zielsystem definiert werden, zu dem eine IPSec-Verbindung hergestellt werden kann.
Beachten Sie zur Konfiguration eines Zielsystems vor allem die Beschreibungen unter “3. Client Monitor”:
쮿 Konfiguration / Profil-Einstellungen (Die Einträge der Profil-Einstellungen)
쮿 Konfiguration / IPSec (Die Einträge der IPSec-Konfiguration)
und zur weiteren Parametrisierung:
쮿 Profil-Einstellungen (Die Parameterfelder zur Konfiguration der Verbin-
dung)
25
Page 26
LANCOM Advanced VPN Client
쮿 Kapitel 2: Installation
DE
쮿 IPSec (Die Parameterfelder zur Konfiguration der Richtlinien)
Erst nach der Einrichtung eines Zielsystems in den Profil-Einstellungen kann
eine Verbindung dorthin hergestellt werden:
쮿 Eine Verbindung herstellen
26
Page 27
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
3 Client Monitor
Wenn die Software installiert wurde, kann der Monitor über das Start > Programme > LANCOM > LANCOM Advanced VPN Client aktiviert werden.
Damit öffnet sich das Fenster des Monitors auf dem Bildschirm.
DE
Hinweis: Wenn der Monitor geladen wurde, erscheint er entweder auf
dem Bildschirm oder, wenn er dort nicht dargestellt wird, in der Taskleiste.
Der Monitor hat vier wichtige Funktionen:
쮿 den aktuellen Status der Kommunikation wiederzugeben
쮿 den Verbindungsmodus einzustellen
쮿 die Limits der Verbindungssteuerung bestimmen
쮿 die Definition und Konfiguration der Profile zur Anwahl an ein Zielsystem
3.1 Monitor-Bedienung
Die Hauptmenüpunkte in der Menüleiste von links nach rechts sind:
쮿 Verbindung [Menü]
쮿 Konfiguration [Menü]
쮿 Log [Menü]
쮿 Fenster [Menü]
쮿 Hilfe
27
Page 28
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
3.1.1 Verbindung [Menü]
DE
Das Pulldown-Menü hat folgende Menüpunkte:
쮿 Verbinden
쮿 Trennen
쮿 HotSpot-Anmeldung
쮿 Multifunktionskarte
쮿 Verbindungs-Informationen
쮿 Verfügbare Verbindungsmedien
쮿 Zertifikate [Ansicht]
쮿 PIN eingeben
쮿 PIN zurücksetzen
쮿 PIN ändern
쮿 Verbindungssteuerung Statistik
쮿 Sperre aufheben
쮿 Beenden
Verbinden
Eine Verbindung wird aufgebaut. Eine Verbindung kann nur aufgebaut werden, wenn ein Profil aus der Liste der Profil-Einstellungen selektiert ist. Das
selektierte Profil wird in der Monitoroberfläche unter der Menüleiste angezeigt.
Wenn Sie die Funktion Verbinden wählen, wird die Anwahl an das Ziel über
das ausgewählte Profil manuell durchgeführt.
28
Wenn Sie, je nach Profil, die Verbindung manuell oder automatisch herstellen
wollen, so können Sie dies in den Profil-Einstellungen mit dem Parameter Verbindungsaufbau im Feld “Timeout (Sek)” definieren (siehe Konfiguration >
Profil-Einstellungen > Konfigurieren > Line Management).
Page 29
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Trennen
Eine Verbindung kann manuell abgebaut werden mit der Funktion “Trennen”
im Pull-down-Menü oder nach Klick auf die rechte Maustaste.
Wenn die Verbindung abgebaut wurde, wechseln die Signallampen des Monitors für die gesamte Offline-Dauer von grün zu rot.
HotSpot-Anmeldung
Voraussetzungen: Der Rechner muss sich mit aktivierter WLAN-Karte
im Empfangsbereich eines HotSpots befinden. Die Verbindung zum
HotSpot muss hergestellt und eine IP-Adresse für den Wireless-Adapater muss zugewiesen sein. (Unter Windows XP steht eine entsprechende Konfiguration für den Zugriff auf WLANs zur Verfügung.)
Die Firewall des LANCOM Advanced VPN Client sorgt dafür, dass lediglich die
IP-Adresszuweisung per DHCP erfolgen darf, weitere Zugriffe ins WLAN bzw.
vom WLAN werden unterbunden. Die Firewall gibt dynamisch die Ports für
http bzw. https für die Anmeldung bzw. Abmeldung am HotSpot frei. Dabei ist
nur Datenverkehr mit dem HotSpot Server des Betreibers möglich. Ein öffentliches WLAN wird auf diese Weise ausschließlich für die VPN-Verbindung zum
zentralen Datennetz genutzt. Direkter Internet-Zugriff ist ausgeschlossen.
Damit die Anmeldeseite des HotSpots im Browser geöffnet werden kann,
muss eine eventuelle Proxy-Konfiguration deaktiviert werden.
Derzeit unterstützt die HotSpot-Anmeldung des Clients ausschließlich
HotSpots, die mit einer Umleitung (Redirect) einer Anfrage mit einem
Browser auf die Anmeldeseite des öffentlichen WLAN-Betreibers
arbeiten (z. B. T-Mobile oder Eurospot).
Sind obige Voraussetzungen erfüllt, so öffnet ein Klick auf den Menüpunkt
“HotSpot-Anmeldung” die Website zur Anmeldung im Standard-Browser.
Nach Eingabe der Zugangsdaten kann die VPN-Verbindung z. B. zur Firmenzentrale aufgebaut und sicher kommuniziert werden.
Die HotSpot-Anmeldung erfolgt über das Monitor-Menü “Verbindung / HotSpot-Anmeldung”. Nachdem dieser Menüpunkt angeklickt wurde, können
verschiedene Verbindungsmeldungen am Bildschirm erscheinen:
DE
29
Page 30
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
쮿 Wenn sich der Benutzer bereits im Internet befindet, wird er mit der Start-
seite http://www.lancom.de verbunden. Es erscheint ein Fenster mit folgender Meldung:
Dieser Text kann vom Administrator ausgetauscht werden, indem die
Adresse einer anderen HTML-Startseite in der Form angegeben wird
http://www.mycompany.de/error.html
und der Text von error.html entsprechend geändert wird.
쮿 Ist der Benutzer noch nicht angemeldet, erscheint ein Fenster mit der Auf-
forderung Benutzername und Passwort für die Anmeldung am HotSpotBetreiber einzugeben.
쮿 Wenn der Benutzer keine Website erreicht, erscheint die Microsoft-Fehler-
meldung “... not found”.
Multifunktionskarte
Nachdem eine Multifunktionskarte installiert wurde (siehe dazu auch den
Anhang dieses Handbuchs), wird dieser Menüpunkt dargestellt. Außerdem
wird das Feld mit der Anzeige für UMTS / GPRS im Monitor eingeblendet und
das WLAN-Panel ausgeblendet (siehe oben “Symbole des Monitors”).
쮿 Netzsuche
Die installierte Multifunktionskarte sucht nach dem Start des Monitors automatisch nach einem Funknetz und zeigt es mit der entsprechenden Feldstärke
an, sobald es gefunden wurde (T-Online im Bild unten). Durch Anwahl des
Menüpunkts oder des Buttons für “Netzsuche” kann eine erneute Netzsuche
ausgelöst werden.
30
Bei zu geringer Feldstärke schaltet die Karte automatisch von der Datenübertragungstechnik UMTS auf GPRS, wobei die Verbindung bestehen bleibt.
Erhöht sich die Feldstärke wieder, schaltet die Karte automatisch wieder
zurück.
Page 31
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Wurde eine Netzsuche durchgeführt, wird das Fenster zur Netzauswahl eingeblendet. Das gewünschte Netz kann aus einer Liste ausgewählt werden. Wird
die erneute Netzsuche nach jedem Aufruf des Monitors nicht gewünscht, so
muss die standardmäßig aktive Funktion über den Check-Button ausgeschaltet werden.
쮿 GPRS / UMTS aktivieren
Die Datenübertragungstechnik kann auch manuell gewechselt werden. Dazu
wird mit der Maus der Text mit der gewünschten Übertragungstechnik angeklickt oder dieser Menüpunkt gewählt. Bei einem manuellen Wechsel des
Mediums wird die Verbindung zunächst abgebaut. Die Verbindung wird dann
wieder automatisch aufgebaut, wenn “automatischer Verbindungsaufbau” im
Telefonbuch konfiguriert wurde.
쮿 SIM PIN eingeben
Der Dialog zur Eingabe der SIM PIN erscheint automatisch bei einem Verbindungsaufbau. Über diesen Menüpunkt kann die SIM PIN auch vor einem Verbindungsaufbau eingegeben werden.
쮿 SIM PIN ändern
Die Änderung der SIM PIN kann nur vorgenommen werden, wenn die bisherige SIM PIN korrekt eingegeben wurde.
쮿 PUK Eingabe
Nach dreimaliger Falscheingabe der SIM PIN erscheint das Fenster zur Eingabe des PUK (Personal Unblocking Key), welcher der SIM-Karte beiliegt.
Nach korrekter Eingabe des PUK kann eine neue SIM PIN eingegeben werden.
DE
Verbindungs-Informationen
Wenn Sie den Menüpunkt “Verbindungs-Informationen” anklicken, werden
statistische Werte gezeigt. Darüber hinaus aber auch welche Security-Schlüs-
31
Page 32
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
sel (SSL mit Zertifikat, Blowfish ...) verwendet werden und welche IP-Adressen
über PPP-Verhandlung zwischen Client und Server ausgetauscht werden.
Der Monitor mit den Verbindungs-Informationen hat keinerlei Einfluss auf die
Funktionen der Client-Software.
Verfügbare Verbindungsmedien
Dieses Fenster dient ausschließlich der Benutzerinformation über die zur Verfügung stehenden Verbindungsmedien und das aktuell genutzte Medium.
Werden wechselweise unterschiedliche Verbindungsarten genutzt, so erkennt
der Client automatisch, welche Medien aktuell zur Verfügung stehen und
wählt davon das schnellste aus.
32
Die zur Verfügung stehenden Verbindungsarten werden mit gelber Signallampe dargestellt, die ausgewählte Verbindungsart mit einer grünen.
Mit der Checkbox kann eingestellt werden, dass dieses Fenster bei automatischer Medienerkennung selbständig aufgeblendet wird, wenn der Verbin-
Page 33
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
dungsaufbau fehlgeschlagen ist. Das Fenster wird auch dann am Bildschirm
eingeblendet, wenn der Client-Monitor minimiert ist. Hinter der genutzten
Medienart wird der Fehler bezeichnet.
Zur Konfiguration der automatischen Medienerkennung beachten Sie in den
Profil-Einstellungen das Parameterfeld “Grundeinstellungen”.
Zertifikate [Ansicht]
Im Pulldown-Menü “Verbindung” finden Sie den Menüpunkt “Zertifikate” mit
den Menüabzweigungen “Konfiguration”, “Aussteller-Zertifikat anzeigen”,
“Eingehendes Zertifikat anzeigen” und “CA-Zertifikate anzeigen”.
Zertifikate (Certificates) werden von einer CA (Certification Authority) mittels
PKI-Manager (Software) ausgestellt und auf eine Smart Card (Chipkarte)
gebrannt. Diese Smart Card enthält u.a. mit den Zertifikaten digitale Signaturen, die ihr den Status eines digitalen Personalausweises verleihen.
쮿 Aussteller-Zertifikat anzeigen
Wenn Sie sich das Aussteller-Zertifikat anzeigen lassen, können Sie sehen
welche Merkmale zur Erstellung des Zertifikats genutzt wurden, z.B. die eindeutige E-Mail-Adresse.
Aussteller (CA): Benutzer und Aussteller eines Aussteller-Zertifikates sind für
gewöhnlich identisch (selfsigned certificate). Der Aussteller des AusstellerZertifikats muss mit dem Aussteller des Benutzer-Zertifikats identisch sein
(siehe -> Benutzer-Zertifikat anzeigen).
Seriennummer: Nach der Seriennummer werden die Zertifikate mit den in der
Revocation List der Certification Authority gehaltenen verglichen.
Gültigkeitsdauer: Die Gültigkeitsdauer der Zertifikate ist beschränkt. Die Gültigkeitsdauer eines Aussteller(Root)-Zertifikats ist in aller Regel länger als die
eines Benutzer-Zertifikats. Mit dem Erlöschen der Gültigkeit des AusstellerZertifikats erlischt automatisch die Gültigkeit eines vom gleichen Aussteller
ausgestellten Benutzer-Zertifikates.
Fingerprint: = Hash-Wert. Der mit dem Private Key der CA verschlüsselte
Hash-Wert ist die Signatur des Zertifikats.
쮿 Benutzer-Zertifikat anzeigen
Wenn Sie sich Ihr Benutzer-Zertifikat anzeigen lassen, können Sie sehen welche Merkmale zur Erstellung des Zertifikats genutzt wurden, z.B. die eindeutige E-Mail-Adresse.
DE
33
Page 34
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Austeller (CA): Der Aussteller Ihres Benutzer-Zertifikates muss mit dem Aussteller des Aussteller-Zertifikates identisch sein. (siehe -> Aussteller-Zertifikat
anzeigen).
Seriennummer: Nach der Seriennummer werden die Zertifikate mit den in der
Revokation List der Certification Authority gehaltenen verglichen.
Gültigkeitsdauer: Die Gültigkeitsdauer der Zertifikate ist beschränkt. Die Gültigkeitsdauer eines Aussteller(Root)-Zertifikats ist in aller Regel länger als die
eines Benutzer-Zertifikats. Mit Erlöschen der Gültigkeit geht auch die Funktion
des Zertifikats verloren.
Fingerprint: = Hash-Wert. Der mit dem Private Key der CA verschlüsselte
Hash-Wert ist die Signatur des Zertifikats.
쮿 Eingehendes Zertifikat anzeigen
Anzeige des Zertifikats, das bei der SSL-Verhandlung von der Gegenstelle
(VPN Gateway) übermittelt wird. Sie können z.B. sehen, ob Sie den hier
gezeigten Aussteller in der Liste Ihrer CA-Zertifikate (siehe unten) aufgenommen haben.
Ist das eingehende Benutzer-Zertifikat einer der CAs aus der Liste “CA-Zertifikate anzeigen” nicht bekannt, kommt die Verbindung nicht zustande.
Sind keine CA-Zertifikate im Windows-Verzeichnis CaCerts\ gespeichert, so
findet keine Überprüfung statt.
34
Allgemein
In der allgemeinen Anzeige finden Sie die Angaben zu Benutzer und Aussteller
der Zertifikats (die bei einem Aussteller-Zertifikat identisch sind), sowie die
Seriennummer, die Angaben zur Gültigkeitsdauer und den Fingerprint.
Erweiterungen
Zertifikate können Erweiterungen (Extensions) erfahren. Diese dienen zur Verknüpfung von zusätzlichen Attributen mit Benutzern oder öffentlichen Schlüsseln, die für die Verwaltung und den Betrieb der Zerifizierungshierarchie und
der Sperrlisten (Revocation Lists) benötigt werden. Prinzipiell können Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter
beinhalten. Die Zertifikats-Erweiterungen (Extensions) werden von der ausstellenden Certification Authority in das Zertifikat geschrieben.
Für den LANCOM Advanced VPN Client und das VPN Gateway sind drei Erweiterungen von Bedeutung:
쮿 extendedKeyUsage
Page 35
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
쮿 subjectKeyIdentifier
쮿 authorityKeyIdentifier
extendedKeyUsage:
Befindet sich in einem eingehenden Benutzer-Zertifikat die Erweiterung
extendedKeyUsage so prüft der LANCOM Advanced VPN Client, ob der definierte erweiterte Verwendungszweck die “SSL-Server-Authentisierung” ist. Ist
das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen, so
wird die Verbindung abgelehnt. Ist diese Erweiterung nicht im Zertifikat vorhanden, so wird diese ignoriert.
Bitte beachten Sie, dass die SSL-Server-Authentisierung richtungsab-
hängig ist. D.h. der Initiator des Tunnelaufbaus prüft das eingehende
Zertifikat der Gegenstelle, das, sofern die Erweiterung extendedKeyUsage vorhanden ist, den Verwendungszweck “SSL-Server-Authentisierung” beinhalten muss
subjectKeyIdentifier / authorityKeyIdentifier:
Ein keyIdentifier ist eine zusätzliche ID (Hashwert) zum CA-Namen auf einem
Zertifikat. Der authorityKeyIdentifier (SHA1-Hash über den public Key des
Ausstellers) am eingehenden Zertifikat muss mit dem subjectKeyIdentifier
(SHA1-Hash über den public Key des Inhabers) am entsprechenden CA-Zertifikat übereinstimmen. Kann kein CA-Zertifikat gefunden werden, wird die Verbindung abgelehnt.
