VPN Support

Bevor Sie sich bei Problemen mit dem VPN-Zugang an der Universität Basel an die zuständigen Ansprechpartner wenden, lesen Sie sich bitte noch einmal die allgemeinen Informationen und insbesondere die Installations-Anleitung und die Benutzungs-Anleitung (nach der erfolgreichen Installation) durch. Falls der VPN-Zugang auf Ihrem Rechner nicht funktioniert, überprüfen Sie bitte die im folgenden aufgeführten bekannten Probleme und Lösungsvorschläge dazu. Kontaktieren Sie uns bitte erst, wenn Sie auch damit nicht weiterkommen und führen Sie zuvor die unten beschriebenen Tests durch.


Die möglichen Probleme können sein:


Spezielle Probleme unter Windows


Spezielle Probleme unter Mac OSX


Spezielle Probleme unter Linux


Spezielle Probleme mit PDAs


Vor einem Anruf bitte diese Tests für Troubleshooting durchführen:


1. Allgemeine Probleme

1.1 Der VPN-Tunnel kommt nicht zustande

Der Pingtest für vpn.mobile.unibas.ch war nicht erfolgreich. Wenn der normale Netzzugang (Internetseiten ansehen) funktioniert, haben Sie möglicherweise ein DNS-Problem (d.h. die Netzadresse für vpn.mobile.unibas.ch konnte nicht ermittelt werden). Wenn Sie sich im Wireless-Netz (Funknetz) der Universität Basel befinden, überprüfen Sie bitte die IP-Einstellungen.

Sie können zwar den VPN-Server vpn.mobile.unibas.ch anpingen, eine VPN Tunnel Verbindung kommt aber nicht zu stande. Falls Sie sich hinter einer Firewall (z. B. ein lokaler kleiner Firewall, oder eine Firewall in einem Behörden- oder Spital-Netz) befinden, stellen Sie sicher, dass folgender IP-Verkehr zu den IP-Adressen 131.152.5.241 bis 131.152.5.246 (oder einfacher 131.152.5.240/29) zugelassen ist:

Klassischer VPN-Client (IP-Sec-Tunnel)  
UDP Port 500 IKE: Internet Key Exchange
UDP Port 4500 IPSec Transport über Nat-T UDP
UDP Port 10000 IPSec Transport über UDP
IP Protokoll 50 Transport über Encapsulating Security Payload
TCP Port 10000 IPSec Transport über TCP

AnyConnect-Client (SSL-Tunnel)  
UDP Port 443 DTLS Transport über UDP
TCP Port 443 TLS Transport über TCP

Kontaktieren Sie dazu den Netzwerk- oder Firewall-Verantwortlichen.

ACHTUNG: Wenn Sie einen VPN-Tunnel durch eine solche Firewall zulassen, schützt diese Firewall nicht vor Angriffen aus dem Netz der Universität Basel.

Achtung: wenn Sie einen Bluewin-Anschluss mit Firewallservice haben, verwenden Sie nur die mittlere Firewallstufe und tcp als Verbindungsprotokoll. Nach der Änderung über die Webseite von Bluewin, müssen Sie Ihren Zugangsrouter aus- und einschalten.

Das Verbindungsprotokoll TCP ist durch Firewalls meist besser unterstützt, daher versuchen Sie eine Umstellung:

Support Netz VPN TCP-Umstellung1
 Zunächst den VPN-Client starten. Die Verbindung UniBasel anwählen, dann auf das Symbol "Modify" klicken.
Support Netz VPN TCP-Umstellung2
Dann auf den "Reiter" Transport klicken
Support Netz VPN TCP-Umstellung3
in das Feld vor IPSec over TCP klicken
Support Netz VPN TCP-Umstellung4
danach mit Save speichern.


1.2 Authentifizierung klappt nicht

Wenn Sie sich für das Herunterladen oder Anmelden am VPN-Gateway nicht mit Ihrem Unibas-Account authentifizieren können, gibt es zwei mögliche Ursachen:

1. Ein Problem mit Ihrem Passwort: Bitte verwenden Sie als Username Ihre Unibas-Emailadresse (Studierende in der Form xxx@stud.unibas.ch und Angestellte in der Form yyy@unibas.ch). Können Sie sich mit diesem Username und Passwort bei https://webmail.unibas.ch einloggen? Falls nein, stimmt Ihr Passwort nicht, melden Sie sich bitte beim URZ, damit Ihr Passwort zurückgesetzt werden kann. Falls Sie sich in Webmail einloggen können, aber nicht mit VPN: enthält Ihr Passwort ein * ? Leider hatte unsere Software in der Vergangenheit immer wieder Probleme, wenn das Passwort einen * enthielt, bitte ändern Sie das Passwort über https://viaweb.unibas.ch/.

