SSL VPN mit Cisco AnyConnect Client

Mit dem AnyConnect SSLVPN Client können Nutzer von Windows und Mac OS X, Linux sowie Windows Mobile eine VPN-Verbindung herstellen.Dazu muss einmalig auf dem Rechner das Programm Cisco AnyConnect Secure Mobility Client auf Ihrem Rechner installiert werden. Wie das funktioniert, wird in diesem Artikel beschrieben. Empfohlen für Windows 10, Windows 8.1/8, Windows 7, Vista, Mac OS X Mavericks bis Sierra.

1. Wie installiere ich das Programm auf meinem Rechner?

Das Programm Cisco AnyConnect Secure Mobility Client kann direkt auf jedem Rechner mit Internetzugang installiert werden.

  • Gehen Sie im Webbrowser Ihrer Wahl auf die Seite https://asa-cluster.lrz.de.
  • Geben Sie Ihre Kennung und Ihr Passwort ein.
  • Das Programm installiert sich selbst und baut die VPN-Verbindung auf.
  • Dieser Vorgang muss nur einmal durchgeführt werden, danach rufen Sie das Programm Cisco AnyConnect Secure Mobility Client auf Ihrem Rechner auf.

2. Wie installiere ich das Programm auf meinem Smartphone?

3. Die Anmeldung klappt nicht!

  • Ihre Kennung muss für VPN berechtigt sein, das gilt für Mitarbeiter und Studenten, nicht aber für Alumni.
  • Eduroamkennungen der Form ba12ced@eduroam.mwn.de sind nicht VPN-berechtigt, verwenden Sie da einfach den teil vor dem @: ba12ced.
  • Eduroamkennungen externer Einrichtungen sind nicht berechtigt.

4. Die Installation funktioniert nicht. Was kann ich tun?

Für eine fehlgeschlagene Installation gibt es verschiedene Gründe, bei den meisten kann man sich selbst helfen.

4.1 Java wird nicht gefunden oder kann nicht aktiviert werden.

Es erscheint bei der Installation im Browserfenster nach der Meldung "Attempting to use Java" die Fehlermeldung Web-based Installation was unsuccessful...

  • Klicken Sie auf den Link unter Install using the link below. Damit wird das Installationsprogramm in den Downloadordner Ihres Rechners heruntergeladen.
  • Starten Sie das Installationsprogramm von Hand.
  • Starten Sie den Client, indem Sie das Programm Cisco AnyConnect Secure Mobility Client aufrufen.
  • In das Feld Connect to schreiben sie asa-cluster.lrz.de und klicken auf connect.

4.2 Mein Betriebsystem wird nicht unterstützt!

Es werden die aktuellen Betriebsysteme unterstützt. Alte Systeme, die auch von den Herstelleren nicht mehr aktualisiert werden werden nicht unterstützt.

  • Windows 10: Wird von Windows 7/8/8.1 aktualisiert, soll vorher der neueste Client installiert werden. Alternativ kann man  den Client vor der Aktualisierung deinstallieren und ihn danach neu installieren.
  • Windows 8.1, 8, 7, Vista, Windows Mobile (unterstützte Geräte in den Releasenotes unten). Vor der Aktualisierung auf Windows 8.1 wird empfohlen, den Client zu deinstallieren und danach neu zu installieren. (Der in Windows integrierte VPN-Client kann sich nicht mit unserem VPN-Server verbinden.)

  • OS X 10.12 (Sierra), Mac OS X 10.11 (El Capitan), Mac OS X 10.10 (Yosemite) und Mac OS X 10.9 (Mavericks) funktionieren mit AnyConnect, sie besitzen zudem einen integrierten Cisco VPN-IPsec-Client (Info)
  • Mac OS X 10.8 (Mountain Lion) und älter werden von der aktuellen Version 4.3 des AnyConnect nicht mehr unterstützt. Entweder das veraltete Betriebsystem aktualisieren oder Version 3.x über das Downloadportal installieren und den Client mit der Gruppe "AnyConnect+NoUpdate" verwenden. Alternativ bei Problemen den integrierten Client verwenden.(Info)

  • Linux, Version 4.3 untersützt nur noch 64Bit Versionen (siehe Releasenotes unten)
  • Android im Android Store:  https://play.google.com/store/search?q=anyconnect&c=apps

4.3 Der Installationsvorgang bricht bei Windows ab.

Bei Windows muss man Internet Connection Sharing (ICS) deaktivieren.