Der keyIdentifier kennzeichnet den öffentlichen Schlüssel der Zertifizierungsstelle und somit nicht nur eine, sondern gegebenenfalls eine Reihe von Zertifikaten. Damit erlaubt die Verwendung des keyIdentifiers eine größere
Flexibilität zum Auffinden eines Zertifizierungspfades. Außerdem müssen die
Zertifikate, die den keyIdentifier in der authorityKeyIdentifier-Erweiterung
besitzen, nicht zurückgezogen werden, wenn die CA sich bei gleichbleibendem Schlüssel ein neues Zertifikat ausstellen lässt.
쮿 CA-Zertifikate anzeigen
Mit der Client Software werden mehrere Aussteller-Zertifikate unterstützt
(Multi CA-Unterstützung). Dazu müssen die Aussteller-Zertifikate im Windows-Verzeichnis CaCerts\ gesammelt werden. Im Monitor des Clients wird
die Liste der eingespielten CA-Zertifikate angezeigt unter dem Menüpunkt
Verbindung > Zertifikate > CA-Zertifikate.
Wird das Aussteller-Zertifikat einer Gegenstelle empfangen, so ermittelt der
Client den Aussteller und sucht anschließend das Aussteller-Zertifikat,
DE
35
Page 36
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
zunächst auf Smart Card oder PKCS#12-Datei, anschließend im Verzeichnis
CaCerts\.
Ist das Aussteller-Zertifikat nicht bekannt, kommt die Verbindung nicht
zustande (No Root Certificate found).
Sind keine CA-Zertifikate im Windows-Verzeichnis CaCerts\ vorhanden, so
wird keine Verbindung unter Einsatz von Zertifikaten zugelassen.
Allgemein
In der allgemeinen Anzeige finden Sie die Angaben zu Benutzer und Aussteller
der Zertifikats (die bei einem Aussteller-Zertifikat identisch sind), sowie die
Seriennummer, die Angaben zur Gültigkeitsdauer und den Fingerprint.
Erweiterungen
Zertifikate können Erweiterungen (Extensions) erfahren. Diese dienen zur Verknüpfung von zusätzlichen Attributen mit Benutzern oder öffentlichen Schlüsseln, die für die Verwaltung und den Betrieb der Zertifizierungshierarchie und
der Sperrlisten (Revocation Lists) benötigt werden. Prinzipiell können Zertifikate eine beliebige Anzahl von Erweiterungen inklusive privat definierter
beinhalten. Die Zertifikats-Erweiterungen (Extensions) werden von der ausstellenden Certification Authority in das Zertifikat geschrieben.
Für den LANCOM Advanced VPN Client und das VPN Gateway sind drei Erweiterungen von Bedeutung:
쮿 extendedKeyUsage
쮿 subjectKeyIdentifier
쮿 authorityKeyIdentifier
36
extendedKeyUsage:
Befindet sich in einem eingehenden Benutzer-Zertifikat die Erweiterung
extendedKeyUsage so prüft der LANCOM Advanced VPN Client, ob der definierte erweiterte Verwendungszweck “SSL-Server-Authentisierung” enthalten
ist. Ist das eingehende Zertifikat nicht zur Server-Authentisierung vorgesehen,
so wird die Verbindung abgelehnt. Ist diese Erweiterung nicht im Zertifikat
vorhanden, so wird diese ignoriert.
Bitte beachten Sie, dass die SSL-Server-Authentisierung richtungsab-
hängig ist. D.h. der Initiator des Tunnelaufbaus prüft das eingehende
Zertifikat der Gegenstelle, das, sofern die Erweiterung extendedKeyUsage vorhanden ist, den Verwendungszweck “SSL-Server-Authentisierung” beinhalten muss
Page 37
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
subjectKeyIdentifier / authorityKeyIdentifier:
Ein keyIdentifier ist eine zusätzliche ID (Hashwert) zum CA-Namen auf einem
Zertifikat. Der authorityKeyIdentifier (SHA1-Hash über den public Key des
Ausstellers) am eingehenden Zertifikat muss mit dem subjectKeyIdentifier
(SHA1-Hash über den public Key des Inhabers) am entsprechenden CA-Zertifikat übereinstimmen. Kann keine Übereinstimmung erkannt werden, wird die
Verbindung abgelehnt.
Der keyIdentifier kennzeichnet den öffentlichen Schlüssel der Zertifizierungsstelle und somit nicht nur eine, sondern gegebenenfalls eine Reihe von Zertifikaten. Damit erlaubt die Verwendung des keyIdentifiers eine größere
Flexibilität zum Auffinden eines Zertifizierungspfades. Außerdem müssen die
Zertifikate, die den keyIdentifier in der authorityKeyIdentifier-Erweiterung
besitzen, nicht zurückgezogen werden, wenn die CA sich bei gleichbleibendem Schlüssel ein neues Zertifikat ausstellen lässt.
PIN eingeben
Die PIN-Eingabe kann bereits vor einem Verbindungsaufbau erfolgen, nachdem der Monitor gestartet wurde. Wird zu einem späteren Zeitpunkt eine Verbindung aufgebaut, die ein Zertifikat erfordert, so kann dann die PIN-Eingabe
unterbleiben - es sei denn, die Konfiguration zum Zertifikat verlangt es (siehe
-> Konfiguration, Zertifikat).
Haben Sie den Menüpunkt “Verbindung - PIN eingeben” gewählt, kann in das
geöffnete Eingabefeld die PIN (mindestens 6-stellig) eingegeben werden und
mit OK bestätigt werden. Die Ziffern der PIN werden als Sterne “*” am Bildschirm dargestellt.
Sofern die PIN noch nicht vor einem Verbindungsaufbau eingegeben wurde,
erscheint der Dialog zur PIN-Eingabe spätestens wenn die erste Verbindung
zu einem Ziel hergestellt werden soll, das die Verwendung eines Zertifikats
erfordert. Nachfolgend kann bei einem wiederholten manuellen Verbindungsaufbau die PIN-Eingabe unterbleiben, wenn dies so konfiguriert wurde (siehe
-> Konfiguration, Zertifikate).
Wenn Sie den LANCOM Advanced VPN Client zur Verwendung einer Smart
Card oder eines PKCS#11-Moduls konfiguriert haben (siehe -> Konfiguration,
Zertifikate), erscheint im Statusfeld ein hellblaues Symbol für die Smart Card.
Wenn Sie Ihre Smart Card in das Lesegerät gesteckt haben, ändert sich die
Farbe des Symbols von hellblau zu grün.
DE
37
Page 38
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Wurde der LANCOM Advanced VPN Client zur Verwendung eines Soft-Zertifikats konfiguriert (siehe -> Konfiguration, Zertifikate), erscheint im Statusfeld
kein eigenes Symbol.
Wurde die PIN korrekt eingegeben, so wird dies in der Monitoroberfläche mit
einem grünen Haken hinter “PIN” dargestellt.
DE
Fehlerhafte Eingaben und falsche PINs werden nach ca. 3 Sekunden
mit einer Fehlermeldung “Falsche PIN!” quittiert. Ein Verbindungsaufbau ist dann nicht möglich.
Bitte beachten Sie, dass bei mehrmaliger falscher PIN-Eingabe eine Smart
Card oder ein Token gesperrt werden kann. Wenden Sie sich in diesem Fall an
Ihren Administrator.
Erst nach korrekter PIN-Eingabe kann der Verbindungsaufbau erfolgen.
Wird eine Smart Card oder ein Token während des laufenden Betriebs
entfernt, findet standardmäßig ein Verbindungsabbau statt.
Der Verbindungsabbau muss jedoch nicht bei gezogener Chipkarte erfolgen!
Ob “Kein Verbindungsabbau bei gezogener Chipkarte” erfolgt, wird über das
Hauptmenü des Monitors unter dem Menüpunkt Konfiguration > Zertifi-
kate eingestellt.
38
Die Richtlinien zur PIN-Eingabe können im Hauptmenü unter Konfiguration
> Zertifikate festgelegt werden (siehe -> Konfiguration, Zertifikate, PINRichtlinie). Diese Richtlinien müssen auch befolgt werden, wenn die PIN
geändert wird (siehe -> Verbindung, PIN ändern).
Bitte beachten Sie: Unter dem Menüpunkt “PIN ändern” kann die PIN
für eine Smart Card oder ein Soft-Zertifikat geändert werden, wenn
Page 39
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
vorher die richtige PIN eingegeben wurde. Ohne die vorherige Eingabe einer gültigen PIN wird dieser Menüpunkt nicht aktiviert.
PIN zurücksetzen
Dieser Menüpunkt ist nur aktiv, wenn die PIN bereits richtig eingegeben
wurde, d. h. das Zertifikat für die aufzubauende Verbindung genutzt werden
soll. Wird die PIN zurückgesetzt, kann dieses Zertifikat für einen Verbindungsaufbau nicht mehr genutzt werden, bis die dazugehörige PIN wieder richtig
eingegeben wurde.
PIN ändern
Unter diesem Menüpunkt kann die PIN für eine Smart Card oder ein Soft-Zertifikat geändert werden, wenn vorher die richtige PIN eingegeben wurde
(siehe -> PIN eingeben). Ohne die vorherige Eingabe einer gültigen PIN wird
dieser Menüpunkt nicht aktiviert.
Aus Sicherheitsgründen, um die PIN-Änderung nur für den authorisierten
Benutzer zuzulassen, muss nach Öffnen dieses Dialogs die noch gültige PIN
ein zweites Mal eingegeben werden. Die Ziffern der PIN werden in diesem und
den nächsten Eingabefeldern als Sterne “*” dargestellt.
Anschließend geben Sie Ihre neue PIN ein und bestätigen diese durch Wiederholung im letzten Eingabefeld. Mit Klick auf OK haben Sie Ihre PIN geändert.
Die einzuhaltenden PIN-Richtlinien werden unter den Eingabefeldern eingeblendet. Sie können im Hauptmenü unter Konfiguration > Zertifikate >
PIN-Richtlinien eingestellt werden.
DE
Verbindungssteuerung Statistik
Die Statistik gibt Ihnen Auskunft über Ihre Datenkommunikation. In ihr werden sowohl gesondert als auch aufaddiert die gesamten Online-Zeiten, die
gesamte Anzahl der Verbindungen und die gesamten Einheiten, sowie emp-
39
Page 40
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
fangene und gesendete KBytes für den aktuellen Tag, den laufenden Monat
und das laufende Jahr angezeigt.
Sperre aufheben
Je nachdem, wie die Verbindungssteuerung eingestellt ist, erhalten Sie bei
Überschreiten eines Limits Meldungen auf dem Bildschirm.
Wird ein Limit überschritten und die Verbindung automatisch abgebaut, wird
eine Sperre aktiv, die jeden weiteren Verbindungsaufbau unterbindet (->
siehe “Verbindung”-Menü im Monitor).
Eine Verbindung kann erst dann wieder neu aufgebaut werden, wenn Sie die
Sperre aufheben.
40
Beenden
Beenden (des Monitors): Wurde die Verbindung bereits getrennt, beendet ein
Klick auf diesen Menüpunkt oder der Schließen-Button den Monitor. Besteht
noch eine Verbindung, kann nach Klick auf diesen Menüpunkt oder den
Schließen-Button der Monitor ebenfalls beendet werden. Beachten Sie jedoch
unbedingt, dass die Verbindung dabei nicht automatisch getrennt wird. Soll
die möglicherweise kostenpflichtige Verbindung bestehen bleiben, obwohl
der Monitor beendet wird, so wird dazu ausdrücklich eine Bestätigung von der
Software verlangt.
Klicken Sie in diesem Bestätigungsfenster auf “Nein”, so haben Sie
auf Ihrer Desktop-Oberfläche kein Icon und keinen Hinweis mehr darauf, dass noch eine Verbindung aktiv ist und Gebühren anfallen können! In diesem Fall müssen Sie den Monitor erneut starten, um eine
bestehende Verbindung korrekt zu beenden!
Page 41
3.1.2 Konfiguration [Menü]
Das Pulldown-Menü hat folgende Menüpunkte:
쮿 Profil-Einstellungen [Menü]
쮿 Erweiterte Firewall-Einstellungen [Menü]
쮿 WLAN-Einstellungen
쮿 Amtsholung
쮿 Zertifikate [Einstellungen]
쮿 Verbindungssteuerung [Einstellungen]
쮿 EAP-Optionen [Einstellungen]
쮿 Logon Optionen
쮿 Konfigurations-Sperren
쮿 Profile importieren
쮿 HotSpot
쮿 Profil-Sicherung
Sobald die Software installiert und ein Profil korrekt konfiguriert wurde, kann
die Anwahl über dieses Profil an ein Zielsystem stattfinden. Dabei ist es nicht
nötig, die Anwahl manuell durchzuführen, um eine Verbindung herzustellen.
Lediglich die gewünschte Applikations-Software (Email, Internet Browser, Terminal Emulation, etc.) muss gestartet werden. Die Verbindung wird dann, entsprechend den Parametern des Profils, automatisch aufgebaut und gehalten.
Daneben ist es auch möglich manuell eine Verbindung herzustellen, indem Sie
im Monitor den Hauptmenüpunkt “Verbindung” anklicken und “Verbinden”
wählen. Alternativ kann auch der Button “Verbinden” am Monitor angeklickt
werden.
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Profil-Einstellungen [Menü]
Die Einträge der Profil-Einstellungen
Bei einer Erstinstallation der LANCOM Advanced VPN Client Software
ist noch kein Profil vorhanden. In diesem Fall wird automatisch ein
Konfigurations-Assistent eingeblendet, der Ihnen hilft, Konfigurationen anzulegen. Damit wird zugleich das erste Profil der LANCOM
Advanced VPN Client Software angelegt.
41
Page 42
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Mit den Profil-Einstellungen kann die Parametrisierung für die Zielsysteme
(Profil) durchgeführt und die Übertragungsart, den Benutzeranforderungen
entsprechend, bis ins Detail konfiguriert werden.
Nachdem Sie auf Konfiguration > Profil-Einstellungen in der Menüleiste
des Monitors geklickt haben, öffnet sich das Menü und zeigt in einer Liste der
bereits verfügbaren Profile deren Namen und die Rufnummern der zugehörigen Zielsysteme.
Auf der rechten Seite der Profil-Einstellungen sind Buttons angebracht zu folgenden Funktionen: Konfigurieren, Neuer Eintrag, Kopieren, Löschen,
OK, Hilfe und Abbrechen.
42
쮿 Neuer Eintrag - Profil
Um ein neues Profil zu definieren, klicken Sie in der Menüleiste auf “Profil-Einstellungen”. Das Fenster des Menüs öffnet sich nun und zeigt die bereits definierten Profile. Klicken Sie jetzt auf “Neuer Eintrag”. Jetzt legt der “Assistent
für ein neues Profil” mit Ihrer Hilfe ein neues Profil an. Dazu blendet er die
unbedingt notwendigen Parameter auf. Wenn Sie die Einträge in diesen Feldern vorgenommen haben, ist ein neues Profil angelegt. Für alle weiteren
Parameterfelder des Profils werden Standardwerte eingetragen, die Sie unter
dem Menüpunkt “Konfigurieren” (siehe -> Konfigurieren - Profil) auch ändern
können.
Das neue Profil erscheint nun in der Liste der Profile mit dem von Ihnen vergebenen Namen. Wenn keine weiteren Parameter-Einstellungen nötig sind,
können Sie die Liste mit OK schließen. Das neue Profil ist im Monitor sofort
verfügbar. Es kann im Monitor ausgewählt werden und über das Menü “Verbindung -> Verbinden” kann das zugehörige Ziel sofort angewählt werden.
Page 43
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
쮿 Konfigurieren - Profil
Um die (Standard-)Werte eines Profils zu editieren, wählen Sie mit der Maus
das Profil, dessen Werte Sie ändern möchten, und klicken anschließend auf
“Konfigurieren”. Die Profil-Einstellungen zeigen nun in ihrem linken Fenster
eine Liste von Begriffen, denen jeweils ein Parameterfeld zugeordnet ist:
Grundeinstellungen Netzeinwahl Modem Line Management IPSec-Einstellungen Identität IP-Adressen-Zuweisung VPN IP-Netze Zertifikats-Überprüfung
Firewall-Einstellungen
쮿 Ok - Profil
Die Konfiguration eines Profils ist abgeschlossen, wenn Sie das Konfigurationsfenster mit OK schließen. Das neue oder geänderte Profil ist im Monitor
sofort verfügbar. Es kann im Monitor ausgewählt werden und über das Menü
“Verbindung -> Verbinden” sofort zur Anwahl an das Zielsystem verwendet
werden.
쮿 Kopieren - Profil
Um die Parameter-Einstellungen eines bereits definierten Profils zu kopieren,
markieren sie das zu kopierende Profil in der Liste und klicken Sie auf den
Kopieren-Button. Daraufhin wird das Grundeinstellungen-Parameterfeld
geöffnet. Ändern Sie nun den Eintrag in “Profil-Name” und klicken Sie
anschließend Ok. Nur wenn Sie den Namen des Profils ändern, kann es auch
als neuer Eintrag in der Liste der Profile vermerkt werden.
DE
Ein kopiertes Profil muss einen neuen, noch nicht vergebenen, Namen
erhalten. Nur so kann es in der Liste der Profile abgelegt werden.
쮿 Löschen - Profil
Um ein Profil zu löschen, wählen Sie es aus und klicken den Löschen-Button.