2. Ihr Passwort ist möglicherweise gesperrt: Entweder ist Ihr Account generell gesperrt oder Sie haben eine Sperrung für VPN wegen zu leichten Passworten oder weil Ihr Account durch eine Virenattacke auffiel!
Warum können wir leichte Passworte nicht akzeptieren? Wir haben mit Cisco einen Vertrag, dass diese Software nur von UNI-Basel-Angehörigen bezogen werden darf. Um Missbrauch auszuschliessen, werden die Passwörter der Accounts getestet und zu leicht erratbare Accounts in Zukunft für VPN gesperrt.

Wie geht es weiter:
1. Bitte geben Sie sich ein neues Passwort - das nur sie kennen.
Wie geht das? https://viaweb.unibas.ch einloggen, oben in der Menüleiste Password anklicken.
Passwörter dürfen in keinem Lexikon stehen. Eine einfache Möglichkeit: merken Sie sich einen Satz und nehmen Sie von jedem Wort den Anfangsbuchstaben. Bsp:
Sonntags geht der Pfarrer schwarz in seine Kirche => SgdPsisK
Noch sicherer Wird es, wenn sie noch Zahlen und Sonderzeichen einbauen...

2. Danach melden Sie sich beim URZ um für VPN freigeschaltet zu werden.


1.3 Der VPN-Tunnel kommt zustande, es geht aber kein Verkehr hindurch

Sie können Sich zwar mit dem VPN verbinden und korrekt authentifizieren, können aber keine Webseiten ansehen oder ähnliches?

a) Möglicherweise blockt eine Firewall den Verkehr - siehe oben.

b) Haben Sie für Ihren Browser einen Proxy konfiguriert? Mit dem VPN wird der Rechner Teil des Netzes der Universität Basel. Innerhalb dieses Netzes ist ein Proxy nicht zwingend erforderlich. Falls ein Proxy verwendet werden soll, geht das nur mit proxy.unibas.ch:3128.

c) Möglicherweise stimmen Ihre DNS -Einstellungen nicht. Sobald der VPN-Tunnel aktiv ist, sollten die DNS-Server der Universität Basel verwendet werden. Dies wird Ihrem Computer vom VPN-Server automatisch übermittelt. Falls Sie jedoch die Einstellung manuell fixiert haben, kann das zu Problemen führen. (Schneller test: ping 131.152.5.241 und ping vpn.mobile.unibas.ch ; falls das erste funktioniert aber das zweite nicht, haben Sie ein DNS-Problem).

d) Sie benutzen Windows Vista. Versuchen Sie nach dem Verbinden, sich nochmals zu verbinden. Also nach erfolgreichem Verbinden, klicken Sie auf disconnect und nochmals auf Connect.


1.4 Probleme mit Mail versenden sowie Probleme mit Imap

Falls Sie mit VPN Probleme haben, Mails an Adressen ausserhalb der Univeristät Basel zu verschicken beachten Sie bitte folgendes:

a) Mails von Universität-Basel-Accounts (@unibas.ch bzw. @stud.unibas.ch)
Mails an Adressen ausserhalb der Universität Basel können Sie nur über den Server smtp.unibas.ch verschicken, wenn der VPN-Tunnel aktiv ist (Mails an Adressen @unibas.ch bzw. @stud.unibas.ch können Sie immer über den server smtp.unibas.ch schicken, egal ob der VPN-Tunnel aktiv ist oder nicht).

b) Private Accounts (@bluewin.ch, @gmx.ch etc.)
Mails über den Smtp-Server Ihres privaten Email-Providers (Bluewin, GMX etc.) können Sie nur verschicken, wenn der VPN-Tunnel nicht aktiv ist.
Sie können Mails mit privater Absendeadresse (mustermann@gmx.ch) ebenfalls bei aktivem VPN-Tunnel über smtp.unibas.ch verschicken. Wir empfehlen dies jedoch nicht, da dann die Mail beim Empfänger unter Umständen als Spam deklariert wird (weil die Absendeadresse nicht zum ersten Mailserver passt).

c) Webmailfunktionen
Alternativ können Sie jederzeit (mit und ohne VPN-Tunnel) die Webmailfunktion der Uni Basel und von allen anderen Providern verwenden - dies geht nicht über die Mailports sondern über die Browserfunktion.

