AnyConnect-VPN mit PCs

Installation und Konfiguration

Download für Computer (Windows, Linux, MacOS)

Anyconnect-connect

Laden Sie sich den Client direkt vom VPN-Server herunter. Dazu müssen Sie Ihre Nutzerkennung/Uni-ID und Ihr Passwort eingeben. Nach dem Login wird versucht, den AnyConnect-Client über eine Java-Anwendung automatisch zu installieren. Dies schlägt bei nicht installiertem oder aus Sicherheitsgründen deaktiviertem Java fehl. Wenn die Sicherheitseinstellungen Ihres Browsers dies zulassen, bekommen Sie evtl. auch nur eine ausführbare Installationsdatei zum Download angeboten. Wenn alles automatisch klappt, ist am Ende AnyConnect installiert und die Verbindung bereits gestartet.

Sollte dies fehlschlagen, können Sie die entsprechende Installations-Datei auch von unserem Webserver herunterladen (Achtung bei Mac OS). Nach der Installation muss man in diesem Fall AnyConnect manuell starten, dann  vpn-ac.urz.uni-heidelberg.de in das Adressfeld des Clients eintragen und auf Verbinden klicken. Andere eventuell zur Installation angebotene Pakete ("Web Security", "Diagnostics and Reporting Tool", "dart" oder "Posture") können (bzw. bei MacOS: sollten) abgewählt werden.

Besondere Hinweise

Windows

The VPN client agent was unable to create the interprocess communication depot.

Dieser Fehler tritt auf, wenn der Dienst für die gemeinsame Nutzung des Internets (engl: Internet Connection Sharing ICS) aktiv ist. Sie müssen ICS deaktivieren:

  1. Klicken Sie auf Start und tippen Sie services.msc ein. Öffnen Sie das Programm.
  2. Finden Sie die Dienste Cisco Systems, Inc VPN und Gemeinsame Nutzung der Internetverbindung und beenden diese.
  3. Öffnen Sie per Doppelklick den Dienst Gemeinsame Nutzung der Internetverbindung und ändern Sie den Starttyp von Automatisch auf Manuell.

Linux

Die automatische Installation klappt meist nicht, daher

  1. Die aktuellste Version des VPN-Client für Ihren Installationstyp (32 oder 64) herunterladen und entpacken.
  2. In einer Kommandozeile (shell) in das entpackte Verzeichis wechseln (cd anyconnect-*  und dann  cd vpn) und mit  sudo bash vpn_install.sh  in der Kommandozeile starten.
    (Es wird u. a. ein Startscript "vpnagentd_init" eingetragen und ein Dienst "/opt/cisco/anyconnect/bin/vpnagentd" gestartet.)
  3. Falls AnyConnect nicht in ihrem üblichen Startmechanismus (z. B. Startmenü, unity) auftaucht, kann man den grafischen Client auch über /opt/cisco/anyconnect/bin/vpnui starten.
  4. Leider erhalten Sie beim ersten Verbindungsversuch vermutlich eine Warnung, dass das Serverzertifikat nicht überprüft werden kann ("Untrusted VPN Server Blocked!").
    • Bei vielen Distributionen reicht dann aus, das im System vorhandene Zertifikat (als root!) im VPN-Client zu verlinken, z. B. bei Ubuntu oder Debian
      sudo ln -s /etc/ssl/certs/deutsche-telekom-root-ca-2.pem /opt/.cisco/certificates/ca/
      oder bei Opensuse
      sudo ln -s /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem /opt/.cisco/certificates/ca/
    • Falls das Zertifikat jedoch nicht vorhanden ist, kann es via
      sudo wget http://www.urz.uni-heidelberg.de/imperia/md/content/urz/internet/sicherheit/zertifikate/deutsche-telekom-root-ca-2.pem -O /etc/ssl/certs/deutsche-telekom-root-ca-2.pem installiert (und dann anschließend wie oben beschrieben verlinkt) werden.

MacOS

Mac Ohne Websecurity

Bei der manuellen Installation von AnyConnect beachten Sie bitte, dass bei den zu installierenden Modulen nur VPN ausgewählt ist. Siehe Bild rechts. Andernfalls könnten Sie Probleme bei der Nutzung mit WebDav bekommen.

 

Nutzung

Anyconnect Local-lan

Für lokalen Zugriff z.B. zum Drucken

Wenn Sie im LAN (lokalen Netz, über das Ihr Rechner direkt angebunden ist) auf Netzwerk-Drucker oder andere Geräte zugreifen wollen, können Sie das im VPN-Client unter "[Zahnrad-Symbol] Erweitertes Fenster... > Einstellungen > LAN-Zugriff erlauben, wenn VPN verwendet wird" zulassen.

Anyconnect Login-split

Für "gesplittetes" VPN

Wenn Sie den VPN-Tunnel nur für die Verbindung zur Uni nutzen wollen, alle anderen Pakete ins Internet jedoch direkt (und ohne VPN-Verschlüsselung) über ihre aktuelle Internetverbindung gehen sollen, können Sie als VPN-Anmeldenamen an Ihre Nutzerkennung noch @split.uni-heidelberg.de anhängen.

Hinweis: Sie erhalten dann auf die von der Universität Heidelberg lizenzierten externen elektronischen Inhalte (E-Journals, Datenbanken, E-Books) über diese Verbindung keinen Zugriff.

 

Ihre erste Anlaufstelle für allgemeine Fragen und Probleme ist unser IT-Service-Center. Hier stehen wir Ihnen mit Rat und Tat zur Seite.

Für die Serviceannahme ohne Wartezeiten, 24 Stunden täglich und 7 Tage die Woche, bieten wir Ihnen die Möglichkeit, Ihre Anfragen direkt online über unser Service-Portal zu melden. Bitte nutzen Sie für Anfragen stets unser Service-Portal.

 

Verantwortlich: IT-Servicebereich Service, Support, Sicherheit
Letzte Änderung: 21.09.2017
zum Seitenanfang/up