Firewall-Einstellungen
Alle Firewall-Mechanismen sind optimiert für Remote Access-Anwendungen
und werden bereits beim Start des Rechners aktiviert. D.h. im Gegensatz zu
VPN-Lösungen mit eigenständiger Firewall ist der Telearbeitsplatz bereits vor
der eigentlichen VPN-Nutzung gegen Angriffe geschützt.
Die Firewall bietet auch im Fall einer Deaktivierung der Client-Software vollen
Schutz des Endgerätes.
43
Page 44
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Bitte beachten Sie, dass die Firewall-Einstellungen global gültig sind,
d.h. für alle in den Profilen gespeicherten Zielsysteme.
Dagegen ist die Einstellung der Link Firewall, die im Profil vorgenommen werden kann, nur für das dazu gehörenden Zielsystem und die
Verbindung zu diesem Zielsystem wirksam.
쮿 Eigenschaften der Firewall
Die Firewall arbeitet nach dem Prinzip der Paketfilterung in Verbindung mit
Stateful Packet Inspection (SPI). Die Firewall prüft alle ein- und ausgehenden
Datenpakete und entscheidet auf der Basis des konfigurierten Regelwerks, ob
ein Datenpaket weitergeleitet oder verworfen wird.
Sicherheit wird in zweierlei Hinsicht gewährleistet:
쮿 Zum einen wird der unbefugte Zugriff auf Daten und Ressourcen im zen-
tralen Datennetz verhindert.
쮿 Zum anderen wird mittels Stateful Inspection der jeweilige Status beste-
hender Verbindungen überwacht.
Die Firewall kann darüber hinaus erkennen, ob eine Verbindung „Tochterverbindungen“ geöffnet hat – wie beispielsweise bei FTP – deren Pakete ebenfalls weitergeleitet werden müssen. Wird eine Regel für eine ausgehende
Verbindung definiert, die einen Zugriff erlaubt, so gilt die Regel automatisch
für entsprechende Antwortpakete. Für die Kommunikationspartner stellt sich
eine Stateful Inspection-Verbindung als eine direkte Leitung dar, die nur für
einen den vereinbarten Regeln entsprechenden Datenaustausch genutzt werden darf.
쮿 Stateful Inspection Firewall erkennt automatisch „Tochterverbindungen“
Die Stateful Inspection Firewall ist in der Lage, automatisch alle Tochterverbindungen folgender Protokolle zu erkennen:
쮿 TCP, UDP
쮿 FTP (active und passive Mode)
쮿 ICMP
Wenn Applikationen zusätzlich zur Hauptverbindung dynamisch weitere Ports benötigen, so
können diese über anwendungsspezifische Firewall-Regeln bereitgestellt werden (z.B. für
bestimmte Multimedia-Anwendungen auf Basis H.323).
Die Firewall-Regeln können dynamisch konfiguriert werden, d.h. ein
Anhalten der Software oder ein Neustart des Systems ist nicht nötig.
44
Page 45
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Die Firewall-Einstellungen im Konfigurationsmenü des Client-Monitors
gestatten eine genaue Spezifikation von Firewall-Filterregeln. Sie wirken global. D.h. unabhängig vom aktuell gewählten Zielsystem werden immer zuerst
die Regeln der erweiterten Firewall-Einstellungen abgearbeitet, bevor die
Regeln der Firewall aus den einzelnen Profilen angewendet werden.
Eine Kombination der globalen und link-bezogenen Firewall kann in bestimmten Szenarien durchaus sinnvoll sein. Im Allgemeinen sollten jedoch nahezu
alle Anforderungen über die globalen Einstellungsmöglichkeiten abzudecken
sein.
Bitte beachten Sie, dass die link-bezogenen Firewall- Einstellungen
bei Aktivierung Vorrang vor den globalen haben. Ist z.B. die Link-Firewall auf 'immer' und 'Ausschließlich Kommunikation im Tunnel zulassen' eingestellt, kann trotz evtl. anders lautender Regeln der globalen
Konfiguration nur ein Tunnel aufgebaut und darüber kommuniziert
werden. Jeglicher anderer Datenverkehr wird von der Link-Firewall
verworfen.
쮿 Konfiguration der Firewall-Einstellungen
Die Filterregeln der Firewall können sowohl anwendungsbezogen als auch
(zusätzlich) adressorientiert, bezüglich bekannter/unbekannter Netze, definiert werden.
DE
Bitte beachten Sie, dass der gleichzeitige Betrieb von zwei Firewalls
auf einem Rechner zu unvorhersehbaren Ereignissen führen kann.
Prüfen Sie daher vor dem Einsatz der Firewall im LANCOM Advanced
VPN Client, ob ggf. eine andere Personal Firewall auf dem Rechner
aktiv ist (z. B. Internetverbindungsfirewall von Windows XP).
45
Page 46
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Grundeinstellungen
Auf der Registerkarte 'Grundeinstellungen' wird die grundlegende Sicherheits-Policy der Firewall festgelegt:
쮿 Firewall deaktiviert: Wird die erweiterte Firewall deaktiviert, so wird nur
die in den Profilen konfigurierte Firewall genutzt. Dies bedeutet, dass alle
Datenpakete nur über die Sicherheitsmechanismen dieser verbindungsorientierten Firewall abgearbeitet werden, sofern diese konfiguriert ist.
쮿 Gesperrte Grundeinstellung: In diesem Zustand ist die Firewall aktiv und
sperrt zunächst vollständig den Datenaustausch zwischen dem Rechner
mit LANCOM Advanced VPN Client und allen anderen Rechnern oder
Netzwerken. Dieses Verhalten entspricht einer „Deny-All“-Strategie. Um
gezielt den Datenverkehr für bestimmte Rechner, Netzwerke oder Anwendungen freizugeben, müssen geeignete Firewall-Regeln den Datenaustausch erlauben.
46
Im Modus der gesperrten Grundeinstellung kann auf komfortable
Weise eine L2Sec/IPSec-Tunnelkommunikation freigeschaltet werden.
Dazu kann im Konfigurationsfeld 'Optionen' der Datenverkehr über
VPN-Protokolle (L2Sec, IPSec) global zugelassen werden.
Mit der Freischaltung von L2Sec oder IPSec wird automatisch auch
das DHCP-Protokoll freigeschaltet. Die über die Firewall geschützten
Rechner können also auch in der gesperrten Grundeinstellung mit
Page 47
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
aktiviertem VPN-Protokoll eine IP-Adresse und andere Adress-Informationen von einem erreichbaren DHCP-Server beziehen.
쮿 Offene Grundeinstellung: In diesem Zustand ist die Firewall aktiv und
erlaubt zunächst vollständig den Datenaustausch zwischen dem Rechner
mit LANCOM Advanced VPN Client und allen anderen Rechnern oder
Netzwerken. Dieses Verhalten entspricht einer „Allow-All“-Strategie. Um
gezielt den Datenverkehr für bestimmte Rechner, Netzwerke oder Anwendungen zu blockieren, müssen geeignete Firewall-Regeln den Datenaustausch sperren.
LANCOM Systems empfiehlt dringend die Verwendung der gesperrten
Grundeinstellung. Nur in dieser Einstellung kann der unkontrollierte
Zugriff auf den Rechner mit LANCOM Advanced VPN Client verhindert
werden.
Beim Nachträglichen Umschalten der Grundeinstellung von 'gesperrt'
auf 'offen' oder umgekehrt werden alle bis dahin definierten FirewallRegeln „umgedreht“: Eine Allow-Regel in gesperrter Grundeinstellung wird in offener Grundeinstellung zu einer Deny-Regel und umgekehrt.
DE
47
Page 48
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Firewall-Regeln
Auf der Registerkarte 'Firewall-Regeln' werden die vorhandenen Regeln der
Firewall aufgelistet. Hier können neue Regeln angelegt sowie vorhandene
Regeln bearbeitet, kopiert oder gelöscht werden.
48
Anzeige-Optionen
In den Anzeige-Optionen wird festgelegt, welche Firewall-Regeln in der Liste
angezeigt werden. Zur Auswahl stehen:
쮿 Unbekannte Netze: Es werden alle Regeln angezeigt, die auf unbekannte
Netze angewendet werden.
쮿 Bekannte Netze: Es werden alle Regeln angezeigt, die auf bekannte Netze
angewendet werden.
쮿 VP N Ne tze: Es w erd en a lle Reg eln ang eze igt , di e auf VPN Net ze a nge wen-
det werden. Hierunter fallen auch verschlüsselte Direkteinwahlverbindungen z.B. über ISDN.
쮿 Anwendungsunabhängige: Es werden alle Regeln angezeigt, die nicht
nur für bestimmte Anwendungen gültig sind.
쮿 Anwendungsabhängige: Es werden alle Regeln angezeigt, die nur für
bestimmte Anwendungen gültig sind.
Diese Auswahlfelder für das Anzeigen der Regeln dienen nur der Übersichtlichkeit und haben keine Auswirkung auf die Anwendung einer Filterregel. Für
jede definierte Regel werden die wichtigsten Eigenschaften gezeigt:
Page 49
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
쮿 Name
쮿 Status
쮿 Netz
쮿 Anwendung
Durch Klick auf einen Überschrifts-Button werden die eingeblendeten Regeln
entsprechend sortiert.
Die Anzeige-Optionen zum Netzbezug und zum Anwendungsbezug
sind untereinander so verbunden, dass eine Regel nur dann angezeigt
wird, wenn sowohl der Netzbezug als auch der Anwendungsbezug
erfüllt sind. Eine Regel für 'Bekannte Netze' und 'VPN Netze' mit
Bezug zur Anwendung 'outlook.exe' wird also nur dann in der Liste
angezeigt, wenn sowohl die Anzeige-Optionen 'Anwendungsabhängige' als auch 'Bekannte Netze' oder 'VPN Netze' markiert sind.
Firewall-Regeln erstellen, ändern und löschen
Mit den Schaltflächen Bearbeiten, Hinzufügen, Kopieren und Löschen
Bearbeiten Sie die Liste der Firewall-Regeln.
Die Firewall-Regeln werden immer nur dann auf ein Datenpaket angewendet,
wenn alle in der Regel definierten Kriterien zutreffen. Nur wenn dieses „Matching“ erfolgreich ist, wird das Datenpaket je nach Grundeinstellung entweder zugelassen („Allow-Regel“) oder verworfen („Deny-Regel“).
DE
Bitte beachten Sie, dass es sich bei den Firewall-Regeln je nach
Grundeinstellung der Firewall ('gesperrt' oder 'offen') um „Allow“Regeln oder um „Deny“-Regeln handelt (’Grundeinstellungen’
→ Seite 46).
49
Page 50
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Allgemein
Auf der Registerkarte 'Allgemein' tragen Sie einen frei definierbaren Namen
der Firewall-Regel ein. Außerdem stellen Sie die folgenden Optionen ein:
쮿 Name der Regel: Unter diesem Namen erscheint die Regel in der Anzeige-
liste.
쮿 Status: Hier kann jede einzelne Regel ein- oder ausgeschaltet werden
(aktiviert oder deaktiviert).
쮿 Richtung: Gilt die Regel nur für eingehende, nur für ausgehende Daten-
pakete oder für beide Richtungen (bidirektional)?
50
Wird die Richtung auf 'ausgehend' gesetzt, wird nach dem Prinzip von
Stateful Inspection gearbeitet (siehe 'Eigenschaften der Firewall').
Stateful Inspection wird jedoch nur für die Protokolle UD P, TC P, F T P
(active und passive Mode) und ICMP angewendet.
Auf 'eingehend' kann z.B. dann geschaltet werden, wenn von
Remote-Seite eine Verbindung aufgebaut werden soll (z.B. für 'eingehende Rufe' oder Administrator-Zugriffe).
Die Einstellung 'bidirektional' ist nur sinnvoll, wenn Stateful Inspection nicht zur Verfügung steht. Die Firewall verhält sich dann wie eine
klassische Paket-Filter-Firewall. In diesen Fällen empfiehlt sich eher
die Steuerung der Firewall über anwendungsspezifische Filterregeln,
z. B. bei Netmeeting oder VoIP auf Basis von H.323.
Page 51
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
쮿 Netze: Beim Neuanlegen einer Regel ist diese zunächst keinem Netz zuge-
ordnet. Eine Regel kann erst dann gespeichert werden, wenn die
gewünschte Zuordnung erfolgt ist und ein Name vorgegeben wurde.
왏 Unbekannte Netze sind alle Netze, die nicht in der Liste der bekannten
Netze eingetragen und die nicht in einer VPN-Verbindung als Ziel
definiert sind. Darunter fallen z.B. Verbindungen über das DFÜ-Netzwerk von Microsoft oder auch direkte und unverschlüsselte Verbindungen mit dem integrierten Dialer des Clients, wie auch HotSpot
WLAN-Verbindungen.
왏 Bekannte Netze sind alle Netze, die in der Liste der bekannten Netze
eingetragen sind.
왏 VPN Netze sind alle Netze, die in einer VPN-Verbindung als Ziel defi-
niert sind, also alle L2Sec- oder IPSec-Verbindungen in aufgebautem
Zustand. Darüber hinaus fallen unter diese Gruppe auch alle verschlüsselten Direkteinwahlverbindungen über den integrierten Dialer
des Clients.
Eine Firewall-Regel kann nur dann angelegt werden, wenn mindes-
tens eine Gruppe von Netzen aktiviert ist.
쮿 Protokoll: Wenn Sie hier optional ein Protokoll ausgewählt haben, dann
wird die Regel nur auf Datenpakete angewendet, die das gewählte Protokoll verwenden.
쮿 MAC-Adresse: Die MAC-Adresse ist weltweit eindeutig und lässt bei ein-
gehenden Verbindungen nur Datenpakete zu, die von dem Gateway mit
dieser MAC-Adresse stammen. Bei einer ausgehenden Verbindung wird
unter Angabe der MAC-Adresse des Ziel-Gateways sichergestellt, dass der
Client nur eine Verbindung zu diesem Ziel-Gateway aufbauen kann. Nach
Aufbau einer VPN-Verbindung über dieses Gateway hat der Client Zugriff
auf das Firmennetz je nach konfiguriertem Link-Profil. Dies ist eine sehr
restriktive Regel, die sich nur in ganz speziellen Situationen sinnvoll
anwenden lässt.
DE
Lokal
Auf dieser Registerkarte werden die Filter für die lokalen IP-Adressen und IPPorts eingestellt.
Je nachdem, ob die gerade zu definierende Regel 'ausgehenden',
'eingehenden' oder 'bidirektionalen' Datenverkehr betrifft (siehe
51
Page 52
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Registerkarte 'Allgemein'), haben die Begriff 'Lokale IP-Adressen' und
'Lokale Ports' unterschiedliche Bedeutung:
왏 Bei ausgehenden Regeln sind mit 'lokal' die Quell-IP-Adressen und
Quell-IP-Ports gemeint und mit 'remote' die Ziel-IP-Adressen und
Ziel-IP-Ports der Pakete.
왏 Bei eingehenden Regeln sind mit 'lokal' die Ziel-IP-Adressen und
Ziel-IP-Ports gemeint und mit 'remote' die Quell-IP-Adressen und
Quell-IP-Ports der Pakete.
52
쮿 Lokale IP-Adressen: Wählen Sie hier aus, ob die Firewall-Regel für alle IP-
Adressen, nur für eine bestimmte IP-Adresse oder für mehrere IP-Adressen bzw. Bereiche von IP-Adressen gelten soll.
Bei gesperrter Grundeinstellung werden diejenigen Datenpakete von der
Firewall-Regel zugelassen, deren IP-Adressen in diesem Bereich definiert
sind. Dabei verhält sich die Firewall unterschiedlich je nach Einstellung
der Verbindungsrichtung:
왏 Bei einer Firewall-Regel für ausgehenden Datenverkehr werden aus-
gehende Datenpakete durchgelassen, deren Quelladresse im IPPaket mit den unter 'Lokale IP-Adressen' definierten Adressen übereinstimmt.
Bei Einsatz der Stateful Inspection – bei den Protokollen UDP, TCP, FTP
(active und passive Mode) und ICMP – werden zusätzlich eingehende Datenpakete dann durchgelassen, wenn die Zieladresse im IPPaket mit den unter 'Lokale IP-Adressen' definierten Adressen übereinstimmt und die Datenverbindung vorher von einem lokalen Rech-
Page 53
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
ner her aufgebaut wurde, die Verbindung also in der StatefulInspection-Verbindungsliste eingetragen ist. Versucht ein Angreifer
ein Datenpaket in den geschützten Netzbereich abzusetzen, dessen
Zieladresse im IP-Paket zwar mit den unter 'Lokale IP-Adressen' definierten Adressen übereinstimmt, für den aber kein gültiger Eintrag in
der Verbindungsliste vorhanden ist, so wird das Datenpaket verworfen.
왏 Bei einer Firewall-Regel für eingehenden Datenverkehr wird keine
Stateful Inspection durchgeführt. Es werden alle eingehenden Datenpakete in den geschützten Bereich hereingelassen, deren Zieladresse
im IP-Paket mit den unter 'Lokale IP-Adressen' definierten Adressen
übereinstimmt.