Wenn Sie die Wirelessnetze an der Uni Basel verwenden, können Sie nur über VPN ins Netz kommen, also können Sie auch nur über smtp.unibas.ch Mails verschicken.

Bitte beachten Sie auch für IMAP: Falls Sie per Imap auf Ihre Mail zugreifen, sollte der Tunnel nicht während einer offenen Imap-Session (Email-Programm offen und Zugriff auf Ihre Unibas-Mail) gestartet werden. Beenden Sie eine Imap-Session vor dem Tunnelstart. Oder starten Sie die IMAP-Session erst nach dem der Tunnel in Funktion ist und beenden Sie die Session vor dem Disconnect des Tunnels.


1.5 Probleme beim Browsen

Falls Sie Probleme haben, mit Ihrem Browser Webseiten anzusehen, beachten Sie bitte folgendes:

Falsche Proxyeinstellungen
Überprüfen Sie Ihre Proxy-Einstellungen. Den Proxy.unibas.ch können Sie nur verwenden, wenn der VPN-Tunnel aktiv ist.
Den Proxy Ihres Providers (Bluewin etc.) können Sie nur verwenden, wenn der VPN-Tunnel nicht aktiv ist.

Falsches Verbindungsprofil

Für die Cisco-Software gibt es die Möglichkeit, verschiedene Verbindungsprofile zu verwenden.
An der Universität Basel werden aktuell zwei Verbindungsprofile mit der VPN-Software mitinstalliert:

  • UniBasel
  • UniBasel-desinfect

Für die normale Verbindung bitte immer das Profile UniBasel verwenden. Das Profil UniBasel-desinfect stellt eine beschränkte Quarantänezone zur Verfügung.

Je nach Ansichtsmodus des VPN-Clients sehen Sie das aktive Verbindungsprofil durch einen blauen Balken hinterlegt:
Support Netz VPN Profil1
oder im Auswahlfeld:

Support Netz VPN Profil6

Falls Sie versehentlich das falsche Profil aktiv haben:

Support Netz VPN Profil3

klicken Sie mit der linken Maustaste auf das richtige Profil bzw. im einfachen Modus

VPN slecet profile

klicken Sie mit der linken Maustaste auf den Pfeil neben dem falschen Profilnamen

Select Profile in VPN

und wählen dann per Mausklick das richtige Profil aus.


1.6 lokale Ressourcen (Drucker, Netzwerklaufwerk, Datenbank etc) sind nicht mehr erreichbar

Das ist nicht zu ändern sondern ein Sicherheitsmerkmal des VPN-Tunnels. Der Rechner ist bei bestehendem Tunnel ein Teil des Netzes der Universität Basel geworden und nicht mehr Teil des lokalen Netzwerkes! Wären beide Netze von diesem Rechner aus erreichbar, würde über den Rechner unsere Firewall umgangen und die beiden Netze verbunden.

Wie können Sie aber dann Webseiten oder ähnliches ausdrucken?
a) Auf einem direkt am Computer angeschlossenen Drucker.
b) Seite auf die Festplatte speichern und nach Beendigung des Tunnels auf der Festplatte öffnen und drucken.
c) Z.B. Drucken in eine PDF-Datei über Acrobat (siehe Acrobat-Lizenz für Angehörige) oder ähnliche Software und nach Beendigung des Tunnels die PDF-Datei öffnen und drucken.


 

2. Windows

2.1 Installationsprobleme

2.1.1 Die Installationsdatei lässt sich nicht starten

Falls Sie unter XP eine Fehlermeldung erhalten, in der die Datei .../system32/autoexec.nt als fehlend gemeldet wird, haben Sie 2 Möglichkeiten: Kopieren Sie diese autoexec.nt in das genannte Verzeichnis oder entpacken Sie die heruntergeladene Datei mit einem Entpacker wie Winzip.

Ansonsten: Versuchen Sie noch einmal den Download, vielleicht ging etwas dabei schief.

