You are on page 1of 192

Table of Contents

1 Account-Systematik..........................................................................................................................................................................................................1
1.1 Folgende Benutzernamen werden an der Fernuniversitt fr Studierende verwendet:...................................................................................1
2 Accounts nach Exmatrikulation.......................................................................................................................................................................................2
3 Bibliotheks-Account..........................................................................................................................................................................................................3
4 Bibliotheksdienste.............................................................................................................................................................................................................4
5 Cisco IPSEC VPN Client - Installation..............................................................................................................................................................................5
6 hier Ebsco.......................................................................................................................................................................................................................10
7 Definition der Begriffe rund um die Identitt.................................................................................................................................................................11
8 DFN-Global Zertifikat.......................................................................................................................................................................................................12
9 DFN-Roaming - Was ist das?..........................................................................................................................................................................................14
10 DFN-Roaming Probleme an einigen Standorten.........................................................................................................................................................15
11 DFNRoaming..................................................................................................................................................................................................................16
12 DNS - Domain Name System........................................................................................................................................................................................17
12.1 Eintrge an der FernUni...............................................................................................................................................................................17
12.2 DNS Server..................................................................................................................................................................................................17
12.3 Client Konfiguration......................................................................................................................................................................................17
13 Eduroam.........................................................................................................................................................................................................................19
13.1 Die FernUniversitt bietet "eduroam" an......................................................................................................................................................19
13.2 Einrichtung....................................................................................................................................................................................................19
14 Eduroam - bentigte Software......................................................................................................................................................................................20
15 Eduroam - Linux............................................................................................................................................................................................................23
16 Eduroam - technische Beschreibung..........................................................................................................................................................................29
16.1 1. Schritt: EAP-Tunnelaufbau.......................................................................................................................................................................29
16.2 2. Schritt: Login mit UserID und Kennwort...................................................................................................................................................29
16.3 Zusammenfassung der notwendigen Einstellungsparameter:......................................................................................................................29
16.4 Besonderheit bei Microsoft-basierten Endgertenin Verbindung mit eduroam............................................................................................30
17 Eduroam - technische Hinweise...................................................................................................................................................................................31
18 Eduroam - Windows 7...................................................................................................................................................................................................32
19 Eduroam - Windows 8...................................................................................................................................................................................................44
20 Eduroam - Windows XP................................................................................................................................................................................................54
21 Eduroam mit Android Geraeten...................................................................................................................................................................................61
22 Eduroam mit Windows-Notebooks und WLAN Intel Chipsatz...................................................................................................................................62
23 Eduroam unter MAC OS.X 10.6 (Konfiguration)..........................................................................................................................................................67
24 Eduroam unter MAC OS.X 10.7 und iOS......................................................................................................................................................................68
25 Eingeschrnkter Internetzugang in Gefngnissen.....................................................................................................................................................72
26 Email-Adresse im Wiki besttigen...............................................................................................................................................................................73
27 Empfehlung zur IT-Ausstattung fr Studierende........................................................................................................................................................74
28 FAQ fr Zertifikate.........................................................................................................................................................................................................75
29 Fehlermeldungen und Warnungen des VPN-Clients..................................................................................................................................................76
30 Fehlernummern bei DF-Verbindungsproblemen......................................................................................................................................................84
31 Fernuni-Identity-Management (FIM).............................................................................................................................................................................85
32 FIM-Projekt - aktueller Stand........................................................................................................................................................................................86
32.1 Aktuelle Meldungen zum Stand des Projektes Fernuni-Identity-Management (FIM)...................................................................................86
33 Firefox zurcksetzen.....................................................................................................................................................................................................88
34 Firefox-Masterpasswort................................................................................................................................................................................................90
35 FU-CAMPUS - Vouchers................................................................................................................................................................................................91
35.1 Allgemeines zu Vouchers.............................................................................................................................................................................91
35.2 Benutzung eines Vouchers...........................................................................................................................................................................91
35.3 Ergnzende Informationen zu Vouchers......................................................................................................................................................92
35.4 Ausgabe von Vouchers................................................................................................................................................................................92

Table of Contents
36 FU-Campus Zertifikatsfehler.........................................................................................................................................................................................93
37 FUNet nicht erreichbar..................................................................................................................................................................................................94
38 FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7..............................................................................................................................................95
38.1 Speichern des Passworts.............................................................................................................................................................................97
38.2 Authentifizierungsprobleme..........................................................................................................................................................................98
39 Generalpasswort - Kennwort (Unterschied)................................................................................................................................................................99
40 Google Chrome Browser............................................................................................................................................................................................100
41 Gruppenpasswort wiederherstellen...........................................................................................................................................................................101
42 Hinweis zur Windows-Systemwiederherstellung.....................................................................................................................................................102
43 ICS (Internet Connection Sharing) und VPN-Probleme unter Windows XP...........................................................................................................103
44 Installation des VPN-Clients unter Kubuntu Linux 7.04 (feisty)..............................................................................................................................104
45 Installation des VPN-Clients unter Mac OS 10.4 (Tiger)...........................................................................................................................................106
46 Installation von Zertifikaten mit Internet Explorer 8.................................................................................................................................................108
47 Installation von Zertifikaten mit Internet Explorer 8 unter Windows 7...................................................................................................................109
48 Installation von Zertifikaten mit Internet Explorer 8 unter Windows Vista.............................................................................................................116
49 Installation von Zertifikaten mit Internet Explorer 8 unter Windows XP................................................................................................................123
50 8.1..................................................................................................................................................................................................................................124
51 Installation von Zertifikaten mit Opera......................................................................................................................................................................131
52 Installation von Zertifikaten mit Safari.......................................................................................................................................................................132
53 Kennwort vergessen...................................................................................................................................................................................................133
54 Kennwort-Regeln.........................................................................................................................................................................................................134
55 Kndigung des Accounts bei dfn@home.................................................................................................................................................................135
56 Linux: VPN Client und Profildateien..........................................................................................................................................................................136
56.1 Software.....................................................................................................................................................................................................136
56.2 vpnc............................................................................................................................................................................................................136
56.3 openconnect...............................................................................................................................................................................................137
56.4 Fehlerbehebung.........................................................................................................................................................................................138
57 MacOS: Update des Cisco VPN-Clients.....................................................................................................................................................................139
58 Newsletter-Passwort fr Beschftigte der Fernuni..................................................................................................................................................140
59 Performance-Probleme beim Zugriff auf Server-Laufwerke via VPN......................................................................................................................141
60 Portsperrungen............................................................................................................................................................................................................142
60.1 Port Sperrung im Internet...........................................................................................................................................................................142
61 STZ................................................................................................................................................................................................................................143
62 Probleme mit anyconnect...........................................................................................................................................................................................144
62.1 Inhaltsverzeichnis.......................................................................................................................................................................................144
63 Profile fehlen................................................................................................................................................................................................................146
64 Profile importieren.......................................................................................................................................................................................................147
65 Profilgruppen und ihre Bedeutung............................................................................................................................................................................148
66 Roaming mit Fernuni-Account...................................................................................................................................................................................149
67 Routerprobleme analysieren......................................................................................................................................................................................163
68 Routerprobleme mit VPN............................................................................................................................................................................................164
69 Sinn und Zweck des Fernuni-Accounts....................................................................................................................................................................165
70 UB-Datenbanken: hier WISO-NET und Absatzwirtschaft.........................................................................................................................................166
71 UB-Datenbanken: hier WISO-NET und BGH-Edition................................................................................................................................................167
72 Vorgehen bei Zertifikatsproblemen...........................................................................................................................................................................168
73 Windows 7....................................................................................................................................................................................................................169

ii

Table of Contents
74 VPN unter Android.......................................................................................................................................................................................................170
75 VPN unter Ubuntu........................................................................................................................................................................................................172
75.1 Ubuntu 10.10..............................................................................................................................................................................................172
75.2 Ubuntu 12.04..............................................................................................................................................................................................172
75.3 Ubuntu 14.04..............................................................................................................................................................................................173
76 VPN-Client: Fehlermeldungen und Lsungen..........................................................................................................................................................175
76.1 Inhaltsverzeichnis.......................................................................................................................................................................................175
76.2 412: The remote peer is no longer responding...........................................................................................................................................175
76.3 414:Failed to establish a TCP connection..................................................................................................................................................175
76.4 442: Failed to enable virtual adapter..........................................................................................................................................................176
76.5 Alternative: anyconnect..............................................................................................................................................................................177
77 VPN-Clients mehrerer Anbieter..................................................................................................................................................................................178
78 VPN-Gateway nicht erreichbar...................................................................................................................................................................................179
79 VPN-Probleme - Cisco-Lsungen (FAQ) (englisch)..................................................................................................................................................180
80 WebVPN........................................................................................................................................................................................................................181
81 Xntp-Installation an der FernUni................................................................................................................................................................................182
81.1 Hinweise zur xntp-Installation an der FernUni............................................................................................................................................182
82 Zertifikate und Google Chrome..................................................................................................................................................................................183
82.1 Export aus Firefox......................................................................................................................................................................................183
83 Zugang zum Netzwerk ?FU-Campus? der FernUniversitt.....................................................................................................................................184
84 Zugang zum WLAN......................................................................................................................................................................................................186
85 Volltexten der Bibliothek.............................................................................................................................................................................................187
86 Zugriff auf lokales Netz bei bestehender VPN-Verbindung.....................................................................................................................................188
87 Zugriff auf UB-Datenbanken: hier WISO-NET und Absatzwirtschaft......................................................................................................................189

iii

1 Account-Systematik
1.1 Folgende Benutzernamen werden an der Fernuniversitt fr Studierende verwendet:
q1234567 ? (Die Ziffernfolge wird durch die Matrikelnummer ersetzt). Damit knnen Studierende z.B. folgende Anwendungen nutzen:
Virtueller Studienplatz, Moodle, Mails auf Mailstore, online-bungssystem, Prfungssystem, News, usw.

1.1.1 Folgende Benutzernamen werden an der Fernuniversitt fr Mitarbeitende verwendet:


Namensaccount - Beschftigte erhalten einen Namensaccount. Ein neuer Kollege namens Fritzchen Grbler bekme also z.B. den
Namensaccount gruebler.
Funktionsaccounts - Funktionsaccounts werden durch ein vorangestelltes f_ gekennzeichnet. Der Name des Accounts kann von dem
Antragsteller selbst vorgeschlagen werden. Zum Beispiel knnte das Lehrgebiet des Professor Grbler den Funktionsaccount f_lggruebler
erhalten.
Gastaccounts - Gste der Fernuni erhalten einen temporren Account, der durch ein vorangestelltes t_ gekennzeichnet ist. Der
nachfolgende Name des Accounts bildet sich aus dem Nachnamen des Gastes, sowie eventuell noch zustzlich aus den ersten Buchstaben
des Vornamens. Der Gast Herr Grbler bekme also zum Beispiel den Account t_gruebler.
Es ist zurzeit durchaus mglich, dass eine Person mehrere Benutzernamen besitzt.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

2 Accounts nach Exmatrikulation


Der Benutzername der Studierenden wird standardmig 90 Tage nach der Exmatrikulation gelscht!
Damit Ihre Studierenden-Daten nicht verloren gehen, sollten rechtzeitig folgende Dinge erledigt werden:
Mails sichern und evtl. neue Mailadresse verteilen
evtl. Homepage sichern
evtl. Daten vom Publikumsrechner Baobab sichern
Der Benutzername wird komplett gelscht und eine Rekonstruktion der Daten ist nicht mehr mglich!
In den 90 Tagen nach der Exmatrikulation knnen Sie noch auf alle Anwendungen aus Ihrem Studium im vollen Funktionsumfang zugreifen. Dazu
gehren zum Beispiel:
der Virtuelle Studienplatz
das online-bungssystem
Moodle
Prfungssystem
Webregis
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

3 Bibliotheks-Account
Der Account, den man in der Bibliothek zur Nutzung des ALEPH-Benutzerarbeitsplatzes und der digitalen Bibliotheken bentigt, ist nicht der
fernuni-weite Account q+Matrikelnummer. In der Bibliothek werden zur Zeit noch eigene Accounts verwaltet.
Einen Account knnen Sie hier
http://www.ub.fernuni-hagen.de/forms/zugangskennung.html
beantragen. Bitte beachten Sie, dass der Helpdesk Ihnen dazu keine weitere Hilfestellung geben kann. Wenden Sie sich bei Problemen bitte an die
genannten Ansprechpartner in der Bibliothek.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

4 Bibliotheksdienste
Die Bibliothek (UB) der Fernuniversitt betreibt Ihren eigenen Webauftritt unter http://www.ub.fernuni-hagen.de. Bei Fragen zu diesem Angebot schauen
Sie bitte zunchst in der Support-Datenbank der UB nach unter http://www.ub.fernuni-hagen.de/support/supportdb.html.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

5 Cisco IPSEC VPN Client - Installation


Windows XP, Vista, 7 (32-bit)
Nach dem Entpacken der selbstextrahierenden Archiv-Datei wird der Client durch Aufruf der vpnclient_setup-Anwendung installiert. Nach der
Installation des clients steht dieser im Verzeichnis c:\\programme\Cisco Systems\VPN Client zur Verfgung. Dort gibt es auch das Unterverzeichnis
Profiles. Weiter unten auf dieser Seite finden Sie unter Arbeiten mit dem VPN-Client eine Tabelle mit vorkonfigurierten Profilen. Bitte speichern Sie die
bentigte(n) Profile-Datei(en) (*.pcf) in ein Verzeichnis Ihrer Wahl durch Rechtsklicken auf die entsprechende Datei und anschlieendes Herunterladen.
Dann kopieren Sie die Datei(en) in das Profile-Verzeichnis. Natrlich knnen Sie die Datei(en) auch direkt in das \Profile Verzeichnis herunter laden.
Windows Vista, 7 (64-bit)
Nach dem Entpacken der selbstextrahierenden Archiv-Datei wird der Client durch Aufruf der vpnclient_setup-Anwendung installiert. Nach der
Installation des clients steht dieser im Verzeichnis c:\\programme\Cisco Systems\VPN Client zur Verfgung. Dort gibt es auch das Unterverzeichnis
Profiles. Weiter unten auf dieser Seite finden Sie unter Arbeiten mit dem VPN-Client eine Tabelle mit vorkonfigurierten Profilen. Bitte speichern Sie die
bentigte(n) Profile-Datei(en) (*.pcf) in ein Verzeichnis Ihrer Wahl durch Rechtsklicken auf die entsprechende Datei und anschlieendes Herunterladen.
Dann kopieren Sie die Datei(en) in das Profile-Verzeichnis. Natrlich knnen Sie die Datei(en) auch direkt in das \Profile Verzeichnis herunter laden.
Leider ist die Datei vpnclient_setup.pdf herstellerseitig nicht lesbar, bei Bedarf kann die Original-Dokumentation von cisco helfen.
Installation unter Windows
Fhren Sie die herunter geladene Datei aus und entpacken Sie die Installationfiles in ein Verzeichnis:

Im ausgewhlten Verzeichnis steht nun das Windows Installer-Paket als vpnclient_setup zur Verfgung, diese Anwendung fhren Sie bitte aus.

Die Lizenzbedingungen mssen akzeptiert werden, anschlieend wird das vorgeschlagene Installationsverzeichnis ausgewhlt, dann wird der client
installiert. Die Installation der aktuellen Version 5.0.07.0290 wird besttigt:

Arbeiten mit dem VPN-Client


Nach der Installation steht der Client noch ohne Profile (*.pcf-Connection Entries) im Startmenu zur Verfgung:

Nach dem Aufruf sieht das so aus:

Nun mssen Sie noch die gewnschte(n) Profildatei(en) herunter laden und in den client importieren. Die Unterschiede der einzelnen Profile finden Sie
in der folgenden Tabelle erlutert:
FU-VPN-BIB, FU-VPN-STUD
Bibliotheksrecherche mit Einzel-PC
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
FU-VPN-STUD-SPLIT
Standard-VPN-Zugang mit Einzel-PC
FU-VPN-STUD-SPLT-NAT
Standard-VPN-Zugang mit PC im Heimnetzwerk (mit Router)
Nach Mglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT (nicht fr Bibliotheksrecherche, s.u.) verwenden.
Der Zusatz SPLIT deutet jeweils darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermglichen die Nutzung
von lokalen Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Einige Bibliotheksrecherchen auf Datenbankebene erfordern den Einsatz des sogenannten ICA-Clients, der von den Seiten der UB herunter
geladen werden kann. Bei der Verwendung des ICA-Clients kann nicht mit SPLIT-Tunneling gearbeitet werden, hier sollten Sie eines der
Profile FU-VPN-BIB bzw. FU-VPN-BIB-NAT verwenden.
Die heruntergeladene Profildatei wird in den client importiert:

Nach dem erfolgreichen Import sieht das so aus:

Die VPN-Verbindung wird im Anschluss durch Klicken auf die Schaltflche Connect hergestellt. Die Authentifizierung erfolgt wie blich ber den
hochschulweiten Account und dem zugehrigen Passwort. Bei erfolgreicher Anmeldung erscheint in der Windows-Icon-Leiste der Bgel des gelben
Schlosses geschlossen, d.h. der VPN-Tunnel steht. Durch doppeltes Klicken der linken Maustaste kann das Client-Kontrollfenster geffnet werden. Die
genaue Funktionalitt und die Einstellmglichkeiten sind in der Helpfunktion (Help VPN Client) ausfhrlich beschrieben. Beendet wird die Verbindung
ber das Men Connection Entries / Disconnect im Client-Fenster, oder durch Rechtsklick auf das Schloss und Auswahl von Disconnect. Komplett
beendet wird der Client durch Auswahl von Exit VPN Client ber einen der oben beschrieben Wege.
Installation des Cisco IPSEC unter IOS
Das Cisco-VPN-Protokoll wird direkt von iOS (mindestens ab Version 3) untersttzt. Es ist demnach nicht ntig, eine App zu installieren.
Zur Konfiguration gehen Sie wie folgt vor:
Starten Sie das Programm ?Einstellungen? und whlen Sie dort nacheinander ?Allgemein?, ?Netzwerk?, ?VPN? und ?VPN hinzufgen?.

Abb. 1: Konfiguration der Authentifizierung


Am oberen Rand der Konfigurationsseite selektieren Sie ?IPSec?. Daraufhin fllen Sie das Formular darunter aus:
Unter ?Beschreibung? geben Sie der zu erstellenden Verbindung einen Namen. (Das Feld fehlt im Screenshot, da dort eine bestehende
Verbindung bearbeitet wird.)
Unter ?Server? geben Sie die IP-Adresse 132.176.101.101 ein.
Unter ?Account? geben Sie Ihren FernUni-Loginnamen ein.
Unter ?Kennwort? knnen Sie Ihr Kennwort speichern. Wenn Sie dies aus Sicherheitsgrnden nicht tun, werden Sie bei jedem
Verbindungsaufbau nach Ihrem Passwort gefragt.
Unter ?Gruppenname? und ?Shared Secret? geben Sie jeweils "FU-VPN-STUD-NAT" ein. (Tipp: Geben Sie den Text zunchst unter
?Gruppenname? ein und kontrollieren Sie, dass Ihnen kein Tippfehler unterlaufen ist. Dann knnen Sie die Eingabe markieren, kopieren und
im Feld ?Shared Secret? einfach einfgen.)
(Randnotiz: Neben der Eingabe der Daten direkt auf dem iPhone besteht auch die Mglichkeit, am Mac/PC mit dem kostenlosen Apple
iPhone-Konfigurationsprogramm ein Konfigurationsprofil zu erstellen und per E-Mail ans iPhone zu senden.)