왏 Auch bei einer bidirektionalen Firewall-Regel wird keine Stateful
Inspection durchgeführt. Es werden also alle ausgehenden Datenpakete durchgelassen, deren Quelladresse im IP-Paket mit den unter
'Lokale IP-Adressen' definierten Adressen übereinstimmt und alle
eingehenden Datenpakete, deren Zieladresse im IP-Paket mit den
unter 'Lokale IP-Adressen' definierten Adressen übereinstimmt.
Folgende Möglichkeiten zur Definition der lokalen IP-Adressen können
genutzt werden:
왏 Alle IP-Adressen: Umfasst alle Quell-IP-Adressen abgehender bzw.
Ziel-IP-Adressen eingehender Pakete, unabhängig vom lokalen Netzwerkadapter.
왏 Eindeutige IP-Adresse: Ist die für den lokalen Netzwerkadapter defi-
nierte IP-Adresse. Sie kann je nach Verbindung z.B. der Adresse der
Ethernet-Karte, der WLAN-Karte oder auch dem VPN-Adapter zugeordnet sein.
왏 Mehrere IP-Adressen: Bezeichnet einen Adressbereich oder Pool. Z.B.
kann dies der IP-Adress-Pool sein, aus dem die vom DHCP Server an
den Client zugewiesene Adresse stammt.
쮿 Lokale Ports: Wählen Sie hier aus, ob die Firewall-Regel für alle Ports, nur
für einen bestimmten Port oder für mehrere Ports bzw. Bereiche von Ports
gelten soll.
Bei gesperrter Grundeinstellung werden diejenigen Datenpakete von der
Firewall-Regel zugelassen, deren Ports in diesem Bereich definiert sind.
Dabei verhält sich die Firewall unterschiedlich je nach Einstellung der Verbindungsrichtung:
DE
53
Page 54
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
왏 Bei einer Firewall-Regel für ausgehenden Datenverkehr werden alle
Datenpakete nach außen durchgelassen, deren Quell-Port im IPPaket mit den unter 'Lokale IP-Ports' definierten Ports übereinstimmt.
Bei Einsatz der Stateful Inspection – bei den Protokollen UDP, TCP, FTP
(active und passive Mode) und ICMP – werden zusätzlich eingehende Datenpakete dann durchgelassen, wenn die Ziel-Ports im IPPaket mit den zulässigen Ports übereinstimmt und die Datenverbindung vorher von einem lokalen Rechner her aufgebaut wurde.
Zulässig sind alle Ports, die unter 'Lokale IP-Ports' definiert sind sowie
die von der Stateful Inspection ggf. automatisch geöffneten Ports für
bestimmte „Tocherverbindungen“. Versucht ein Angreifer ein Datenpaket in den geschützten Netzbereich abzusetzen, dessen Ziel-Port
im IP-Paket zwar mit den zulässigen Ports übereinstimmt, für den
aber kein gültiger Eintrag in der Verbindungsliste vorhanden ist, so
wird das Datenpaket verworfen.
왏 Bei einer Firewall-Regel für eingehenden Datenverkehr wird keine
Stateful Inspection durchgeführt. Es werden alle eingehenden Datenpakete in den geschützten Bereich hereingelassen, deren Ziel-Port im
IP-Paket mit den unter 'Lokale IP-Ports' definierten Ports übereinstimmt.
왏 Auch bei einer bidirektionalen Firewall-Regel wird keine Stateful
Inspection durchgeführt. Es werden also alle ausgehenden Datenpakete durchgelassen, deren Quell-Port im IP-Paket mit den unter
'Lokale IP-Ports' definierten Ports übereinstimmt und alle eingehen-
den Datenpakete, deren Ziel-Port im IP-Paket mit den unter 'Lokale
IP-Ports' definierten Ports übereinstimmt.
Folgende Möglichkeiten zur Definition der lokalen IP-Ports können
genutzt werden:
왏 Alle Ports: Erlaubt Kommunikation über alle Quellports bei ausgehen-
den und alle Ziel-Ports bei eingehenden Paketen.
왏 Eindeutiger Port: Diese Einstellung sollte nur dann verwendet werden,
wenn dieses System einen Server-Dienst zur Verfügung stellt (z.B.
Remote Desktop auf Port 3389).
왏 Mehrere Ports: Diese Einstellung sollte nur dann verwendet werden,
wenn sich die lokalen Ports zu einem Bereich zusammenfassen lassen,
die von einem Dienst benötigt werden, der auf diesem System zur Verfügung gestellt wird (z.B. FTP Ports 20/21).
54
Page 55
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Remote
Auf dieser Registerkarte werden die Filter für die lokalen IP-Adressen und IPPorts eingestellt. Die Bedeutung der Einträge verläuft analog zu den lokalen
IP-Adressen und Ports.
Je nachdem, ob die gerade zu definierende Regel 'ausgehenden',
'eingehenden' oder 'bidirektionalen' Datenverkehr betrifft (siehe
Registerkarte 'Allgemein'), haben die Begriff 'Remote IP-Adressen'
und 'Remote Ports' unterschiedliche Bedeutung:
왏 Bei ausgehenden Regeln sind mit 'remote' die Ziel- IP-Adressen und
Ziel-IP-Ports gemeint und mit 'lokal' die Quell- IP-Adressen und
Quell-IP-Ports der Pakete.
왏 Bei eingehenden Regeln sind mit 'remote' die Quell-IP-Adressen
und Quell-IP-Ports gemeint und mit 'lokal' die Ziel-IP-Adressen und
Ziel-IP-Ports der Pakete.
DE
쮿 Remote IP-Adressen: Wählen Sie hier aus, ob die Firewall-Regel für alle
IP-Adressen, nur für eine bestimmte IP-Adresse oder für mehrere IPAdressen bzw. Bereiche von IP-Adressen gelten soll.
Bei gesperrter Grundeinstellung werden diejenigen Datenpakete von der
Firewall-Regel zugelassen, deren IP-Adressen in diesem Bereich definiert
sind. Dabei verhält sich die Firewall unterschiedlich je nach Einstellung
der Verbindungsrichtung:
왏 Bei einer Firewall-Regel für ausgehenden Datenverkehr werden aus-
gehende Datenpakete durchgelassen, deren Zieladresse im IP-Paket
55
Page 56
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
mit den unter 'Remote IP-Adressen' definierten Adressen übereinstimmt.
Bei Einsatz der Stateful Inspection – bei den Protokollen UDP, TCP, FTP
(active und passive Mode) und ICMP – werden zusätzlich eingehende Datenpakete dann durchgelassen, wenn die Quelladresse im
IP-Paket mit den unter 'Remote IP-Adressen' definierten Adressen
übereinstimmt und die Datenverbindung vorher von einem lokalen
Rechner her aufgebaut wurde, die Verbindung also in der StatefulInspection-Verbindungsliste eingetragen ist. Versucht ein Angreifer
ein Datenpaket in den geschützten Netzbereich abzusetzen, dessen
Quelladresse im IP-Paket zwar mit den unter 'Remote IP-Adressen'
definierten Adressen übereinstimmt, für den aber kein gültiger Eintrag
in der Verbindungsliste vorhanden ist, so wird das Datenpaket verworfen.
왏 Bei einer Firewall-Regel für eingehenden Datenverkehr wird keine
Stateful Inspection durchgeführt. Es werden alle eingehenden Datenpakete in den geschützten Bereich hereingelassen, deren Quell-
adresse im IP-Paket mit den unter 'Remote IP-Adressen' definierten
Adressen übereinstimmt.
왏 Auch bei einer bidirektionalen Firewall-Regel wird keine Stateful
Inspection durchgeführt. Es werden also alle ausgehenden Datenpakete durchgelassen, deren Zieladresse im IP-Paket mit den unter
'Remote IP-Adressen' definierten Adressen übereinstimmt und alle
eingehenden Datenpakete, deren Quelladresse im IP-Paket mit den
unter 'Remote IP-Adressen' definierten Adressen übereinstimmt.
Folgende Möglichkeiten zur Definition der remoten IP-Adressen können
genutzt werden:
왏 Alle IP-Adressen: Erlaubt die Kommunikation mit beliebeigen IP-
Adressen auf der Gegenseite (ohne Einschränkung).
왏 Eindeutige IP-Adresse: Läßt nur die Kommunikation mit der hier
angegebenen IP-Adresse auf der Gegenseite zu.
왏 Mehrere IP-Adressen: Gestattet die Kommunikation mit verschiede-
nen IP-Adressen auf der Gegenseite entsprechend der hier vorgenommenen Einträge.
쮿 Re mot e Ports: Wäh len Sie hie r au s, o b di e Firewal l- Regel für all e Ports, nur
für einen bestimmten Port oder für mehrere Ports bzw. Bereiche von Ports
gelten soll.
56
Page 57
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Bei gesperrter Grundeinstellung werden diejenigen Datenpakete von der
Firewall-Regel zugelassen, deren Ports in diesem Bereich definiert sind.
Dabei verhält sich die Firewall unterschiedlich je nach Einstellung der Verbindungsrichtung:
왏 Bei einer Firewall-Regel für ausgehenden Datenverkehr werden alle
Datenpakete nach außen durchgelassen, deren Ziel-Port im IP-Paket
mit den unter 'Remote IP- Ports' definierten Ports übereinstimmt.
Bei Einsatz der Stateful Inspection – bei den Protokollen UDP, TCP, FTP
(active und passive Mode) und ICMP – werden zusätzlich eingehende Datenpakete dann durchgelassen, wenn die Quell-Ports im IPPaket mit den zulässigen Ports übereinstimmt und die Datenverbindung vorher von einem lokalen Rechner her aufgebaut wurde.
Zulässig sind alle Ports, die unter 'Remote IP-Ports' definiert sind
sowie die von der Stateful Inspection ggf. automatisch geöffneten
Ports für bestimmte „Tocherverbindungen“. Versucht ein Angreifer ein
Datenpaket in den geschützten Netzbereich abzusetzen, dessen
Quell-Port im IP-Paket zwar mit den zulässigen Ports übereinstimmt,
für den aber kein gültiger Eintrag in der Verbindungsliste vorhanden
ist, so wird das Datenpaket verworfen.
왏 Bei einer Firewall-Regel für eingehenden Datenverkehr wird keine
Stateful Inspection durchgeführt. Es werden alle eingehenden Datenpakete in den geschützten Bereich hereingelassen, deren Quell-Port
im IP-Paket mit den unter 'Remote IP-Ports' definierten Ports übereinstimmt.
왏 Auch bei einer bidirektionalen Firewall-Regel wird keine Stateful
Inspection durchgeführt. Es werden also alle ausgehenden Datenpakete durchgelassen, deren Ziel-Port im IP-Paket mit den unter
'Remote IP-Ports' definierten Ports übereinstimmt und alle einge-
henden Datenpakete, deren Quell-Port im IP-Paket mit den unter
'Remote IP-Ports' definierten Ports übereinstimmt.
Folgende Möglichkeiten zur Definition der lokalen IP-Ports können
genutzt werden:
왏 Alle Ports: Erlaubt Kommunikation über alle Ziel-Ports bei ausgehen-
den und alle Quell-Ports bei eingehenden Paketen.
왏 Eindeutiger Port: Läßt nur eine Kommunikation über den angegebe-
nen Port zu, wenn dieser als Ziel-Port bei ausgehenden bzw. als QuellPort bei eingehenenden IP-Paketen verwendet wird. Soll z.B. eine
DE
57
Page 58
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Firewall-Regel nur Telnet zu einem anderen System zulassen, so ist
hier der Port '23' einzutragen.
왏 Mehrere Ports: Diese Einstellung sollte nur dann verwendet werden,
wenn sich die remote Ports zu einem Bereich zusammenfassen lassen,
die von einem Dienst benötigt werden, der auf diesem System zur Verfügung gestellt wird (z.B. FTP-Ports 20/21).
Anwendungen
Auf dieser Registerkarte können Sie der Regel eine bestimmte Anwendung
zuweisen. Bei gesperrter Grundeinstellung der Firewall ist dann eine Kommunikation über die ausgewählte Anwendung möglich.
Bitte beachten Sie, dass die zur Anwendung benötigten Protokolle
ebenfalls freigeschaltet werden müssen.
58
Bekannte Netze
In der Liste der bekannten Netze können Sie die Erkennungsmerkmale von
vertrauenswürdigen Netzwerken eintragen. Die Firewall-Regeln können bei
der Konfiguration von der Erkennung eines vertrauenswürdigen Netzes
abhängig gemacht werden.
Der LANCOM Advanced VPN Client befindet sich dann in einem bekannten
Netz, wenn:
쮿 Die IP-Adresse des LANCOM Advanced VPN Client aus dem angegebenen
Netzbereich stammt. Ist z.B. das IP-Netz 192.168.254.0 mit der Maske
255.255.255.0 angegeben, so würde die Adresse 192.168.254.10 auf
Page 59
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
dem LANCOM Advanced VPN Client eine Zuordnung zum bekannten Netz
bewirken.
UND
쮿 IP-Adresse des LANCOM Advanced VPN Client von dem DHCP Server
zugewiesen wurde, der die hier angegebene IP-Adresse besitzt.
UND
쮿 Wenn dieser DHCP Server die hier angegebene MAC-Adresse besitzt.
Diese Option kann nur dann verwendet werden, wenn sich der DHCP Server im selben IP-Subnet befindet wie der DHCP-Client (also der LANCOM
Advanced VPN Client).
Sind diese Bedingungen erfüllt, so handelt es sich ein vertrautes Netz. Die
Zuordnung eines Adapters zu unbekannten oder bekannten Netzen wird
automatisch protokolliert im Log-Fenster des Client-Monitors und in der LogDatei der Firewall (siehe 'Protokollierung').
Optionen
Datenverkehr über die VPN-Protokolle
Bei den Optionen der Firewall kann der Datenverkehr über die VPN-Protokolle
IPSec und L2Sec bei gesperrter Grundeinstellung der Firewall erlaubt oder
gesperrt werden.
Es werden die folgenden für den Tunnelaufbau benötigten Protokolle und
Ports per automatisch generierter Filter freigegeben:
쮿 Für L2Sec: UDP 1701 (L2TP), UDP 67 (DHCPS), UDP 68 (DHCPC)
쮿 Für IPSec: UDP 500 (IKE ISAKMP), IP-Protokoll 50 (ESP), UDP 4500 (NAT-
T), UDP 67 (DHCPS), UDP 68 (DHCPC)
DE
Mit der Freischaltung von L2Sec oder IPSec wird automatisch auch
das DHCP-Protokoll freigeschaltet. Die über die Firewall geschützten
Rechner können also auch in der gesperrten Grundeinstellung mit
aktiviertem VPN-Protokoll eine IP-Adresse und andere Adress-Informationen von einem erreichbaren DHCP-Server beziehen.
59
Page 60
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Bitte beachten Sie, dass mit der Freischaltung von L2Sec oder IPSec
lediglich der Tunnelaufbau ermöglicht wird. Existieren keine weiteren
Regeln für VPN-Netze, die eine Kommunikation im Tunnel zulassen,
kann über die VPN-Verbindung kein Datenaustausch erfolgen.
Die Einstellungen für die VPN-Protokolle können nur geändert wer-
den, wenn sie die Firewall in der Betriebsart 'Gesperrte Grundeinstellung' befindet.
Firewall bei gestopptem Client weiterhin aktivieren
Die Firewall kann auch bei gestopptem Client aktiv sein, wenn diese Funktion
selektiert ist. Damit wird verhindert, dass ein Anwender durch einfaches Ausschalten des LANCOM Advanced VPN Client den Schutz der Firewall umgeht.
쮿 Ist diese Funktion aktiviert, wird bei Deaktivierung des LANCOM Advan-
ced VPN Client jede ein- und ausgehende Kommunikation unterbunden.
Es ist keinerlei Datenverkehr möglich, solange der LANCOM Advanced
VPN Client deaktiviert ist.
쮿 Ist diese Funktion deaktiviert, so wird mit dem stoppen des LANCOM
Advanced VPN Client auch die Firewall deaktiviert.
Die Einstellung für die 'Aktivierung der Firewall bei gestopptem Client'
kann durch geeignete Konfigurations-Sperren geschützt werden.
60
Der LANCOM Advanced VPN Client wird nicht schon durch das
Schliessen des Client-Fensters gestoppt. Der Dienst läuft inklusive
Firewall intern weiter. Der Client ist erst dann gestoppt, wenn man
den Dienst z. B. mit dem Kommando „rwscmd /stop“ in der Eingabeaufforderung beendet.
UDP Pre-Filtering
In der Standardeinstellung werden bei gestartetem Client (unabhängig von
der Firewall) UDP-Pakete ausgefiltert, so dass eine Verbindung von außen
zum Client PC nicht möglich ist. Ist auf dem Client PC eine Anwendung mit
Server-Funktion gestartet, die auf UDP-Datentransfer basiert (wie z. B. Terminalanwendungen oder NTP), kann sich diese Standardeinstellung störend auf
die Datenkommunikation auswirken. Daher kann diese Standardeinstellung
ausgeschaltet oder auf die UDP-Pakete unbekannter Netze beschränkt werden.