2.1.2 Die Software 4.xx lässt sich nicht installieren

Sie können die Software nur als Benutzer mit administrativen Rechten installieren.

2.1.3 Probleme mit Internet Connection Sharing

Das der VPN-Client-Rechner auch als Gateway-Rechner für andere Rechner fungiert, widerspricht dem Sicherheitskonzept, daher muss das Internet Connection Sharing auf allen Interfaces deaktiviert werden. (Cisco Anleitung )

Achtung: wenn ein nicht mehr vorhandenes Interface noch in der Registry für ICS gesetzt ist, geht trotz richtiger Einstellung nichts!! Dann ICS zunächst für ein vorhandenes Interface aktivieren und dann deaktivieren.


 

2.2 Einloggen / Tunnelaufbau möglich, aber kein Verkehr


Führen Sie bitte diese Tests durch, bevor Sie uns anrufen:
ping auf 131.152.1.1 => ist der DNS-Server erreichbar?
ping auf www.unibas.ch (geht DNS??)

Anleitungen wie man "ping" bedient für Windows bzw. Mac. Für Linux einfach ping xxx in einer Shell tippen.

Mögliche Fehlerquellen:

- aktives Netwerkbrückeninterface??
- Firewalls dazwischen (Software, System, Hardware??)??
- die Transport-Optionen auf TCP umstellen, da bestimmte Firewalls mit UDP Probleme haben
- die Datenpakete sind zu gross
- falsches Verbindungsprofil
- fehlerhafte Proxyeinstellungen im Browser

2.2.1 Probleme mit der Netzwerkbrücke

Die Netzwerkbrücke ist wie ICS ein Bruch der Sicherheitsphilosophie, da sich mehrere Interfaces die IP teilen und damit über Wireless Zugriff auf Ethernet möglich ist. Es ging daher bei einem PC kein Ping über das VPN-Gateway hinaus.
Lösung: Die Interfaces für VPN müssen aus dem Brückeninterface entfernt werden. Dazu das Brückeninterface konfigurieren und im oberen Feld die entsprechenden Interfaces abklicken.

2.2.2 Probleme mit Firewalls

Stellen Sie sicher, dass folgender IP-Verkehr zu den IP-Adressen 131.152.5.241 bis 131.152.5.246 (oder einfacher 131.152.5.240/29) zugelassen ist:

Klassischer VPN-Client (IP-Sec-Tunnel)  
UDP Port 500 IKE: Internet Key Exchange
UDP Port 4500 IPSec Transport über Nat-T UDP
UDP Port 10000 IPSec Transport über UDP
IP Protokoll 50 Transport über Encapsulating Security Payload
TCP Port 10000 IPSec Transport über TCP

 

AnyConnect-Client (SSL-Tunnel)  
UDP Port 443 DTLS Transport über UDP
TCP Port 443 TLS Transport über TCP

 

Mögliche Firewalls auf dem Weg zum VPN-Server im URZ:
1. lokale Firewall auf dem Rechner (WindowsXP intern, Zonealarm, Symantec etc)
2. Firewall im Zugangsrouter für DSL/Kabel
3. Firewall im Internetzugang des fremden Firmen/Uni-Netzes
4. Firewall beim Internetprovider

zu 1: Konfigurieren Sie Ihre Firewallsoftware entsprechend.
zu 2: Konfigurieren Sie den Zugangsrouter bzw. versuchen Sie es zunächst mit TCP (siehe Pkt 2.2.3)
zu 3: Kontaktieren Sie dazu den Netzwerk- oder Firewall-Verantwortlichen des lokalen Netzes.
zu 4: Kontaktieren Sie Ihren Internetprovider

Achtung: wenn Sie einen Bluewin-Anschluss mit Firewallservice haben, verwenden Sie nur die mittlere Firewallstufe und tcp als Verbindungsprotokoll. Nach der Änderung über die Webseite von Bluewin, müssen Sie Ihren Zugangsrouter aus- und einschalten.

2.2.3 Umstellen auf TCP-Connection

TCP Einstellungen 1
Zunächst den VPN-Client starten. Die Verbindung UniBasel anwählen, dann auf das Symbol "Modify" klicken.
TCP Einstellung 2
Dann auf den "Reiter" Transport klicken
TCp Einstellungen 3
in das Feld vor IPSec over TCP klicken
TCP EInstellungen 4

danach mit Save speichern.

