VPN-Zugang - Fragen und Antworten - Probleme und Lösungen
Inhalt:
- Web-VPN (Clientless VPN) funktioniert nicht bzw. schlecht
- Welchen VPN Klienten empfiehlt der ZID?
- Kann die AnyConnect Software auch ohne Administrator-Rechte am PC installiert werden?
- VPN - gibt es ein zeitliches Limit? Nicht mehr - siehe allgemeine VPN-Einführung.
- VPN Installation unter MacOSX - Client already installed
- VPN Installation unter Linux - Installationsprobleme
- Beim Verbindungsaufbau oder der Installation erscheinen Windows Fehlermeldungen.
- Bei der Installation erscheint die Fehlermeldung
The vpn client agent was unable to create the interprocess communication depot. - AnyConnect - nach Aufbau der Verbindung kann ich auf IP-Geräte (z.B. Drucker) in meinem Heimnetz nicht mehr zugreifen
- Timeouts - Die VPN-Verbindung wird abgebrochen
-
Abbruch VPN-Verbindung nach ca. 1 Min, Fehlermeldung MTU-Size
- Verbindung wird aufgebaut; Datenbanken können im Web-Browser aber trotzdem nicht genutzt werden
- Erstellen einer DART (Diagnostic and Reporting Tool) Datei
Web-VPN (Clientless VPN) funktioniert nicht mehr
Seit dem Update auf unseren neuen VPN Server im Jahr 2019 funktioniert der Web-VPN-Zugang (Browser im Browser, keine Softwareinstallation notwendig) wieder.
Nach Anmeldung auf https://vpn.uibk.ac.at/ können Sie unter "Web Applications" auf die ULB-Seiten zugreifen. Die Lösung macht aber mit vielen Datenbanken immer wieder Probleme, sobald die Seiten scripts ausführen, sie etwas Drucken wollen etc.
Bitte verwenden Sie deshalb statt des Clientless VPN unseren AnyConnect Klienten.
Nach dem Verbindungsaufbau können Sie die gewünschten Webseiten z.B. die UB-Datenbankseiten direkt in Ihrem Browser öffnen. Ein Zugang über die URL vpn.uibk.ac.at ist dann nicht mehr notwendig. Siehe unsere Anleitung.
Das Problem wurde mit dem VPN-Serverupdate am 4.12.2018 behoben. Wir empfehlen aber weiterhin mit dem AnyConnect-Klienten zu arbeiten!
Welchen VPN Klienten empfiehlt der ZID?
Wir empfehlen ab sofort die Verwendung des AnyConnect Klienten von Cisco, da dieser alle wichtigen Plattformen inklusive der jeweiligen 64bit-Versionen unterstützt. Weiters gestaltet sich die Installation sehr einfach und problemlos.
Anwender, die für Ihre Datenbankanfragen mit dem Web-VPN (Browser im Browser) das Ausreichen finden, müssen überhaupt keinen Klienten mehr installieren. Um Fehlfunktionen beim Ausdrucken, Herunterladen von Datenbankartikeln etc. zu vermeiden empfehlen wir aber die Verwendung des AnyConnect Klienten.
Kann die AnyConnect Software auch ohne Administrator-Rechte am PC installiert werden?
Leider nein. Vielleicht funktioniert für Ihren Bedarf aber der Web-VPN-Zugriff.
VPN Installation unter MacOSX - Client already installed
Bei der Installation wird bahauptet, dass Anyconnect bereits installiert ist.
Ursache ist ein vorausgegangenes, ungültiges Entfernen der AnyConnect-Software durch Löschen des Programmordners.
Abhilfe: Sie können den noch falschen Verweis durch Ausführen des Kommandos sudo pkgutil --forget com.cisco.pkg.anyconnect.vpn
in der terminal.app entfernen.
Siehe dazu auch: Doku bei Cisco
VPN Installation unter Linux - Installationsprobleme
Auf Grund von Problemen bei der eher komplexen Installation des Anyconnect-Klienten empfehlen wir die Verwendung von "OpenConnect" das inzwischen bei fast allen Linux-Distributionen enthalten ist.
Als VPN-Server tragen Sie bitte die Adresse vpn.uibk.ac.at ein.
Beim Verbindungsaufbau bzw. der Installation erscheinen Windows Fehlermeldungen.
Einige Sicherheitsprodukte wie z.B. Zone-Alarm, Avira, McAffee verursachen oft Probleme.
Die Sicherheitssoftware versucht auch Web-Verkehr zu untersuchen und arbeitet auf Ihrem System mit einer ManInTheMiddle-Attacke um HTTPS-Verbindungen zu prüfen. Diese Maßnahmen verhindern dann den VPN-Verbindungsaufbau.
Bitte deinstallieren Sie diese Produkte unter Windows 10 und darüber. Windows bietet mit dem "Viren und Bedrohungsschutz" bereits einen guten Basisschutz.