Abb. 2: VPN aktivieren/deaktivieren


Nach der Einrichtung knnen Sie nicht nur im VPN-Untermen des Einstellungen-Programms, sondern auch direkt auf der Startseite der Einstellungen
VPN jederzeit aktivieren oder wieder deaktivieren.
Wenn VPN aktiv ist, wird der Status auch auerhalb des Programms ?Einstellungen? in der Statusleiste am oberen Bildschirmrand angezeigt.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

6 hier Ebsco
Das Problem:
Whlen Sie z.B. unter dem Menupunkt
Datenbanken/elektronische Angebote/Psychologie

bestimmte Journale aus und klicken anschlieend auf den Such-Link (http://search.ebscohost.com/...) ist WebVPN nicht in der Lage, das Ergebnis
darzustellen, die Abfrage bleibt ?hngen?.
Die Ursache:
Das VPN-Gateway kann die gewnschte Seite leider nicht korrekt darstellen. Beim Versuch, die Seite darzustellen, tritt ein sogenannter "stack-overflow"
auf. Tabellen oder Grafiken auf der gewnschten Seite knnen deshalb vom Gateway nicht richtig aufgebaut werden. Dieses Problem ist bekannt und
wird vielleicht wird mit einem neuen Software-Release behoben. Von unserer Seite aus kann das Problem leider nicht behoben werden.
Workaround:
Es muss auf den Anyconnect-Client ausgewichen werden. Dabei bitte die Gruppe "FeU-Hagen-SSL-VPN" verwenden, damit beim Seitenaufruf eine
FUNet-Adresse bermittelt wird.
Hinweise zur Installation des Anyconnect-Clients finden Sie hier: Installation des VPN-Clients unter Windows

10

7 Definition der Begriffe rund um die Identitt


Mit Einfhrung des FernUni-Identity-Managements werden neue (und alte) Begriffe verwendet, die folgende Bedeutung haben:
Benutzername = der Name, mit dem Sie Zugriff auf alle unsere IT-Systeme erhalten (statt bisher Benutzerkennung)
Kennwort = geheime Zeichen- und Ziffernfolge zum Schutz Ihres Benutzernamens (statt bisher Passwort). Die Regeln zur Bildung von
Kennwrtern finden Sie hier: Kennwort-Regeln
Account = Zusammenfassung von Benutzername und Kennwort (wie bisher)
Generalpasswort = 16 stellige zufllige Zeichen- und Ziffernfolge zum erstmaligen Einrichten Ihres Accounts. Das Generalpasswort wird aus
Sicherheitsgrnden ausschlielich per Post verschickt (wie bisher)
Zertifikat = identifiziert Sie, wenn Sie ber einen Browser (z.B. Internet Explorer oder Firefox) auf eine "gesicherte" Webseite zugreifen. Das
ist immer dann der Fall, wenn die Adressezeile mit "https" beginnt (wie bisher)
Profil / Benutzerprofil = Sammlung all Ihrer Identity-Merkmale (neu)
FIM = Webseite zur Verwaltung Ihres Benutzerprofils: FIM (neu)
Die Einfhrung des FernUni-Identity-Managements geht schrittweise voran. Weitere Begriffe werden deswegen im Laufe der nchsten Zeit hier ergnzt.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

11

8 DFN-Global Zertifikat
Unsere Webserver sind mit https durch ein DFN-Global Zertifikat gesichert. Dieses Zertifikat ist im Internet Explorer ab Version 7 und im Firefox ab
Version 3.5 bereits integriert. Wenn Sie eine ltere Version der oben genannten oder einen anderen Browser benutzen, so knnen Sie das Zertifikat
manuell in Ihren Browser importieren.
1. Klicken Sie dazu auf diesen Link
Dadurch gelangen Sie auf diese Seite:

2. Klicken Sie dort in der Rubrik CA-Zertifikate auf Wurzelzertifikat und besttigen Sie eventuell auftauchende Meldungen.

3. Klicken Sie auf DFN-PCA Zertifikat und besttigen Sie eventuell auftauchende Meldungen.

4. Klicken Sie auf FernUniversitt in Hagen CA Zertifikat und besttigen Sie eventuell auftauchende Meldungen.

12

Das DFN-Global Zertifikat ist nun in Ihrem Browser integriert.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

13

9 DFN-Roaming - Was ist das?


DFNRoaming ermglicht es den Nutzern von DFN Mitgliedseinrichtungen (DFN=Deutsches Forschungs-Netz), nicht nur an ihrer Heimatuniversitt den
Zugang zum Internet zu bekommen, sondern auch an anderen DFN Einrichtungen. Fr diesen Zugang ist keine gesonderte Berechtigung notwendig,
sondern es kann der Account der Heimatuniversitt verwendet werden. Voraussetzung dafr ist, dass sowohl die eigene als auch die fremde
Einrichtung am DFNRoaming teilnehmen. Die Fernuniversitt nimmt am DFNRoaming teil.
Aktuell wird DFNRoaming fr den Zugang zum Internet ber WLAN in der Fernuniversitt angeboten.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

14

10 DFN-Roaming Probleme an einigen Standorten


Wenn Sie Zugang zum WLAN einer von Ihnen besuchten Institution erhalten, sich aber dort nicht mit Ihrem fernuni-account anmelden knnen, schauen
Sie bitte hier nach: http://wiki.fernuni-hagen.de/helpdesk/index.php/Roaming_mit_Fernuni-Account
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

15

11 DFNRoaming
Mit DFN-Roaming knnen registrierte Nutzer einfach, kurzfristig und ohne zustzliche Anmeldung ber die universitren WLANs einen Zugang zum
Wissenschaftsnetz nicht nur in ihrer eigenen sondern auch bei anderen wissenschaftlichen Einrichtungen bekommen. Die Anmeldung in den Hagener
FU-Campus-WLANs mit einem gltigen Account sieht so aus:

Im [1] erhlt der Rechner eine private IP-Adresse aus dem Bereich 172.16.128.0 . Fr den Zugang zum Internet ist eine Authentifizierung erforderlich.
Wenn dies nicht ber eine VPN-Client- oder WebVPN-Verbindung erfolgt, erscheint automatisch die DFNRoaming-Anmeldeseite.
Ist die Verbindung zum rtlichen WLAN erfolgt und funktioniert die Anmeldung am DFN-Roaming nicht, so kann es daran liegen, dass die
Authentifizierungsdaten nicht korrekt an unseren Radius-Server (Authentifizierungsserver) via DFN bermittelt werden. Der
802.1X-Authentifizierungstyp muss auf EAP-TTLS eingestellt sein. Sollte Ihr WLAN-client das nicht untersttzen, so knnen Sie z.B. den
secureW2-client verwenden. Den client erhalten Sie unter http://www.securew2.com/.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [2].

16

12 DNS - Domain Name System


Das DNS ? Domain Name System ? ist die verteilte Datenbank aller im Internet registrierter Rechner. Das ZMI betreibt die zentralen DNS-Server fr die
Domnen FernUni-Hagen.de und 176.132.in-addr.arpa, sowie fr die Domnen mit diversen Aliasnamen der FernUni und etlicher An-Institute und
Projekte.

12.1 Eintrge an der FernUni


Wenn Sie einen neuen Rechner in das lokale Netz eingebunden haben und diesen nicht nur ber die Internet-Adresse, sondern auch ber einen
Internet-Namen ansprechen mchten, dann bentigen Sie einen Eintrag im DNS (Domain Name System). Auch wenn von diesem Rechner externe
Server angesprochen werden sollen (z.B. anonymous-ftp oder Mail-Server), so ist ein solcher Eintrag hufig erforderlich, weil viele Server nur
eingetragene Rechner bedienen. Auerdem ist bei POP- und IMAP-Clients ein DNS-Eintrag (insbesondere auch ein PTR-Record) erforderlich. Um
einen solchen Eintrag vornehmen zu knnen, bentigen wir von Ihnen die folgenden Angaben:
Internet-Adresse (z.B. 132.176.114.94)
Gewnschter Internet-Name (z.B. mailhost)
Da der Internet-Name (IP-Name) und die Internet-Adresse (IP-Adresse) FernUni-weit eindeutig sein mu, kann es vorkommen, da der von Ihnen
gewnschte Eintrag schon vergeben ist. Das knnen Sie leicht feststellen, indem Sie (z.B. unter UNIX und MS-Windows unter Zubehr Eingabeaufforderung) mit nslookup IP-Name und IP-Adresse berprfen:
IP-Namen berprfen
nslookup xyz
Sie erhalten die IP-Adresse, wenn der Name schon vergeben ist,
und Sie mssen sich einen anderen Namen aussuchen.
Erhalten Sie jedoch die Antwort
xyz wurde von odin.buerokommunikation.fernuni-hagen.de nicht
gefunden: Non-existent Domain
so ist der Name noch frei.

IP-Adresse berprfen
nslookup 132.176.xxx.yyy
Auch erhalten Sie entweder den Namen des Rechners, wenn die
IP-Adresse schon vergeben ist, oder die Meldung
132.176.xxx.yyy wurde von odin.buerokommunikation.fernuni-hagen.de
nicht gefunden: Non-existent Domain
In dem Fall ist die IP-Adrsse noch frei.

Zur Veranlassung der Eintragung senden Sie eine Mail mit den obigen Angaben an den Hostmaster. ber die vorgenommene Eintragung werden Sie
per Mail informiert.

12.2 DNS Server


Die Daten des DNS werden ber Domain Name Server verfgbar gemacht. Es gibt primre Server, auf denen die Daten fr eine oder mehrere
Domnen verwaltet werden und sekundre Server, die die Daten von primren Servern beziehen (Zonentransfer) und zustzlich vorhalten. Zu diesen
Domnen werden authoritative Antworten gegeben. Alle Anfragen zu nicht lokal vorhandenen Daten werden rekursiv von anderen Servern - beginnend
bei den ROOT-Nameservern - beschafft und an die anfragenden Resolver weitergeleitet. Diese so beschafften nicht authoritativen Antworten werden in
einem lokalen Zwischenspeicher (Cache) abgelegt und spter bei Bedarf aus diesem bereitgestellt. Aus Sicherheitgrnden sollten die authoritativen und
rekursiven Nameserver getrennt werden. An der FernUni werden deshalb derzeit fnf Server betrieben. Der primre Nameserver ist aus dem Internet
nicht erreichbar (hidden primary). Von diesem beziehen die sekundren Nameserver die Zonendaten und werden im DNS propagiert. Diese sind aus
dem Internet erreichbar und geben nur authoritative Antworten zu Domnen der FernUni. Sie haben keinen Cache:
primrer Server

132.176.129.202

frigg.buerokommunikation.fernuni-hagen.de

sekundrer Server

132.176.129.3

fenris.buerokommunikation.fernuni-hagen.de

sekundrer Server

132.176.129.15

donar.buerokommunikation.fernuni-hagen.de

In den Resolvern auf Rechnern im FuNet werden die folgenden rekursiven Nameserver konfiguriert, die Antworten zu allen Objekten im Internet geben,
aber nur aus dem FuNet erreichbar sind:
132.176.129.201

odin.buerokommunikation.fernuni-hagen.de

132.176.129.203

quaser.buerokommunikation.fernuni-hagen.de

12.3 Client Konfiguration


Die Konfiguration erfolgt, sofern die Daten nicht ber DHCP bezogen werden, bei:

12.3.1 UNIX
/etc/resolv.conf

12.3.2 Solaris 11
# svccfg -s network/dns/client
svc:/network/dns/client> setprop config/search = astring: ("fernuni-hagen.de")
svc:/network/dns/client> setprop config/nameserver = net_address: (132.176.129.201 132.176.129.203)
svc:/network/dns/client> listprop config

17

svc:/network/dns/client> select network/dns/client:default


svc:/network/dns/client:default> refresh
svc:/network/dns/client:default> quit

Anschlieend kann die Konfiguration unter /etc/resolv.conf kontrolliert werden.

12.3.3 Windows XP
Start -> Einstellungen
-> Systemsteuerung (bei Windows XP auf ?klassische Ansicht? umstellen)
Doppelklick auf Netzverkverbindungen
-> rechte Maustaste LAN-Verbindungen
-> Eigenschaften
in der Liste der Protokolle nach unten scrollen:
Internetprotokoll (TCP/IP) anklicken
-> Eigenschaften
-> Folgende DNS-Serveradressen verwenden
Jetzt knnen Sie hier die gewnschte DNS-Server eintragen

12.3.4 Windows 7
Start -> Systemsteuerung
-> Netzwerk- und Freigabecenter
-> LAN-Verbindungen
-> Eigenschaften
in der Liste der Protokolle nach unten scrollen:
Internetprotokoll Version 4(TCP/IPv4) anklicken
-> Eigenschaften
-> Folgende DNS-Serveradressen verwenden
Jetzt knnen Sie hier die gewnschte DNS-Server eintragen

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

18

13 Eduroam
13.1 Die FernUniversitt bietet "eduroam" an.
Als Studierende oder Mitarbeitende der FernUniversitt haben Sie mit Ihrer Benutzerkennung jetzt Zugang zum drahtlosen Netzwerk an allen
Universitten. Ermglicht wird dies durch die gegenseitige Akzeptanz der Benutzerzugnge an Universitten und wissenschaftlichen Einrichtungen
untereinander, und das sogar weltweit.
eduroam heit der Schlsselbegriff und steht fr educational roaming. Die FernUniversitt stellt als Teilnehmer des eduroam-Projektes diese
Funktionalitt aber auch in umgekehrter Richtung bereit: So knnen etwa Studierende oder Angehrige anderer Universitten das Drahtlosnetzwerk auf
dem Campus und in den Regionalzentren mitbenutzen. Sie brauchen dazu lediglich die Benutzerkennung und das Kennwort ihrer Heimat-Einrichtung.
Dies knnte auch fr Sie interessant werden, wenn Sie sich etwa mit Ihrem Notebook oder Mobiltelefon an einer anderen Hochschule befinden und ber
das dortige WLAN eine Verbindung zum Internet bentigen. Achten Sie hierzu auf ein WLAN mit dem Namen eduroam. In Reichweite dieses Netzes
knnen Sie sich dann mit Ihrer FernUni-Kennung anmelden und so den Zugang nutzen. Eine Gastkennung der dortigen Hochschule ist dann nicht mehr
erforderlich.

13.2 Einrichtung
Bentigte Software
technische Beschreibung
technische Hinweise
Linux
Windows 7
Windows 8
mit Adroid Gerten
mit Windows-Notebookds und WLAN Intel Chipsatz
unter MAC OS.X 10.6 (Konfiguration)
unter MAC OS.X 10.7 und iOS

19

14 Eduroam - bentigte Software


Fr ltere Microsoft basierte Endgerte lter als Windows 8 (Windows XP, Windows Vista, Windows 7) ist fr die eduroam-Anmeldung mit
FernUni-Kennung eine Zusatzsoftware erforderlich:

== SecureW2 TTLS-Client ==
Diese ist im Netz unter securew2_eap_suite_113.zip herunterzuladen und wie folgt zu installieren: (Administratorberechtigung erforderlich!)

Hier kann getrost "Deutsch" ausgewhlt werden. Dann auf "Weiter" klicken.

20

Nach Annehmen des Lizenzabkommens whle man wie oben gezeigt die Komponente "TTLS 4.1.0" aus. Anschlieend "Installieren" klicken.
Der Installationsvorgang wird gestartet. Anschlieend muss wahrscheinlich Ihr System neu gestartet werden:

21

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

22

15 Eduroam - Linux
Alle modernen Linux-Systeme sind von Hause aus in der Lage, sich mit eduroam zu verbinden. Hardware-Voraussetzung ist ein Endgert mit
Drahtlos-Netzwerkadapter (WLAN). Software-Voraussetzung ist das Programm WPA-Supplicant, das in fast allen Distributionen bereits vorhanden ist.
Empfohlen wird eine graphische Benutzeroberflche wie etwa GNOME, sowie das zugehrige Konfigurationstool "NetworkManager". Auch dies kann
heute fast auf allen Systemen als vorhanden vorausgesetzt werden. Es kann allerdings bei der Vielzahl der Systeme und Distributionen nicht auf alle
Varanten eingegangen werden. Die hier gezeigte Anleitung soll jedoch ein Leitfaden sein. Andere Linux-Systeme verhalten sich hnlich.
Beispiel Fedora (mit GNOME-Desktop)
Im Gnome-Control-Center ist der Punkt "Netzwerk" auszuwhlen:

Unter "Drahtlos" wird jetzt eine Liste angezeigt, die die bereits konfigurierten sowie die momentan in Reichweite befindlichen Drahtlosnetzwerke mit
Signalstrke darstellt. Hier sollte bereits auch das "eduroam"-Netzwerk erscheinen:

23

Klicken Sie auf den Eintrag "eduroam". Da hierfr derzeit noch kein Profil hinterlegt ist, meldet sich jetzt der Network-Manager mit diesem
Kofigurationsfenster:

24

Tragen Sie jetzt die notwendigen Einstellungsparameter wie hier gezeigt ein:
Authentifizierung: Tunneld-TLS Anonyme Identitt: anonymous@fernuni-hagen.de CA-Zertifikat: Deutsche Telekom Root CA 2
(Zertifikat evtl. vorher von Deutsche Telekom herunterladen)
Innere Authentifizierung: PAP
Bei Benutzername und Kennwort tragen Sie bitte Ihre Login-Daten ein. Oder lassen Sie die Felder offen und aktivieren die Passwordabfrage. Dann
werden Sie bei jedem Zugriff danach gefragt.
Der Network-Manager sollte jetzt folgendes Bild zeigen:

25

Der Haken bei "eduroam" gibt an, dass sich das System jetzt mit dem "eduroam"-Netzwerk verbunden hat.
Der nach rechts zeigende Pfeil kann angeklickt werden, um nachtrglich Konfigurationen am Profil zu ndern:

26

Klick auf "Einstellungen ..." ergibt folgendes Bild:

27

Unter "Sicherheit des Funknetzwerks" werden nochmal die zuvor eingestellten Parameter sichtbar. Die IPv4-Einstellungen sollte man auf "Automatisch
(DHCP)" belassen.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

28

16 Eduroam - technische Beschreibung


eduroam Allgemeine Hinweise Installation

16.1 1. Schritt: EAP-Tunnelaufbau


Als erstes ist es einmal wichtig, einen verschlsselten Tunnel ber das Netz von Ihrem Client-Gert bis hier zu unserem Authentifizierungs-Server
(RADIUS) aufzubauen, so dass die von Ihnen angegebene persnliche Benutzerkennung und insbesondere auch Ihr Kennwort niemand auf der Strecke
mitlesen kann. Wir sprechen dabei von "EAP" (Extensible Authentication Protocol, hat nichts mit VPN zu tun)
Der EAP Tunnel kann auf zwei Arten aufgebaut werden:
PEAP (protected-EAP), oder
TTLS (tunneled transport-layer security).
Unser Server untersttzt derzeit leider nur TTLS. Sie mssten also an Ihrem Client-Endgert "TTLS" als Tunnel bzw. Legitimierungs-Art einstellen.

16.1.1 Anonyme Anmeldung auerhalb des Tunnels


Damit der Tunnel auch zu unserem Server (und nicht irgendwo anders hin) aufgebaut wird, mssten Sie sich bereits auerhalb des Tunnels
authentifizieren. Geben Sie hier bitte die "uere" (anonyme) Identitt an:
anonymous@fernuni-hagen.de

Beachten Sie aber bitte, dass dies jetzt keine Mailadresse ist.

16.1.2 Zertifikat
Damit Sie schlielich auch wissen, wem Sie ihre echten Login-Daten anvertrauen, muss der Server sich Ihnen gegenber ausweisen. Das macht er mit
seinem Zertifikat, das er Ihnen vorlegt. Ihr Client muss dieses Zertifikat nun automatisch akzeptieren bzw. als vertrauenswrdig anerkennen.
Sie knnen jetzt in Ihrem Client:
- die Zertifikatsberprfung deaktivieren (nicht empfohlen, aber funktioniert ! )
- den Aussteller/Herausgeber des Serverzertifikats installieren und als ?vertrauenswrdig? einstufen. Whlen Sie hierzu bitte den Zertifikats-Aussteller
Deutsche Telekom Root CA 2.