4.4 Es kommt die Fehlermeldung: Diese Verbindung ist nicht sicher

Das kann daran liegen, dass das entsprechende Zertifikat nicht installiert ist. Normalerweise tritts dieser Fall bei aktuellen Systemen sehr selten auf.

Bitte überprüfen Sie, ob Sie die für die SSL-Verbindung benötigten Zertifikate installiert haben. Beim Aufruf der Seite https://asa-cluster.lrz.de darf im Browser keine Fehlermeldung erscheinen. Das Wurzelzertifikat T-Telesec GlobalRoot Class 2 ist auf allen aktuellen Betriebsystemen schon vorinstalliert. Falls doch eine Fehlermeldung erscheint, können die benötigten Zertifikate  T-Telesec Globalroot Class 2, DFN-Verein Global Issuing CA und DFN-Verein Global Issuing, wie unter http://www.lrz.de/services/pki/certs/index.html beschrieben, installiert werden. Da die Zertifikate auf einem externen Webserver liegen, sind sie hier als Kopien abgelegt:

 

Name (CN des CA Zertifikats)

Firma
(O and OU des CA Zertifikats)

gültig
bis

crt

T-TeleSec GlobalRoot Class 2

T-Systems Enterprise Services GmbH
T-Systems Trust Center

Oktober 2033

crt DFN-Verein Certification Authority 2 Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.
DFN-PKI
Februar 2031
crt DFN-Verein Global Issuing CA Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.
DFN-PKI
Februar 2031

Vorgehensweise für die Installation der Zertifikate:

Windows 8.1, 8, 7 und Vista:

Herunterladen der Zertifikate. Danach wird mit einem Doppelklick auf die Zertifikate nach Abnicken der Sicherheitswarnung das Zertifikat geöffnet. Durch Klicken auf den Reiter "Zertifizierungspfad" können Sie im Fenster Zertifizierungsstatus ablesen, ob das Zertifikat als gültig erkannt wird. Wenn nicht kann es im Reiter "Allgemein" importiert werden. Dazu klicken Sie auf "Zertifikat installieren"und folgen den Anweisungen des Zertifikatimport-Assistenten.

Linux:

Die Zertifikate müssen im Firefox Zertifikatsspeicher abgelegt werden. Das geschieht am einfachsten, indem man mit Firefox auf dieser Seite die lokalen Kopien oder unter http://www.lrz.de/services/pki/certs/index.html auf die entsprechenden Links klickt und den Import bestätigt. Falls dann immer noch der Fehler  "The following Certificate received from the Server could not be verified:..." beim Verbindungsaufbau erscheint, kann nach https://www.lrz.de/fragen/faq/vpn/vpn44/ vorgegangen werden.

Mac OS X:

Die Zertifikate müssen heruntergeladen und durch Doppelklick in den Schlüsselbund importiert werden.

5. Das Programm startet nicht! Was kann ich tun?

Linux:

Hier kann es passieren, dass das GUI des Anyconnect nicht starten will. Startet man den AnyConnect-Client im Terminal mit

/opt/cisco/anyconnect/bin/vpnui

und erhält dann eine Fehlermeldung, dass bestimmte Bibliotheken nicht geladen werden können, müssen diese nachinstalliert werden. Aktuell handelt es sich um libpangox die bei neueren Linux-Installationen nicht mehr standardmäßig dabei ist.

6. Manuelle Installation

  • Gehen Sie auf das Downloadportal https://www.lrz.de/services/netz/mobil/vpnclient
  • Melden Sie sich an
  • Laden Sie das Installationsprogramm für Ihr Betriebsystem. Damit wird das Installationsprogramm in den Downloadordner Ihres Rechners heruntergeladen.
  • Starten Sie das Installationsprogramm von Hand.
  • Starten Sie den Client, indem Sie das Programm Cisco AnyConnect Secure Mobility Client aufrufen.
  • In das Feld Connect to schreiben sie asa-cluster.lrz.de und klicken auf connect.

7. Beta- und aktuellste Versionen:

Erfahrene Nutzer können aktuellste und Beta-Versionen des AnyConncet Client über unser Download Portal herunterladen.

8. Alternative Programme:

Für Linux und Mac OS X kann auch die Open Source Applikation OpenConnect verwendet werden. Diese ist z.B. ab Ubuntu Karmic (9.10) auch in den NetworkManager integriert.

9. Informationen von Cisco:

Release Notes für Version 2.3 von Cisco

Release Notes für Version 2.4 von Cisco

Release Notes für Version 2.5 von Cisco

Release Notes für Version 3.0 von Cisco

Release Notes für Version 4.3 von Cisco

anyconnect-faqs.pdf von Cisco