쮿 immer: Standardeinstellung. In dieser Schalterstellung gelangen bei
gestartetem Client keine UDP-Pakete auf den Client PC.
Page 61
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
쮿 nur bei unbekannten Netzen: In dieser Schalterstellung wirkt der UDP-Fil-
ter nur auf Pakete, die über Adapter unbekannter Netze eintreffen.
쮿 aus: Wird der Filter ausgeschaltet, gelangen alle UDP- Pakete auf den Cli-
ent PC. Diese Einstellung sollte nur verwendet werden, wenn Probleme
mit einer Anwendung auftreten.
HotSpot-Anmeldung für externe Dialer zulassen
Wenn diese Funktion aktiviert ist, kann über einen externen Dialer eine HotSpot-Anmeldung erfolgen. Dazu wird die Kommandozeilen-schnittstelle
rwscmd.exe aufgerufen. Mit dem Befehl
rwscmd /logonhotspot [Timeout]
wird die Firewall für die Ports 80 (HTTP) und 443 (HTTPS) freigeschaltet. Damit
wird eine dynamische Regel erzeugt, die den Datenverkehr zulässt, bis der
übergebene Timeout (in Sekunden) abgelaufen ist.
Protokollierung
Die Aktivitäten der Firewall werden je nach Einstellung in eine Log-Datei
geschrieben. Das “Ausgabeverzeichnis für Log-Dateien” befindet sich standardmäßig im Installationsverzeichnis z.B. unter:
C:\Programme\LANCOM\Advanced_VPN_Client\log
Die Log-Dateien für die Firewall sind im reinen Textformat geschrieben und
benannt als
Firewallyymmdd.log
. Sie beinhalten eine Beschreibung vom
“abgelehnten Datenverkehr” und/oder “zugelassenen Datenverkehr”. Wurde
keine dieser Optionen selektiert, so werden nur Statusinformationen zur Firewall hinterlegt.
Die Log-Dateien werden bei jedem Start der Firewall geschrieben. Maximal
werden davon so viele im Log-Verzeichnis gehalten, wie als Anzahl der “Tage
der Protokollierung” eingegeben wurde.
DE
61
Page 62
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Die Log-Dateien werden bei jedem Start der Firewall geschrieben. Maximal
werden davon so viele im Log-Verzeichnis gehalten, wie als Anzahl der 'Tage
der Protokollierung' eingegeben wurde.
Je nach Art und Umfang der eingestellten Protokollierung können
sehr große Datenmengen entstehen. Für eine optimale Performance
sollte entweder auf eine Protokollierung verzichtet werden oder die
Protokollierung auf bestimmte Fälle begrenzt werden.
쮿 Basiskonfiguration der Firewall
Um einen sicheren Datenverkehr zu gewährleisten, können Sie die Firewall mit
wenigen Einstellungen gegen den Zugriff von außen abschotten.
햲 Aktivieren Sie die 'Gesperrte Grundeinstellung' auf der Registerkarte
'Grundeinstellungen'.
62
햳 Für den Aufbau von VPN-Verbindungen aktivieren Sie global die VPN-
Protokolle L2Sec und IPSec auf der Registerkarte 'Optionen'
Page 63
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Mit der Freischaltung von L2Sec oder IPSec wird automatisch auch
das DHCP-Protokoll freigeschaltet. Die über die Firewall geschützten
Rechner können also auch in der gesperrten Grundeinstellung mit
aktiviertem VPN-Protokoll eine IP-Adresse und andere Adress-Informationen von einem erreichbaren DHCP-Server beziehen.
햴 Erstellen Sie dann eine Firewall-Regel, die den gesamten ausgehenden
Datenverkehr erlaubt. Damit werden alle Verbindungen zugelassen, die
von den Rechnern und Anwendungen aus dem eigenen lokalen Netz heraus geöffnet werden.
Die Stateful Inspection überwacht diese Verbindungen und lässt automatisch auch die Antworten von externen Rechnern zu. Mit der Stateful
Inspection werden dabei Verbindungen über UDP, TCP, FTP (active und
passive Mode) und ICMP überwacht.
Aktivieren Sie auf der Registerkarte 'Lokal' als 'Lokale IP-Adressen' die
Option 'Mehrere IP-Adressen/Bereiche' und tragen Sie die IP-Adressen
ein, die in Ihrem lokalen Netz verwendet werden. Gilt diese Firewall nur
für einen einzelnen Rechner, können Sie auch die Option 'Eindeutige IPAdresse' wählen und die entsprechende lokale IP-Adresse eintragen.
DE
63
Page 64
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Als lokale IP-Adressen werden hier die IP-Adressen der Netzwerkad-
apter in den Rechnern eingetragen, die durch die Firewall geschützt
werden. In einem LAN sind das üblicherweise die IP-Adressen, die
vom DHCP-Server zugewiesen worden sind. Bei einem einzelnen
Rechner mit einem direkten Internet-Anschluss (nicht über einen Router) ist das meistens die IP-Adresse, die vom Provider dynamisch
zugewiesen worden ist.
Aktivieren Sie auf der Registerkarte 'Remote' als 'Remote IP- Adressen' die
Option 'Alle IP-Adressen' und als 'Remote Ports' die Option 'Alle Ports'.
Damit können die Rechner im lokalen Netz oder ein Einzelplatzrechner
Datenverbindungen zu allen Gegenstellen über alle Ports aufbauen.
64
햵 Erstellen Sie alternativ oder zusätzlich eine Firewall-Regel, die den
gesamten ein- und ausgehenden Datenverkehr im VPN-Tunnel erlaubt,
wenn Sie sich mit dem LANCOM Advanced VPN Client in das Netzwerk der
Zentrale einwählen. Wählen Sie als Richtung für diese Regel 'Bidirektional' aus und schränken Sie die Regel auf die Anwendung nur für 'VPNNetze' ein.
Page 65
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Aktivieren Sie auf der Registerkarte 'Lokal' als 'Lokale IP-Adressen' die
Option 'Alle IP-Adressen', da die IP-Adressen des virtuellen Netzwerkadapters der VPN-Verbindung möglicherweise wechseln können.
Aktivieren Sie auf der Registerkarte 'Remote' als 'Remote IP- Adressen' die
Option 'Mehrere IP-Adressen/Bereiche' und tragen Sie die IP-Adressen
des Netzwerks in der Zentrale ein.
DE
햶 Je nach Anwendungszweck können Sie die Funktion der Firewall durch
weitere Regeln zu bestimmten IP-Adressen, Protokollen, Ports oder
Anwendungen erweitern.
65
Page 66
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
WLAN-Einstellungen
Der WLAN-Adapter kann mit der Verbindungsart "WLAN" betrieben werden.
Im Monitormenü "Konfiguration / WLAN-Einstellungen" können die Zugangsdaten zum Funknetz in einem Profil hinterlegt werden.
66
쮿 WLAN-Automatik
Unter “WLAN-Profil” wird das Profil selektiert, über das eine Verbindung zum
Access Point hergestellt werden soll. Außer diesem Profil können automatisch
noch weitere Profile zur Anwahl an den Access Point verwendet werden, wenn
diese mit Verbindungsart “automatisch” konfiguriert wurden und in den
“WLAN-Einstellungen” die Funktion “Für Verbindungsaufbau Profile mit
automatischer Verbindungsart verwenden” aktiviert wird.
D. h. wurden mehrere Profile mit der Verbindungsart “automatisch” angelegt
und wird die Funktion “Für Verbindungsaufbau Profile mit automatischer Verbindungsart verwenden” genutzt, so wird zunächst das zuletzt selektierte Profil für einen möglichen Verbindungsaufbau herangezogen. Ist die SSID nicht
passend, sodass mit diesem Profil keine Verbindung zum Access Point hergestellt werden kann, so werden anschließend die als “automatisch” konfigu-
Page 67
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
rierten Profile für den Verbindungsaufbau herangezogen und das mit der
passenden SSID verwendet.
쮿 Netzsuche
Wird diese "WLAN-Konfiguration aktiviert", so muss das Management-Tool
der WLAN-Karte deaktiviert werden. (Alternativ kann auch das ManagementTool der WLAN-Karte genutzt werden, dann muss die WLAN-Konfiguration im
Monitormenü deaktiviert werden.)
Adapter
Sofern ein WLAN-Adapter installiert ist, wird dieser angezeigt.
WLAN-Netze
Nach einem automatischen Scan-Vorgang von wenigen Sekunden, der manuell auch mit dem Button "Scannen" ausgelöst werden kann, werden die derzeit verfügbaren Netze mit den Daten zu SSID, Feldstärke, Verschlüsselung
und Netzwerktyp angezeigt. In einem zugehörigen Profil müssen diese Werte
entsprechend konfiguriert werden:
SSID / Feldstärke / Verschlüsselung / Netzwerktyp
Der Name für die SSID (Standard Security) wird vom Netzbetreiber vergeben
und unter dem grafischen Feld des Monitors ebenso angezeigt wie die Feldstärke (Bild unten). Die SSID wird nach einem Doppelklick auf das zu wählende Netz automatisch in ein WLAN-Profil für diesen Adapter übernommen
wenn zu diesem Netz noch kein Profil erstellt wurde (siehe unten -> WLANProfile / Allgemein.)
DE
WLAN-Profil
Ein bereits erstelltes WLAN-Profil kann hier für das gewünschte (bzw.
gescannte) Netz ausgewählt werden. Mit Klick auf den Verbinden-Button wird
der Verbindungsaufbau initialisiert.
쮿 WLAN-Profile
Bereits erstellte Profile zum oben selektierten Adapter werden in einer Liste
dargestellt. Netzwerktyp, Verschlüsselung und SSID müssen mit den obigen
Netzwerkparametern übereinstimmen.Ein neues Profil wird erzeugt, indem
der Button "Neu" gedrückt wird oder im vorigen Fenster auf das zugehörige
67
Page 68
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Netz ein Doppelklick ausgeübt oder die rechte Maustaste geklickt wird. Über
die Buttons können Profile auch bearbeitet oder gelöscht werden.
Allgemeine Profil-Einstellungen
Der Name kann frei vergeben werden und ist bei einer neuen Profilerzeugung
nach Doppelklick auf das gescannte Netz zunächst identisch mit der SSID dieses Netzes. Ebenso verhält es sich mit dem Netzwerktyp, der identisch sein
muss mit dem im Broadcast des Funknetzes gesendeten.
Der Netzwerktyp muss dann manuell auf “Ad-Hoc” umgestellt werden, wenn
ein Profil für eine Direktverbindung von PC zu PC hergestellt werden soll.
Sofern der WLAN-Adapter dies gestattet, kann der Energie Mode für ihn ausgewählt werden.
Wird die Verbindungsart für ein selektiertes Profil auf automatisch gestellt, so
kann dieses Profil für die WLAN-Automatik verwendet werden.
Verschlüsselung
Der Verschlüsselungsmechanismus wird vom Access Point (WLAN Router) vorgegeben und über den Administrator mitgeteilt.
Wird WPA mit EAP (TLS) genutzt, so müssen die EAP-Optionen im Konfigurations-Menü des Monitors aktiviert werden und ein Zertifikat konfiguriert sein
(im Monitor-Menü unter "Konfiguration / Zertifikate").
Der Netzwerktyp muss dann manuell auf "Ad-Hoc" umgestellt werden, wenn
ein Profil für eine Direktverbindung von PC zu PC hergestellt werden soll.
Sofern der WLAN-Adapter dies gestattet, kann der Energie Mode für ihn ausgewählt werden.
68
IP-Adressen
In diesem Fenster wird die IP-Adress-Konfiguration der WLAN-Karte vorgenommen.
Die hier gemachten Einstellungen werden dann wirksam, wenn die WLANKonfiguration wie oben beschrieben aktiviert wurde. In diesem Fall wird die
hier eingetragene Konfiguration in die Microsoft-Einstellungen der Netzwerkverbindungen übernommen. (Siehe dort -> Netzwerkverbindungen / Eigenschaften von Internetprotokoll (TCP/IP)).
Authentisierung
In diesem Fenster müssen die Zugangsdaten für den HotSpot eingetragen
werden. Diese Benutzerdaten werden nur für dieses WLAN-Profil verwendet.
Page 69
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Die Authentisierung kann durch Eintragen von Benutzername und Passwort
erfolgen oder über Script. Das Script automatisiert die Anmeldung beim HotSpot-Betreiber.
Beachten Sie dabei, dass die Verbindung über einen HotSpot-Betreiber
gebührenpflichtig ist. Sie müssen den Geschäftsbedingungen des HotSpotBetreibers zustimmen, wenn die Verbindung aufgebaut werden soll.
쮿 Statisik
Das Statistik-Fenster der WLAN-Einstellungen zeigt im Klartext den Status der
Verbindung zum Access Point.
Amtsholung
Eine Amtsholung ist dann nötig, wenn der LANCOM Advanced VPN Client an
einer Nebenstellenanlage betrieben wird. Damit die definierten Profile des
LANCOM Advanced VPN Clients auch im mobilen Einsatz verwendbar bleiben,
ohne Rufnummern umkonfigurieren zu müssen, kann, sofern an einem
Anschluss eine Amtsholung nötig wird, diese hier eingetragen werden. Die
Nummer für die Amtsholung wird dann für alle Zielrufnummern der Profile
automatisch mitgewählt.
Zertifikate [Einstellungen]
Klicken Sie auf die Menüabzweigung Konfiguration > Zertifikate, so können Sie zunächst bestimmen, ob Sie die Zertifikate und damit die “Erweiterte
Authentisierung” nutzen wollen, und wo Sie die Benutzer-Zertifikate hinterlegen wollen.
In weiteren Konfigurationsfeldern werden die Richtlinien zur PIN-Eingabe
festgelegt und das Zeitintervall eingestellt innerhalb dessen das Zertifikat
abläuft bzw. eine Zertifikatsverlängerung beantragt werden muss.
DE
쮿 Benutzer-Zertifikat
Zertifikat: Klicken Sie auf die Menüabzweigung Konfiguration > Zertifikate, so können Sie zunächst bestimmen, ob Sie die Zertifikate und damit die
69
Page 70
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
“Erweiterte Authentisierung” nutzen wollen, und wo Sie die Zertifikate hinterlegen wollen.
ohne: Wählen Sie in der Listbox “Zertifikat” die Einstellung “ohne”, so wird
kein Zertifikat ausgewertet und die "Erweiterte Authentisierung" findet nicht
statt.
aus PKCS#12 Datei: Wählen Sie "aus PKCS#12 Datei" aus der Listbox, so werden bei der "Erweiterten Authentisierung" die relevanten Zertifikate aus einer
Datei auf der Festplatte Ihres Rechners gelesen.
aus Chipkartenleser: Wählen Sie "aus Chipkartenleser" in der Listbox, so werden bei der "Erweiterten Authentisierung" die relevanten Zertifikate von der
Smart Card in ihrem Chipkartenleser ausgelesen.
PKCS#11-Modul: Wählen Sie "PKCS#11-Modul" in der Listbox, so werden bei
der "Erweiterten Authentisierung" die relevanten Zertifikate von der Smart
Card in einem Chipkartenleser oder von einem Token gelesen.
쮿 Chipkartenleser:
Wenn Sie die Zertifikate von der Smart Card mit Ihrem Lesegerät nutzen wollen, wählen Sie Ihren Chipkartenleser aus der Listbox. (Siehe auch -> PIN eingeben)
70
Chipkartenleser (PC/SC-konform)
Die Client Software unterstützt automatisch alle Chipkartenleser, die PC/SCkonform sind. Die Client Software erkennt dann den Chipkartenleser nach
einem Boot-Vorgang automatisch. Erst dann kann der installierte Leser ausgewählt und genutzt werden.
Chipkartenleser (CT-API-konform)
Mit der aktuellen Software werden Treiber für die Modelle SCM Swapsmart
und SCM 1x0 (PIN Pad Reader) mitgeliefert. Sollte der Chipkartenleser mit den
Page 71
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser
installiert sein, wenden Sie sich unbedingt an den Hersteller. Nehmen Sie
außerdem folgende Einstellung in der Client Software vor: Editieren Sie die
Datei NCPPKI.CONF, befindlich im Windows\System-Verzeichnis (unter Windows 95/98) oder System32-Verzeichnis (unter Windows NT/2000) mit einem
ASCII-Editor, indem Sie als “ReaderName” den Namen des angeschlossenen
Chipkartenlesers (xyz) eintragen und als DLLWIN95 bzw. DLLWINNT den
Namen des installierten Treibers eintragen. (Der Standardname für CT-APIkonforme Treiber ist CT32.DLL).
Wichtig: Nur die Treiber sind in der Liste sichtbar, die mit “visible = 1”
auf sichtbar gesetzt wurden!
ReaderName = SCM Swapsmart (CT-API) -> xyz
DLLWIN95 = scm20098.dll -> ct32.dll
DLLWINNT = scm200nt.dll -> ct32.dll
Nach einem Boot-Vorgang erscheint der “ReaderName” im Monitor-Menü.
Port:
Der Port wird bei korrekter Installation des Lesegeräts automatisch bestimmt.