Hinweis: Das Zertifikat unseres Radius-Servers wurde ausgestellt von unserer eigenen CA: FernUniversitaet in Hagen Global CA , dieses wurde au
DFN-Verein Global - G01, das seinerseits von Deutsche Telekom Root CA 2 ausgestellt wurde. Die gesamte Kette muss als "vertrauenswrdig" vom

16.2 2. Schritt: Login mit UserID und Kennwort


Jetzt geht es um die eigentliche Authentifizierung innerhalb des Tunnels. Auch hier gibt es mehrere Mglichkeiten:
? PAP (Password Authentication Protocol)
? CHAP (Challenge Handshake Authentication Protocol)
? MsCHAP v1 und v2 (von Microsoft bevorzugt verwendet)
? LEAP (proprietre Methode von CISCO)
? GTK (Generic Token Card) verwendet Smartcards oder andere Hardware
? usw.
Microsoft-Windows Clients verwenden gerne das MsCHAPv2, dass unser Server jedoch leider (noch) nicht untersttzt. Whlen Sie daher bitte PAP als
Authentifizierungsverfahren. Hierbei werden zwar die Benutzerkennung und das Kennwort im Klartext an den Server bermittelt, aber da die gesamte
bertragung bereits im EAP-Tunnel abluft, sind Ihre Daten auf dem Weg dennoch geschtzt.
Innerhalb des PAP knnen Sie sich jetzt mit ihrer UserID und ihrem Kennwort anmelden. Die Erweiterung "@fernuni-hagen.de" kann dabei an dieser
Stelle entfallen.

16.3 Zusammenfassung der notwendigen Einstellungsparameter:


? Tunnelverfahren: EAP-TTLS
29

? uere (anonyme) Identitt angeben: anonymous@fernuni-hagen.de


? Zertifikat akzeptieren: Aussteller=Deutsche Telekom Root CA 2
? Authentifizierungsmethode: PAP
? Authentifizierung: mit Ihrer UserID und Ihrem Kennwort.

16.4 Besonderheit bei Microsoft-basierten Endgertenin Verbindung mit eduroam


Wie bereits beschrieben, untersttzt unser Authentifizierungsserver derzeit nur das EAP-TTLS Tunnelverfahren in Verbindung mit der
PAP-Authentifizierungsmethode. Unter Microsoft wird insbesondere bei den Betriebssystemen Windows Vista und Windows 7 jedoch kein TTLS
untersttzt. Allein mit system-eigenen Mitteln ist der Zugang zum eduroam daher nicht mglich. Es ist eine Zusatz-Software erforderlich, die den Aufbau
des TTLS-Tunnels und das PAP-Loginverfahren auf Microsoft-Systemen untersttzt: der EAP-TTLS-Client.
Als Beispiel sei hier SecureW2 genannt. Diese Software ist zwar weit verbreitet, jedoch lizenzpflichtig und kann unter http://www.securew2.com
bezogen werden. Wir drfen den Client leider nicht selber zum Download anbieten.
Beim neuen Microsoft-Windows8 sieht es anders aus: Dieses System untersttzt TTLS und PAP bereits mit Bordmitteln. Die Installation einer
Zusatz-Software ist hier nicht mehr erforderlich.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

30

17 Eduroam - technische Hinweise


Fr andere als die beschriebenen Endgerte und Betriebssysteme sind die folgenden Einstellungsparameter wichtig:

WLAN-SSID: eduroam
Verschlsselung: WPA oder WPA2 Enterprise
Tunnelverfahren(Legitimierung): EAP-TTLS (getunneltes TLS)
uere Identitt(anonyme Identitt): anonymous@fernuni-hagen.de
Authentifizierung(Login-Methode): PAP
Benutzerkennung: (Hier geben Sie bitte Ihre Fernuni-Kennung mit Ihrem Benutzer-Kennwort an.)

Achtung: Fr Microsoft Windows ist in einigen Fllen Zusatz-Software erforderlich! Mehr dazu unter Bentigte Software
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

31

18 Eduroam - Windows 7
Im Vorfeld folgenden Artikel lesen: Eduroam - bentigte Software
Klicken Sie auf das Drahtlosnetzwerk-Symbol unten rechts in der Statusleiste.
Schon beim Bewegen des Mauszeigers auf das Symbol werden wie hier im Bild gezeigt bereits Hinweise eingeblendet:

Beim Anklicken ffnet sich die Liste der konfigurierten und verfgbaren Drahtlosnetzwerke. Rechts daneben in grn ist jeweils die Signalstrke
dargestellt:

Klicken Sie auf "Netzwerk- und Freigabecenter ffnen", um Einstellungen darin vorzunehmen. Das folgende Bild sieht etwa so aus:

32

Links in der Menleiste knnen Sie dann die Drahtlosnetzwerke verwalten:

33

Hier gilt es, ein neues Netzwerkprofil hinzuzufgen: (auf "Hinzufgen" klicken)

Nennen Sie das neue Netzwerkprofil "eduroam" und stellen die Eigenschaften wie folgt ein:

34

(Hinweis: Je nach rtlicher Drahtlos-Netzwerkausstattung kann auch Sicherheitstyp "WPA-Enterprise" und Verschlsselungstyp "TKIP" richtig sein.)

Bei Klick auf "Weiter" erscheint dann die Besttigung:

35

Gleichzeitig wird unten rechts kurz ein Hinweistext eingeblendet, der nach weiterer Konfiguration verlangt:

Das Netzwerk "eduroam" erscheint jetzt auch in der Liste "Drahtlosnetzwerke verwalten". Sie knnen es jetzt konfigurieren. (Doppelklick!) Das folgende
Fenster erscheint:

36

37

Im Reiter "Sicherheit" (rechtes Bild) stellen Sie den Sicherheitstyp auf "WPA Enterprise" bzw. WPA2 Enterprise" ein. Als Verschlsselungstyp whlen
Sie "TKIP" bzw. "AES". Das hngt von den Einstellungen des Zugangspunkts ab ist hier nicht vorhersehbar. Probieren Sie ggf. beide Mglichkeiten aus.
Nun knnen Sie jetzt wie abgebildet den "SecureW2 TTLS-Client" als Authentifizierungsmethode einstellen. Danach knnen Sie diesen durch Klick
rechts auf "Einstellungen" ffnen:

38

Achtung: Ab hier bentigen Sie Administratorberechtigung auf Ihrem Gert. Andernfalls erscheinen einige Reiter nicht.
Verbindung: Die uere Identitt muss wie gezeigt aktiviert und angegeben werden.
Zertifikate: Die Zertifikatsberprfung kann aktiviert werden. In diesem Fall ist das "Deutsche Telekom Root CA 2"-Zertifikat hinzuzufgen.
(Achtung: bitte nicht wundern: Der Eintrag kann gelegentlich doppelt erscheinen.)

39

Authentifizierung: Die Authentifizierungsmethode ist auf "PAP" zu stellen.


Benutzerkennung: Die Benutzerberechtigung kann wie hier auf Abfrage gestellt oder angegeben werden.

40

Jetzt knnen alle Fenster mit "OK" besttigt und geschlossen werden.
Die Verbindung sollte danach automatisch aufgebaut werden. Falls nicht, mssen Sie wie oben beschrieben nochmal die Liste der verfgbaren
Drahtlosnetzwerke ffnen.

41

Darin klicken Sie dann auf "eduroam" und "verbinden":

Ihr Gert verbindet sich jetzt mit dem Drahtlosnetzwerk "eduroam":

Je nach Ihren vorgenommenen Einstellungen fragt Sie der SecureW2-Client jetzt nach Ihrer Benutzerkennung und Kennwort. Geben Sie die
Informationen ein. Das Feld "Domne kann hierbei offen bleiben:

42

Einstellungsparameter: Eduroam - technische Hinweise


Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

43

19 Eduroam - Windows 8
Klicken sie mit der rechten Maustaste in den freien Bereich auerhalb der Kacheln. Unten recht erscheint dann "Alle Apps":

Auf dieses Symbol einen Linksklick machen und dann unter Systemsteuerung auf Netzwerk- und Freigabecenter gehen.

Dort dann auf Neue Verbindung oder neues Netzwerk einrichten gehen und anschlieend Manuell mit einem Funknetzwerk verbinden
auswhlen.

44

Dort geben Sie folgendes ein:


Netzwerkname: eduroam
Achtung: Die Einstellungen zum Sicherheitstyp und Verschlsselungstyp knnen hier leider nicht angegeben werden. Diese hngen von dem Netzwerk
bzw. Accesspoint ab, in dessen Reichweite Sie sich gerade befinden. Die folgenden Einstellungen sind sinnvoll:
Sicherheitstyp: WPA-Enterprise
Verschlsselungtyp: TKIP
oder
Sicherheitstyp: WPA2-Enterprise
Verschlsselungstyp: AES
45

Im Zweifelsfall hilft hier nur ausprobieren, oder beim lokalen Support vor Ort die Einstellungen erfragen. Oft gibt das Netzwerk auch eine bestimmte
Einstellung vor. Damit ist etwa unter Windows 8.1 die richtige Einstellung bereits automatisch voreingestellt.

Nun mit Weiter besttigen und auf Verbindungseinstellungen ndern gehen:

46

Dort wird folgendes ausgewhlt:


Methode zur Netzwerkauthentifizierung: Microsoft: EAP-TTLS
Und bei Fr diese Verbindung? entfernen.

47

Nun auf Einstellungen:

48

Unter Einstellungen setzen sie einen Haken bei Identittsschutz aktivieren und tragen anonymous@fernuni-hagen.de ein.
Unter ?Vertauenswrdige Stammzertifizierungsstellen:? bei ?Deutsche Telekom Root CA 2? Haken setzen

Radiobutton bei ?EAP-fremde?? und Unverschlsseltes Kennwort (PAP) auswhlen

49

50

Nun gehen sie auf Erweiterte Einstellungen:

51

Dort Haken bei ?Authentifizierungsmodus angeben:? setzen, ?Benutzer- oder Computer?? auswhlen und mit OK besttigen.

52

Nun Das WiFi-Icon anklicken, eduroam auswhlen, den Haken bei Automatisch verbinden entfernen und auf Verbinden gehen.

Jetzt knnen sie sich mit dem fernuni-account anmelden und mit OK besttigen.
Achtung: Die Form des Anmeldenamens des FUH Accounts ist: q1234567!

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

53

20 Eduroam - Windows XP
Im Vorfeld folgenden Artikel lesen: Eduroam - bentigte Software

ffnen Sie mit der rechnten Maustaste unten rechts in der Statusleiste den Kontext fr die Drahtlosnetzwerkverbindung.

Klicken SIe auf "Verfgbare Drahtlosnetzwerke anzeigen". Das folgende Bild erscheint:

Klicken Sie jetzt links auf "Erweiterte Einstellungen ndern". Es ffnet sich das folgende Fenster:

54

Dort whlen Sie den mittleren Reiter "Drahtlosnetzwerke" aus. Jetzt knnen Sie das Drahtlos-Netzwerk "eduroam" wie im Bild gezeigt konfigurieren.
Whlen Sie es aus und klicken auf "Eigenschaften":

55

Unter "Authentifizierung" (mittlerer Reiter) lsst sich jetzt "SecureW2 EAP-TTLS" auswhlen, sofern diese Zusatzsoftware ordnungsgem installiert ist.
Auch hier klicken Sie bitte auf "Eigenschaften". Nun kann hier der SecureW2 TTLS-Client wie folgt angepasst werden:

56

Die uere Identitt muss wie gezeigt aktiviert und angegeben werden.

57

Die Zertifikatsberprfung kannKursiver Text aktiviert werden. In diesem Fall ist das "Deutsche Telekom Root CA 2Kursiver Text"-Zertifikat
hinzuzufgen.

58

Die Authentifizierungsmethode ist auf "PAP" zu stellen.


Die Benutzerberechtigung kann wie hier auf Abfrage gestellt oder angegeben werden.
Jetzt in alle Fenster auf OK klicken. Die Verbindung sollte dann automatisch aufgebaut werden. Falls nicht, mssten Sie wie oben beschrieben nochmal
die Drahtlosnetzwerkverbindungen ffnen und mit dem Drahtlosnetzwerk "eduroam" verbinden
Achtung: Unten rechts ber der Statuszeile ffnet sich ein Hinweisfenster:

Klicken Sie bitte darauf. Jetzt wird sich der SecureW2-Client melden und Sie nach Ihrer Benutzerkennung und Kennwort fragen. Das Feld "Domne"
knnen Sie getrost offen lassen.

59

Nach Klick auf "OK" sollte die Verbindung aufgebaut werden.


Einstellungsparameter: Eduroam - technische Hinweise
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

60

21 Eduroam mit Android Geraeten


Bitte haben Sie Verstndnis dafr, dass wir bei der Vielzahl von Android-Gerten und Softwareversionen keinen offiziellen Support liefern knnen.
Jedoch hat uns freundlicherweise ein Student eine Anleitung fr ein Samsung Galaxy S+ mit Android Version 2.3.6 zur Verfgung gestellt, welche er
erfolgreich an der Universitt Zrich einsetzen konnte.
Hinweis: Aus einigen bisherigen Anfragen wurde deutlich, dass ltere Gerte teilweise nicht das bentigte 802.1x Protokoll von Haus aus untersttzen.
Dann bentigt man den "WiFi Advanced Config Editor" fr Android. Ein Student hat eine Anleitung fr einen Sony PRS-T1 bereitgestellt:
http://selig.ws/hejdo/en/computers/phones/eduroam-android.html

Zertifikat installieren
Tipp: Vorher prfen, ob das Zertifikat nicht bereits als "Systemzertifikat" vorinstalliert ist. In dem Fall funktioniert alles ohne manuelle
Zertifikatsinstallation, was es einem auch erspart regelmig den Zertifikatsspeicher/"Anmeldedatenspeicher" freischalten zu mssen.
Fr den Zugang zu eduroam muss man das Zertifikat ?Deutsche Telekom Root CA? auf den Handy installieren. Das kann auch vorab zu Hause oder
unterwegs erfolgen (ber WLAN oder eine Mobilfunk-Datenverbindung). Man kann es auf zwei Arten durchfhren:
1. Mit dem Handy-Browser auf https://www.pki.dfn.de/wurzelzertifikate/globalroot/ (QR Code s.u.) gehen.Dort das .CRT ? Zertifikat anklicken,
ihm beim Download einen Namen geben (z. B.: Telekom Root CA 2) und das Installieren besttigen. Whrend der Installation wird, sollte auf
dem Handy noch nie eine Anmeldeinformation gespeichert worden sein, nach einem Anmeldeinformationsspeicherpasswort gefragt. Dieses
Passwort muss erdacht und gut behalten werden ? es ist fr die Herstellung der Verbindung ntig.

2. Oder so (was nicht auf allen Android Gerten funktioniert): Auf PC (oder Mac) mit dem Browser das Zertifikat ?Deutsche Telekom Root CA?
(im Format .CER oder .CRT) herunterladen und speichern (von https://www.pki.dfn.de/wurzelzertifikate/globalroot/ ). Die Datei vom Computer
auf die SD-Karte des Handys bertragen.
Dann das Zertifikat installieren: Am Handy auswhlen "Einstellungen" -> "Standort und Sicherheit" -> "Von SD-Karte installieren". Dann das
Zertifikate auf der SD-Karte lokalisieren und installieren.
Auch dabei kann ? wie oben ? whrend der Installation nach einem Anmeldeinformationsspeicherpasswort gefragt werden. Dieses Passwort
muss erdacht und gut behalten werden ? es ist fr die Herstellung der Verbindung ntig.

Einrichtung der Verbindung zu eduroam


Im Sendebereich des eduroam-Netzwerkes (also an einer entsprechenden Uni) richtet man die Verbindung folgendermassen ein: ber ?Alle
Programme? auf ?Einstellungen? wechseln. Mit ?Drahtlos und Netzwerke? zu den Auswahloptionen fr die Drahtlos-Einstellungen wechseln. Hier
berprfen, dass das WLAN aktiv ist (nicht ?Offline-Modus?). Dann bei ?WLAN-Einstellungen? in die Auswahlliste fr Funknetzwerke wechseln und das
Netzwerk ?eduroam" auswhlen. Bei den Verbindungsdefinitionen folgende Einstellungen vornehmen:
EAP-Methode: TTLS
Phase2-Authentifizierung: PAP
Root-Zertifikat: Deutsche Telekom Root CA auswhlen
Benutzerzertifikat: (leer lassen)
Identitt: q1234567 (persnliche Kennung bei der FUHagen)
Anonyme Identitt: anonymous@fernuni-hagen.de
Passwort: (persnliches Passwort zur Kennung)
Dann ?Verbinden? und evtl. das Passwort fr den Zugriff auf die Anmeldeinfomationen eingeben. (Hinweis: Falls es nicht klappt: In den
Sicherheitseinstellungen muss anderen Anwendungen erlaubt sein, auf den ?Anmeldedatenspeicher" zuzugreifen.)

61

22 Eduroam mit Windows-Notebooks und WLAN Intel Chipsatz


In vielen Notebooks ist der WLAN Intel Pro Chipsatz verbaut. Dann knnen sie auch mit Windows ohne Installation des SecureW2 Clients eine
Verbindung zu dem WLAN "eduroam" aufbauen. Das Vorgehen wird hier beschrieben.
Auf ihrem PC muss sich das "Intel WiFi Connection Utility" befinden. Rufen sie das Utility auf.

Wenn in dem Fenster erscheint, dass der Adapter von Windows verwaltet wird, so mssen sie die Schaltflche "WiFi-Verwaltung aktivieren" anklicken.
Klicken sie auf "Profile" und in dem nchsten Fenster auf "Hinzufgen".
Erzeugen sie ein Profil mit folgenden Einstellungen.

62

Nach Klick auf "Weiter" erscheint folgendes Fenster. Statt "USERID@fernuni-hagen.de" tragen sie bitte ihre Userid ein (z.B.
q1234567@fernuni-hagen.de). In die Felder "Kennwort" und "Kennwort besttigen" tragen sie bitte ihr Passwort ein, welches sie z.B. fr die
LVU oder den Mailstore nutzen.

63

Nun klicken sie wieder auf "Weiter", fllen entsprechend die Seite aus und klicken auf "OK".

64

Nachdem sie sich mit dem gerade erstellten Profil verbunden haben, hat das Utility folgendes Aussehen.

65

66

23 Eduroam unter MAC OS.X 10.6 (Konfiguration)


Hier im Stenogrammstil eine Konfiguration, mit der es funktioniert:
Netzwerkname: rtliche ssid
Sicherheit: Firmenweiter WPA2
Unter ?weitere Optionen? 802.1x Benutzerprofil ?eduroam? anlegen
Benutzernamen: q1234567
Kennwort: persnliches Kennwort
Identifizierung: TTLS
Internes TTLS Identifizierungsverfahren: PAP
Externe Identitt: anonymous@fernuni-hagen.de
Sicherheitstyp:Firmenweiter WPA2
Mit ok besttigen im ersten Fenster auswhlen:
802.1x: ?WPA:eduroam?
?Verbinden?
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

67

24 Eduroam unter MAC OS.X 10.7 und iOS


Im Gegensatz zu MacOS X 10.6 (und kleiner) knnen sie unter 10.7 die Konfiguration nicht mehr manuell durchfhren. Sie bentigen eine
Konfigurationsdatei, welche sie auch unter dem iPhone und iPad nutzen knnen. Diese Datei finden sie hier:

https://www.fernuni-hagen.de/imperia/md/content/zmi/webmaster/FU-Eduroam.mobileconfig

https://e.feu.de/ioser
Am Beispiel des iPhones wird die Installation dargestellt. Dabei spielt es keine Rolle, ob Sie die Datei "FU-eduroam.mobileconfig" in einer E-Mail
erhalten oder von einer Webseite geladen haben. Die Installation ist identisch. Bei einem MacBook oder bei dem iPad kann die Installation etwas
anders aussehen, wird jedoch nach den gleichen Prinzipien durchgefhrt.

Im ersten Schritt erscheint das "Profil installieren" Fenster. Drcken sie "Installieren".

68

Auf der nchsten Seite wird darauf hingewiesen, dass zwei neue Zertifikate installiert werden.

Nun mssen sie den PIN des iPhones eingeben. HINWEIS: Ab iOS 6 erscheinen die nchsten beiden Abfragen fr die Userid und das
Password nicht mehr an dieser Stelle. Das Profil wird sofort als installiert angezeigt. Bei dem erstmaligen Verbinden mit Eduroam werden sie
nach der Userid/Passwortkombination gefragt. Diese Informationen mssen einmal eingegeben werden, danach sind sie gespeichert.

