SSL VPN mit Cisco AnyConnect Client

Mit dem Cisco AnyConnect SSL VPN Client werden auch 64-Bit Windows Betriebsysteme unterstützt. Empfohlen für Windows 10, Windows 8.1/8, Windows 7, Vista, Mac OS X Snow Leopard bis Yosemite.

Ab Version 3 wird der AnyConnect VPN Client von Cisco als AnyConnect Secure Mobility Client bezeichnet. Im folgenden Text bezieht sich AnyConnect Client auf beide Versionen. Unter Windows ist dabei unter anderem die Benutzeroberfläche neu gestaltet worden. Mit dem AnyConnect SSLVPN Client können Nutzer von Windows und Mac OS X, Linux sowie Windows Mobile eine VPN-Verbindung herstellen.

Der Cisco AnyConnect Client und der Cisco IPsec Client verwenden verschiedene Protokolle. Nutzer, die mit dem IPsec-Client Verbindungen zu verschiedenen anderen Einrichtungen aufbauen, sollten vorher in Erfahrung bringen, ob der AnyConnect-Client dort auch unterstützt wird.

Betriebsysteme:

  • Windows 10: AnyConnect 3.1MR10 (3.1.10010) und neuer läuft mit Windows 10. Wird von Windows 7/8/8.1 aktualisiert, soll vorher der neueste Client installiert werden. Alternativ kann man  den Client vor der Aktualisierung deinstallieren und ihn danach neu installieren.
  • Windows 8.1, 8, 7, Vista, Windows Mobile (unterstützte Geräte in den Releasenotes unten). Der in Windows integrierte VPN-Client kann sich nicht mit unserem VPN-Server verbinden. Vor der Aktualisierung auf Windows 8.1 wird empfohlen, den Client zu deinstallieren und danach neu zu installieren.

  • Mac OS X 10.11 (El Capitan): AnyConnect 3.x wird von Cisco _nicht_ mehr offiziell unterstützt. Bei Problemen, den integrierten Client verwenden.(Info)
  • Mac OS X Snow Leopard, Lion und Mountain Lion auch in 64bit, Snow Leopard, Lion Mountain Lion, Mavericks und Yosemite funktionieren mit AnyConnect besitzen zudem einen integrierten Cisco VPN-IPsec-Client (Info)

  • Linux, bei 64Bit Versionen müssen Libraries nachinstalliert werden (siehe Releasenotes unten)
  • Android im Android Store:  https://play.google.com/store/search?q=anyconnect&c=apps

Installation:

  • Benötigte Zertifikate überprüfen und ggf. installieren
  • Mit dem Browser auf die Seite https://asa-cluster.lrz.de gehen.
  • Benutzerkennung und Passwort eingeben
  • Danach wird bei aktiviertem Java automatisch das Betriebsystem erkannt und der Download des Clients gestartet. Für die Erstinstallation sind Administratorrechte nötig.
  • Nach der Installation wird die Verbindung sofort aufgebaut. Über das Tray (Windows) oder die Menüleiste (Mac OS X, Linux) kann der Client in den Vordergrund gebracht werden.
  • Funktioniert die automatische Installation nicht, kann der Client über den Link im Browser heruntergeladen und manuell installiert werden. Im Feld "Connect to:" muss dann asa-cluster.lrz.de eingegeben werden. Bei Windows muss man Internet Connection Sharing (ICS) deaktivieren.
  • Danach kann der Client über das Programm-Menü gestartet werden. Local-LAN-Access kann über das Preferences-Menü aktiviert werden.

Wichtig:

Bitte überprüfen Sie, ob Sie die für die SSL-Verbindung benötigten Zertifikate installiert haben. Beim Aufruf der Seite https://asa-cluster.lrz.de darf im Browser keine Fehlermeldung erscheinen. Falls doch eine Fehlermeldung erscheint, können die benötigten Zertifikate Deutsche Telekom Root CA 2, DFN-Verein PCA Global - G01 und LRZ-CA - G01, wie unter http://www.lrz.de/services/pki/certs/index.html beschrieben, installiert werden. Da die Zertifikate auf einem externen Webserver liegen, sind sie hier als Kopien abgelegt:

 

Name (CN des CA Zertifikats)

Firma
(O and OU des CA Zertifikats)

gültig
bis

crt

Deutsche Telekom Root CA 2

Deutsche Telekom AG
T-TeleSec Trust Center

Juli  2019

crt DFN-Verein PCA Global - G01 DFN-Verein
DFN-PKI
Juni 2019
crt LRZ-CA - G01 Leibniz Computer Center
LRZ-CA
Jan. 2019

Die https://asa-cluster.lrz.de ist eine virtuelle Adresse, über die der AnyConnect Client auf einen der Server im Cluster (asa01.lrz.de, asa03.lrz.de, asa04,lrz.de, asa05.lrz.de) mit der geringsten Last umleitet.

Vorgehensweise für die Installation der Zertifikate:

Windows 8.1, 8, 7 und Vista:

Herunterladen der Zertifikate. Danach wird mit einem Doppelklick auf die Zertifikate nach Abnicken der Sicherheitswarnung das Zertifikat geöffnet. Durch Klicken auf den Reiter "Zertifizierungspfad" können Sie im Fenster Zertifizierungsstatus ablesen, ob das Zertifikat als gültig erkannt wird. Wenn nicht kann es im Reiter "Allgemein" importiert werden. Dazu klicken Sie auf "Zertifikat installieren"und folgen den Anweisungen des Zertifikatimport-Assistenten.

Linux:

Die Zertifikate müssen im Firefox Zertifikatsspeicher abgelegt werden. Das geschieht am einfachsten, indem man mit Firefox auf dieser Seite die lokalen Kopien oder unter http://www.lrz.de/services/pki/certs/index.html auf die entsprechenden Links klickt und den Import bestätigt. Falls dann immer noch der Fehler  "The following Certificate received from the Server could not be verified:..." beim Verbindungsaufbau erscheint, kann nach https://www.lrz.de/fragen/faq/vpn/vpn44/ vorgegangen werden.

Mac OS X:

Die Zertifikate müssen heruntergeladen und durch Doppelklick in den Schlüsselbund importiert werden.

Beta- und aktuellste Versionen:

Erfahrene Nutzer können aktuellste und  Beta-Versionen des AnyConncet Client über unser Download Portal im Abschnitt AnyConnect Client - neueste Beta... herunterladen.

Alternativen:

Für Linux und Mac OS X kann auch die Open Source Applikation OpenConnect verwendet werden. Diese ist z.B. ab Ubuntu Karmic (9.10) auch in den NetworkManager integriert.

Informationen von Cisco:

Release Notes für Version 2.3 von Cisco

Release Notes für Version 2.4 von Cisco

Release Notes für Version 2.5 von Cisco

Release Notes für Version 3.0 von Cisco

anyconnect-faqs.pdf von Cisco