Juniper VPN Client (Uni und HS Regensburg)

Überblick

Eine VPN-Verbindung (Virtual Private Network) ermöglicht von einem beliebigen Internetanschluss aus einen sicheren, verschlüsselten Zugang zum Datennetz der Universität Regensburg. Ihr PC erhält dabei eine  IP-Adresse der Universität Regensburg, dadurch können Sie alle innerhalb des Uni-Datennetzes angebotenen Leistungen (Bibliotheksdienste, Zugriff auf Fileserver etc.) auch von außen aus nutzen.

Das Rechenzentrum hat im Frühjahr 2010 eine VPN-Lösung der Firma Juniper beschafft, welche die bisherige Lösung von Cisco ersetzt. Zur Nutzung unseres VPN Zugangs benötigen Sie wie bisher (Cisco) eine Client-Software, Windows-Bordmittel (L2TP over IPsec) werden nicht unterstützt. 

Installation

Der Hersteller sieht für die Installation des Clients einen webbasierten Installer (über Active-X oder Java) vor, der nach Aufruf der Einstiegsseite (https://sslgate.uni-regensburg.de/) und Anmeldung mit dem RZ-Account gestartet wird. Aus Sicherheitsgründen - zur Installation sind administrative Rechte erforderlich - und um und Problemen bei der "online"-Installation vorzubeugen, empfehlen wir für die Erstinstallation, den Client unter Windows ausschließlich offline zu installieren:

Download Juniper VPN Client 7.1.0 URRZ-Edition: JuniperVpnClient.exe (7.1 R3 Build 18671, 8.8.2011)

Unser Installationspaket weist folgende Merkmale auf:

• Eignung für alle 32- und 64-Bit Windows Versionen ab Windows 2000.
• Kein Active-X oder Java für die Installation erforderlich.
• Unterstützung des Betriebs ohne administrativer Rechte - auch für das Self-Update des Clients.
• Vorkonfiguration für alle lokalen Benutzer - sofortiger Start auch aus dem Dateisystem möglich.

Falls Sie den VPN-Client bereits über das Webinterface installiert haben, der Juniper Setup Service jedoch noch nicht installiert ist (ohne diesen funktioniert das Self-Update des Clients mit Benutzerrechten nicht), genügt es, diesen Dienst nachzurüsten:

Download Juniper Setup Service: JuniperSetupServiceInstaller.exe (8.8.2011)

Nutzung

Der Juniper VPN Client kann wahlweise über einen Webbbrowser (URL für Uni Regensburg: https://vpn.uni-regensburg.de/, für HS Regensburg: https://vpn.hs-regensburg.de/ ) oder aber - nach der Installation - über Start -> Alle Programme -> Juniper Networks -> Network Connect 7.1.0 -> Network Connect gestartet werden. HS-Benutzer müssen dabei einmalig die Anmeldeseite umstellen und auf "Los" klicken.

Erklärung der Profile und typischer Verwendungszweck

• vpn_default (tunnel all):  Öffentlicher Standort
  Virtuelle IP-Adresse: 132.199.40.1 – 132.199.40.240. Der gesamte Netzwerkverkehr wird verschlüsselt über das Netz der Uni-Regensburg geroutet. Bei aktiver VPN-Verbindung ist der Client NICHT mehr über seine lokale IP-Adresse erreichbar, sondern nur noch über die virtuelle IP-Adresse. Die Default Route geht über die Uni Regensburg.
   
• vpn_profil1 (allow local lan):  Zu Hause - Standardprofil für HS Regensburg
  Virtuelle IP-Adresse: 132.199.41.1 – 132.199.41.240. Wie Tunnel All, jedoch kann der Client lokale IP-Adressen aus seinem Netz erreichen. Beispiel: Ein Client bekommt  zu Hause eine  Uni-IP-Adresse, kann aber auch andere lokale IP-Adressen (z.B. privater Drucker oder Zweit-PC) direkt erreichen. Alle übrigen Adressen werden über das Netz der Uni-Regensburg geroutet. Die Default Route geht über die Uni Regensburg.
   
• vpn_profile2 (TunnelCampusOnly): VPN nur für Verbindungen zur Uni Regensburg
  Virtuelle IP-Adresse: 132.199.42.1 – 132.199.42.240. Nur die Adressen der Uni-Regensburg ( 132.199.0.0 und 194.94.155.0) werden verschlüsselt und direkt
  zu uns geleitet. Alle übrigen Adressen werden lokal geroutet. Die Default Route geht über Ihren Provider.
   