Bei Unstimmigkeiten können die COM Ports 1-4 gezielt angesteuert werden.
DE
Auswahl Zertifikat:
1. Zertifikat ... 3.: (Standard = 1) Aus der Listbox kann aus bis zu drei verschiedenen Zertifikaten gewählt werden, die sich auf der Chipkarte befinden. Die
Anzahl der Zertifikate auf der Chipkarte ist abhängig von der Registration
Authority, die diese Karte brennt. Wenden Sie sich zu weiteren Fragen bitte an
Ihren Systemadministrator. Auf den Chipkarten von Signtrust und NetKey
2000 befinden sich drei Zertifikate:
쐂 zum Siginieren
쐆 zum Ver- und Entschlüsseln
쐊 zum Authentisieren (optional bei NetKey 2000)
PKCS#12-Dateiname:
Nutzen Sie das PKCS#12-Format, so erhalten Sie von Ihrem Systemadministrator eine Datei, die auf der Festplatte Ihres Rechners eingespielt werden
muss. In diesem Fall muss Pfad und Dateiname der PKCS#12 Datei eingegeben, bzw. nach einem Klick auf den [...]-Button (Auswahl-Button) die Datei
71
Page 72
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
ausgewählt werden. Statt den Verzeichnisnamen komplett einzugeben, kann
der Name dynamisch zusammengesetzt werden. z.B.
%SYSTEMROOT%\ncple\user1.p12 %SYSTEMDRIVE%\winxxx\ncple\user1.p12
Wichtig: Die Strings für den Dateinamen können mit Variablen einge-
geben werden. Dies erleichtert insbesondere das Handling der Konfigurationsdateien mit dem Client Manager, da nun für alle Benutzer
die gleichen Strings mit Umgebungsvariablen eingegeben werden
können.
72
PKCS#11-Modul:
Nutzen Sie das PKCS#11-Format, so erhalten Sie eine DLL vom Hersteller des
Chipkartenlesers oder des Tokens, die auf der Festplatte Ihres Rechners eingespielt werden muss. In diesem Fall muss Pfad und Dateiname des Treibers eingegeben werden. Statt den Verzeichnisnamen für die PKCS#11.DLL komplett
einzugeben, kann der Name dynamisch zusammengesetzt werden. z.B.
%SYSTEMROOT%\ncple\pkcs#11.dll %SYSTEMDRIVE%\winxxx\ncple\ pkcs#11.dll
Page 73
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Wichtig: Die Strings für das Modul können mit Variablen eingegeben
werden. Dies erleichtert insbesondere das Handling der Konfigurationsdateien mit dem Client Manager, da nun für alle Benutzer die gleichen Strings mit Umgebungsvariablen eingegeben werden können.
Kein Verbindungsabbau bei gezogener Chipkarte
Beim Ziehen der Chipkarte wird nicht unbedingt die Verbindung abgebaut.
Damit “Kein Verbindungsabbau bei gezogener Chipkarte” erfolgt, muss diese
Funktion aktiviert werden.
PIN-Abfrage bei jedem Verbindungsaufbau
Standardeinstellung: Wird diese Funktion nicht genutzt, so wird die PIN nur
einmalig beim ersten Verbindungsaufbau des LANCOM Advanced VPN Clients
abgefragt.
Wird diese Funktion aktiviert, so wird bei jedem Verbindungsaufbau die PIN
erneut abgefragt.
Wichtig: Ist der Monitor nicht gestartet, kann kein PIN- Dialog erfol-
gen. In diesem Fall wird bei einem automatischen Verbindungsaufbau
die Verbindung ohne erneute PIN-Eingabe hergestellt!
DE
쮿 PIN-Richtlinie
Minimale Anzahl der Zeichen
Standard ist eine 6-stellige PIN. Aus Sicherheitsgründen werden 8 Stellen
empfohlen.
73
Page 74
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Weitere Richtlinien
Es wird empfohlen alle PIN-Richtlinien einzusetzen, außer der, dass nur Zahlen enthalten sein dürfen. Zudem sollte die PIN nicht mit einer Zahl beginnen.
Die vorgegebenen Richtlinien werden eingeblendet, wenn die PIN
geändert wird und die Richtlinien, die bei der Eingabe erfüllt werden,
werden grün markiert (siehe -> PIN ändern).
쮿 Zertifikatsverlängerung
In diesem Konfigurationsfeld kann eingestellt werden, ob und wie viele Tage
vor Ablauf der Gültigkeit des Zertifikats eine Meldung ausgegeben werden
soll, die vor dem Ablauf der Gültigkeit warnt. Sobald die eingestellte Zeitspanne vor Ablauf in Kraft tritt, wird bei jeder Zertifikatsverwendung eine
Meldung aufgeblendet, die auf das Ablaufdatum des Zertifikats hinweist.
74
쮿 Hardware-Zertifikat
Mit einem Hardware-Zertifikat authentisiert sich der Rechner gegenüber dem
Gateway. Wird es zusätzlich zu einem Benutzer-Zertifikat eingesetzt, so kann
sichergestellt werden, dass sich der Benutzer immer vom gleichen Rechner
aus einwählt.
Page 75
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Ein Hardware-Zertifikat kann als PKCS#12-Datei eingespielt werden. Der entsprechende Dateiname ist anzugeben. Bei einem Hardware-Zertifikat entfällt
die Eingabe einer PIN.
Verbindungssteuerung [Konfiguration]
Über dieses Konfigurationsfeld können in Abhängigkeit vom Client Monitor
Anwendungen oder Batch-Dateien gestartet werden. Die externen Anwendungen werden wie unten beschrieben eingefügt. Die Reihenfolge ihres Aufrufs von oben nach unten kann mit den grünen Pfeiltasten verändert werden.
Wollen Sie nach dem Verbindungsaufbau den Standard- Browser starten, so
aktivieren Sie diese Funktion und tragen Verzeichnis und Dateinamen des
Browsers ein.
DE
Nachdem Sie die Funktion “Externe Anwendungen oder Batch-Dateien starten” selektiert haben, können Sie über den Button mit “Hinzufügen” eine
Anwendung oder Batch-Datei vom Rechner selektieren, die je nach Startoption geladen wird:
쮿 vor Verbindungsaufbau starten (precon)
쮿 nach Verbindungsaufbau starten (postcon)
쮿 nach Verbindungsabbau starten (discon)
75
Page 76
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Zusätzlich können diese auszuführenden Anwendungen auch an ein
bestimmtes Profil gebunden werden.
Die Wait-Funktion “Warten bis Anwendung ausgeführt und beendet ist” kann
dann von Bedeutung sein, wenn eine Reihe von Batch-Dateien nacheinander
ausgeführt werden soll.
EAP-Optionen [Einstellungen]
In den “EAP-Optionen” kann angegeben werden, ob die EAP-Authentisierung
nur über WLAN-, LAN- oder alle Netzwerkkarten erfolgen soll. Die hier
gemachte Einstellung gilt global für alle Einträge des Telefonbuchs. In der
Aktivierungsbox kann die EAP-Authentisierung wie folgt eingestellt werden:
쮿 Deaktiviert
쮿 Für alle Netzwerkkarten
쮿 Nur für WLAN-Karten
쮿 Nur für LAN-Karten
76
Das Extensible Authentication Protocols Message Digest5 (EAP MD5) kann
dann zum Einsatz kommen, wenn für den Zugang zum LAN ein Switch oder
Page 77
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
für das Wireless LAN ein Access Point verwendet werden, die 802.1x-fähig
sind und eine entsprechende Authentisierung unterstützen.
Mit dem Extensible Authentication Protocol (EAP MD5) kann verhindert werden, dass sich unberechtigte Benutzer über die Hardware-Schnittstelle in das
LAN einklinken.
Zur Authentisierung kann wahlweise "VPN-Benutzername" mit "VPN-Passwort" verwendet werden oder ein eigener "EAP-Benutzername" mit einem
"EAP-Passwort".
Zertifikatsinhalte können dergestalt automatisch übernommen werden,
indem im Telefonbuch unter “Tunnel-Parameter” VPN-Benutzername und
VPN-Passwort vom Zertifikat übernommen werden und in den EAP-Optionen
“Verwende VPN-Benutzername und VPN-Passwort” aktiviert wird.
Bei EAP-TLS (mit Zertifikat) kann der EAP-Benutzername direkt aus der Zertifikats-Konfiguration bezogen werden. Folgende Inhalte des konfigurierten
Zertifikats können genutzt werden, indem in die EAP-Konfiguration die entsprechenden Platzhalter eingegeben werden:
Commonname : %CERT_CN%
E-Mail : %CERT_EMAIL%
Nach Konfiguration des EAP erscheint eine Statusanzeige im grafischen Feld
des Monitors. Durch einen Doppelklick auf das EAP-Symbol kann das EAP
zurückgesetzt werden. Anschließend erfolgt automatisch eine erneute EAPVerhandlung.
DE
Logon Optionen
Wenn Sie diesen Menüpunkt unter Konfiguration > Logon Optionen wählen, können Sie im folgenden Fenster entscheiden, ob vor dem WindowsLogon an einer remote Domain die Verbindung von der Client-Software zum
Network Access Server aufgebaut werden soll. Dies bedeutet, dass die ClientSoftware beim nächsten Booten die Verbindung aufbaut. Für diesen Verbindungsaufbau müssen Sie gegebenenfalls die PIN für Ihr Zertifikat und das
(nicht gespeicherte) Passwort für die Client-Software eingeben.
77
Page 78
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Nachdem die Verbindung zum Network Access Server von der Client-Software
hergestellt wurde, können Sie sich an der remote Domain anmelden. Diese
Anmeldung erfolgt dann bereits verschlüsselt.
Nach jeder Änderung der “Logon Optionen” muss der Rechner
gebootet werden.
Konfigurations-Sperren
Über Konfiguration > Konfigurations-Sperren kann das KonfigurationsHauptmenü im Monitor so modifiziert werden, dass der Benutzer die voreingestellten Konfigurationen nicht mehr abändern kann, bzw. ausgewählte
Parameterfelder für den Benutzer nicht sichtbar sind.
Die Konfigurations-Sperren werden in der definierten Form erst wirksam,
wenn die Einstellungen mit OK übernommen werden. Wird der Abbrechen
Button gedrückt, wird auf die Standard-Einstellung zurückgesetzt.
쮿 Allgemein [Konfigurations-Sperren]
Um die Konfigurations-Sperren wirksam festlegen zu können, muss eine ID
eingegeben werden, die sich aus “Benutzer” und “Passwort” zusammensetzt.
Das Passwort muss anschließend bestätigt werden.
78
Bitte beachten Sie, dass die ID für die Konfigurations-Sperre unbe-
dingt nötig ist, die Sperren wirksam werden zu lassen oder die Konfigurations-Sperren auch wieder aufzuheben. Wird die ID vergessen,
besteht keine Möglichkeit mehr, die Sperren wieder aufzuheben!
Anschließend kann die Berechtigung, die Menüpunkte unter dem Hauptmenüpunkt Konfiguration zu öffnen, für den Benutzer eingeschränkt werden.
Page 79
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Standardmäßig kann der Benutzer alle Menüpunkte öffnen und die Konfigurationen bearbeiten. Wird zu einem Menüpunkt der zugehörige Haken mit
einem Mausklick entfernt, so kann der Benutzer diesen Menüpunkt nicht mehr
öffnen.
쮿 Profile [Konfigurations-Sperren]
Die Bearbeitungsrechte für die Parameter in den Profil-Einstellungen sind in
zwei Sparten unterteilt:
쮿 Allgemeine Rechte
DE
79
Page 80
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
쮿 Sichtbare Parameterfelder der Profile
Allgemeine Rechte
Die allgemeinen Rechte beziehen sich nur auf die (Konfiguration der) Profile.
Wird festgelegt “Profile dürfen neu angelegt werden”, “Profile dürfen konfiguriert werden” bleibt jedoch ausgeschlossen, so können zwar mit dem Assistenten neue Profile definiert werden, eine nachfolgende Änderung einzelner
Parameter ist dann jedoch nicht mehr möglich.
80
Sichtbare Parameterfelder der Profile
Die Parameterfelder der Profil-Einstellungen können für den Benutzer ausgeblendet werden.
Beachten Sie, dass Parameter eines nicht sichtbaren Feldes auch nicht
konfiguriert werden können.
Profile importieren
Über diese Funktion können Profil-Einstellungen vom Client eingelesen werden. Diese Profil-Einstellungen können in Form einer INI-Datei vom Zielsystem erstellt oder manuell editiert werden. Im Installationsverzeichnis befinden
sich dazu die Beispieldateien IMPORT_D.TXT und IMPORT_E.TXT. In den Beispieldateien sind auch Syntax und Parameterwerte beschrieben.
Page 81
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
HotSpot
Unter diesem Menüpunkt erfolgt die Konfiguration zur HotSpot-Anmeldung.
Folgende Einstellungen sind möglich:
“Standard-Browser für HotSpot-Anmeldung verwenden” ist die Standardeinstellung. Wird der Haken in der Checkbox entfernt, kann ein anderer Browser
angegeben werden in der Form:
%PROGDIR%\Mozilla\Firefox\firefox.exe.
Der alternative Browser kann speziell für die Anforderungen am HotSpot konfiguriert werden. D. h. es wird kein Proxy Server konfiguriert und alle aktiven
Elemente (Java, Javascript, ActiveX) werden deaktiviert. (Der alternative Browser ist nicht Bestandteil der Client Software!) Darüber hinaus kann der MD5Hash-Wert der Browser-Exe-Datei ermittelt und in das Feld “MD5-Hash” eingetragen werden. Auf diese Weise wird sichergestellt, dass nur mit diesem
Browser eine HotSpot-Verbindung zustande kommt.
Unter “Startseite / Adresse” wird die oben beschriebene Startseite eingegeben
in der Form:
http://www.mycompany.de/start.html.
DE
Profil-Sicherung
Existiert noch kein gesichertes Profil, zum Beispiel bei einer Erstinstallation, so
wird automatisch ein erstes angelegt.
81
Page 82
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
3.1.3 Log
쮿 Erstellen
Nach jedem Klick auf den Menüpunkt “Erstellen” wird nach einer Sicherheitsabfrage eine Profil-Sicherung angelegt, die die Konfiguration zu diesem Zeitpunkt enthält.
쮿 Wiederherstellen
Nach jedem Klick auf “Wiederherstellen” wird die letzte Profil-Sicherung eingelesen. Änderungen in der Konfiguration, die seit der letzten Profil-Sicherung vorgenommen wurden, gehen damit verloren.
Mit der Log-Funktion werden die Kommunikationsereignisse der LANCOM
Advanced VPN Client Software mitprotokolliert. Wählen Sie die Log-Funktion
an, öffnet sich das Fenster des “Logbuches”. Die hier abgebildeten Daten werden bis zum nächsten Reboot im Speicher gehalten.
Eine zusätzliche Log-Datei speichert die Aktionen des Clients selbständig für
die letzten sieben Tage. Log-Ausgaben, die älter als sieben Betriebstage sind,
werden automatisch gelöscht. Die Datei steht unter LOG\ und heißt
NCPyymmdd.LOG. Sie wird mit Datumsangabe (yymmdd) immer bei Beenden
des Monitors geschrieben. Die Datei kann mit einem Texteditor geöffnet und
analysiert werden.
82
Logbuch
Die Buttons des Logbuchfensters haben folgende Funktionen:
쮿 Öffne Datei
쮿 Schließe Datei
쮿 Löschen
쮿 Fensterinhalt
쮿 Schließen
Page 83
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
쮿 Log-Fenster
쮿 Öffne Datei
Wenn Sie auf diesen Button klicken, erhalten Sie in einem weiteren Fenster die
Möglichkeit Name und Pfad einer Datei einzugeben, in die der Inhalt des LogFensters geschrieben wird. Alle Transaktionen mit der LANCOM Advanced
VPN Client Software, wie Anwahl und Empfang, einschließlich der Rufnummern, werden automatisch mitprotokolliert und in diese Datei geschrieben,
bis Sie auf den Button mit Schließe Datei klicken. Wenn Sie eine Log-Datei
anlegen, können Sie die Transaktionen mit dem LANCOM Advanced VPN Client über einen längeren Zeitraum verfolgen.
쮿 Schließe Datei
Wenn Sie auf diesen Button klicken, wird die Datei geschlossen, die Sie mit
Öffne Datei angelegt haben. Die geschlossene Log-Datei kann zur Analyse
der Transaktionen mit dem LANCOM Advanced VPN Client oder zur Fehlersuche verwendet werden.
쮿 Löschen - Fensterinhalt
Wenn Sie auf diesen Button drücken wird der Inhalt des Log-Fensters
gelöscht.
쮿 Schließen - Log-Fenster
Wenn Sie auf “Schließen” klicken, schließen Sie das Fenster des “Logbuches”
und kehren zum Monitor zurück.