69

Danach geben sie ihre USERID gefolgt von "@fernuni-hagen.de" ein (z.B. q1234567@fernuni-hagen.de. Klicken sie auf "Weiter".

Geben sie nun ihr Password (welches sie fr den Mailstore oder die LVU nutzen) ein. Klicke sie auf "Weiter"

70

Das Profil ist nun installiert. Klicken sie auf "Fertig".


Wenn sie nun in Reichweite des WLAN-Netzes "eduroam" sind, werden sie automatisch verbunden.
HINWEIS: Sollten sie Vorher das WLAN "FU-Campus" mit der Roamingfunktion genutzt haben, entfernen Sie dieses bitte aus den bevorzugten
Netzwerken um ein automatisches Verbinden zu verhindern.
Sie knnen das Profil auch wieder lschen. Gehen sie zu "Einstellungen", "Allgemein", "Profil" und suchen dort das Profil "FU-Eduroam" aus. Dort
finden sie den Knopf "Entfernen"
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

71

25 Eingeschrnkter Internetzugang in Gefngnissen


Zugang zu FernUni-Servern aus einer JVA gibt es derzeit in Freiburg, Berlin Tegel, Diez, Hamburg-Fuhlsbttel , Wrzburg und Butzbach.
Auerdem knnen ausgewhlte Webseiten der FernUniversitt ber das Netzwerk eLiS erreicht werden. Voraussetzung dazu ist eine formulargesttzte
Freischaltung (Formularantrag ber elis@ibi.tu-berlin.de ). Derzeit gibt es ber eLis noch keine E-Mail-Untersttzung, jedoch sind derzeit konkrete
Planungen zu einer E-Mail-Schnittstelle im Gange. Ebenso befindet sich eine spezielle Moodle-Rolle fr Inhaftierte mit u.a. eingeschrnkter
Kommunikationsmglichkeit im Test.
Weitere Informationen:
http://www.fernuni-hagen.de/universitaet/aktuelles/2007/07/13-ak-jva.shtml
http://www.fernuni-hagen.de/FeU/Aktuell/2002/04/ak_2002-04-19-Tegel.html
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

72

26 Email-Adresse im Wiki besttigen


Sie knnen die Besttigung der Emailfunktion einfach wiederholen:
melden Sie sich erneut am Wiki an.
klicken Sie den Link "einstellungen" im Menue rechts oben an.
entfernen Sie den Eintrag im Feld "E-Mail-Adresse" und besttigen Sie Ihre Eingaben mit "Einstellungen speichern"
fgen Sie anschlieend Ihre E-Mail-Adresse ein und besttigen Sie Ihre Eingaben erneut mit "Einstellungen speichern"
Sie bekommen darauf hin einen neuen Besttigungscodean die genannte E-Mail-Adresse gesendet.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

73

27 Empfehlung zur IT-Ausstattung fr Studierende


Welche IT-Ausstattung empfehlen wir Studierenden fr ihr Fernuni-Studium?
PC
Prozessor > 2,5 GHz
Hauptspeicher >= 4 GB
Festplatte >= 120 GB
Netzwerkkarte 10/100/100 Mbit (fr den Internetanschluss)
Grafikkarte beliebig / Untersttzung Direct X9
Soundkarte beliebig
Betriebssystem Windows 7 oder 8 (immer aktuell gepatcht)
Internet-Zugang
Provider beliebig
mindestens DSL 6000
Weitere Software
Webbrowser Internet Explorer, Mozilla Firefox (immer aktuell gepatcht)
Adobe Reader
Flash Player
Realplayer
Virenscanner Empfehlung Sophos - kostenlos auf unseren Webseiten
Office - vergnstigte Studierendenversion (Office_365_ProPlus)
Mailclient beliebig
zu erwartende Probleme
Apple mit Safari
Browser Opera, Chrome
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

74

28 FAQ fr Zertifikate
Betreff: Zertifikat importieren/exportieren
Frage: Ich habe das Zertifikat auf dem Hauptrechner geladen um in die virtuelle Universitt zu gelangen. Ich mchte es auf meinem Laptop ausfhren.
Kann ich es nicht doppelt runterladen?
Antwort: Sie knnen das Zertifikat aus Ihrem Browser des Hauptrechners exportieren und dann wieder in Ihrem Browser auf Ihrem Laptop importieren.
Bei dem Mozilla Browser funktioniert das folgendermaen: Extras -> Einstellungen -> Erweitert -> Zertifikate anzeigen -> Backup/Importieren
IE Browser: Extras -> Internetoptionen -> Inhalte -> Zertifikate -> Importieren/Exportieren
Betreff: Anmeldung an https Seiten schlgt fehl
Frage: Ich kann mich an zertifikatsgeschtzten Seiten nicht anmelden
Antwort: Vorher auf https://ca.fernuni-hagen.de/secure/certtest.php einloggen, falls alles klappt => Anwendungsproblem - vielleicht fehlen Rechte.
Wenn der Test nicht funktioniert, sollen alle Zertifikate aus dem Zertifikatsspeicher gelscht werden: IE > Extras > Internetoptionen > Inhalte > Zertifikate
> Eigene Zertifikate (Dort alle Eintrge lschen) Firefox > Extras > Einstellungen > Erweitert > Zertifikate verwalten > Ihre Zertifikate (Dort alle Eintrge
lschen)
Betreff: Importieren der Wurzelzertifikate beim Firefox
Frage: Wie kann man die Wurzelzertifikate beim Firefox importieren?
Antwort: Alle Zertifikate von folgender Webseite herunterladen:
https://ca.fernuni-hagen.de/certserver/ca_key_laden.php
Wichtig: Beim Importieren alle drei Hkchen (Dieser CA Vertrauen...) setzen.
Betreff: Zertifikatsfehler bei Zugriff auf https Seite
Problem: Es tritt ein Zertifikatsfehler beim Zugriff auf einer zertifikatsgeschtzte Webseite auf
Lsung: Ist der DNS-Name in der URL richtig: z.B. staffsearch.fernuni-hagen.de anstelle von staffsearch? Die Domne fernuni-hagen.de muss enthalten
sein.
Wenn es immer noch nicht funktioniert, mssen die Wurzelzertifikate integriert werden, siehe Anleitung auf den Seiten der CA ca.fernuni-hagen.de
Betreff: Etoken Treiber
Problem: Wo finde ich den Etoken-Treiber?
Lsung: Die Treiber-Installationsdateien liegen im Home-Verzeichnis "ZMI-Austausch" im Ordner "eToken Treiber".
Mitarbeitern, die keinen Zugriff auf dieses Laufwerk haben, wird der Treiber auf Anfrage (caadmin@FernUni-Hagen.de) auf einem anderen Weg
zugestellt.
Betreff: PDF-Telefonbuch
Problem: Ich kann das PDF-Telefonbuch nicht runterladen.
Lsung: Dafr bentigen Sie ein digitales Zertifikat, der Zugriff ist nur per SSL-Zertifikat mglich.
Betreff: PDF-Signatur
Problem: Wie kann ich PDF-Dateien digital signieren?
Lsung: Dafr bentigen Sie den Acrobat Reader Professional ab Version 7.0
Folgende Haken mssen gesetzt werden: Bearbeiten > Grundeinstellungen > Sicherheit > erweiterte Grundeinstellungen > Windows-Integration > alle
Haken setzen
Betreff: Mehrere E-Mail Adresse + Signatur
Problem: Ich habe neben dem Email-Account bei der FernUni noch zwei weitere E-Mail Accounts. Gilt das Zertifikat immer nur fr einen Email-Account?
Lsung: Sie knnen eine E-Mail nur signieren, wenn die E-Mail Adresse im Zertifikat mit der E-Mail Adresse bereinstimmt, von welcher Sie eine
Nachricht verschicken wollen.
Betreff: Zertifikat abgelaufen
Problem: Mein Zertifikat ist ungltig oder abgelaufen.Was kann ich tun?
Lsung: Sie knnen ein neues unter http://ca.fernuni-hagen.de/ beantragen!
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

75

29 Fehlermeldungen und Warnungen des VPN-Clients


Meldung
Fehlertext

Abhilfe
Error 1
The command line parameter %1 cannot be used in conjunction with the command line parameter %2.

The two command line parameters stated within quotation marks conflict with one another and cannot be used together in any given command line.
Error 2
Invalid Connection Entry name. The Connection Entry name cannot contain any of the following characters...

An invalid character was entered in the connection entry name field of the dialog for creating new, or modifying existing connection entries.
Error 3
Invalid TCP port specified. Valid range is %1 to %2.

An invalid TCP port number was entered on the Transport tab of the dialog for creating new, or modifying existing connection entries.
Error 4
Invalid Peer Response Timeout specified. Valid range is %1 to %2.

An invalid peer response timeout was entered on the Transport tab of the dialog for creating new, or modifying existing connection entries.
Error 5
No hostname exists for this connection entry. Unable to make VPN connection.

A connection attempt was made using a connection entry that does not contain a host name/address entry. A host name or address must be specified in
the connection entry in order to attempt a VPN connection.
Error 6
The connection entry %1 does not exist.

The command line specified a connection entry that does not exist.
Error 7
Group passwords do not match. Enter the same password in both text boxes.

The group authentication password fields on the Authentication tab of the dialog for creating new, or modifying existing connection entries, have different
values. The Password and Confirm Password fields must contain the same values
Error 8
Unable to update Start Before Logon setting.

The VPN Client was unable to save the start before logon setting of the Windows Logon Properties dialog to the file vpnclient.ini. The file attributes may
have been changed to read only or there may be a problem with the file system.
Error 9
Unable to update Disconnect VPN connection when logging off setting.

The VPN Client was unable to save the Disconnect VPN connection when logging off setting of the Windows Logon Properties dialog to the file
vpnclient.ini. The file attributes may have been changed to read only or there may be a problem with the file system.
Error 10
Unable to update Allow launching of third party applications before logon setting.

The VPN Client was unable to save the Allow launching of third party applications before logon setting of the Windows Logon Properties dialog to the
Windows registry. The user must have administrator privileges to save this setting, though the setting should be grayed out if this is not the case. There
is likely a system problem with the registry.
Error 11
Registration of CSGINA.DLL failed.

The VPN Client was unable to register its CSGINA.DLL with the Windows operating system. The DLL may have been altered or corrupted.
Error 12
Unable to retrieve auto-initiation status.

The VPN Client was unable to retrieve the current status for determining if automatic VPN initiation must be initiated. The VPN Client service or daemon
may be stopped, hung, or not running; or inter-process communication between the service/daemon and the GUI application may have failed.
Error 13
76

Unable to update Automatic VPN Initiation Enable setting.

The VPN Client was unable to save the Automatic VPN Initiation Enable setting of the Automatic VPN Initiation dialog to the file vpnclient.ini. The file
attributes may have been changed to read only or there may be a problem with the file system.
Error 14
Unable to update Automatic VPN Initiation Retry Interval setting.

The VPN Client was unable to save the Automatic VPN Initiation Retry Interval setting of the Automatic VPN Initiation dialog to the file vpnclient.ini. The
file attributes may have been changed to read only or there may be a problem with the file system.
Error 15
Invalid Retry Interval specified. Valid range is %1 to %2.

An invalid retry interval was entered in the Automatic VPN Initiation Retry Interval field of the Automatic VPN Initiation dialog. The value must be within
the range specified in the error message.
Error 16
The connection entry %1 already exists. Choose a different name.

The user is attempting to create a new connection entry with the same name as an existing connection entry.
Error 17
Unable to create connection entry.

The VPN Client was unable to save the new connection entry to a file on the hard drive. There may be a problem with the file system.
Error 18
Unable to rename connection entry.

The VPN Client was unable to rename the connection entry. The new connection entry name may already exist, or there may be a problem with the file
system.
Error 19
Unable to save the modified connection entry.

The VPN Client was unable to save the modified connection entry to its file on the hard drive. The file attributes may have been changed to read only or
there may be a problem with the file system.
Error 20
Unable to duplicate connection entry.

The VPN Client was unable to duplicate the connection entry. The duplicate connection entry name may already exist or be too long, or there may be a
problem with the file system.
Error 21
Unable to delete connection entry %1.

The VPN Client was unable to delete the connection entry. The file containing the connection entry may no longer exist or may be protected, or there
may be a problem with the file system.
Error 22
Unable to import connection entry %1.

The VPN Client was unable to import the connection entry. The connection entry attempting to import may not exist. A connection entry with the same
name as the entry being imported may already exist. There may be a problem with the file system.
Error 23
Unable to erase encrypted password for connection entry %1.

The VPN Client was unable to erase the encrypted user password in the connection entry. The connection entry file attributes may have been changed
to read only or there may be a problem with the file system.
Error 24
Unable to update connection entry %1.

The VPN Client was unable to write the connection entry modifications to the connection entry's file on the hard drive. The file attributes may have been
changed to read only or there may be a problem with the file system.
Error 25
%1() for the short cut file %2 failed with %3h.

The function specified in the error message failed while attempting to create a short cut file to the VPN Client GUI for a particular connection entry. The
hexadecimal number in the error message is the error returned by the function specified.
Error 26
77

Unable to build a fully qualified file path while creating the short cut file %1.

The VPN Client was unable to build a fully qualified file path for the shortcut file. There may be a problem with the file system.
Error 27
Unable to create the shortcut file %1.

The VPN Client was unable to get a pointer to the IShellLink interface from the system in order to create the shortcut file.
Error 28
Reached end of log, no match found.

The VPN Client could not find a match for the search string in the log.
Error 29
The third-party dial-up program could not be started.

The VPN Client was unable to launch the third-party dial-up program specified in the connection entry in order to establish a VPN connection.
Error 30

The selected connection entry uses the Microsoft CryptoAPI certificate store. This connection entry can not be used until you have logged in t

The user is attempting to establish a VPN connection before logon using a connection entry that is configured to use a Microsoft CryptoAPI certificate for
authentication. Such a certificate cannot be used until after the user has logged into the workstation.
Error 30

The selected connection entry uses the Microsoft CryptoAPI certificate store. This connection entry can not be used until you have logged in t

The user is attempting to establish a VPN connection before logon using a connection entry that is configured to use a Microsoft CryptoAPI certificate for
authentication. Such a certificate cannot be used until after the user has logged into the workstation.
Error 32
Unable to verify certificate %1.

The selected certificate could not be verified. Possible misconfiguration issue with the certificate authentication (CA) server.
Error 33
Unable to delete certificate %1 from certificate store.

The VPN Client was unable to successfully delete the selected certificate from the certificate store.
Error 34
Unable to show details for certificate %1.

The VPN Client was unable to successfully open and access the selected certificate in order to display the certificate's details.
Error 35
Unable to export certificate. Invalid path %1.

The export path provided for the certificate is invalid.


Error 36
Unable to export certificate %1.

The export source or destination for the certificate was invalid and the certificate could not be exported.
Error 37
An export path must be specified.

The user did not provide a file path for exporting the selected certificate
Error 38
Certificate passwords do not match. Enter the same password in both text boxes.

The Password and Confirm Password fields of the Export Certificate dialog must both contain the same values.
Error 39
Unable to import certificate.

The VPN Client was unable to import the certificate. The file path for the certificate may be incorrect or there may be a problem with the file system.
Error 40
An import path must be specified.

78

The user did not provide a file path for import a certificate.
Error 41
Certificate passwords do not match. Enter the same password in both text boxes.

The New Password and Confirm Password fields of the Import Certificate dialog must both contain the same values.
Error 42
Unable to create certificate enrollment request.

The VPN Client was unable to create an enrollment request to enroll the certificate with a certificate authority.
Error 43
Certificate enrollment failed, or was not approved.

The certificate enrollment request failed or was not approved by the certificate authority.
Error 44
Certificate is not valid, or not an online enrollment request.

The user attempted to resume enrollment of a certificate that is not valid or does not have a pending enrollment request.
Error 45
Passwords do not match. Try again.

The value entered in the Confirm new password dialog did not match the value entered in the Enter new password dialog when attempting to change a
certificate password.
Error 46
Change password for certificate %1 failed.

The VPN Client was unable to change the password for the certificate.
Error 47
Failed to load ipseclog.exe.

The VPN Client was unable to launch the ipseclog.exe application. Log messages will not be saved to the log file.
Error 48
Unable to stop service/daemon.

The VPN Client was unable to stop the service/daemon. The service/daemon may be hung or there is a problem with the system's service/daemon
management.
Error 49
GI_VPNStop failed. Unable to disconnect.

The VPN Client failed to send a stop request for terminating the VPN connection to the service/daemon. The service/daemon may be stopped, hung, or
not running. Communication with the service/daemon may have failed.
Error 50
Service/daemon is not running.

The VPN Client service/daemon is not running. VPN connections cannot be established/terminated via the GUI.
Error 51
IPC socket allocation failed with error %1h.

The VPN Client failed to create an inter-process communication socket in order to communicate with the service/daemon. VPN connections cannot be
established/terminated via the GUI. Refer to Related Information for link to search on Cisco bug ID CSCed05004.
Error 52
IPC socket deallocation failed with error %1h.

The VPN Client failed to close an inter-process communication socket that is used to communicate with the service/daemon while terminating.
Subsequent use of the GUI may be unable to communicate with the service/daemon.
Error 53
Secure connection to %1 was unexpectedly dropped.

The VPN connection was lost due to something other than termination by the VPN Client GUI. The connection could have been terminated by the user
via the CLI, or internet connectivity may have been lost.
Error 54

79

The authentication passwords do not match. Enter the same password in both text boxes.

The user was asked to enter a new authentication password in the extend authentication dialog and did not enter the same values into the New
Password and Confirm Password fields. Both fields must contain the same values.
Error 55
The authentication PINs do not match. Enter the same PIN in both text boxes.

The user was asked to enter a new authentication PIN in the extend authentication dialog and did not enter the same values into the New PIN and
Confirm PIN fields. Both fields must contain the same values.
Error 56
Unable to start the VPN connection.

The VPN Client failed to send a start request for establishing the VPN connection to the service/daemon. The service/daemon may be stopped, hung, or
not running. Communication with the service/daemon may have failed.
Error 1406
Could not write value MtuAdjustment to key ...

Der VPN Client kann den gennanten Werte nicht in die registry eintragen. Die Fehlermeldung deutet darauf hin, dass die Berechtigungen in der
Registrierung nicht ausreichend sind. Die Loesung ist leider nicht ganz einfach. Bitte geben Sie unter Start/Ausfuehren als Kommando regedit und OK
ein. Danach unter Bearbeiten/Suchen im Suchfeld den Namen des Feldes, hier MtuAdjustment. Nach einem Rechtsklick auf den geoeffneten Ordner, in
dem das Feld gefunden wurde, muessen Sie unter Berechtigung fuer den "Installateur" Vollzugriff anklicken. Durch Betaetigung der F3-Taste koennen
Sie das Feld in weiteren Ordnern suchen, hier gehen Sie bitte genauso vor.
Reason 401
An unrecognized error occurred while establishing the VPN connection.

VPN connection was not established because of an unrecognized reason. Please check client logs for details.
Reason 402
The Connection Manager was unable to read the connection entry, or the connection entry has missing or incorrect information.

Either the connection profile is missing or does not have all the information. To fix this problem, you can either select another connection profile, or fix
the current connection entry. Connection profiles are located in profiles. On most machines, this is C Program FilesCisco SystemsVPN Clientprofiles. To
fix this problem, replace the connection profile file from the profiles directory. This file can be copied from a machine that has the correct entry of this file.
Reason 403
Unable to contact the security gateway.

This can happen because of multiple reasons. One of the reasons that users can get this message is because IKE negotiations failed. Check the client
logs for details.
Reason 404
The remote peer terminated the connection during negotiation of security policies.

Check the remote peer (head-end) logs to determine the cause for this failure.
Reason 405
The remote peer terminated connection during user authentication.

This reason is not currently used.


Reason 406
Unable to establish a secure communication channel.

This reason is not currently used.


Reason 407
User authentication was cancelled by the user.

A user hit the cancel button (instead of OK) in the VPN Client user authentication dialog.
Reason 408
A VPN connection is already in the process of being established.

A connection is already in process.