AnyConnect - nach Aufbau der Verbindung kann ich auf IP-Geräte (z.B. Drucker) in meinem Heimnetz nicht mehr zugreifen
Klicken Sie in der AnyConnect Startmaske am unteren Ende auf das Rädchen-Icon und aktivieren Sie im Tab "Preferences" "Allow local (LAN) access when using VPN (if configured)".
Timeouts - Die VPN-Verbindung wird abgebrochen
Idle Time Out - Werden über den VPN Tunnel KEINE Pakete übertragen, wird die Verbindung nach 30 Minuten abgebrochen. Einen Packetzähler finden Sie im Anyconnect Client unter statistics.
Starten Sie ggf. eine Anwendung, die regelmäßig Daten anfordert/braucht.
Session Time Out - Sitzungen können maximal 10 Stunden bestehen. Die noch verbleibende Zeit wird im AnyConnect-Klienten unten in der GUI angezeigt.
Die Limits dienen dazu, keine unnötigen Ressourcen, insbesondere Lizenzen, zu verbrauchen.
Für besondere Fälle können Sie auch unser VPN-Option long verwenden.
Web-Seiten werden nach dem VPN-Verbindungsaufbau im Browser nicht mehr angezeigt.
Im Browser erscheint eine Fehlermeldung, dass Sie nicht berechtigt sind, den Server zu nutzen. In der Konfiguration Ihres Web-Browsers ist vermutlich ein Proxy-Server Ihres Providers konfiguriert, den Sie nach dem VPN-Verbindungsaufbau mit der Ihnen dann zugewiesenen Uni-IP-Adresse nicht mehr nutzen dürfen.
Abhilfe:
Deaktivieren Sie den Proxy-Server im Web-Browser. Beim Internet Explorer finden Sie die Einstellung unter
Extras/Internetoptionen/Verbindungen/Ihr Provider/Einstellungen bzw.
Extras/Internetoptionen/Verbindungen/LAN-Einstellungen/Einstellungen .
Die Optionen "Proxyserver für diese .... verwenden" sowie die beiden Optionen unter "automatische Konfiguration" dürfen nicht aktiviert sein.
Bei der Installation erscheint die Fehlermeldung
"The vpn client agent was unable to create the interprocess communication depot."
Bitte deaktivieren Sie am Rechner InternetConnectionSharing als Dienst bzw. auf ALLEN Netzwerkadaptern.
Siehe dazu folgende Hinweise im Internet:
http://www.lrz.de/fragen/faq/vpn/vpn37/
http://kb.wisc.edu/helpdesk/page.php?id=12713
Verbindung wird aufgebaut; Datenbanken können im Web-Browser aber trotzdem nicht genutzt werden
Überprüfen Sie mit Ihrem Web-Browser ob Sie tatsächlich eine IP-Adresse der Uni-Innsbruck bekommen. Besuchen Sie dazu die Web-Seite
http://checkip.dyndns.org/
Ihr Browser sollte als "Current IP Address:" eine IP-Adresse des VPN-Pools der Uni Innsbruck liefern. Diese Adressen beginnen alle mit 138.232.7. bzw. 138.232.8. . Der letzte Block wird dynamisch beim Verbindungsaufbau zugewiesen.
Stimmt die Adresse überein, liegt vermutlich ein Problem mit der speziell von Ihnen genutzten Datenbank vor.
Bekommen Sie eine komplett andere Adresse angezeigt, stimmt irgendetwas mit Ihren Routing-Einstellungen am PC nicht, oder Sie haben einen falschen Proxyserver in Ihrem Browser konfiguriert. Die Datenpakete wandern dann in Wirklichkeit nicht über die VPN-Verbindung zur Universität und von dort weiter, sondern über einen anderen Kanal, was den Datenbankanbieter veranlasst, Ihre Anfrage mangels Berechtigung abzuweisen.
Abbruch VPN-Verbindung nach ca. 1 Min, Fehlermeldung MTU-Size
Der Klient meldet nach ca. einer Minute:
„Client’s MTU configuration sent from the secure gateway is too small. A value of at least 1280 is required in order to tunnel IPv6 traffic. Please contact the network administrator.”
Bitte korrigieren Sie die Einstellungen Ihres Netzinterfaces laut unserer Anleitung MTU-Size korrigieren .
Erstellen einer DART (Diagnostic and Reporting Tool) Datei
Sollten alle Lösungsversuche scheitern, können Sie uns eine DART-Datei zusenden.
Zum Erstellen der Datei gehen Sie wie folgt vor:
Klicken Sie auf das Einstellungen-Symbol (Rad am unteren Rand des AnyConnect-Klienten) und wählen Sie dann "Diagnostics".
Beim ersten Aufruf wird die notwendige Software auf Ihren PC geladen und ausgeführt.
Die bei der Diagnose entstehende Datei speichern Sie auf Ihrem Desktop und senden diese dann nach innet-admin@uibk.....