DE
83
Page 84
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
3.1.4 Fenster [Menü]
DE
Unter dem Menüpunkt Fenster können Sie die Bedienoberfläche des Monitors variieren und die Sprache für die Monitoroberfläche festlegen. Folgende
Einstellungen stehen zur Auswahl:
쮿 Profilauswahl anzeigen
쮿 Buttonleiste anzeigen
쮿 Statistik anzeigen
쮿 WLAN-Status anzeigen
쮿 Immer im Vordergrund
쮿 Autostart
쮿 Beim Schließen minimieren
쮿 Nach Verbindungsaufbau minimieren
쮿 Sprache
Profilauswahl anzeigen
Wenn Sie auf “Profilauswahl anzeigen” klicken, kann aus der Liste der konfigurierten Profile das gewünschte ausgewählt werden.
Buttonleiste anzeigen
Wenn Sie auf “Buttonleiste anzeigen” klicken, werden Buttons für die Menüpunkte “Verbinden” und “Trennen” aus dem Hauptmenü “Verbindung” eingeblendet.
84
Statistik anzeigen
Wenn Sie auf “Statistik anzeigen” klicken, werden Informationen zu Datenmenge, Verbindungszeit, Timeout etc. angezeigt. Die Monitor-Oberfläche ist
dann entsprechend größer.
WLAN-Status anzeigen
Unabhängig vom Verbindungsmedium des aktuell selektierten Linkprofils
kann das Feld zur grafischen Anzeige des WLAN-Status geöffnet bzw.
geschlossen werden, wenn im Monitormenü “Konfiguration” unter “WLANEinstellungen” eine WLAN-Konfiguration aktiviert wurde. Wurde eine Multifunktionskarte konfiguriert, ist der Menüpunkt “WLAN-Status anzeigen” nicht
aktiv.
Page 85
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
Immer im Vordergrund
Wenn Sie “Immer im Vordergrund” geklickt haben, wird der Monitor immer im
Bildschirmvordergrund angezeigt, unabhängig von der jeweils aktiven
Anwendung.
Autostart
Mit diesem Menüpunkt wird der Monitor so eingestellt, dass er nach dem
Booten selbständig startet. “Autostart” ersetzt den Menüpunkt “Fenster Nach booten starten”. Über den neuen Menüpunkt können folgende Optionen eingestellt werden:
쮿 kein Autostart: nach dem Booten nicht automatisch starten
쮿 minimiert starten: nach dem Booten den Monitor starten und minimiert
darstellen
쮿 maximiert starten: nach dem Booten den Monitor starten und in normaler
Größe darstellen
Wenn Sie oft mit der LANCOM Advanced VPN Client Software arbeiten und
die Informationen des Monitors benötigen, so sollten Sie die Einstellung
“maximiert starten” wählen. Prinzipiell ist es für die Kommunikation mit dem
Zielsystem nicht nötig, den Monitor zu starten.
DE
Beim Schließen minimieren
Wird der Monitor bei einer bestehenden Verbindung über den Schließen-Button [x] rechts in der Kopfzeile oder das Systemmenü links in der Kopfzeile
geschlossen [Alt + F4], so informiert ein Meldungsfenster darüber, dass kein
Ampelsymbol (Tray Icon) mehr in der Task-Leiste erscheint, worüber der Status
dieser Verbindung kontrolliert werden könnte, d.h. der Benutzer kann dann
auf der Oberfläche seines Desktops nicht erkennen, ob und wie lange noch
Verbindungsgebühren anfallen, oder ob die Verbindung bereits beendet
wurde. (Um in diesem Fall den Status der Verbindung zu erfahren und sie
gegebenenfalls korrekt zu beenden, muss der Monitor erneut gestartet werden.)
Ist dieser Menüpunkt aktiviert, so wird der Monitor beim Schließen über den
Button [x] rechts in der Kopfzeile oder über [Alt + F4] nur minimiert und
erscheint als Ampelsymbol in der Task-Leiste, worüber der Status der Verbindung abgelesen werden kann. Der Klick auf den Schließen-Button [x] der
Kopfzeile hat in dieser Einstellung die gleiche Wirkung wie der Klick auf den
Minimieren-Button [- ] der Kopfzeile.
85
Page 86
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
3.1.5 Hilfe
(In der Darstellung des Ampelsymbols in der Task-Leiste kann nach einem
rechten Mausklick auf das Symbol das mögliche Zielsystem abgelesen und die
Verbindung aufgebaut oder getrennt werden, bzw. bei abgebauter Verbindung der Monitor auch beendet werden.)
Das Beenden des Monitors ist nur noch über das Hauptmenü “Verbin-
dung - Beenden” möglich.
Nach Verbindungsaufbau minimieren
Ist dieser Menüpunkt aktiviert, so wird der Monitor nach erfolgreichem Verbindungsaufbau automatisch minimiert.
Sprache
Die LANCOM Advanced VPN Client Software ist mehrsprachig angelegt. Die
Standardsprache bei Auslieferung ist Deutsch. Um eine andere Sprache zu
wählen, klicken Sie “Language / Sprache” im Pulldown-Menü Fenster und
wählen die gewünschte Sprache.
Die “Hilfe” zeigt Ihnen den kompletten Hilfetext mit Inhaltsverzeichnis und
Index.
Unter dem Menüpunkt Hilfe finden Sie mit Klick auf “Info” die Versionsnummer Ihrer eingesetzten Software und Treiber.
86
3.2 Das Firewall-Konzept
3.2.1 Globale Firewall und Link-Firewall
Das Firewall-Konzept des LANCOM Advanced VPN Client basiert auf zwei
Komponenten:
쮿 Globale Firewall mit allen relevanten Funktionen einer „Personal Firewall“
쮿 Link-Firewall zur besonderen Behandlung des Datenverkehrs auf
bestimmten Verbindungen
Die globale Firewall schützt Ihren Rechner beim Datenaustausch mit anderen
Computern oder Netzwerken. Die hier definierten Regeln gelten auch dann,
wenn der LANCOM Advanced VPN Client keine Verbindung aufgebaut hat.
Die globale Firewall ist auch dann aktiv, wenn der Client Monitor – also die
Bedienoberfläche des LANCOM Advanced VPN Client – geschlossen ist. Je
nach Einstellung kann die globale Firewall sogar dann den Datenaustausch
Page 87
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
verhindern, wenn der entsprechende Dienst im Betriebssystem beendet
wurde.
Die Einstellungen der Link-Firewall gelten nur für die entsprechenden Verbindungsprofile, bei denen sie konfiguriert sind. Die Link-Firewall wird auch nur
dann aktiv, wenn die zugehörige Verbindung aufgebaut ist. Mit der Link-Firewall kann die Funktion der globalen Firewall weiter eingeschränkt werden.
0
1
1
1
0
1
0
0
1
1
0
1
0
0
1
0
0
1
0
0
1
1
0
0
1
globale
Firewall
0
1
0
1
1
0
1
0
0
1
0
1
0
0
1
0
0
1
1
0
0
1
0
0
1
1
1
0
0
1
0
0
Link-Firewall
1
0
0
1
0
1
0
0
1
1
1
0
1
0
0
1
1
0
1
0
0
1
0
0
1
0
0
1
1
0
0
0
Link-Firewall
Link-Firewall
0
0
Firewall
globale
1
0
0
0
0
1
1
0
0
1
1
0
1
1
0
0
1
0
0
1
0
0
1
1
0
0
1
0
0
0
1
0
1
0
1
0
1
1
0
0
1
1
0
1
0
1
0
0
1
0
0
1
0
0
1
1
1
0
0
1
0
0
1
0
0
1
0
0
1
Im vorstehenden Bild werden die orange-farbenen Datenströme nur von der
globalen Firewall geprüft. Für die grünen Datenströme, die über eine
bestimmte Verbindung des LANCOM Advanced VPN Client verlaufen, gelten
zusätzlich die Bestimmungen der Link-Firewall.
Im Allgemeinen können alle Anforderungen an eine Firewall mit den Einstellungen der globalen Firewall erfüllt werden. Konfigureiren Sie daher die globale Firewall nach Möglichkeit so, dass keine weiteren Einstellungen der LinkFirewall notwendig sind. Aktivieren Sie die Link-Firewall nur gezielt für die
Verbindungen, deren Sicherheitsanforderungen sich nicht mit dem globalen
Firewall-Konzept verbinden lassen.
DE
3.2.2 Zusammenspiel mit anderen Firewalls
Auf vielen Rechnern ist neben der Firewall im LANCOM Advanced VPN Client
eine weitere Personal Firewall installiert. Bitte beachten Sie, dass die beiden
87
Page 88
LANCOM Advanced VPN Client
쮿 Kapitel 3: Client Monitor
DE
Firewalls nacheinander auf den Datenverkehr wirken, sofern sie gleichzeitig
aktiv sind.
0
1
1
1
0
1
0
0
1
1
0
X
P
.
-
F
B
i
.
r
z
e
,
w
l
l
a
w
e
r
i
F
l
a
n
o
s
r
e
P
e
r
e
d
n
globale
a
Firewall
0
1
0
1
1
0
1
0
0
1
0
1
0
0
1
0
0
1
1
0
0
1
0
0
1
1
1
0
0
1
0
0
Link-Firewall
1
0
0
1
0
1
0
0
1
1
1
0
1
0
0
1
1
0
1
l
l
a
w
e
0
0
1
0
0
1
0
0
1
1
0
a
l
l
0
0
i
r
e
w
a
r
l
i
l
,
F
-
z
P
.
B
X
.
0
1
0
0
1
1
0
0
1
1
0
Link-Firewall
0
Link-Firewall
0
0
1
0
0
Firewall
globale
P
e
r
s
o
n
a
l
F
1
0
0
1
0
1
0
0
1
0
0
1
0
0
1
0
0
0
0
1
0
0
1
1
0
0
1
1
0
0
1
0
a
n
0
d
1
0
e
0
1
0
r
e
1
1
1
1
0
1
1
1
0
0
1
0
0
1
0
0
1
0
0
1
0
0
1
1
1
0
1
0
1
0
Der Datenverkehr kann die verschiedenen Firewalls nur dann passieren, wenn
alle Komponenten das Versenden bzw. das Empfangen der Datenpakete
erlauben: Sowohl gobale Firewall und Link-Firewall im LANCOM Advanced
VPN Client als auch die zusätzliche Personal Firewall müssen den Datenaustausch zulassen. Wenn nur eine der Firewall-Komponenten die Übertragung
sperrt, wird der Datenverkehr verhindert.
Wie auch beim Zusammenwirken von globaler Firewall und Link-Firewall im
LANCOM Advanced VPN Client empfiehlt es sich auch bei der Verwendung
einer weiteren Personal Firewall, möglichst viele Sicherheits-Funktionen auf
eine Stelle zu konzentrieren. Legen Sie bei der Planung des Sicherungskonzeptes eine Firewall als Haupt-Firewall fest und aktivieren Sie die restlichen Firewall-Komponenten nur dann, wenn die gewählte Firewall nicht alle
gewünschten Sicherungs-Funktionen ermöglicht bzw. bestimmte Verbindungen besondere Sicherungsvorkehrungen erfordern.
88
Page 89
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
4 Profil-Einstellungen [Parameter]
Im folgenden sind alle Parameterbeschreibungen aufgeführt, und sie sind so
angeordnet, wie sie auf der Oberfläche des Client Monitors erscheinen.
Nachdem Sie Profil-Einstellungen im Menü des Monitors angeklickt haben,
öffnet sich das Menü und zeigt eine Übersicht über die bereits definierten Profile und die Rufnummern der zugehörigen Ziele.
Seitlich finden Sie Buttons, über die Sie die Einträge des Telefonbuchs (Zielsysteme) modifizieren können.
Die Parameter, die die jeweilige Verbindung über das Profil zu den Zielen spezifizieren, sind in verschiedenen Parameterfeldern gesammelt. In der Kopfzeile
steht der Name des Profils (siehe auch -> Profil-Einstellungen, Konfigurieren).
Seitlich sind die Titel der Parameterfelder angeordnet:
쮿 Grundeinstellungen
쮿 Netzeinwahl
쮿 Modem
쮿 Line Management
쮿 IPSec-Einstellungen
쮿 Erweiterte IPSec-Optionen
쮿 Identität
쮿 IP-Adressen-Zuweisung
쮿 VPN-IP-Netze
쮿 Zertifikats-Überprüfung
쮿 Firewall-Einstellungen
DE
89
Page 90
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
4.1 Grundeinstellungen
Im Parameterfeld “Grundeinstellungen” wird der Profil-Name und die Verbindungsart zu einem Profil eingegeben.
DE
-> siehe auch die Parameter:
쮿 Profil-Name
쮿 Verbindungsart
쮿 Microsoft DFÜ-Dialer
쮿 Diesen Telefonbucheintrag nach jedem Neustart des Systems verwenden
Die LANCOM Advanced VPN Client Software gestattet die Einrichtung individueller Profile für entsprechende Zielsysteme, die nach den Benutzeranforderungen konfiguriert werden können.
Um ein neues Profil zu definieren, klicken Sie in der Menüleiste des Monitors
auf Profil-Einstellungen. Das Menü öffnet sich nun und zeigt die bereits
definierten Profile. Klicken Sie jetzt auf Neuer Eintrag. Jetzt legt der “Assistent für ein neues Profil” mit Ihrer Hilfe ein neues an. Dazu blendet er die
unbedingt notwendigen Parameter auf. Wenn Sie die Einträge in diesen Feldern vorgenommen haben, ist ein neues Profil angelegt. Für alle weiteren
Parameterfelder werden Standardwerte eingetragen.
Um diese Standardwerte zu editieren, d.h. weitere Parameter so einzustellen,
wie es den Verbindungsanforderungen zum zugehörigen Zielsystem entspricht, wählen Sie mit der Maus das Profil aus, dessen Werte Sie ändern
möchten und klicken anschließend auf Konfigurieren (siehe -> Profil-Einstellungen - Konfigurieren).
90
Page 91
Um die Definitionen eines bereits definierten Profils zu kopieren, klicken Sie
Kopieren.
Um ein Profil zu löschen, wählen Sie es aus und klicken Löschen.
4.1.1 Profil-Name
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
Wenn Sie ein neues Profil definieren, sollten Sie zunächst einen unverwechselbaren Namen für dieses System eintragen (z.B. IBM London). Der Name des
Profils darf jeden gewünschten Buchstaben wie auch Ziffern beinhalten und
darf, Leerzeichen mitgezählt, bis zu 39 Zeichen lang sein.
4.1.2 Verbindungstyp
Alternativ stehen mit dem LANCOM Advanced VPN Client zwei Verbindungstypen zur Wahl:
쮿 VPN zu IPSec-Gegenstelle: In diesem Fall wählen Sie sich mit dem LAN-
COM Advanced VPN Client in das Firmennetz ein (bzw. an das VPN Gateway an). Dazu wird ein VPN-Tunnel aufgebaut.
쮿 Internet-Verbindung ohne VPN: In diesem Fall nutzen Sie den LANCOM
Advanced VPN Client nur zur Einwahl in das Internet. Dabei wird Network
Address Translation (IPNAT) weiterhin im Hintergrund genutzt, sodass nur
Datenpakete akzeptiert werden, die angefordert wurden.
4.1.3 Verbindungsmedium
Die Verbindungsart kann für jedes Profil eigens eingestellt werden, vorausgesetzt Sie haben die entsprechende Hardware angeschlossen und in Ihrem
(Windows-)System installiert.
ISDN:
Angeschlossene Hardware: ISDN-Hardware mit Capi 2.0-Unterstützung;
Netze: ISDN-Festnetz
Gegenstellen: ISDN-Hardware
DE
Modem:
Angeschlossene Hardware: Asynchrone Modems (PCMCIA-Modem, GSMKarte) mit Com Port-Unterstützung;
Netze: Analoges Fernsprechnetz (PSTN) (auch GSM)
Gegenstellen: Modem oder ISDN-Karte mit digitalem Modem
91
Page 92
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
LAN (over IP):
Angeschlossene Hardware: LAN-Adapter oder UMTS/GPRS-Adapter mit Software des Herstellers/Providers (siehe ’UMTS- oder GRPS-Profil einrichten’
→ Seite 124);
Netze: Local Area Network mit Ethernet oder Token Ring
DE
Gegenstellen: Die Gegenstellen des lokalen Multiprotokoll-Routers im LAN
WLAN (over IPSec):
Angeschlossene Hardware: WLAN-Adapter
Netze: Wireless Local Area Network
Gegenstellen: Die Gegenstellen des lokalen Multiprotokoll-Routers im WLAN;
Das Verbindungsmedium WLAN kann nur unter Windows 2000/XP/Vista
genutzt werden. Unter Windows 98/NT wird der Adapter für ein wireless LAN
(WLAN-Adapter) genauso behandelt wie normale LAN-Adapter. D.h. auch für
WLAN wird als Verbindungsmedium "LAN (over IP)" gewählt. Dazu wird das
Tool der WLAN-Karte oder das von Windows zur Konfiguration der Funknetzverbindung genutzt.
Unter Windows 2000/XP/Vista kann der WLAN-Adapter mit dem Verbindungsmedium "WLAN" betrieben werden. Im Monitormenü erscheint eigens
der Menüpunkt "WLAN-Einstellungen", worin die Zugangsdaten zum Funknetz in einem Profil hinterlegt werden können. Wird diese "WLAN-Konfiguration aktiviert", so muss das Management-Tool der WLAN-Karte deaktiviert
werden. Alternativ kann auch das Management-Tool der WLAN-Karte genutzt
werden, dann muss die WLAN-Konfiguration im Monitormenü deaktiviert
werden.