Reason 409
A VPN connection already exists.

A VPN connection already exists.


Reason 410
The Connection Manager was unable to forward the user authentication request.

80

This is not currently used.


Reason 411
The remote peer does not support the required VPN Client protocol.

The remote peer is either not a Cisco device or it does not support the VPN Client protocol specification.
Reason 412
The remote peer is no longer responding.

The remote peer is not responding to the client's request to establish the connection. Make sure you can ping the remote peer, or check remote peer
logs for why it is not responding to the client.
Reason 413
User authentication failed.

Either the user entered wrong user authentication information, or the client was not able to launch the XAuth (user authentication) process.
Reason 414
Failed to establish a TCP connection.

The VPN Client was not able to establish the TCP connection for IPSec over TCP connection mode. Please try IPSec over UDP or straight IPSec.
Please look at client logs for details.
Reason 415
A required component PPPTool.exe is not present among the installed client software.

Please make sure that ppptool.exe is present in the client installation directory (this is generally C Program FilesCisco SystemsVPN Client. If this file is
not present, uninstall and reinstall the client.
Reason 416
Remote peer is load balancing.

The peer has advised you to use a different gateway.


Reason 417
The required firewall software is no longer running.

The required firewall is not running.


Reason 418
Unable to configure the firewall software.

The peer sent an unrecognized firewall message.


Reason 419
No connection exists.

This is an unexpected error. Please check client logs for details.


Reason 420
The application was unable to allocate some system resources and cannot proceed.

The system ran out of memory. If you think the system has enough memory, reboot the machine and try again.
Reason 421
Failed to establish a connection to your ISP. Failed to establish a dialup connection.

View the client logs for details.


Reason 422
Lost contact with the security gateway. Check your network connection.

The machine's IP address changed or the machine is no longer connected to the Internet. Note The VPN Client is required to disconnect the VPN tunnel
for security reasons, if the machines IP Address has changed.
Reason 423
Your VPN connection has been terminated.

Either the user disconnected the VPN tunnel, or there was an unexpected error.
Reason 424
Connectivity to Client Lost by Peer.

81

Connection disconnected by the peer. Check the peer logs for details.
Reason 425
Manually Disconnected by Administrator.

Administrator manually disconnected the VPN tunnel.


Reason 426
Maximum Configured Lifetime Exceeded.

The VPN Client exceeded the maximum configured lifetime for a session. This value is configured on the peer (head-end) device.
Reason 427
Unknown Error Occurred at Peer.

Peer disconnected tunnel. Check the peer logs for details.


Reason 428
Peer has been Shut Down.

Peer was shut down.


Reason 429
Unknown Severe Error Occurred at Peer.

Check the peer logs for details.


Reason 430
Configured Maximum Connection Time Exceeded.

VPN Client has been connected for longer than allowed by the peer.
Reason 431
Configured Maximum Idle Time for Session Exceeded.

The VPN connection was idle for longer than the time allowed by the administrator.
Reason 432
Peer has been Rebooted.

The peer has been rebooted.


Reason 433
Reason Not Specified by Peer.

The peer gave no reason for disconnecting the tunnel. Check the peer logs for details.
Reason 434
Policy Negotiation Failed.

Client and peer policies do not match. Try changing peer policies (try using 3DES, AES, and so forth) and then try again.
Reason 435
Firewall Policy Mismatch.

Firewall policies do not match with what was configured by the peer.
Reason 436
Certificates used have Expired.

The certificate used in the connection profile has expired. Update the certificate configured in the client profile, and then try again.
Warning 201
The necessary VPN sub-system is not available. You can not connect to the remote VPN server.

The VPN Client GUI has detected that it cannot communicate with the client service/daemon. The service/daemon may be stopped, hung, or not
running. Communication with the service/daemon may have failed. Uninstall the VPN Client(see Related Information for link) and the anitvirus on the
computer, then reinstall the VPN Client.
Warning 202

If you disable this feature, the %1 will not automatically disconnect your VPN connection when you logoff. As a result, your computer may rema

The user has disabled the Disconnect VPN connection when logging off setting of the Windows Logon Properties dialog.

82

Warning 203
You do not have write privileges for this connection entry. It will be opened read-only.

The user is attempting to modify a connection entry whose file attributes have been set to read only.
Warning 204
The certificate %1 associated with this Connection Entry could not be found. Please select a different certificate or click Cancel.

The user is attempting to modify a connection entry that has a certificate associated with it. But the certificate associated with the profile was not found.
It could be that the certificate lives on a smart card which is not connected to the system right now. Therefore, hitting cancel is a valid option.
Warning 205
You must use a Smart Card with this connection. Please insert the Smart Card before attempting a connection.

This warning means that the current profile requires the use of smart card, and no smart card is present on the system. The user should insert the
correct smart card and should re-connect, or the user should select a different profile to connect.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

83

30 Fehlernummern bei DF-Verbindungsproblemen


Im unten stehenden Dokument finden Sie eine bersicht ber alle Fehlernummern bei DF-Verbindungsproblemen:

Fehlernummer bei DF-Verbindungsproblemen


Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

84

31 Fernuni-Identity-Management (FIM)
Zur Verwaltung aller Benutzerinnen und Benutzer der zahlreichen IT-Systeme an der Fernuniversitt wird seit Beginn des Jahres 2011 ein neues
Fernuni-Identity-Management - kurz FIM
eingefhrt. Ziel ist es, mit mglichst einem Benutzernamen und einem Kennwort alle Systeme der Fernuni benutzen zu knnen. Die Umstellung wird in
mehreren Phasen erfolgen.
Den jeweils aktuellen Stand der FIM-Einfhrung finden Sie hier: FIM-Projekt - aktueller Stand
Im Zusammenhang mit Ihrer Identitt in unseren IT-Systemen gibt es eine Anzahl von Begriffen, deren Bedeutung wir hier erlutern: Definition
der Begriffe rund um die Identitt
Die Verwaltung Ihres Benutzerprofils im Fernuni-Identity-Management erfolgt hier: https://account.fernuni-hagen.de

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

85

32 FIM-Projekt - aktueller Stand


32.1 Aktuelle Meldungen zum Stand des Projektes Fernuni-Identity-Management (FIM)
32.1.1 Planungen fr 2015
Die SAP-Accounts werden automatisch durch das Identity-Management System angelegt.
Das SAP-Kennwort wird mit dem sonst verwendeten persnlichen Kennwort synchronisiert.
Die Account-Workflows werden angepasst: Accounts neuer Beschftigter werden rechtzeitig angelegt, Accounts ausscheidender
Beschftigter werden pnktlich gelscht.
Saisonkrfte werden bei der Accountvergabe speziell bercksichtigt, so dass der Account auch whrend der Nicht-Beschftigungszeiten
bestehen bleibt.
Antragsformulare fr Funktionszugnge, sowie fr das Beantragen von besonderen Zugriffs-Berechtigungen (z.B. Imperia, Gemeinsame
Ordner, etc.) sind im Web verfgbar.

32.1.1.1 Januar 2014 bis Dezember 2014


Eine Kennwort-Policy wurde eingefhrt.
Alle Systeme wurden an den neuen zentralen LDAP-Server AD LDS angeschlossen.
Die zum Teil alten Benutzernamen von Beschftigten (z. B. p1234567) wurden an die neue Namenskonvention angeglichen.
SAP-Benutzername und Windows/LDAP-Benutzername sind identisch. Der 2011 vergebende SAP-Benutzername war dabei magebend.
Das zuknftige Mailsystem fr Studierende wurde an das Identity Management System der FernUniversitt angebunden. Mailadressen
werden automatisiert ber das Identity Management System generiert.
Update des Identity Management Systems auf den Microsoft Forefront Identity Manager 2010 R2 unter Microsoft Windows Server 2012 R2.
Implementierung weiterer Schnittstellen. Z. B. Staffsearch Datenbank unter MySQL)
Leider konnten auch dieses Jahr nicht alle Ziele erreicht werden! Dies lag an einer Verzgerung bei der Implementierung einer Schnittstelle zum
SAP-Personalverwaltungssystem.

32.1.1.2 Januar 2013 bis Dezember 2013


Im Staffsearch werden die Ausgaben auch bei mehreren FernUni-Arbeitsverhltnissen korrekt angezeigt.
Die Mailmigration fr die Beschftigten der FernUni ist abgeschlossen! Alle Beschftigten sind auf den zentralen Exchange-Server
umgezogen.
Die Datenbereinigung ist abgeschlossen.
Die Anbindung des neues Mailsystems fr die Studierenden ist in groen Teilen erfolgt.
Gast- und Funktionsaccounts werden mit Erreichen des Ablaufdatums deaktiviert. 30 Tage nach der Deaktivierung werden die Accounts
gelscht.
Im Staffsearch ist eine Suche nach Bereichen implemtiert.
Der Suchalgorithmus im Staffsearch ist verbessert. Dort kann jetzt auch nach Namensbestandteilen gesucht werden.
Beschftigte werden rechtzeitig vor Ablaufen des Kennwortes per Email darber informiert.
Leider konnten nicht alle Ziele fr das Jahr 2013 erreicht werden! Dies lag an einer Verzgerung bei der Implementierung einer Schnittstelle zum
SAP-Personalverwaltungssystem.

32.1.1.3 Januar 2012 bis Dezember 2012


Die zweite IAM-Projektphase wird geplant.
Generalpasswortbriefe werden mit individuellen Texten fr Beschftigte, Studierende, Gste und Funktionsaccounts verschickt.
Antrge fr Gastaccounts knnen ber das Web gestellt werden.
Es wird ein neues zentrales E-Mail-Konzept fr die FernUni erarbeitet.
Alle Beschftigten der Fernuni werden nach und nach auf den Exchange-Server umgezogen (Rektoratsbeschluss vom 5.4.2011). Der
Endgerte-Support hilft bei den Umzgen. http://wiki.fernuni-hagen.de/helpdesk/index.php/Migration_von_mailstore_zu_OWA.
Alle Studierenden verbleiben mit ihrer Mailbox auf dem Mailstore.
Die Identitten bei Doppelrollen werden getrennt.
Studierende, die lnger als 90 Tage exmatrikuliert sind, werden gelscht.
Das neue VoIP-Systems wird an FIM angeschlossen.
Die Datenbereinigung auf allen Systemen wird fortgefhrt.
Die internen technischen Verwaltungsprozesse fr Accounts werden angepasst.

32.1.1.4 Mai 2011 bis Dezember 2011


Es werden weitere Anpassungen des FIM-Systems an die Prozesse der Fernuniversitt vorgenommen. Dazu gehren u.a.
Automatische rechtzeitige Account-Einrichtung fr neu eingestellte Beschftigte
Automatische rechtzeitige Erinnerungsmail an ausscheidende Beschftigte, dass der Account gelscht wird
Freischaltung des neuen Staffsearch mit aktuellen Daten

32.1.1.5 Mai 2011: Doppelrolle: Personen, die gleichzeitig an der FernUni beschftigt sind und auch an der FernUni studieren. Was ist zu
beachten?
Sie haben zwar eine "Identitt" in unseren Systemen, aber zunchst noch zwei Benutzernamen:
als Mitarbeitende/r Ihren p- oder Namensaccount
als Studierende/r Ihren q-Account
Wichtig: die Kennwrter fr beide Benutzernamen werden automatisch synchronisiert: ndern Sie das Kennwort fr Ihren
Beschftigten-Account, ndert sich auch das Kennwort fr Ihren Studierenden-Account und umgekehrt!
Alle Emails werden an Ihre Fernuni-Email-Adresse geschickt
In Einzelfllen gab es Konflikte bei Beschftigten mit dieser Doppelrolle, die aber berwiegend bereinigt werden konnten.

86

(Anmerkung April 2012: Das Konzept, eine einzige Identit in unseren Systemen zu fhren wird wieder aufgehoben. Wunsch vieler Beschftigter und
Studierender mit Doppelrolle ist eine strikte Rollentrennung. Insbesondere sind zum Beispiel zwei Mailadressen notwendig: eine fr die dienstlichen
Arbeiten als Beschftigte/r und eine fr die privaten Aktivitten als Studierende/r.)

32.1.1.6 April 2011: Start des neuen Dienstes FIM (Fernuni-Identity-Management), der die Verwaltung der Benutzernamen aller Beschftigten
und Studierenden bernimmt. Was ndert sich?
Fr die meisten Fernuni-Anwendungen bentigen Sie ab sofort nur noch einen Benutzernamen und das zugehrige Kennwort
fr das Windows-Login (Mitarbeitende)
fr die Mails auf dem Exchange-Server (Mitarbeitende)
fr die Mails auf dem Mailstore-Server (Mitarbeitende und Studierende)
fr den Zertifikatsserver (Mitarbeitende und Studierende)
fr fast alle weiteren Anwendungen an der FernUniversitt wie BSCW, Wiki-/Blog-Login, Virtueller Studienplatz, Moodle,
online-bungssystem, Prfungssysteme, etc. Das alles sind Anwendungen, die den sogenannten LDAP-Server zur
Authentifizierung benutzen. (Mitarbeitende und Studierende)
Sie knnen Ihr Kennwort an mehreren Stellen ndern - fr alle oben genannten Anwendungen wird das Kennwort dann automatisch
synchronisiert.
auf der Account-Webseite https://account.fernuni-hagen.de (Mitarbeitende und Studierende)
beim Windows-Login (Mitarbeitende)
auf der OWA-Webseite https://owa.fernuni-hagen.de (Mitarbeitende)
Fr die folgenden Fernuni-Anwendungen bentigen Sie noch weitere Benutzernamen und Kennwrter. Die Kennwort-nderung muss in dem
jeweiligen System erfolgen. Eine Synchronisation mit anderen Kennwrtern erfolgt nicht:
fr das Anmelden in SAP/FiBu
fr das Anmelden in Imperia (Mitarbeitende)
fr alle Anwendungen, die auf dem Server wattle zur Verfgung gestellt werden, z.B. SLO-Auskunft, HIS-Anwendungen
(Mitarbeitende)
fr die Bibliotheksanwendungen, z.B. aleph (Mitarbeitende und Studierende)
Gste der Fernuni erhalten befristete Benutzernamen t_name http://wiki.fernuni-hagen.de/helpdesk/index.php/Gastzugang
Funktionsnamen werden als f_accounts eingerichtet http://wiki.fernuni-hagen.de/helpdesk/index.php/Funktionszug%C3%A4nge
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

87

33 Firefox zurcksetzen
Um den Firefox zurckzusetzen sind folgende Schritte notwendig.

lteres Aussehen der Windows-Taste

aktuelles Aussehen der Windows-Taste

ACHTUNG!! Dabei gehen alle Ihre gespeicherten Daten im Firefox inkl. Lesezeichen, Chronik,
Zertifikaten, Add-Ons usw. verloren!!!
1. Firefox komplett schlieen (Kein einziges Firefox-Fenster darf mehr geffnet sein).
2. Ausfhren ffnen.
1. Windows-Taste + R drcken oder
2. Start -> Ausfhren
3. Folgendes ohne Anfhrungszeichen eintippen und mit Enter besttigen: "firefox -p".
Danach ist folgendes Fenster zu sehen:

4. In diesem Fenster knnen Sie auf "Profil lschen" klicken um Ihr Profil zu lschen.
5. In folgenden Fenster besttigen, dass die Dateien auch gelscht werden sollen.

88

6. Danach die Profilauswahl mit "Beenden" schlieen.


7. Nun knnen Sie den Firefox erneut ffen. Es wird wieder der Import-Dialog angezeit. Sie knnen nun Einstellungen vom Internet Explorer
importieren oder mit der der Einstellung "Nichts importieren" weiter gehen. Danach ist der Firefox wieder einsatzbereit.

89

34 Firefox-Masterpasswort
Unter - Extras - Einstellungen - Sicherheit - gibt es ein Feld "Master-Passwort verwenden". Wenn Sie dort einen Haken gemacht haben, haben Sie auch
ein Passwort vergeben. Dieses wird bei der Installation der Zertifikate abgefragt. Entfernen Sie den Haken oder geben Sie ihr Masterpasswort ein, dann
sollte die Installation auch funktionieren.
Weitere Infos zum Masterpasswort unter http://www.firefox-browser.de/wiki/Masterpasswort
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

90

35 FU-CAMPUS - Vouchers
35.1 Allgemeines zu Vouchers
Vouchers sind Zugangscodes fr die Benutzung des Netzwerks "FU-Campus". Sie verstehen sich als Einmal-Passwrter mit einer begrenzten
Nutzungsdauer. Das Voucher-System wurde an der FernUniversitt eingefhrt, um Gsten und Nicht-Hochschul-Angehrigen die Anmeldung ans Netz
und damit die vorbergehende Nutzung des Hochschulnetzes und des Internets zu ermglichen.
Ein Voucher ist also ein etwa 11- oder 12- stelliger Code aus einer Zahlen- und Buchstabenkombination, mit etwa folgendem Aussehen: (Beispiel)
e7FZkG66T2yH

Das Netzwerk FU-Campus steht als Drahtlosnetzwerk (WLAN) auf dem gesamten Campus sowie auch in allen Regionalzentren und einigen
Studienzentren zur Verfgung. FernUni-Angehrige (Beschftigte und Studierende) erhalten den Zugang mit ihrer hochschulweiten Benutzerkennung.
Sie bentigen keine Vouchers.

35.2 Benutzung eines Vouchers


Starten Sie mit ihrem Endgert die Suche nach Drahtlosnetzwerken. Wenn Sie sich auf dem Campus in Reichweite des Netzes befinden, sollten Sie ein
Netzwerk mit der SSID "FU-Campus" sehen. Es ist ein unverschlsseltes WLAN, ohne Zugangseinschrnkungen. Verbinden Sie sich jetzt mit diesem
Netzwerk.
Sie haben an dieser Stelle jedoch noch keinen Zugang zum Hochschulnetz oder zum Internet. Starten Sie jetzt Ihren Webbrowser. Wenn Sie eine Seite
laden mchten (Beispiel: http://www.fernuni-hagen.de), werden Sie umgelenkt auf unsere Anmeldeseite:

Hier ist sowohl die Eingabe der Benutzerkennung mit Kennwort (Nur Hochschul-Angehrige und Studierende der FernUniversitt) als auch die Eingabe
mit Vouchers mglich. Geben Sie jetzt Ihren Voucher-Code in das dafr vorgesehene Feld ein. Die anderen Felder bleiben leer.

91

Wenn Sie nun auf "Anmelden" klicken, erhalten Sie Zugriff auf das Netzwerk. Sie erhalten dann die gewnschte Webseite.

35.3 Ergnzende Informationen zu Vouchers


Vouchers werden fr den jeweiligen lokalen Bereich herausgegeben. Ein auf dem Campus in Hagen herausgegebenes Voucher ist auf dem gesamten
Campus und auch nur dort verwendbar. In einigen Regionalzentren knnen Sie ebenfalls Vouchers bekommen. Diese sind dann auch nur dort
verwendbar.
Ein Voucher hat einen begrenzten Gltigkeitszeitraum. Dieser beginnt mit der ersten Benutzung. Innerhalb dieser Zeit knnen Sie dasselbe Voucher
jederzeit wieder benutzen. Nach Ablauf der Zeit wird das Voucher ungltig, und Sie werden vom System abgemeldet. Ein unbenutztes Voucher kann
jedoch beliebig lange aufbewahrt werden.
Eine gleichzeitige Anmeldung an mehreren Endgerten ist nicht mglich. Sie knnen sich jedoch von einem Gert abmelden und mit demselben
Voucher innerhalb der Gltigkeitsdauer mit einem anderen Gert wieder anmelden. Eine gleichzeitige Anmeldung an einem zweiten Gert meldet Sie
automatisch auf dem anderen Gert ab. Wenn Sie dennoch mehrere Gerte gleichzeitig anmelden mchten, bentigen Sie fr jedes Endgert ein
eigenes Voucher.