• vpn_web (SSL Proxy): VPN nur über Webbrowser
  Virtuelle IP-Adresse: 132.199.43.251 – 132.199.43.252. Diese Profil ist nur sinnvoll, wenn Sie die VPN-Verbindung über einen Webbrowser starten. Über den lokalen Webbrowser wird mit https der Zugang auf geschützte Webseiten am Campus ermöglicht.

Nach dem Start und erfolgreichem Login prüft der VPN Client, ob serverseitig eine neuere Client-Version als die lokale installierte verfügbar ist und bietet diese ggfls. zur Installation an. Nachdem die VPN Verbindung aufgebaut wurde, erscheint das Network Connect Fenster und zeigt Ihnen die Verbindungsdaten:

Ein Klick auf "Minimieren" verkleinert das Fenster zu einem Symbol im Benachrichtigungsbereich in der Taskleiste.

Probleme und Fehler

• Fehlfunktion beim Einsatz in unserem WLAN basic.uni-regensburg.de (früher unifunk1):
  Wenn Sie eine Netzwerkverbindung zu unserem ungesicherten WLAN basic.uni-regensburg.de (früher unifunk1) hergestellt haben und versuchen, den Juniper-VPN-Client zu starten, zeigt dieser minutenlang keine Reaktion.
  Ursache: Die erforderliche Zertifikats-Sperrlisteninformation kann im WLAN basic.uni-regensburg.de prinzipbedingt - da (noch) keine Konnektivität zum Internet hin  besteht - nicht bezogen werden.
  Abhilfe: Verwenden Sie das WLAN basic.uni-regensburg.de bitte nur noch zur Rechneranmeldung und nicht mehr für VPN-Verbindungen. Verwenden Sie für WLAN Verbindungen nach der Anmeldung bitte nur noch secure.uni-regensburg.de. In diesem sicheren Funknetz ist überdies kein VPN-Client erforderlich.
   

• Client-Aktualisierung meldet "Sie haben kein Berechtigung...":
  Beim Verbindungsaufbau wird geprüft, ob serverseitig eine neuere Client-Version vorliegt. Ist dies der Fall, wird Client automatisch aktualisiert. Dabei werden fehlenden administrative Rechte nicht angefordert und stattdessen eine Fehlermeldung ausgegeben. Abhilfe: Aktualisieren Sie den Client einmalig über unser Installationspaket oder rüsten Sie den Juniper Setup Service nach.
   

• Periodischer Verbindungsabbruch (ca. alle 10s) bei Versionen <= 6.5R3:
  Der Fehler kann unter Windows XP SP3 auftreten, er zeigt sich insbesondere in unserem Windows XP Standardimage. Ursache ist die beim virtuellen Netzwerkadapter des VPN-Clients aktivierte 802.1X Authentifizierung (802.1X Authentifizierung für kabelgebundene Netzwerke). Die Deaktivierung der 802.1X Authentifizierung an diesem Adapter beseitigt das Problem nach den bisherigen Erfahrungen. In unserem Client-Installationspaket ist diese Korrektur enthalten.
   

• Andere Verbindungsabbrüche mit Fehlercode 23711:

  • Network Connect error nc.windows.app.23711 after installing Flash CS3 or iTunes
    Lösung: Deinstallieren Sie den Apple Bonjour-Dienst (empfohlen) oder aktualisieren Sie ihn auf eine neuere  Version wie oben angegeben.
    Deinstallationsanleitung:  Windows 7 Fehler: IPv4 Standardgateway 0:0:0:0
     

  • How to troubleshoot nc.windows.app.23711
     

• Fehlermeldung 23712 beim Start des VPN CLients
  Receiving the error "nc.windows.app.23712" when launching Network Connect.
  Entfernen Sie nach der Deinstallation der Juniper VPN  Softeware (2 - 3 Einträge in der Liste installierter Programme) über den Gerätemanager einen gglf. noch vorhandenen virtuellen Netzwerkadapter (Name: "Network Connect Adapter"). Unter Windows XP ist dieser Adapter standardmäßig ausgeblendet und muss ggfls. über Ansicht -> Ausgeblendete Geräte anzeigen zuerst eingeblendet werden.
   