 

2.2.4 Die Datenpakete sind zu gross

Durch die Verschlüsselung werden die Datenpakete etwas grösser. Es kann sein, dass sie damit auf manchen Strecken die maximale Grösse überschreiten. Daher müssen Sie die sogenannte MTU-Size herabsetzen.

Der VPN-Client bringt die entsprechende Software unter Start|Uni Basel VPN Service|Set MTU mit.

2.2.5 Falsche Proxyeinstellungen

Falls Sie Rechner "pingen" können (siehe oben) aber mit dem Webbrowser keine Seite aufrufen können, haben Sie möglicherweise falsche Einstellungen für den Webproxy. Während Sie über VPN mit den Netz der Universität verbunden sind, können Sie nur den Proxy der Uni Basel oder keinen Proxy verwenden. Wie Sie die Proxyeinstellungen ändern können, hängt von Ihrem Browser ab. Lesen Sie dazu: Proxyeinstellungen.
Achtung: wenn Sie nicht per VPN mit dem Netz der Uni Basel verbunden sind, ist der Proxy der Uni Basel nicht erreichbar! Sie müssen dann entweder den Proxy Ihres Providers oder keinen Proxy verwenden.


2.3 Nach der Installation kann der Rechner nicht mehr von anderen erreicht werden

Die Cisco VPN-Software bringt eine einfache, nicht konfigurierbare Software-Firewall mit. Ist diese aktiviert, kann der Rechner nicht mehr von anderen Rechnern erreicht werden. Achtung: Die Firewall ist auch aktiv, wenn die VPN-Software noch gar nicht gestartet wurde.

Prüfung ob die Firewall aktiv ist:
Support Netz VPN Icon
Starten Sie die VPN-Client-Software. Klicken Sie mit der rechten Maustaste auf das Schlosssymbol in der Taskleiste rechts unten.
Support Netz VPN FW2
Ist vor der Zeile "Stateful Firewall (Always On) ein Haken, dann ist die Firewall immer aktiv - unabhängig, ob die VPN-Clientsoftware läuft oder nicht. Zum Abschalten klicken Sie mit der linken Maustaste in diese Zeile.
Support Netz VPN FW1
Ist vor der Zeile "Stateful Firewall (Always On) kein Haken, dann ist die Firewall nie aktiv - unabhängig, ob die VPN-Clientsoftware läuft oder nicht. Zum Anschalten klicken Sie mit der linken Maustaste in diese Zeile.

2.4 Probleme mit Zonealarm

Die Installation der Cisco VPN-Software hat vor kurzen einen Rechner mit einer installierten Zonealarm-Firewall in einen instabilen Zustand gebracht. Danach war kein Netzwerkzugriff mehr möglich, auch nicht nach Deinstallation der VPN-Software und von Zonealarm. In der VPN-Software ist eine kleine Firewall eingearbeitet, die ebenfalls von Zonealarm kommt. Es scheint gelegentlich zu Versionskonflikten zu kommen, wenn die beiden Firewalls gleichzeitig installiert sind. Wir empfehlen zur Sicherheit vor der Installation der VPN-Software, Zonealarm zu deinstallieren und zu rebooten. Verwenden Sie eine andere freie Firewall (siehe http://www.firewallguide.com/software.htm).


 

2.5 VPN Fehlermeldungen

2.5.1 VPN Error 5

Aus irgend einem Grund ist der Hostname verlohren gegangen. Um das Problem zu reparieren, installieren Sie die Connection Entries neu. Das File Unibas.pcf finden sie hier.

2.5.2 VPN Error 56

Der Cisco VPN Dienst lässt sich nicht starten. Oftmals verurschen sogenannte Security Suites dieses Problem. Veruschen Sie in den Einstellungen den VPN Traffic explizit zu erlauben. Leider hilft in den meisten Fällen nur eine Deinstallation der Security Suite.

2.5.3 VPN Error 401

Vermutlich haben Sie "Enable Transport Tunneling" ausgeschaltet. Schalten Sie diese Funktion wieder ein. Dazu klicken Sie auf "Modify":

Modify Button

Danach klicken Sie auf den Register "Transport" und aktivieren dort "Enable Transport Tunneling" mit der Standartoption IPSec over UDP:

VPN Transport Register

2.5.4 VPN Error 412

Sehr wahrscheinlich gibt es einen Konflikt zwischen Ihrer Firewall und Ihrem VPN Client. Follgen Sie dieser Anleitung um das Problem zu beheben.