35.4 Ausgabe von Vouchers


Herausgeber von Vouchers ist das ZMI.
Fr den Fall, dass Sie einen oder mehrere Voucher fr einen vorbergehenden Zugang auf dem Campus bentigen, knnen Sie eine der folgenden
Anlaufstellen nutzen:
direkt und online ber die Adresse https://www.fernuni-hagen.de/voucher/creatick. Nach Authentifizierung ber Ihren hochschulweiten
Account knnen Sie einen oder mehrere Voucher fr einen Gltigkeitszeitraum von 1, 3 oder 5 Tagen beantragen. Der/die Voucher werden
Ihnen per E-Mail zugeschickt.
Gste der FernUni knnen sich direkt an den Helpdesk unter Tel. -4444 wenden.
Als Besucher der Universittsbibliothek erhalten Sie Voucher an der Infotheke der Bibliothek.
Fr den Bezug von Voucher in den Regionalzentren wenden Sie sich bitte an die jeweilige Geschftsstelle des Regionalzentrums.

92

36 FU-Campus Zertifikatsfehler
Nach dem Verbindungsaufbau in das WLAN ?FU-Campus? lenkt beim Aufruf einer Browser-Seite ein Automatismus Ihre Anfrage zur Anmeldeseite
https://portal-xxxx.fernuni-hagen.de:8001 um. Erfolgt diese Umlenkung von einer https:// - Seite ( z.B. Ihr Home-Banking), kann es zu Inkompatiblitten
zwischen der aufgerufenen Seite (https://) und dem damit vorgezeigtem SSL/Server-Zertifikat von der FU-Campus-Anmeldeseite kommen. Daher bitte
einmal berprfen: haben Sie vor der Anmeldung eine https:// - Seite aufgerufen? Der Verbindung wird nicht vertraut, weil der Name im Zertifikat nicht
mit dem der aufgerufenen Seite bereinstimmt (siehe unten).In diesem Fall rufen Sie bitte zunchst eine http-Seite auf, Sie werden dann korrekt
umgeleitet.

93

37 FUNet nicht erreichbar


Bei generellen Zugriffsproblemen auf das FUNet und die Internetdienste (Einwahl nicht mglich, kein Zugriff auf LVU, Mails, News, etc. also alles, was
irgendwie mit dem LDAP-Account zusammen hngt):
Auf der Webseite
http://www.fernuni-hagen.info/
stehen Informationen zu den Strungsursachen und wie lange die Strungen voraussichtlich bestehen werden
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

94

38 FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7


Mac OS X 10.6 (Snow Leopard) und 10.7 (Lion) bieten die Mglichkeit zum Aufbau einer ipsec-VPN-Verbindung zum FUNet ohne die Installation
zustzlicher Software. Unter Systemeinstellungen den Button ?Netzwerk? bettigen und das ?+?-Zeichen fr ?Neuen Dienst erstellen? anklicken.
Anschlussart ist VPN, der VPN-Typ Cisco IPSec und der Verbindungsname ist frei whlbar, im Folgenden wurde FUNetMacLion verwendet.

Die Verbindung wird ber Erstellen eingerichtet. ? Als Serveradresse wird 132.176.101.101 (webvpn.fernuni-hagen.de) eingetragen, die Angaben fr
Accountname und Kennwort sind Ihr blicher hochschulweiter Benutzername und Ihr persnliches Kennwort. Unter Authentifizierungseinstellungen wird
dann noch ein Gruppenname ? hier FU-VPN-STUD-SPLIT ? gewhlt, das zugehrige Shared Secret ist jeweils identisch mit dem Gruppennamen.
Mgliche Gruppen entnehmen Sie bitte der Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml unter Profile. Um auf die
Dienstleistungsangebote der Universittsbibliothek (Datenbanken, Katalog) zugreifen zu knnen, sind die Gruppennamen FU-VPN-BIB oder
FU-VPN-BIB-NAT erforderlich.

95

Zustzlich zur bestehenden Netzwerkverbindung ? hier Ethernet ? wird dann die VPN-Verbindung (FUNetMacLion) gestartet, das Endgert erhlt dann
eine Adresse aus dem FUNet ? hier 132.176.131.91.

96

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

38.1 Speichern des Passworts


Leider wird u.U. beim Verbinden jedesmal das Passwort abgefragt. Um dies zu ber den Schlsselbund automatisch zu verwenden, muss wie folgt
vorgegangen werden (die Anleitung stammt von Macworld:
1. ffnen der Schlsselbund-Applikation (unter Dienstprogramme/Utilities, Schlsselbund bzw. Key Chain Access)
2. Im Schsselbund/Keychain "System" findet sich ein Eintrag fr die VPN-Konfiguration gleichen Namens, die Art (Kind) des Eintrag ist IPSec
XAuth Password
3. Diesen Eintrag ffnen und im Reiter Access Control eine neue Anwendung eintragen, die Zugriff auf den Eintrag hat. Dazu unten links "+"
drcken. Die Anwendung, die Zugriff bentigt, ist /usr/libexec/configd. Um diese Applikation im Auswahldialog anwhlen zu knnen, muss mit
Befehl-Shift-G der Ordner /usr/libexec ausgewhlt werden. Dort kann dann einfach configd selektiert werden.
97

38.2 Authentifizierungsprobleme
Es kann (gerade beim Testen) vorkommen, dass trotz korrekter Eingabe aller Authentifizierungsdaten keine Verbindung aufgebaut werden kann. U.U.
muss dann der Dienst "racoon" neu gestartet werden. Dazu im Terminal mit
ps aux|grep racoon

den Prozess suchen und anschlieend mit


sudo kill ###

(wobei ### die Prozessnummer ist) beenden. Der Prozess wird dann automatisch neu gestartet und die Authentifizierung sollte funktionieren.

98

39 Generalpasswort - Kennwort (Unterschied)


Der Benutzername ist grundstzlich fr Studierende in allen an der FernUni verwendeten Systemen die Matrikelnummer beginnend mit einem q
(q1234567).
Fr Mitarbeitende wird seit April 2011 ein Namensaccount vergeben. Mehr zur Account-Systematik finden Sie hier:
http://wiki.fernuni-hagen.de/helpdesk/index.php/Account-Systematik
Zu Beginn des Studiums, bzw. mit Aufnahme Ihrer Arbeit haben Sie das sog. Generalpasswort erhalten. Es wurde Ihnen per Post in einem
versiegelten Umschlag zugeschickt und umfasst 16 zufllige Zeichen. Dieses Generalpasswort brauchen Sie zum Setzen des Kennwortes.
Im Gegenteil dazu gibt es das Kennwort. Das ist das von Ihnen selbstgewhlte Kennwort. Und nur dieses Kennwort brauchen Sie in Ihrer tglichen
Arbeit im LVU, moodle, E-Mail oder sonstigen angeschlossenen Systemen. Auch das Beantragen eines Zertifikates funktioniert mit diesem Kennwort.
Sollte Ihnen das Generalpasswort nicht mehr vorliegen, knnen Sie es erneut bestellen.
https://account.fernuni-hagen.de
Bitte geben Sie auch hier einfach nur Ihren Benutzernamen z.B. in der Form q1234567 an.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

99

40 Google Chrome Browser


Mit dem Google Chrome Browser funktionieren unsere Zertifikate nicht. Bitte benutzen Sie den Internet Explorer oder den Mozilla/Firefox.
Mit Google-Chrome unter Windows und auch mit Chromium unter Linux funktionieren die Zertifikate, zumindest fr Moodle seit Mitte Juni (ab da ist es
mir aufgefallen, F. Heinrichmeyer).
Heute, am 15. September 2010 ist mir aufgefallen, dass ich mit Chromium unter Linux und meinem Zertifikat zwar in Moodle, aber nicht in den LVU
vordringen kann.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].
Ich habe das persnliche Zertifikat aus Firefox (siehe die entsprechende Anleitung hier) exportiert und dann in Chromium importiert - ich komme mit
Chromium (Ubuntu Maverick) sowohl in Moodle als auch ins LVU. Installation nach Anleitung von
http://code.google.com/p/chromium/wiki/LinuxCertManagement und (weil Import des persnlichen Zertifikats nicht geklappt hat, von
http://code.google.com/p/chromium/issues/detail?id=21213).
Mit Google Chrome unter Windows (7) muss man nur das persnliche Zertifikat aus Firefox (z.B. mycert.p12) in Optionen - Details - Zertifikate verwalten
importieren. --Ewald Strohmar 19:05, 8. Dez. 2010 (UTC)

100

41 Gruppenpasswort wiederherstellen
Das Gruppenpasswort setzen Sie ber
Modify/Group Authentication

fr den jeweiligen Dialer Eintrag. Er ist immer identisch mit dem Gruppenamen,also im o.g. Fall PW=Group-PW=FU-VPN-STUD-NAT.
Wie komme ich wieder an das Gruppen-Passwort und wo kann ich das gespeicherte User-Passwort ndern bzw. so umstellen, dass ich es wieder per
Hand eintragen kann?
Entfernen Sie im Einwhlfenster das Hkchen fr die Passwortspeicherung.
Es geht beides auch per Hand, indem Sie die zugehoerige PCF-Datei (FU-VPN-STUD-NAT) editieren und folgende nderungen machen:
GroupPwd=FU-VPN-STUD-NAT
SaveUserPassword=0

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

101

42 Hinweis zur Windows-Systemwiederherstellung


Wenn sie ihren Computer mit der Windows-Systemwiederherstellung zurcksetzten, verlieren die Zertifikate im Browser ihre Gltigkeit und mssen neu
beantragt werden.

102

43 ICS (Internet Connection Sharing) und VPN-Probleme unter Windows XP


Bei aktiviertem ICS gibt es Probleme bei der Installation der VPN Software. Um den VPN Client dennoch installieren zu knnen, fhren Sie einfach
folgende Schritte aus :
Rechtsklick auf Arbeitsplatz
im Kontextmen Linksklick auf Verwalten
In der Computerverwaltung gehen Sie in Dienste und Anwendungen und im nchsten Fenster dann in Dienste.
Klicken Sie dort mit der rechten Maustaste auf "Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung" und whlen Sie
Eigenschaften.
Unter der Kategorie Allgemein whlen Sie den Starttyp Deaktivieren und besttigen anschlieend mit Ok
Starten Sie den PC neu
Danach sollten Sie den VPN Client problemlos installieren knnen.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

103

44 Installation des VPN-Clients unter Kubuntu Linux 7.04 (feisty)


Wir bitten um Ihr Verstndnis, dass wir nicht alle aktuellen Linux-Distributionen bercksichtigen knnen. Unsere Beschreibungen beziehen sich auf
Kubuntu Linux in der Version 7.04 (Feisty Fawn), eine besonders einfach zu benutzende Linux-Distribution, die Sie kostenlos als ISO-Datei von
http://www.kubuntu.org/ herunterladen, oder sich kostenlos von https://shipit.kubuntu.org/ als CD-ROM bestellen knnen.
Unter Kubuntu Linux knnen Sie den freien VPN-Client Kvpnc ber die Paketverwaltung (apt) installieren. Sie haben dazu grundstzlich zwei
Mglichkeiten:
ber die Kommandozeile
ffnen sie ein Konsole-Fenster (K-Men -> System -> Konsole) und tippen Sie dort: sudo apt-get install network-manager-vpnc kvpnc Gegebenenfalls
werden Sie zur Eingabe ihres Anmeldekennworts aufgefordert. Die Anwendung wird anschlieend automatisch heruntergeladen und installiert.
ber die grafische Benutzeroberflche
Starten Sie das Adept-Installationsprogramm (K-Men -> Programme hinzufgen/entfernen). Sie werden gegebenenfalls zur Eingabe Ihres
Anmeldepassworts aufgefordert. Im oben sichtbaren Suchfeld tippen sie ?vpnc? ein.

Markieren Sie beide Suchergebnisse, so dass sich ein Hkchen neben ihnen befindet (siehe Abbildung). Nach einem Klick auf ?nderungen
anwenden? wird der VPN-Client automatisch heruntergeladen und installiert.
Installieren der Konfigurationsdatei fr Kvpnc
Nach der Installation von Kvpnc muss nun noch unsere vorgefertigte Konfigurationsdatei (kvpncrc) installiert werden. Laden Sie sich die Datei in Ihr
Homeverzeichnis herunter (Rechtsklick auf die Datei -> Ziel speichern unter...). ffnen Sie danach bitte ein Konsolenfenster (K-Men -> System ->
Konsole) und gehen Sie anschlieend wie folgt vor:
1. Lschen Sie die alte Konfigurationsdatei von Kvpnc, dies geschieht mit dem Befehl:
sudo rm /root/.kde/share/config/kvpncrc
2. Kopieren Sie die Datei im Anhang in das vorherige Verzeichnis, setzen Sie die Rechte der Datei so, dass Kvpnc sie lesen und schreiben kann:
sudo cp ~/kvpncrc /root/.kde/share/config/ sudo chmod 0600 /root/.kde/share/config/kvpncrc sudo chown root:root /root/.kde/share/config/kvpncrc
3. Bei der ersten Verbindung mit Kvpnc werden Sie aufgefordert, das Gruppenpasswort einzugeben. Die Gruppenpasswrter lauten wie folgt:
Gruppe: FU-VPN-STUD-NAT Passwort: FU-VPN-STUD-NAT
Gruppe: FU-VPN-STUD-SPLIT-NAT Passwort: FU-VPN-STUD-SPLIT-NAT
Gruppe: FU-VPN-BIB-NAT Passwort: FU-VPN-STUD-NAT
Mit dem Benutzernamen und dem Benutzerpasswort ist ihr gewhntlicher FernUni-Account (q1234567) gemeint.
Nach Mglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT verwenden. Der Zusatz SPLIT deutet jeweils
darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermglichen die Nutzung von lokalen
Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Einige Bibliotheksrecherchen auf Datenbankebene erfordern den Einsatz des sogenannten ICA-Clients, der von den Seiten der UB herunter
geladen werden kann. Bei der Verwendung des ICA-Clients kann nicht mit SPLIT-Tunneling gearbeitet werden, hier sollten Sie eines der
Profile FU-VPN-BIB bzw. FU-VPN-BIB-NAT verwenden.
Arbeiten mit dem Kvpnc Der Kvpnc kann ber das K-Men (Internet -> Kvpnc) gestartet werden.

104

Whlen Sie im Fallmen neben ?Profil? das gewnschte Profil aus, und klicken Sie auf ?Verbinden?. Geben Sie im sich ffnenden Dialog Ihren
Benutzernamen im Format q1234567 und das zugehrige Passwort ein, belassen Sie aber bitte das Gruppen-Passwort auf jeden Fall auf dem
voreingestellten Wert. Anschlieend wird die VPN-Verbindung zum FernUniversitts-Netzwerk aufgebaut. Hinweis: Falls Sie es versehentlich doch
einmal berschreiben, geben Sie als Gruppen-Passwort den Namen des jeweiligen Profils neu ein.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

105

45 Installation des VPN-Clients unter Mac OS 10.4 (Tiger)


Ab Mac OS X 10.6 wird das Cisco-VPN-Protokoll direkt vom Betriebssystem untersttzt, der hier beschriebene Cisco-Client kann dort nicht mehr
installiert werden. Ab 10.6 (Snow Leopard) ist eine eigene Installationsanleitung unter FUNet VPN-Verbindung unter Mac OS X 10.6 und 10.7 zu finden.
Laden Sie die Installations-Datei herunter.
Klicken Sie bitte auf die heruntergeladene Datei und ffnen Sie den Ordner ?CiscoVPNClient? auf Ihrem Schreibtisch. Im sich ffnenden Finder-Fenster
befindet sich das Paket ?Cisco VPN Client.mpkg?, mit dem die Installation gestartet wird.

Befolgen Sie die Anweisungen der Installationsroutine. Im Verlauf werden Sie aufgefordert, die Vertrauenswrdigkeit des Pakets zu besttigen. Klicken
Sie in diesem Dialog daher auf ?Fortfahren?. Die folgenden Lizenzbedingungen mssen akzeptiert werden. Whlen Sie daraufhin das
Installationsvolume aus (meist ?Macintosh HD?) aus. Auf diesem Laufwerk wird der Client anschlieend installiert. Folgen Sie anschlieend den
weiteren Anweisungen der Installationsroutine.

Nach der Installation steht im Ordner ?Programme? der VPNClient zur Verfgung. Starten Sie das Programm per Doppelklick, es ffnet sich nun das
Hauptfenster des Clients. Durch Doppelklick auf eine der Verbindungseintrge (?Connection Entry?) wird anschlieend eine VPN-Verbindung zum
FernUniversitts-Netzwerk hergestellt.

106

Die Unterschiede der einzelnen Profile finden Sie in der folgenden Tabelle erlutert:
FU-VPN-BIB, FU-VPN-STUD
Bibliotheksrecherche mit Einzel-PC
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
FU-VPN-STUD-SPLIT
Standard-VPN-Zugang mit Einzel-PC
FU-VPN-STUD-SPLT-NAT
Standard-VPN-Zugang mit PC im Heimnetzwerk (mit Router)
Nach Mglichkeit sollten Sie eines der Profile FU-VPN-STUD-SPLIT oder FU-VPN-STUD-SPLIT-NAT verwenden. Der Zusatz SPLIT deutet jeweils
darauf hin, dass nur der Datenverkehr zum FUNet getunnelt wird. Profile mit dem Zusatz NAT ermglichen die Nutzung von lokalen
Adresszuweisungen, beispielsweise beim Einsatz von Routern.
Einige Bibliotheksrecherchen auf Datenbankebene erfordern den Einsatz des sogenannten ICA-Clients, der von den Seiten der UB herunter
geladen werden kann. Bei der Verwendung des ICA-Clients kann nicht mit SPLIT-Tunneling gearbeitet werden, hier sollten Sie eines der
Profile FU-VPN-BIB bzw. FU-VPN-BIB-NAT verwenden.
Die VPN-Verbindung wird im Anschluss durch Klicken auf die Schaltflche Connect hergestellt. Die Authentifizierung erfolgt wie blich ber den
hochschulweiten Account und dem zugehrigen Passwort.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

107

46 Installation von Zertifikaten mit Internet Explorer 8


Installation von Zertifikaten mit Internet Explorer 8 unter Windows 7
Installation von Zertifikaten mit Internet Explorer 8 unter Windows Vista
Installation von Zertifikaten mit Internet Explorer 8 unter Windows XP

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

108

47 Installation von Zertifikaten mit Internet Explorer 8 unter Windows 7


Diese Anleitung gilt fr alle Windows 7 Versionen und den Internet Explorer 8. Wenn Sie einen anderen Browser, wie Firefox verwenden gehen Sie bitte
nach der Anleitung fr diesen Browser vor.
1. Rufen Sie die Webseite https://ca.fernuni-hagen.de auf.
2. Klicken Sie auf Zertifikatsserver, eine hnliche Seite erscheint im Browser:

3. Loggen Sie sich nun mit Ihrem Benutzernamen und Ihrem Kennwort ein.
4. Nach erfolgreichem Login klicken Sie auf weiter.
5. Klicken Sie unter Root Zertifikat 2009 auf Zertifikat herunterladen.

6. Es erscheint eine Dateidownload - Sicherheitswarnung. Klicken Sie auf ffnen.

109

7. Klicken Sie bei der erscheinenden Sicherheitsabfrage auf Zulassen.

8. Whlen Sie im folgenden Fenster Zertifikat installieren....

110

9. Es ffnet sich der Zertifikatimport-Assistent. Klicken Sie auf Weiter.


10. Whlen Sie nun Alle Zertifikate in folgendem Speicher speichern und whlen Sie nach einem Klick auf Durchsuchen die Option Vertrauenswrdige
Stammzertifizierungsstellen aus.

111

11. Klicken Sie auf weiter und beenden Sie anschlieend den Assistenten mit einem Klick auf Fertig stellen. Es erscheint daraufhin eine
Sicherheitswarnung. Besttigen Sie hier die Installation des Zertifikats mit Ja.

112

12. Klicken Sie nun unter CA Zertifikat 2009 auf Zertifikat herunterladen.

13. Gehen Sie genauso vor wie bei der Installation des Root Zertifikat 2009 (ab Schritt 6), whlen Sie aber nun im Schritt 10 die Option
Zertifikatsspeicher automatisch auswhlen.