Wird das Verbindungsmedium WLAN für ein Zielsystem im Telefonbuch eingestellt, so wird unter dem grafischen Feld des Client-Monitors eine weitere Fläche eingeblendet, auf der die Feldstärke und das WLAN-Netz dargestellt
werden.
92
xDSL (PPPoE):
Angeschlossene Hardware: Ethernet-Adapter, xDSL-Modem
Netze: xDSL
Gegenstellen: Access-Router im xDSL
Page 93
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
GPRS (UMTS)
Dieses Einwahlmedium wählen Sie, wenn die Einwahl über das Mobilfunknetz
(GPRS/UMTS) erfolgen soll (als Alternative zur Verwendung der bei den UMTS/
GPRS-Karten mitgelieferten Software des Herstellers/Providers). Beachten Sie
dazu den Hinweis unter den Installationsvoraussetzungen zu ’Modem oder
Datenkarte’ → Seite 15 und die Konfigurationshinweise unter ’UMTS- oder
GRPS-Profil einrichten’ → Seite 124.
PPTP Microsoft Point-to-Point Tunnel Protocol;
Angeschlossene Hardware: Ethernet-Adapter, xDSL-Modem
Netze: xDSL
Gegenstellen: Access-Router im xDSL
Automatische Medienerkennung
Werden wechselweise unterschiedliche Verbindungsarten genutzt, wie zum
Beispiel Modem und ISDN, so kann die manuelle Auswahl des Zielsystems mit
dem jeweils zur Verfügung stehenden Verbindungsmedium entfallen. Alternativ kann die "Automatische Medienerkennung" konfiguriert werden.
Dabei ist zu beachten, dass das Zielsystem mit automatischer Medienerkennung mit allen für die Verbindung zum VPN Gateway nötigen Parametern (insbesondere der IP-Adresse des VPN Gateways) konfiguriert wird. Zusätzlich
werden die Zielsysteme mit den alternativen Verbindungsmedien so konfiguriert, dass das jeweils gewünschte Verbindungsmedium (evtl. auch die
Modemparameter) eingestellt ist und die Funktion "Eintrag für automatische
Medienerkennung verwenden" aktiviert ist.
Außerdem müssen für das jeweilige Verbindungsmedium die Eingangsdaten
zum ISP im Parameterfeld "Netzeinwahl" gesetzt sein.
Bei einem Verbindungsaufbau erkennt der Client automatisch, welche Verbindungsarten aktuell zur Verfügung stehen und wählt davon die schnellste aus.
In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender
Reihenfolge festgelegt:
쐃 LAN
DE
쐇 WLAN
쐋 DSL
쐏 UMTS/GPRS
쐄 ISDN
93
Page 94
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
쐂 MODEM
Die Eingangsdaten für die Verbindung zum ISP werden aus den Telefonbucheinträgen übernommen, die für die automatische Medienerkennung konfiguriert wurden.
DE
4.1.4 Microsoft DFÜ-Dialer
Zur Einwahl am ISP (Internet Service Provider) kann der Microsoft DFÜ-Dialer
genutzt werden. Dies ist immer dann nötig, wenn der Einwahlpunkt ein Einwahl-Script benötigt. Der DFÜ-Dialer unterstützt dieses Script. Im Parameterfenster “Netzeinwahl” wird anschließend die Script-Datei unter Eingabe von
Pfad und Namen zur eingespielten Script-Datei eingetragen (siehe -> ScriptDatei).
4.1.5 Dieses Profil nach jedem Neustart des Systems verwenden
Normalerweise wird der Client-Monitor nach einem Neustart mit dem zuletzt
genutzten Profil geöffnet. Wird diese Funktion aktiviert, wird nach einem Neustart des Systems immer das hierzu gehörige Profil geladen, unabhängig
davon, welches Profil zuletzt genutzt wurde.
4.2 Netzeinwahl
Dieses Parameterfeld beinhaltet den Benutzernamen und das Passwort, die
bei der Anwahl an das Zielsystem zur Identifizierung benötigt werden. Diese
beiden Größen werden auch für die PPP-Verhandlung zum ISP (Internet Service Provider) benötigt.
Das Parameterfeld erscheint überhaupt nicht, wenn der LANCOM
Advanced VPN Client in der Verbindungsart “LAN over IP” betrieben
wird.
94
-> siehe auch die Parameter:
쮿 Benutzername [Netzeinwahl]
쮿 Passwort [Netzeinwahl]
쮿 Rufnummer (Ziel)
쮿 Passwort speichern
쮿 Script-Datei
Page 95
4.2.1 Benutzername [Netzeinwahl]
Mit dem “Benutzernamen” weisen Sie sich gegenüber dem Network Access
Server (NAS) aus, wenn Sie eine Verbindung zum Zielsystem aufbauen wollen.
Bei Kommunikation über das Internet benötigen Sie den Benutzernamen zur
Identifikation am ISP (Internet Service Provider). Der Name für den Benutzer
kann bis zu 256 Zeichen lang sein. Für gewöhnlich wird Ihnen ein “Benutzername” vom Zielsystem zugewiesen, da Sie vom Zielsystem (auch Radius- oder
LDAP-Server) erkannt werden müssen. Sie erhalten ihn von Ihrem Stammhaus, vom Internet Service Provider oder dem Systemadministrator.
4.2.2 Passwort [Netzeinwahl]
Das Passwort benötigen Sie, um sich gegenüber dem Network Access Server
(NAS) ausweisen zu können, wenn die Verbindung aufgebaut ist. Das Passwort darf bis zu 256 Zeichen lang sein. Für gewöhnlich wird Ihnen ein Passwort vom Zielsystem zugewiesen, da Sie vom Zielsystem auch erkannt werden
müssen. Sie erhalten es von Ihrem Stammhaus, vom Internet Service Provider
oder dem Systemadministrator.
Wenn Sie das Passwort eingeben, werden alle Zeichen als Stern (*) dargestellt,
um sie vor ungewünschten Beobachtern zu verbergen. Es ist wichtig, dass Sie
das Passwort genau nach der Vorgabe eintragen und dabei auch auf Großund Kleinschreibung achten.
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
DE
Hinweis: Für den Fall, dass Sie den Parameter “Passwort speichern”
nicht aktiviert haben, gilt: Auch wenn Sie für den Verbindungsmodus
“automatisch” gewählt haben, müssen Sie die Verbindung beim ersten Mal manuell aufbauen. Dabei werden Sie nach dem Passwort
gefragt. Für jeden weiteren automatischen Verbindungsaufbau wird
dieses Passwort selbständig übernehmen, bis Sie den PC erneut booten oder Sie das Profil wechseln.
4.2.3 Rufnummer (Ziel)
Für jedes Ziel muss eine Rufnummer definiert sein, da der LANCOM Advanced
VPN Client ansonsten keine Verbindung herstellen kann. Diese Rufnummer
muss genauso eingetragen werden, als würden Sie diese Telefonnummer per
Hand wählen. D.h. Sie müssen alle notwendigen Vorwahlziffern berücksichtigen: Landesvorwahl, Ortsvorwahl, Durchwahlziffern, etc. etc.
Tragen Sie jedoch nicht die Amtsholung ein, auch wenn Sie an einer
Nebenstellenanlage angeschlossen sind! Die Amtsholung wird unter
95
Page 96
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
dem Monitor-Menüpunkt “Verbindung” eingetragen und hat auf
diese Weise Gültigkeit für alle Rufe (siehe -> Amtsholung).
Beispiel: Sie wollen eine Verbindung von Deutschland nach England herstellen:
00 (für die internationale Verbindung, wenn Sie von Deutschland aus wählen)
DE
44 (dies ist die landesspezifische Vorwahl für England)
171 (Vorwahl für London)
1234567 (die Nummer, die Sie zu erreichen wünschen)
Insgesamt wird nach diesem Beispiel folgende Nummer im Telefonbuch
gespeichert und für die Anwahl verwendet: 00441711234567
Die Rufnummer des Ziels kann bis zu 30 Ziffern beinhalten.
Alternative Rufnummern:
Möglicherweise ist das Zielsystem ein Network Access Server (NAS), der mit
mehreren S0-Anschlüssen für verschiedene Rufnummern ausgestattet ist. In
diesen Fall empfiehlt es sich, alternative Rufnummern einzugeben - falls zum
Beispiel die erste Nummer besetzt ist. Die alternativen Rufnummern werden
der ersten Nummer angehängt, nur mit einem Doppelpunkt (:) oder einem
Semikolon (;) getrennt.
Maximal werden 8 alternative Rufnummern unterstützt.
Beispiel : 000441711234567:000441711234568
Die erste Nummer ist die Standard-Rufnummer und wird immer zuerst
gewählt. Kann keine Verbindung hergestellt werden, weil besetzt ist, wird die
zweite Nummer gewählt, usw.
96
Wichtig: Bitte beachten Sie, dass der Verbindungsaufbau nur funkti-
onieren kann, wenn die Protokoll-Eigenschaften für die Anschlüsse
der alternativen Rufnummern die gleichen sind.
4.2.4 Passwort speichern
Dieser Parameter muss aktiviert (angeklickt) werden, wenn gewünscht wird,
dass das Passwort und das Passwort Ziel (sofern es eingegeben ist) gespeichert wird. Andernfalls werden die Passwörter gelöscht, sobald der PC gebootet wird oder ein Zielsystem gewechselt wird. Standard ist die aktivierte
Funktion.
Page 97
Wichtig: Bitte beachten Sie, dass im Falle gespeicherter Passwörter,
jedermann mit Ihrer Client Software arbeiten kann - auch wenn er die
Passwörter nicht kennt.
4.2.5 Script-Datei
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
Wenn Sie den Microsoft DFÜ-Dialer benutzen, tragen Sie hier die Script-Datei
unter Eingabe von Pfad und Namen ein.
4.3 Modem
Dieses Parameterfeld erscheint ausschließlich, wenn Sie als “Verbindungsart”
“Modem” gewählt haben. Alle nötigen Parameter zu dieser Verbindungsart
sind hier gesammelt.
-> siehe auch die Parameter:
쮿 Modem
쮿 Anschluss
쮿 Baudrate
쮿 Com Port freigeben
쮿 Modem Init. String
쮿 Dial Prefix
쮿 APN
쮿 GPRS/UMTS
쮿 PIN
4.3.1 Modem
Dieses Parameterfeld zeigt die auf dem PC installierten Modems. Wählen Sie
aus der Liste das gewünschte Modem aus.
Je nachdem, welches Modem Sie wählen, werden die zugehörigen Parameter
“Com Port” und “Modem Init. String” automatisch in die Konfigurationsfelder
des Telefonbuchs aus der Treiberdatenbank des Systems übernommen.
(Weitere Parameter für dieses Kommunikationsmedium können auch über die
Systemsteuerung des PCs konfiguriert werden.)
DE
Hinweis: Bitte beachten Sie, dass Sie das Modem vor der Konfigura-
tion der Verbindung im Telefonbuch installiert haben müssen, um es
korrekt für Kommunikationsverbindungen nutzen zu können.
97
Page 98
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
4.3.2 Anschluss
An dieser Stelle bestimmen Sie, welcher Com Port von Ihrem Modem genutzt
werden soll. Wenn Sie bereits Modems unter Windows installiert haben, wird
der während dieser Installation festgesetzte Com Port automatisch übernommen, sobald Sie das entsprechende Gerät unter “Modem” auswählen.
DE
Hinweis: Wenn Sie ein bereits unter Ihrem System installiertes Modem
nutzen möchten, so wählen Sie vor der Einstellung des Com Ports
zuerst das gewünschte Gerät unter “Modem” aus - der entsprechend
konfigurierte Com Port wird dann automatisch gesetzt.
4.3.3 Baudrate
Die Baudrate beschreibt die Übertragungsgeschwindigkeit zwischen Com Port
und Modem. Wenn Ihr Modem z.b. mit 14.4 Kbits übertragen kann, sollten sie
die nächsthöhere Baudrate 19200 wählen.
Folgende Baudraten können gewählt werden:
1200, 2400, 4800, 9600, 19200, 38400, 57600 und 115200
4.3.4 Com Port freigeben
Wenn Sie für Ihre Workstation ein analoges Modem verwenden, kann es wünschenswert sein, dass der Com Port nach Beendigung der Kommunikation für
andere Applikationen freigegeben wird (z.B. Fax). In diesem Fall stellen Sie
den Parameter auf “Ein”. Solange der Parameter in der Standardstellung auf
“Aus” bleibt, wird der Com Port ausschließlich von der LANCOM Advanced
VPN Client Software genutzt.
4.3.5 Modem Init. String
Je nach eingesetzem Handy oder Modem und der jeweiligen Verbindungsart
können AT- Kommandos nötig sein. In die sem Fall müssen die j eweiligen Kommandos dem zugehörigen Benutzerhandbuch oder den Mitteilungen der Telefongesellschaft bzw. des Providers entnommen werden. Jedes der in diesem
Fall einzutragenden Kommandos muss mit einem <cr> (Carriage Return)
abgeschlossen werden.
98
4.3.6 Dial Prefix
Dieses Feld ist optional. Ist das Modem korrekt installiert und steht der Software als Standardtreiber zur Verfügung, so muss hier kein Eintrag vorgenom-
Page 99
men werden. Der Dial Prefix ist nur in seltenen Ausnahmefällen nötig. Ziehen
Sie dazu das Modem-Handbuch zu Rate.
Im folgenden einige Beispiele für Dial Prefix:
쮿 ATDT
쮿 ATDP
쮿 ATDI
쮿 ATDX
4.3.7 APN
Der APN (Access Point Name) wird für die GPRS oder UMTS-Einwahl benötigt.
Sie erhalten ihn von Ihrem Provider. Der APN wird insbesondere zu administrativen Zwecken genutzt.
4.3.8 GPRS/UMTS PIN
Benutzen Sie eine SIM-Einsteckkarte für GPRS (auch UMTS), so geben Sie hier
die PIN für diese Karte ein. Benutzen Sie ein Handy, so muss diese PIN am
Mobiltelefon eingegeben werden.
4.4 HTTP-Anmeldung
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
DE
Mit den Einstellungen in diesem Parameterfeld kann die automatische scriptgesteuerte HTTP-Anmeldung vorgenommen werden. Zentral erstellte
Anmelde-Scripts und die hinterlegten Anmeldedaten können vom Access
Point (HotSpot) übernommen werden, ohne dass ein Browserfenster geöffnet
wird.
Bitte beachten Sie, dass die Verbindung über einen HotSpot-Betreiber
gebührenpflichtig ist. Sie müssen den Geschäftsbedingungen des
HotSpot-Betreibers zustimmen, wenn die Verbindung aufgebaut werden soll.
Wenn der Access Point einen HTTP-Redirect ausführt, kann die Eingabe von
Benutzername und Passwort in einem Browser-Fenster entfallen. Statt dessen
erfolgt die Authentisierung mit den hier eingegebenen Daten automatisch im
Hintergrund.
99
Page 100
LANCOM Advanced VPN Client
쮿 Kapitel 4: Profil- Einstellungen [Parameter]
Für die script-gesteuerte Anmeldung kann ein Script aus dem Installationsverzeichnis
\scripts\samples
für weitere HotSpots entsprechend angepasst werden.
Bei der Verbindungsart WLAN werden die Authentisierungsdaten für den Hot-
DE
spot aus den WLAN-Einstellungen übernommen.
4.4.1 Benutzername [HTTP-Anmeldung]
Dies ist der Benutzername, den Sie von Ihrem HotSpot-Betreiber erhalten
haben.
4.4.2 Passwort [HTTP-Anmeldung]
Dies ist das Passwort, das Sie von Ihrem HotSpot-Betreiber erhalten haben.
Das Passwort wird in verdeckter Schreibweise (mit *) eingegeben.
4.4.3 Passwort speichern [HTTP-Anmeldung]
Nachdem das Passwort eingegeben wurde, kann es gespeichert werden.
100
4.4.4 HTTP Authentisierungs-Script [HTTP-Anmeldung]
Hier kann nach Klick auf den Suchen-Button [...] das hinterlegte AnmeldeScript selektiert werden.
Um eingehende Zertifikate bei der HTTP-Authentisierung überprüfen zu können, muss im Script die Variable CACERTDIR gesetzt worden sein. Desweiteren
können auch Inhalte des WEB Server-Zertifikats überprüft werden. Hierzu stehen weitere Variablen zur Verfügung:
CACERTVERIFY_SUBJECT
überprüft den Inhalt des Subjects (z.B. cn=WEB Server 1),
CACERTVERIFY_ISSUER
Überprüft den Inhalt der Issuers,
CACERTVERIFY_FINGERPRINT
überprüft den MD5 Fingerprint des Aussteller-Zertifiats.
Stimmt der Inhalt der Variable mit dem eingegebenen Zertifikat nicht überein,
wird die SSL-Verbindung nicht hergestellt und eine Log-Meldung im Monitor
ausgegeben.
Loading...