VPN-Dienst - Support, FAQ

 

Supportinformation Cisco AnyConnect VPN Client unter Windows Vista, Windows 7 (26.10.2011):

Tritt bei der Installation des Cisco AnyConnect VPN Clients die Fehlermeldung: „The vpn client agent was unable to create the interprocess communication depot.” auf, so wird empfohlen, die "Gemeinsame Nutzung der Internetverbindung" für alle Netzwerkkarten auf dem System wie folgt zu deaktivieren:

  • Start => Systemsteuerung => ggf. Anzeige: Kleine Symbole => Netzwerk- und Freigabecenter => Netzwerkverbindungen verwalten (unter Windows 7: Adaptereinstellungen ändern)
  • Rechte Maustaste auf jede Netzwerkverbindung => Eigenschaften => Freigabe
  • Gemeinsame Nutzung der Internetverbindung deaktivieren

Supportinformation Cisco AnyConnect VPN Client und "Start before Login" unter Windows (17.10.2011):

Wenn die Anmeldung an einer (im Campusnetz der BTU befindlichen) Windows Domain vorgenommen werden soll, kann es erforderlich sein, dass bereits vor der Windows-Anmeldung eine VPN-Verbindung in das Campusnetz aufgebaut werden muss.

Unter Windows bietet der Cisco AnyConnect VPN Client dafür die Einstellung: "Start before Login". Um diese Einstellung nutzen zu können, muss die folgende Komponente des Cisco AnyConnect VPN Clients separat installiert werden:  anyconnect-gina-win-2.5.3055-pre-deploy-k9.msi

Supportinformation Cisco VPN-Client unter Windows Vista, Windows 7 (22.03.2010):

Tritt die Fehlermeldung: „Secure VPN Connection terminated locally by the Client. Reason 442: Failed to enable Virtual Adapter” auf, so wird empfohlen, die "Gemeinsame Nutzung der Internetverbindung" für alle Netzwerkkarten auf dem System wie folgt zu deaktivieren:

  • Start => Systemsteuerung => ggf. Anzeige: Kleine Symbole => Netzwerk- und Freigabecenter => Netzwerkverbindungen verwalten (unter Windows 7: Adaptereinstellungen ändern)
  • Rechte Maustaste auf jede Netzwerkverbindung => Eigenschaften => Freigabe
  • Gemeinsame Nutzung der Internetverbindung deaktivieren

Supportinformation NCP-Client (07.01.2010):

Bedingt durch die Ausstellung eines neuen Server-Zertifikates für das zentrale VPN-Gateway der BTU Cottbus am 05.01.2010 ist auf NCP-Clients folgende Konfigurationsänderung erforderlich um die Konnektivität zum Campusnetz weiter zu gewährleisten:

  1. Import der CA-Zertifikate der Hierarchie "Global" in den NCP-Client, diese finden Sie im File f ca-certs-2010.zip! Unter Windows XP/Vista/7 müssen die enthaltenen CA-Zertifikate im Verzeichnis CACerts im Installationsverzeichnis des NCP-Clients abgelegt werden. Für Windows Mobile sind die enthaltenen CA-Zertifikate vom NCP Secure Entry CE Client Konfigurator aus über Konfiguration => Übertrage CA Zertifikat zum PDA auf das Windows Mobile Gerät zu übertragen. 
  2. Im jeweils genutzten Verbindungsprofil ist folgende Änderung vorzunehmen: unter dem Punkt Zertifikats-Überprüfung ist der Wert für Benutzer des eingehenden Zertifikates auf "o=Brandenburgische Technische Universitaet Cottbus" zu setzen!

Supportinformation Cisco VPN-Client v4.8.02.0030 unter Linux 64bit (02.06.2009): 

Die Installation des Cisco VPN-Clients für Linux (Version 4.8.02.0030) schlägt auf 64bit-Systemen mit folgender Meldung fehl:

scripts/Makefile.build:46: *** CFLAGS was changed in "vpnclient/Makefile". Fix it to use EXTRA_CFLAGS. Stop.

Failed to make module "cisco_ipsec.ko".

 Abhilfe kann durch einen nicht offiziellen Patch geschaffen werden: 
projects.tuxx-home.at/ciscovpn/patches/vpnclient-linux-4.8.02-64bit.patch

Anwendung: patch -p0 ‹vpnclient-linux-4.8.02-64bit.patch

Achtung: die Verwendung dieses Patches erfolgt auf eigenes Risiko, Support kann dafür nicht angeboten werden.