113

14. Nach erfolgreicher Installation der beiden Zertifikate klicken Sie auf weiter. Nun gelangen Sie zur ?Policy Vereinbarung?. Setzen Sie hier beide
Hkchen und klicken Sie anschlieend auf weiter. Klicken Sie im erscheinenden Fenster "Internet Explorer-Sicherheit" auf Zulassen.

15. Auf der folgenden Seite knnen Sie den Zertifikatsspeicher auswhlen. Um das Zertifikat im Browser zu speichern whlen Sie "Microsoft Enhanced
Cryptographic Provider v1.0" aus.

114

16. Nun ffnet sich ein Fenster zur Erstellung eines neuen RSA-Signaturschlssels. Klicken Sie hier auf Sicherheitsstufe.

17. Whlen Sie ein Passwort, mit dem das Zertifikat geschtzt wird. Klicken Sie dann auf Fertigstellen und anschlieend auf OK.

18. Besttigen Sie darauffolgende Fragefenster und Warnmeldungen mit Ja bzw. OK. Es erscheint eine Meldung, dass das Zertifikat installiert wurde.
Anschlieend knnen Sie Ihr Zertifikat noch testen.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

115

48 Installation von Zertifikaten mit Internet Explorer 8 unter Windows Vista


Diese Anleitung gilt fr alle Windows Vista Versionen und den Internet Explorer 8. Wenn Sie einen anderen Browser, wie Firefox oder Internet Explorer
7 verwenden gehen Sie bitte nach den Anleitungen fr diese Browser vor.

1. Rufen Sie die Webseite https://ca.fernuni-hagen.de auf.


2. Klicken Sie auf Zertifikatsserver, eine hnliche Seite erscheint im Browser:

3. Loggen Sie sich nun mit Ihrem Benutzernamen und Ihrem Kennwort ein.
4. Nach erfolgreichem Login klicken Sie auf weiter.
5. Klicken Sie unter Root Zertifikat 2009 auf Zertifikat herunterladen.

6. Es erscheint eine Dateidownload - Sicherheitswarnung. Klicken Sie auf ffnen.

116

7. Klicken Sie bei der erscheinenden Sicherheitsabfrage auf Zulassen.

8. Whlen Sie im folgenden Fenster Zertifikat installieren....

117

9. Es ffnet sich der Zertifikatimport-Assistent. Klicken Sie auf Weiter.


10. Whlen Sie nun Alle Zertifikate in folgendem Speicher speichern und whlen Sie nach einem Klick auf Durchsuchen die Option Vertrauenswrdige
Stammzertifizierungsstellen aus.

118

11. Klicken Sie auf weiter und beenden Sie anschlieend den Assistenten mit einem Klick auf Fertig stellen. Es erscheint daraufhin eine
Sicherheitswarnung. Besttigen Sie hier die Installation des Zertifikats mit Ja.

119

12. Klicken Sie nun unter CA Zertifikat 2009 auf Zertifikat herunterladen.

13. Gehen Sie genauso vor wie bei der Installation des Root Zertifikat 2009 (ab Schritt 6), whlen Sie aber nun im Schritt 10 die Option
Zertifikatsspeicher automatisch auswhlen.

120

14. Nach erfolgreicher Installation der beiden Zertifikate klicken Sie auf weiter. Nun gelangen Sie zur ?Policy Vereinbarung?. Setzen Sie hier beide
Hkchen und klicken Sie anschlieend auf weiter. Klicken Sie im erscheinenden Fenster "Internet Explorer-Sicherheit" auf Zulassen.

15. Auf der folgenden Seite knnen Sie den Zertifikatsspeicher auswhlen. Um das Zertifikat im Browser zu speichern whlen Sie "Microsoft Enhanced
Cryptographic Provider v1.0" aus. Klicken Sie auf weiter.

121

16. Besttigen Sie darauffolgende Fragefenster und Warnmeldungen mit Ja bzw. OK. Es erscheint eine Meldung, dass das Zertifikat installiert wurde.
Anschlieend knnen Sie Ihr Zertifikat noch testen.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

122

49 Installation von Zertifikaten mit Internet Explorer 8 unter Windows XP


Diese Anleitung gilt fr alle Windows XP Versionen und den Internet Explorer 8. Wenn Sie einen anderen Browser, wie Firefox oder Internet Explorer 7
verwenden gehen Sie bitte nach den Anleitungen fr diese Browser vor.
1. Rufen Sie die Webseite https://ca.fernuni-hagen.de auf.
2. Klicken Sie auf Zertifikatsserver, eine hnliche Seite erscheint im Browser:

3. Loggen Sie sich nun mit Ihrem Benutzernamen und Ihrem Kennwort ein.
4. Folgen Sie den Anweisungen des Servers bis Sie zu dem Punkt ?Policy Vereinbarung? kommen. Setzen Sie hier beide Hkchen und klicken Sie
anschlieend auf weiter.
5. Folgen Sie den Anweisungen des Assistenten bis zur Auswahl des Zertifikatsspeichers. Um das Zertifikat im Browser zu speichern whlen Sie
"Microsoft Enhanced Cryptographic Provider v1.0" aus. Klicken Sie auf weiter. Sollte nun im Browser oben eine blaue Leiste erscheinen, so klicken Sie
diese bitte an und whlen Add-On ausfhren aus.

6. Besttigen Sie darauffolgende Fragefenster und Warnmeldungen mit Ja bzw. OK. Folgen Sie den weiteren Schritten des Zertifikatsservers bis zum
Abschluss der Installation. Anschlieend knnen Sie Ihr Zertifikat testen.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

123

50 8.1
Diese Anleitung gilt fr alle Windows 7 und Windows 8/8.1 Versionen und den Internet Explorer 9, 10 und 11. Wenn Sie einen anderen Browser, wie
Firefox verwenden gehen Sie bitte nach der Anleitung fr diesen Browser vor.

1. Rufen Sie die Webseite https://ca.fernuni-hagen.de auf.


2. Klicken Sie auf Zertifikatsserver, eine hnliche Seite erscheint im Browser:

3. Loggen Sie sich nun mit Ihrem Benutzernamen und Ihrem Kennwort ein.
4. Nach erfolgreichem Login klicken Sie auf weiter.
5. Klicken Sie unter Root Zertifikat 2009 auf Zertifikat herunterladen.

6. Es erscheint eine Dateidownload - Sicherheitswarnung. Klicken Sie auf ffnen.

124

7. Klicken Sie bei der erscheinenden Sicherheitsabfrage auf Zulassen.

8. Whlen Sie im folgenden Fenster Zertifikat installieren....

125

9. Es ffnet sich der Zertifikatimport-Assistent. Klicken Sie auf Weiter.


10. Whlen Sie nun Alle Zertifikate in folgendem Speicher speichern und whlen Sie nach einem Klick auf Durchsuchen die Option Vertrauenswrdige
Stammzertifizierungsstellen aus.

126

11. Klicken Sie auf weiter und beenden Sie anschlieend den Assistenten mit einem Klick auf Fertig stellen. Es erscheint daraufhin eine
Sicherheitswarnung. Besttigen Sie hier die Installation des Zertifikats mit Ja.

127

12. Klicken Sie nun unter CA Zertifikat 2009 auf Zertifikat herunterladen.

13. Gehen Sie genauso vor wie bei der Installation des Root Zertifikat 2009 (ab Schritt 6), whlen Sie aber nun im Schritt 10 die Option
Zertifikatsspeicher automatisch auswhlen.

128

14. Nach erfolgreicher Installation der beiden Zertifikate klicken Sie auf weiter. Nun gelangen Sie zur ?Policy Vereinbarung?. Setzen Sie hier beide
Hkchen und klicken Sie anschlieend auf weiter. Klicken Sie im erscheinenden Fenster "Internet Explorer-Sicherheit" auf Zulassen.

15. Auf der folgenden Seite knnen Sie den Zertifikatsspeicher auswhlen. Um das Zertifikat im Browser zu speichern whlen Sie "Microsoft Enhanced
Cryptographic Provider v1.0" aus.

129

16. Wenn Sie Ihr Zertifikat im Browser installieren, ffnet sich nun ein Fenster zur Erstellung eines neuen RSA-Signaturschlssels. Klicken Sie hier auf
Sicherheitsstufe.

17. Whlen Sie ein Passwort, mit dem das Zertifikat geschtzt wird. Klicken Sie dann auf Fertigstellen und anschlieend auf OK.

18. Besttigen Sie darauffolgende Fragefenster und Warnmeldungen mit Ja bzw. OK. Es erscheint eine Meldung, dass das Zertifikat installiert wurde.
Anschlieend knnen Sie Ihr Zertifikat noch testen.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].
130

51 Installation von Zertifikaten mit Opera


In Opera knnen Zertifikate nicht direkt installiert werden!
Ein Tipp von einem unserer Studierenden:
Hallo, ich habe einen Weg gefunden das Wurzelzertifikat unter Opera zu installieren.
Ich habe es zuerst in Firefox installiert, dann als .p12 Datei gespeichert aus Firefox heraus, um es dann in Opera zu Importieren. dann funktioniert es
prima.
wre schn wenn Sie dies in Ihrem Wiki verffentlichen knnten.
freundlichen Gru
Linus Brandes
Falls der obige Tipp nicht funktioniert, benutzen Sie bitte den Microsoft Internet Explorer oder den Mozilla Firefox. Einen Support fr Opera knnen wir
Ihnen leider nicht anbieten.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

131

52 Installation von Zertifikaten mit Safari


Mit Safari knnen keine Zertifikate von https://ca.fernuni-hagen.de direkt installiert werden!
Bitte benutzen Sie den Microsoft Internet Explorer oder den Mozilla Firefox, um erstmalig ein Zertifikat zu beziehen und zu installieren. Von dort aus
knnen Sie das installierte Zertifikat dann in eine PKCS 12-Datei (.p12) exportieren und anschlieend in anderen Produkten wie z.B. dem Mac OS X
Schlsselbund (zur Verwendung in insbesondere Safari und Apple Mail) importieren.

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

132

53 Kennwort vergessen
Wenn Sie Ihr Kennwort vergessen haben, aber den Brief mit Ihrem Generalpasswort noch haben, knnen Sie sich unter dem Link
https://account.fernuni-hagen.de/
Auswahl "ndern des Accountpasswortes" einfach ein neues Kennwort setzen. Sollten Sie den Brief mit dem Generalpasswort nicht mehr haben, so
knnen Sie unter dem gleichen obigen Link den Brief noch einmal anfordern.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

133

54 Kennwort-Regeln
Kennwort-Regeln fr Studierende:
Das Kennwort MUSS mindestens 8 Zeichen lang sein
Das Kennwort SOLLTE regelmig gendert werden
Das Kennwort MUSS Zeichen aus mindestens 3 der folgenden 4 Gruppen enthalten:
Grobuchstaben A bis Z, keine Umlaute
Kleinbuchstaben a bis z, keine Umlaute, kein scharfes s ()
Ziffern 0 bis 9
Sonderzeichen !#$%&?()*+,-./:;<=>?@[\]^_`{|}~
Bitte whlen Sie keine "exotischen" Sonderzeichen und benutzen Sie auch keine Leerzeichen!
Gleichzeitig darf das Kennwort nicht aus folgenden Wrtern bestehen (Gro-/Kleinschreibung spielt keine Rolle):
dem eigenen Benutzernamen
dem eigenen Vor- oder Nachnamen
dem Wort "Studierende"

Kennwort-Regeln fr Beschftigte:
Das Kennwort MUSS mindestens 8 Zeichen lang sein
Das Kennwort MUSS alle 60 Tage gendert werden
Das Kennwort kann nach einer nderung 24 Stunden lang nicht erneut gendert werden
Die letzten 3 Kennwrter drfen nicht erneut verwendet werden
Das Kennwort MUSS Zeichen aus mindestens 3 der folgenden 4 Gruppen enthalten:
Grobuchstaben A bis Z, keine Umlaute
Kleinbuchstaben a bis z, keine Umlaute, kein scharfes s ()
Ziffern 0 bis 9
Sonderzeichen !#$%&?()*+,-./:;<=>?@[\]^_`{|}~
Bitte whlen Sie keine "exotischen" Sonderzeichen und benutzen Sie auch keine Leerzeichen!
Gleichzeitig darf das Kennwort nicht aus folgenden Wrtern bestehen (Gro-/Kleinschreibung spielt keine Rolle):
dem eigenen Benutzernamen
dem eigenen Vor- oder Nachnamen
bei Funktionsaccounts drfen nicht Teile des sogenannten Display-Namens verwendet werden, z.B. Wrter wie "Funktionsaccount",
"Kurs", "Raum"; "Ausarbeitung", etc.
Trotzdem gilt: Kennwrter bitte nicht aufschreiben!
Stand: April 2014
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

134

55 Kndigung des Accounts bei dfn@home


Der Dienst dfn@home wird an der Fernuni mangels Nachfrage eingestellt!
Die verbliebenen Kunden wurden bereits vom Anbieter inter.net angeschrieben und zum 28.2.2013 gekndigt. Die betroffenen Studierenden mssen
entweder ein alternatives Produkt von inter.dot verwenden oder einen Vertrag mit einem anderen Fremdprovider abschlieen. Die Fernuni selbst ist kein
Provider.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

135

56 Linux: VPN Client und Profildateien


56.1 Software
In gngigen Linux-Distributionen sind Cisco-kompatible VPN-Klienten vorhanden. Es ist also nicht ntig, einen der VPN-Klienten von Cisco zu
installieren, sondern man kann einfach einen der passenden VPN-Klienten der Distribution mit Hilfe der Paketverwaltung (sei es RPM oder DEB)
installieren. Man hat dabei die Wahl zwischen vpnc und openconnect.
Die Installation aus den Archiven der Distribution hat Vorteile: Der VPN-Klient ist dann gut in den grafischen NetworkManager integriert. Auerdem ist er
fr die vorhandene Architektur optimiert und nicht lediglich fr i386 compiliert. Vor allem aber werden Security- und Bug-Fixes beim Systemupdate
eingespielt und man muss sie nicht zustzlich von Cisco holen. Zudem verweist die Website von openconnect auf mehrere Sicherheits-Vorteile.
Unter Ubuntu oder Debian verwendet man zur Installation den grafischen Paketmanager oder gibt Folgendes an der Kommandozeile ein:
$ sudo aptitude install vpnc

bzw.
$ sudo aptitude install openconnect

Dies sind die VPN-Klienten fr die Kommandozeile. Wenn man eine Integration in die grafische Oberflche will, muss man entsprechende Plugins fr
den NetworkManager installieren:
$ sudo aptitude install network-manager-vpnc

bzw.
$ sudo aptitude install network-manager-openconnect

56.2 vpnc
56.2.1 Profil-Dateien und Aufruf von vpnc
Fr die VPN-Verbindung zur FernUni bentigt vpnc eine auf .conf endende Profil- oder Konfigurationsdatei im Verzeichnis /etc/vpnc/, also zum
Beispiel /etc/vpnc/fernuni.conf, oder allgemein /etc/vpnc/PROFILNAME.conf.
Der Klient wird dann mit folgendem Kommando gestartet und die VPN-Verbindung aufgebaut:
$ sudo vpnc fernuni

Oder allgemeiner:
$ sudo vpnc PROFILNAME

Die Dateien /etc/vpnc/default.conf bzw. /etc/vpnc.conf sind zur Definition eines default-Profils vorgesehen. Der Verbindungsaufbau kann
dann einfach mit $ sudo vpnc vorgenommen werden. Weitere Informationen auch ber alternative Orte fr Konfigurationsdateien findet man auf der
man-Page von vpnc. Sie wird an der Kommandozeile aufgerufen mit
$ man vpnc

56.2.2 Inhalt der Profildatei


Was aber muss denn drinstehen in so einer Konfigurationsdatei? Es knnen nicht einfach die pcf-Dateien verwendet werden, die die Fernuni zur
Verfgung stellt, z.B. [1]. Der Grund: Die Konfigurationsparameter von vpnc haben andere Namen als die des proprietren Cisco-VPN-Klienten. Es gibt
aber glcklicherweise ein Programm, das Cisco's pcf-Dateien konvertieren kann, pcf2vpnc.
$ whatis pcf2vpnc
pcf2vpnc (1)

- converts VPN-config files from pcf to vpnc-format

Dieser Konverter wird bei der Installation von vpnc gleich mitinstalliert. Zum Beispiel wird das Zugangsprofil fr Studierende und MitarbeiterInnen mit
privatem Netzwerk ohne split-Tunneling folgendermaen konvertiert:
$ pcf2vpnc fu_vpn_stud_nat.pcf
## generated by pcf2vpnc
IPSec ID FU-VPN-STUD-NAT
IPSec gateway 132.176.101.101
IPSec secret FU-VPN-STUD-NAT
Xauth username riess
IKE Authmode psk

Diese Ausgabe von pcf2vpnc ist jetzt in einer Konfigurationsdatei, z.B. in /etc/vpnc/fernuni.conf zu speichern und dabei 'riess' durch den
sprechenden Benutzernamen zu ersetzen. Das geht mit dem Editor Ihrer Wahl oder einfach von der Kommandozeile:
$ sudo sh -c 'pcf2vpnc fu_vpn_stud_nat.pcf | sed s/riess/BENUTZERNAME/ > /etc/vpnc/fernuni.conf'

Man kann die Zeile Xauth username BENUTZERNAME brigens auch fortlassen. Dann wird man bei Aufbau des VPN-Tunnels nach einem
Benutzernamen gefragt.
Fr die anderen pcf-Dateien geht man entsprechend vor.

136

56.2.3 Herstellen und Trennen der Verbindung von der Kommandozeile


Nach der Konfiguration kann die Verbindung folgendermaen aufgebaut werden:
$ sudo vpnc fernuni
Enter password for BENUTZERNAME@132.176.101.101:
VPNC started in background (pid: 17370)...

Jetzt ist der Rechner Teil des Netzes der Fernuni. Wer sich im Internet auf entsprechenden Seiten seine IP-Nummer anzeigen lsst, wird eine IP aus
dem Range der Fernuni sehen: 132.176.0.0.
Deaktiviert wird die Tunnelung ber VPN durch
$ sudo vpnc-disconnect
Terminating vpnc daemon (pid: 17370)

Wer mchte, kann sich auch die routing-Tabelle des Kernels ansehen. Sie sollte ungefhr so aussehen:
$ sudo vpnc fernuni
Enter password for BENUTZERNAME@132.176.101.101:
VPNC started in background (pid: ...
$ sudo route
Kernel IP routing table
Destination
Gateway
Genmask
Flags
default
*
0.0.0.0
U
vpn-public-r1.f 192.168.0.1
255.255.255.255 UGH
132.176.134.0
*
255.255.255.0
U
localnet
*
255.255.255.0
U

Metric
0
0
0
0

Ref
0
0
0
0

Use
0
0
0
0

Iface
tun0
eth0
tun0
eth0

Das besagt Folgendes: Zeile 1: Jedes Paket mit Ziel Internet wird ber den Tunnel tun0 geschickt. Zeile 2: Pakete mit Ziel
vpn-public-r1.f[...ernuni-hagen.de] (= 132.176.101.101), also mit Ziel Tunnel-Endpunkt gehen ber die Netzwerkschnittstelle eth0 und den Gateway
192.168.0.1 (einen Router im lokalen Netz); diese Route ist ein Gateway (G-Flag). Zeile 3: Pakete mit einem Ziel im Fernuni-IP-Range 132.176.134.0
gehen auch ber tun0. Zeile 4: Pakete fr das lokale Netzwerk gehen ber die Netzwerkschnittstelle eth0. - Wer mehr davon verstehen will, lese unter
[2] nach.

56.2.4 Integration in den NetworkManager (Gnome)


Wer eine Integration in den grafischen NetworkManager bevorzugt, installiere das Paket network-manager-vpnc wie oben beschrieben. Dieses
Plugin fr das NetworkManager-Framework stellt eine komfortable grafische Schnittstelle zum oben beschriebenen vpnc zur Verfgung. vpnc wird bei
der Installation des Plugins durch die Paketverwaltung brigens automatisch mitinstalliert. Erfahrungsberichte ber eine Verwendung des
NetworkManagers finden sich unter Ubuntu_und_VPN.