2.5.5 VPN Error 429

Sie haben eine fixe IP Adresse eingestellt. Schalten Sie diese aus. Dazu klicken Sie auf Start -> Systemsteuerung. Dann auf Netzwerkverbindungen:

netzwerkverbingungen resp.  Netzwerkverbindungen Vista

Klicken Sie dort auf Ihre Netzwerkverbindung und wählen die Eigenschaften aus:

LAN Verbindung

Nun wählen Sie dort Internetprotokoll TCP/IP aus:

Netzwerk Eignschaften

respektive:

Netzwerk Eigenschaften Vista

und wählen Eigenschaften aus.

Alles müss auf dynamische IP Adresse / IP Adresse automatisch beziehen eingestellet sein:

Eigenschaften für Netzwerk

Damit sollte es funktionieren. Je nachdem müssen sie noch einen Neustart machen.

 

2.5.6 VPN Error 442

Sie haben das Internet Connection Sharing aktiviert. Deaktivieren Sie diese. Gehen Sie dazu wie folgt vor:

Klicken Sie auf Start -> Systemsteuerung. Dann auf Netzwerkverbindungen:

Netzwerkverbindungen resp.  Netzwerkverbindung Vista

Klicken Sie dort auf Ihre Netzwerkverbindung und wählen die Eigenschaften aus:

LAN Verbindung

Im Tab Erweitert, resp. Freigabe, deaktivieren Sie:

Connection Sharing

"Anderen benutzern im Netzwerk gestatten, die Internetverbindung dieses Computers zu verwenden".

Wiederholen Sie den Vorgang für alle Netzwerkverbindungen.

 

2.5.7 Secure Desktop startet sich

Wenn Sie den Cisco AnyConnect Client verwenden, müssen Sie ausserhalb des Universitätsnetzwerks einen speziellen Registry Key importieren, damit der Cisco AnyConnect Client sich direkt verbindet und sie nicht auf dem Secure Desktop landen.

Laden sie diesen Registry Key herunter. Nach dem Download öffnen Sie die Datei, dabei sollte eine Abfrage kommen, ob sie die Datei zur Registry hinzufügen möchten. Bestätigen sie dies mit Ja.

 


3. Probleme unter Mac OS

3.1 Probleme unter Mac OS X

3.1.1 Probleme mit Mac OS X 10.4

Am 29.4.2005 erschien das neue Apple Macintosh Betriebssystem OS X Version 10.4 (Tiger). Achtung: Der für den VPN-Zugang an die Universität Basel notwendige Cisco VPN Client vor 4.6.04.0061 lief unter Tiger nicht! Im Juni 2005 erschien eine neue Version des Cisco VPN Clients, die auf unserem Download-Server https://www.mobile.unibas.ch/vpn/ bereitgestellt wird.

Diese Version scheint einigermassen zu funktionieren. Bekannte Probleme:

Bug CSCeh90939 mac rekey failure with 10.4 - Nach einer bestimmten Zeit wir der VPN-Tunnel beendet, da die Neuaushandling des Verschlüsselungs-Keys nicht funktioniert.
Workaround: Neues Connect.

Bug CSCei00630 mac switching networks prevents client connect 10.4 - Wenn es Änderungen am Netzwerkanschluss gibt, während der VPN-Client aktiv ist, kann der Client nicht neu verbinden.
Workaround: Disconnect the client before switching networks.
Recover: Close the VPN Client.
2) Bring up the new network connection.
3) stop and start the CVPND service:
/System/Library/StartupItems/CiscVPN CiscoVPN stop
/System/Library/StartupItems/CiscVPN CiscoVPN start

Bug CSCei11378 mac error 47: failed to load ipseclog.exe - Fehlermeldung: "Error 47: Failed to load ipseclog.exe".
Workaround: Click the Enable log button a second time to start the log.

Beim wiederholten Öffnen tauchen ebenfalls gelegentlich Probleme auf. Überprüfen Sie zunächst, ob Sie aktuell mit einem Netzwerk (Kabel / Wireless) verbunden sind. Sonst hilft auch hier ein Restart des VPN-Services.

 

3.1.2 VPN Error 51 (unter Mac OS X 10.4)

Es ist eine nicht kompatible Version installiert. Laden Sie den aktuellen Client von http://mobile.unibas.ch/ herunter und installieren Sie den Client neu.