• Nach einer kurzzeitigen Unterbrechung der Netzwerkverbindung (z.B. im WLAN) ist die VPN-Verbindung nicht mehr aktiv.
  Dies ist ein Fehler in der Version 6.5R3. Der Test unter Version R4 steht noch aus.

Fragen und Antworten

• Kann der Juniper VPN Client parallel zu einem vorhandenen Cisco- oder Shrew-Client installiert werden?
  Ja, im Normalfall ist dies problemlos möglich.
   

• Kann bzw. darf  das Client-Installationspaket - z. B. in Fehlerfällen - ohne vorherige Deinstallation erneut installiert werden?
  Ja, das Installationspaket führt vor der Installation automatisch eine eventuell erforderliche Deinstallation vorhandener Software aus.
   

• Nach der Client-Installation sowie nach jedem Start des VPN-Client läuft ein Programm mit Namen "JuniperSetupClient.exe" im Kontext des angemeldeten Benutzers und lauscht auf Port 3333.
  Dies scheint ein korrektes Verhalten der Juniper VPN Software zu sein.
   

• Welche Ports verwendet die Juniper VPN Client Software?
  TCP Port 443 (https), UDP Port 500 (IKE), UDP Port 4500 (IPsec NAT Traversal) und Port 4242 loopback
   

• Network Connect: How do I check if the software installed on my client station is preventing access?
  Third-Party Firewalls können eine Fehlfunktion des Juniper VPN Clients hervorrufen. Wir empfehlen, ausschließlich die in Windows XP und höher standardmäßig vorhandene und aktivierte Windows-Firewall zu verwenden. 
   

• Warum zeigt der Client ein leeres Fenster (keine URL eingetragen), wenn die Installation über Ausführen -> Als gestartet wurde (z. B. Ausführen als Administrator unter Windows 7)?
  Die Fa. Juniper verwendet für einen Teil der Client-Komponenten ein "per User"-Setup, es ist kein "all User"-Setup verfügbar. Unser Installationspaket beseitigt dieses Problem.
   

• Warum bricht der Client alle 10s die Verbindung ab ?
  Dies war ein bekannter Fehler in einer älteren Version. Die häufigste Ursache (Problem unter Windows XP SP3) wird bei der Installation über unser Client-Installationspaket korrigiert. Siehe "Probleme und Fehler" weiter oben. Bitte wiederholen Sie die Installation über unser Installationspaket.

Aktualisierungen

• 5.9.2011 Installationspaket in Version 7.1R3 vom 8.8.2011 aktualisiert.
   

• 21.4.2011 Installationspaket aktualisiert: Zertifikat und Profil für HS Regensburg hinzugefügt. URL "sslgate.uni-regensburg.de" in "vpn.uni-regensburg.de" geändert (bisherige URL ist weiterhin gültig) .
   

• 25.8.2010 Installationspaket aktualisiert: Version 6.5R6 (16339). Zertifikatskette für das sslgate-Zertifkat hinzugefügt, ggfls. nicht vorhandene Zertifikate werden installiert.
   

• 5.7.2010 Installationspaket aktualisiert: Version 6.5R5 (15991).
   

• 21.6.2010 Installationspaket aktualisiert (JuniperSetupServiceInstaller hinzugefügt): Der Client kann sich jetzt auch beim Betrieb mit eingeschränkten Benutzerrechten selbst aktualisieren.
   

• 20.5.2010: Client in Version 6.5R4 Build 5551 aktualisiert (Release Notes). Das APPDATA-Verzeichnis bliebt unverändert "Network Connect 6.5.0". Das Verbindungsabbruchproblem unter WinXP SP3 (802.1X) scheint behoben zu sein. 802.1X am virtuellen Juniper Adapter wird in unserem Paket vorsichtshalber weiterhin deaktiviert.
   

• 10.5.2010: Unser Installationspaket junipervpnclient.exe installiert den Client jetzt für alle Benutzer, es kann wahlweise als Administrator, Benutzer oder über Ausführen -> Als gestartet werden. Der benutzerspezifische Programmteil wird beim ersten Aufruf (nach Login) automatisiert installiert.

---

Wolfram Oestreicher,  26.4.2010, letzte Änderung: 5.9.2011