Supportinformation Cisco VPN-Client v5.0.04.0300 unter Windows Vista (13.11.2008):

Für den Betrieb des VPN-Clients (Version 5.0.04.0300) unter Windows Vista ist folgender Kernel-Patch von Microsoft zwingend erforderlich:  KB952876 

Supportinformation VPN-Client v4.8.01.0640 unter Linux 64bit (18.02.2008): 

Die Installation des Cisco VPN-Clients für Linux (Version 4.8.01.0640) schlägt auf 64bit-Systemen mit folgender Meldung fehl:
interceptor.c:778: error: invalid operands to binary

 Abhilfe kann durch einen nicht offiziellen Patch geschaffen werden:
tuxx-home.at/archives/2007/11/09/T18_06_10/

Achtung: die Verwendung dieses Patches erfolgt auf eigenes Risiko, Support kann dafür nicht angeboten werden.

Supportinformation zum Cisco VPN-Client v5.0.00.0340 unter Vista (06.07.2007):

Für den Einsatz des VPN-Clients v5.0.00.0340 unter Vista gelten folgende Einschränkungen

  • von Windows XP upgedatete Systeme werden nicht unterstützt,
  • das Feature "Start Before Logon" wird nicht unterstützt,
  • die 64bit-Version von Vista wird nicht unterstützt.

 Die Fehlermeldung: "Error 442: Failed to enable virtual adapter" kann unter Vista mit folgendem Workaround umgangen werden:

  • Eingabeaufforderung öffnen,
  • Befehl: "reg add HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v ArpRetryCount /t REG_DWORD /d 0 /f" eingeben,
  • Neustart des Systems

Nachtrag vom 15.07.2008: hilft die oben genannte Vorgehensweise zu Beseitigung des "Error 442" nicht, so kann es erforderlich sein, die "Gemeinsame Nutzung der Internetverbindung" für alle Netzwerk-Karten wie folgt zu deaktivieren. 

  • Start => Einstellungen => Netzwerkverbindungen
  • Rechte Maustaste auf jede Netzwerkverbindung => Eigenschaften => Freigabe
  • Gemeinsame Nutzung der Internetverbindung deaktivieren

Supportinformation VPN-Dienst und NAT-Router (17.08.2006):

 

NAT-Router kommen zum Einsatz, wenn z. B. ein Heim-Netzwerk (mit privaten IP-Adressen) über ISDN oder DSL mit dem Internet gekoppelt werden soll. NAT (Network Address Translation) übersetzt dabei die privaten IP-Adressen des Heim-Netzwerks in die öffentliche(n), vom Internet-Provider zugewiesene(n) IP-Adresse(n). Bitte beachten Sie, dass nicht alle NAT-Router IPSec-Datenpakete 1:1 weiterleiten => d.h. nicht über alle NAT-Router kann eine IPSec Verbindung erfolgreich aufgebaut werden.

Sollte dieser Fall eintreten, so kann die IPSec-Verbindung über TCP getunnelt werden (ab VPN-Client Version >= 4.8). Ändern Sie dazu Ihr Verbindungsprofil "VPN-Einwahl aus dem Internet" in Ihrem VPN-Client wie folgt: VPN-Client öffnen => Connection Entries => "BTU Cottbus (VPN-Einwahl aus dem Internet)" mit der linken Maustaste markieren => Modify => Transport => IPSec over TCP (Port 10000) aktivieren => Save.

Unter Linux kann die Option "IPSec over TCP" gesetzt werden, indem die Option: "TunnelingMode" in der Datei: /etc/CiscoSystemsVPNClient/Profiles/vpn.pcf auf "TunnelingMode=1" gesetzt wird.
Aufgrund des zusätzlichen Protokoll-Overheads des TCP-Protokolls verringert sich die Netto-Übertragungsgeschwindigkeit bei gesetzter Option "TCP over IPSec" minimal.

Supportinformation VPN-Dienst und Firewall (17.08.2006):

 

Soll die IPSec-Verbindung über eine Firewall aufgebaut werden, so muss sichergestellt sein, dass folgende Protokolle die Firewall beidseitig ungehindert passieren dürfen:
- IP Protokoll UDP, Port 500
- IP Protokoll 50 (ESP).
Wird die Option "IPSec over TCP" (siehe ggf. auch: Supportinformation VPN-Dienst und NAT-Router vom 17.08.2006) verwendet, dann muss sichergestellt sein, dass das
- IP Protokoll TCP, Zielport 10000
die Firewall ungehindert passieren darf.