 

3.1.3 VPN Error 51 (unter Mac OS X 10.5)

Sie haben eine fixe IP Adresse eingestellt. Schalten Sie dies um. Dazu gehen Sie in die Systemsteuerung -> Netzwerk:

Mac Netzwerk 1

Klicken Sie dann auf "Weitere Optionen":

Mac Netzwerk 2

Es muss zwingend DHCP Eingestellt sein.

 


4. Probleme mit Privilegien unter Linux

Mit Suse Linux 9.3 beschreibt ein UNIBAS-Nutzer Probleme mit dem Cisco vpnclient:
Es ist nicht möglich als normaler User mit ~> vpnclient connect UniBasel den VPN-Tunnel aufzubauen. Es folgt die Fehlermeldung:
"Privilege Separation: unable to drop privileges. The application was unable to communicate with the VPN sub-system." (Als root lässt sich die Verbindung aufbauen.)
Der Nutzer konnte das Problem loesen indem er das Sticky-Bit auf das Binary (daemon) /opt/cisco-vpnclient/bin/cvpnd setzte, also:
---s--x--x 1 root bin 1943604 2005-06-08 15:12 cvpnd*

 

 


 

5. VPN Client mit PDA

 

PDAs, IPhones, IPods werden vom URZ nicht offiziell unterstützt, da dabei keine von uns konfigurierte Cisco-Clientsoftware zum Einsatz kommt und es eine Vielzahl von unterschiedlichen Geräten und Betriebssystemen gibt. Trotzdem wollen wir hier ein paar Hilfestellungen geben.

5.1 iPhone/iPod/iPad

Das IPhone3G und IPods mit Software ab 2.0 können mit den von uns eingesetzten Geräten der Firma Cisco VPN-Verbindungen bilden. Für Wireless und VPN im Bereich der Universitäten laden Sie bitte von der IPod/IPhone-Seite ein passendes Profil auf Ihr Gerät (anmelden mit der Unibas-Email-Adresse). Auf dieser Seite finden Sie auch eine Anleitung.

Bei einem Iphone kann es ausgelöst durch das
Feature zur automatischen Hotspot-Anmeldung zu Problemen kommen.

Das Problem lässt sich mit dem kostenlosen App "Boingo Wireless"
umgehen. Die Anwendung über den Appstore installieren, starten und
wieder schließen.

Wichtig: Es ist !keine! kostenenpflichtige Anmeldung bei Boingo
erforderlich, es genügt die Applikation ein einziges Mal zu starten! Nun
müsste die VPN-Verbindung wieder gemäß der Anleitung funktionieren.

Die Anleitung wie Sie ihren iPad konfigurieren können finden Sie hier .

 

5.2 Kein VPN-Client für andere PDAs?

Cisco bietet keine Clients für PDAs an (PalmOS, Symbian, PocketPC, WindowsCE). Die eingebauten VPN-Programme sind nicht mit unserer VPN-Lösung kompatibel.
Bisher ging der kostenpflichtige Movian-Client, dieser ist nicht mehr von Certicom erhältlich.
http://www.certicom.com/index.php?action=product,secapps_index

Allerdings gibt es einen offiziellen Vertrieb für ein Nachfolgeprodukt:
Deutscher Vertrieb:
http://www.orlogix.com/store/product_info.php?products_id=61

Das URZ hat diese Clients nicht getestet und kann daher keine Aussagen treffen, ob diese Clients mit unserer Lösung funktionieren. Wir können dafür auch keinen Support liefern.

Sie können es gerne selbst versuchen, hier die wichtigsten Parameter für die PDA-Konfiguration, für die wir allerdings keine Gewähr übernehmen (wir behalten uns bei Problemen auch vor, den Zugang für PDAs zu sperren):

  • Wireless: SSID public, keine Verschlüsselung
  • VPN-Typ: Cisco IPSec mit VPN-Concentrator 3000
  • Gateway: vpn.mobile.unibas.ch
  • Use Prefect Forward Secrecy: off
  • Gruppenname: UniBasel-Access
  • Gruppenpassword für PDAs: UniBasel
  • SA-lifetime: 1h
  • WINS und DNS erfragen: on
  • IKE: DH-768, Gruppe1, 3DES-CBC, MD5
  • IP-Sec: ESPIP_3DES_MD5-96