Nutzen Sie ggf. die Dokumentation für die von Ihnen eingesetzte Firewall.

Soll die IPSec-Verbindung aus dem Datennetz einer fremden Einrichtung aufgebaut werden, welches durch eine Firewall geschützt ist, dann sollten Sie sich mit dem Betreiber dieses Datennetztes in Verbindung setzen.

Supportinformation ZoneAlarm (27.07.2006):  

Auf Windows XP Systemen (SP2) mit bereits installiertem Cisco VPN-Client treten Probleme auf, wenn anschließend ZoneAlarm installiert werden soll (festgestellt wurden die Probleme mit dem VPN-Client Version 4.8.01.0300 und ZoneAlarm Version 6.5, Probleme werden jedoch auch mit früheren Versionen der beiden Produkte vermutet).
Als Workaround wird empfohlen den Dienst cvpnd vor der Installation von ZoneAlarm zu stoppen und nach erfolgter Installation von ZoneAlarm wieder zu starten (Start => Einstellungen => Systemsteuerung => Verwaltung => Dienste => Cisco Systems, Inc. VPN Service => Beenden). Alternativ kann auch der VPN-Client deinstalliert, ZoneAlarm installiert und der VPN-Client anschließend wieder installiert werden.

Supportinformation zum Cisco VPN-Client v4.0.2 (01.10.2004):  

Die nachfolgend beschriebene Fehlermeldung (sie erscheint bei einem fehlgeschlagenen Versuch eine IPSec-Verbindung aufzubauen) ist nicht eindeutig und soll daher näher erläutert werden:
Secure VPN Connection terminated locally by the Client
Reason: Unable to contact the security gateway.

  • Erscheint die Fehlermeldung direkt nach der Eingabe des Passwortes, so deutet das darauf hin, dass das Passwort nicht korrekt eingegeben wurde. Oft wurde auch der Fehler beobachtet, dass beim Import des Zertifikates gar kein Passwort vergeben wurde. Das können Sie nachholen, indem Sie das Zertifikat im VPN-Client unter Certificates mit der rechten Maustaste anklicken und dann Change Certificate Password auswählen!
  • Erscheint die Fehlermeldung ca. 30Sekunden nach der Eingabe des Passwortes, dann liegt meist ein Fehler in der Netzwerkverbindung zwischen dem Nutzer PC und dem VPN-Gateway vor. Überprüfen Sie in diesem Fall bitte auch die Netzwerkkonfiguration Ihres PC's.

 

Supportinformation, Dienst - RAS und Routing unter Win2000/WinXP (20.03.2004):  

Wenn nach dem erfolgreichen Aufbau der IPSec-Verbindung keinerlei Netzwerkverbindung durch den IPSec Tunnel möglich ist, so kann das am aktivierten Windows Dienst RAS und Routing liegen. Die o.g. Beeinflussung wurde mit dem VPN-Client (Version 4.0.2) bei PPP-Verbindungen und bei Verbindungen über die Ethernet Netzwerkkarte festgestellt. Da der Dienst RAS und Routing auf einem normalen Arbeitsplatzsystem nicht benötigt wird, können Sie ihn über Start => Einstellungen => Systemsteuerung => Verwaltung => Dienste => RAS und Routing deaktivieren.

Frage: Beim Aufbau von Verbindungen zu Windows-PC's bzw. zum NT-Server unseres Lehrstuhls treten zeitweise Probleme auf. Mal ist der Verbindungsaufbau möglich, mal nicht.

Antwort: Wie auch bei der PPP-Einwahl werden die IP-Adressen vom VPN-Gateway dynamisch vergeben. Das heisst, dem VPN-Client wird nicht immer die selbe IP-Adresse zugewiesen. Das kann bei Windows PC's zu Unregelmässigkeiten besonders beim mehrmaligen Auf- und Abbau der IPSec-Verbindung führen. Sie lösen das Problem, indem Sie auf dem Client-PC die  Datei: Lmhosts erstellen (siehe auch Dokumentation zu Ihrem Windows Betriebssystem). Darin tragen Sie für Ihren Zielrechner die feste Zuordnung seiner IP-Adresse zu seinem Namen in der Windowsumgebung ein. Bei NT-Servern muss zusätzlich der Domainname eingetragen werden. Für die erforderlichen Daten sollten Sie sich ggf. an den Systemadministrator in Ihrem Lehrstuhl wenden.