56.2.5 Integration mittels kvpnc (KDE)


Alternativ kann man auch das grafische Frontend fr vpnc von KDE nehmen. Eine Beschreibung findet sich unter
Installation_des_VPN-Clients_unter_Kubuntu_Linux_7.04_(feisty).

56.3 openconnect
Mit openconnect ist die Herstellung eines VPN-Tunnels sehr einfach. Nach Eingabe des Befehls wird man aufgefordert, ein Profil auszuwhlen und
Benutzernamen und Passwort anzugeben:
$ sudo openconnect https://webvpn.fernuni-hagen.de -b
Attempting to connect to 132.176.101.101:443
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/
Got HTTP response: HTTP/1.0 302 Object Moved
SSL negotiation with webvpn.fernuni-hagen.de
Connected to HTTPS on webvpn.fernuni-hagen.de
GET https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Please enter your username and password.
GROUP: [FeU-Hagen-SSL-VPN|FeU-Hagen-SSL-VPN-Split|FeU-Hagen-SSL-VPNLLA|FeU-Personal|HomeIPPhone|IPPhone|Reserviert]:FeU-Hagen-SSL-VPN
Username:lueck
Password:
POST https://webvpn.fernuni-hagen.de/+webvpn+/index.html
Got CONNECT response: HTTP/1.1 200 OK
CSTP connected. DPD 30, Keepalive 20
Connected tun0 as 132.176.134.98, using SSL
Continuing in background; pid 20999
Established DTLS connection

Mit der Option -b wird der Client als Hintergrundprozess gestartet. Wenn man den VPN-Tunnel wieder abschalten mchte, beendet man nicht einfach
brachial den Prozess, sondern sendet ihm statt SIGTERM besser SIGINT. Das beendet den Prozess sauber und es werden die vorherigen
Netzwerk-Einstellungen wiederhergestellt. Also:
$ sudo kill -SIGINT 20999
Send BYE packet: Client received SIGINT

Wer die Handhabung der Prozess-IDs (hier 20999) scheut, der hat folgende Mglichkeiten: Man kann openconnect ohne die Option -b aufrufen, um
den Tunnel aufzubauen, und mit der Tastenkombination 'Strg' + 'c' den Prozess und den VPN-Tunnel beenden (sendet auch SIGINT). Oder man kann
auf den konfortablen NetworkManager zurckgreifen.

56.3.1 Integration in den grafischen NetworkManager


Wer die Verwaltung des Netzwerks unter Gnome o.. vorzieht, der installiere das openconnect-Plugin fr den NetworkManager:
network-manager-openconnect.

137

56.4 Fehlerbehebung
56.4.1 Internet wie tot - keine Namensauflsung
Wird ein VPN-Tunnel unsauber beendet wird, kann es zu dem unangenehmen Problem kommen, dass beim Surfen im Netz keine URLs mehr gefunden
(aufgelst) werden. Das liegt unter Umstnden daran, dass die Konfiguration der Namensauflsung nicht wieder hergestellt worden ist, sondern noch
wie beim Betrieb des VPN-Tunnel konfiguriert ist. In der Datei /etc/resolv.conf stehen dann noch die Nameserver der Fernuni und nicht der/die
Nameserver des Internet-Service-Providers (ISP) bzw. die Adresse des Routers im Heimnetz. Die Datei sieht dann ungefhr so aus:
$ cat /etc/resolv.conf
#@VPNC_GENERATED@ -- this file is generated by vpnc
# and will be overwritten by vpnc
# as long as the above mark is intact
search homelinux.org fernuni-hagen.de
nameserver 132.176.129.201
nameserver 132.176.129.203

Eine intakte /etc/resolv.conf bei Betrieb des Rechners hinter einem wlan-Router mit lokalem Netzwerk, wobei dieser Router auch als Nameserver
(Weiterleitung vom ISP) dient, sieht eher so aus:
$ cat /etc/resolv.conf
search homelinux.org
nameserver 192.168.0.1

(Anmerkung: homelinux.org ist bei mir die lokale Domain, das ist beliebig und nicht aussagekrftig.)
vpnc erstellt glcklicherweise ein Backup der ursprnglichen Datei unter /var/run/vpnc/resolv.conf-backup. Mit Hilfe dieses Backups muss
/etc/resolv.conf dann manuell wieder hergestellt werden (kopieren). Ein Neustart des Systems hilft hingegen nicht.
Dieses Problem taucht bei Verwendung von vpnc schon einmal auf, wenn der Tunnel aufgrund von Strungen des ISP oder bei der Fernuni
zusammenbricht.

138

57 MacOS: Update des Cisco VPN-Clients


Ein Lesertipp:
Beim Updat des Cisco VPN-Clients hatte ich Probleme mit dem Starten des Programms. Ich bekam die Fehlermeldung, wie sie unter
http://forums.macosxhints.com/showthread.php?t=35555
beschrieben ist. Dortige Anleitung (ausfhren von /usr/local/bin/vpn_uninstall) hat bei mir die erwnschte Lsung gebracht. Vielleicht knnen Sie den
Tipp ja auf die Seiten der Fernuni bernehmen.
Mit freundlichen Gren
Jens von Pilgrim
Amerkung des Helpdesks: Das machen wir gerne:-)
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

139

58 Newsletter-Passwort fr Beschftigte der Fernuni


Fr Beschftigte:
Ein Zugriff auf den Newsletter ist nur fr Rechner innerhalb der FernUni mglich. Auch bei einem Zugriff ber VPN von auen wird ein Account bentigt,
der nicht der persnliche Benutzername ist.
Das Passwort fr den Newsletter oder sonstige interne Seiten erhalten die Beschftigten der Fernuniversitt, z.b. auch die Beurlaubten, deren
'normales Passwort abgelaufen ist, bei der Abteilung Organisations- und Personalentwicklung (E-Mail mit Angabe des Beschftigtenstatus
an Dez3.3 @FernUni-hagen.de). Bitte geben Sie uns die Beschftigungsdauer und den Status (Prof, wiss. Ang., Beurlaubt etc) des
Beschftigungsverhltnisses an.
Alle Beschftigten in den Regional- und Studienzentren erhalten das Passwort von der Abteilung 2.2: Dez2.2@FernUni-Hagen.de.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

140

59 Performance-Probleme beim Zugriff auf Server-Laufwerke via VPN


Bei den Einstellungen des VPN-Clients gibt es die Mglichkeit, die Gre der bertragenen Frames einzustellen. Rufen Sie aus der
VPN-Client-Programm-Gruppe die Funktion Set-MTU auf und setzen Sie die MTU Options fuer die Netzwerkverbindung auf 1300, vielleicht hifts...
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

141

60 Portsperrungen
60.1 Port Sperrung im Internet
Der Schutz des lokalen Netzes erfolgt in zwei Stufen. Den ungeschtzten Bereich bildet ein Ethernet mit Routern zum Telefon- und ISDN-Netz, sowie
dem Internet. Auf dem Router zum Intranet (FUNet ) erfolgt die Sperrung von Ports. Zugelassen werden nur unbedingt bentigte Dienste.
Innerhalb des FUNet wird der SLO-Bereich durch eine zustzliche Firewall geschtzt.

60.1.1 Access-Control-Listen am X-WiN-Router


Die Beschrnkung der Protokolle auf dem WiN-Router (Internet-Zugang), wie sie von anderen Universitten praktiziert wird, ist durchaus sinnvoll und
wird bisher in Einzelfllen (Mail) und temporr zur Gefahrenabwehr auch an der FernUniversitt schon praktiziert.
Viele Protokolle sind bei der Kommunikation zum Internet nicht erforderlich, bieten aber Angreifern Ziele, ber die Systeme kompromittiert oder Dienste
ausgeschaltet werden knnen oder der Netzverkehr gestrt werden kann.
Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren
und nur die fr notwendig erachteten Ports zu ffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt,
der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Manahmen nicht weitere Schutzvorkehrungen auf den Endsystemen
obsolet machen.
Einwahlen ber die Access-Router sind von dieser Manahme nicht betroffen
Fr einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgefhrt.
Bei der zugelassenen Richtung bedeutet ein den eingehenden Verkehr vom Internet, whrend mit aus der ausgehende Verkehr zum Internet gemeint
ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst fr alle erlaubt werden.
Fr das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste:
Port
Beschreibung
Rechner
Zugelassene Richtung(en)
20/tcp
FTP-DATA
alle
ein/aus
21/tcp
FTP
alle
aus
21/tcp
FTP - anonymous
anonymous FTP-Server
ein
22/tcp
SSH
alle
ein/aus
23/tcp
Telnet
alle
aus
25/tcp
SMTP
(relayfeste) Mailserver
aus
43/tcp
WHOIS
alle
aus
53/tcp+udp DNS
DNS-Server
ein/aus
79/tcp
FINGER
alle
aus
80/tcp
HTTP
alle
ein/aus
110/tcp
POP3
alle
ein/aus
119/tcp
NNTP
alle (ausser news.fernuni-hagen.de) ein/aus
123/tcp
NTP
NTP-Server
ein/aus
143/tcp
IMAP
alle
ein/aus
443/tcp
HTTPS
alle
ein/aus
465/tcp
SMTP over TLS/SSL alle
ein/aus
500/udp
ISAKMP
alle
ein/aus
554/tcp+udp RTSP
alle
ein/aus
587/tcp
Message Submission alle
ein/aus
389/tcp
LDAP
alle
aus
636/tcp
LDAPS
alle
aus
993/tcp
IMAPS
alle
ein/aus
Zustzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (fr den
MS SQL Server) gesperrt.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

142

61 STZ
Bei Standard-FernUni-Notebooks kann es zu Problemen beim Seitenaufbau kommen. Ursache ist die Gre der bertragenen Fenster.
Dieser Ratschlag hat zum Erfolg gefhrt:
Die Gre der bertragenen Fenster kann der Knackpunkt sein. Der zugehrige Parameter heit MTU (MaximumTransmissionUnit). Das fhrt uns
leider in die Welt der ?DOS-Box?? Ich versuche mal, die Vorgehensweise zu skizzieren.
ber Start/alle Programme/Zubehr gelangen Sie an eine Liste, in der diese Box als ?Eingabeaufforderung? auftaucht. Bitte gehen Sie auf diesen
Eintrag, bettigen die rechte Maustaste und whlen Sie ?Als Admin ausfhren?. Damit ffnet sich die Box, in der Titelleiste sollte ?Administrator:
Eingabeaufforderung? erscheinen. Jetzt kann es losgehen: bitte folgende Befehle absetzen.
netsh <enter>
interface <enter>
ipv4 <enter>
sho subinterface <enter>
Nun zeigt Ihnen das System ? unter Anderem - die Werte fr MTU (linke Spalte) an. Ich vermute nun, dass bei den ?Problemfllen? unter der
LAN-Verbindung ein zu groer Wert (z.B. 1500) auftaucht. Das knnen Sie ndern durch Eingabe von
set subinterface LAN-Verbindung mtu=1300
Wobei ?LAN-Verbindung? der Name ist, der Ihnen beim sho-Befehl angezeigt wurde.
Das System sollte die Aktion durch ?OK.? Besttigen, Sie knnen die nderung durch ein erneutes "sho subinterface" verifizieren. Wenn das klappt,
wiederholen Sie bitte den Befehl ?set subinterface LAN-Verbindung mtu=1300? mit dem Zusatz ?store=persistant?.
set subinterface LAN-Verbindung mtu=1300 store=persistent
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

143

62 Probleme mit anyconnect


Folgende Fehler knnten im Zusammenhang mit der Verwendung von anyconnect auftreten:

62.1 Inhaltsverzeichnis
1 The VPN client agent was unable to create the interprocess communication depot
2 Failed to install Anyconnect Secure Mobility Client

62.1.1 The VPN client agent was unable to create the interprocess communication depot
Das Deaktivieren des Dienstes fr die Gemeinsame Nutzung der Internetverbindung ist vermutlich erforderlich.
In der Windows-Hilfe liest sich das so:
Wenn Sie die gemeinsame Nutzung der Internetverbindung aktiviert haben und stattdessen jetzt einen Router fr die gemeinsame Nutzung einer
Internetverbindung durch zwei oder mehr Computer verwenden mchten, mssen Sie die gemeinsame Nutzung der Internetverbindung deaktivieren.
Klicken Sie, um die Netzwerkverbindungen zu ffnen.
Klicken Sie mit der rechten Maustaste auf die freigegebene Verbindung, und klicken Sie dann auf Eigenschaften. Wenn Sie aufgefordert
werden, ein Administratorkennwort oder eine Besttigung einzugeben, geben Sie das Kennwort bzw. die Besttigung ein.
Klicken Sie auf die Registerkarte Freigabe, deaktivieren Sie das Kontrollkstchen "Anderen Benutzern im Netzwerk gestatten, diese
Verbindung des Computers als Internetverbindung zu verwenden", und klicken Sie dann auf "OK".
Unter Windows Hilfe und Support finden Sie unter ICS (Internet Connection Sharing) ggf. weitere Hinweise zu Ihrem Betriebssystem.

62.1.2 Failed to install Anyconnect Secure Mobility Client


Beim Starten des AnyConnect-clients kann folgende Fehlermeldung auftreten:

Dann ist eine Neuinstallation erforderlich. Rufen Sie die Seite https://webvpn.fernuni-hagen.de auf und bettigen Sie den Link "Start AnyConnect".
Die oben gezeigte Fehlermeldung mit ok besttigen und der Installation folgen.

144

Ist die web-basierte Installation fehlerhaft, bitte auf der Seite mit der entsprechenden Meldung ? wie beschrieben ? dem Link: "Windows7/Vista/64/XP"
folgen. Danach die Datei anyconnect-win-3.0.0629-web-deploy-k9.exe ausfhren. Die Setup-Routine des AnyConnect Secure Mobile Client wird dann
durchlaufen(next, accept/next,install,finish). Zwischenzeitliche Sicherheitshinweise (Zertifikate/?Trusted Sites?) ignorieren. Danach knnen Sie den
Client starten:

145

63 Profile fehlen
Die Profil-Dateien (.pcf-Dateien) finden Sie unter:
http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml
Empfehlenswert wre der Umstieg auf die aktuelle Version des VPN-Clients, der auch alle neuen Gruppenprofile enthlt. Den aktuellen Client in der
Version 5.0 fr Win XP, 2000, 2003 Server und Vista gibt es ebenfalls unter dem obigen Link.
Zum Herunterladen des Clients bentigen Sie Ihren Fernuni-Account
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

146

64 Profile importieren
Die Fernuni-VPN-Profile knnen unabhngig vom Betriebssystem in den Cisco-VPN-Clients ?importiert? werden.
Im Client knnen mehrere VPN-Profile gleichzeitig hinterlegt werden.
Die Profile (pcf-files) sind auf unseren VPN-Webseiten verlinkt:
http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

147

65 Profilgruppen und ihre Bedeutung


Die Gruppenprofile sind fr folgende Einsatzzwecke eingestellt:
FU-VPN-BIB, FU-VPN-STUD
FU-VPN-BIB-NAT, FU-VPN-STUD-NAT
FU-VPN-STUD-SPLIT
FU-VPN-STUD-SPLT-NAT

Bibliotheksrecherche mit Einzel-PC


Bibliotheksrecherche mit PC im Heimnetzwerk (mit Router)
Standard-VPN-Zugang mit Einzel-PC
Standard-VPN-Zugang mit PC im Heimnetzwerk (mit Router)

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

148

66 Roaming mit Fernuni-Account


Institutionen, die am DFN-Roaming- oder eduroam-Programm des DFN-Vereins (http://www.dfn.de/dienstleistungen/dfnroaming/ ) teilnehmen, bieten
den Angehrigen anderer Teilnehmerinstitutionen in der Regel einen WLAN-Zugang mit dem jeweiligen Heimataccount an. Bei der Konfiguration ist den
Anweisungen der jeweiligen Einrichtung zu folgen.
Sollte der Verbindungsaufbau zum WLAN funktionieren, aber die Anmeldung mit dem Account in der Form
q1234567@fernuni-hagen.de

Probleme bereiten, kann das bedeuten, dass Ihre Windows-Bordmittel ? die Funktionalitt mit der Drahtlosnetzwerke eingerichtet werden ? die
Passworte nicht in der bentigten Form bermitteln.
Wir knnen dann zunchst klren, ob die Authentifizierungsanfrage hier in Hagen auf unserem Server ankommt. Dazu bentigen wir
Ihren Account und
eine ungefhre Zeitangabe zum Verbindungsaufbauversuch.
Wenn wir besttigen knnen, dass die Anfrage in Hagen landet, aber nicht korrekt verarbeitet werden kann, kommen Sie nicht um die Installation einer
Zusatzsoftware (TTLS-Client) herum. Beispielhaft ist hier etwa der von vielen Universitten genutzte SecureW2 TTLS-Client (http://www.securew2.com)
Leider knnen wir diese Software aus lizenzrechtlichen Grnden nicht selber zum Download anbieten.
(Duisburg/Esssen)
?Wie kann eduroam genutzt werden? Um eduroam nutzen zu knnen mssen Sie auf Windows-Systemen einmalig den Secure-W2 Client auf
Ihrem Notebook installieren und konfigurieren."
(TU-Berlin)
?Alternativ gibt es die Mglichkeit, den regulren WLAN-Zugang ber das eduroam-Netz durch eine Softwareclient-Installation und eine
anschlieende Konfiguration zu realisieren.?
Folgen Sie bitte der Vorgehensweise die auf den Seiten der von Ihnen besuchten Einrichtung beschrieben ist und verwenden Sie als Benutzernamen
q1234567@fernuni-hagen.de. Fr weitere Fragen wenden Sie sich bitte an den Helpdesk der FernUniversitt in Hagen, nicht an die Kollegen
der Einrichtung vor Ort.

149

150

151

152

153

154

155

156

157

158

159

160

161

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

162

67 Routerprobleme analysieren
Wenn Sie versuchen, die Verbindung zum FernUni-VPN-Gateway herzustellen, muss zunchst vorher eine Providerbindung bestehen und Ihr Endgert
vom WLAN-Router eine - typischerweise private - IP-Adresse bekommen haben.
In der "DOS-BOX" knnen Sie die Adresse mit dem folgenden Befehl ansehen:
C:\>ipconfig
Windows-IP-Konfiguration
Ethernetadapter Drahtlose Netzwerkverbindung:
Verbindungsspezifisches DNS-Suffix: FernUni-Hagen.de
IP-Adresse. . . . . . . . . . . . : 172.16.128.13
+++++++ diese Adresse (natrlich ggf. mit anderen Zahlen) bekommen Sie vom WLAN-Router +++++
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 172.16.128.254
Ethernetadapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung

Bei bestehender Provider-Verbindung sollten Sie dann inder Lage sein, das Hagener Gateway zu erreichen:
C:\>ping 132.176.101.101
Ping wird ausgefhrt fr 132.176.101.101 mit 32 Bytes Daten:
Antwort
Antwort
Antwort
Antwort

von
von
von
von

132.176.101.101:
132.176.101.101:
132.176.101.101:
132.176.101.101:

Bytes=32
Bytes=32
Bytes=32
Bytes=32

Zeit=6ms
Zeit=2ms
Zeit=3ms
Zeit=2ms

TTL=127
TTL=127
TTL=127
TTL=127

Ping-Statistik fr 132.176.101.101:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 2ms, Maximum = 6ms, Mittelwert = 3ms

Den Weg dorthin koennen sie "tracen":


C:\>tracert 132.176.101.101
Routenverfolgung zu VPN-public-r1.fernuni-hagen.de [132.176.101.101] ber maximal 30 Abschnitte:
1 2 ms 3 ms 3 ms 172.16.128.251
2 2 ms 2ms 2 ms VPN-public-r1.fernuni-hagen.de[132.176.101.101]
Ablaufverfolgung beendet.

Wenndas alles funktioniert rufen Sie bitte den VPN-Client auf und bauen eine Verbindung zum Gateway auf. Wenn Sie die Gruppe FU-VPN-STUD mit
gleich lautendem Passwort verwenden, wird smtlicher IP-Verkehr ber das Hagener Gateway geleitet, das sollte auf jeden Fall funktionieren.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

163

68 Routerprobleme mit VPN


Bei Problemen mit Routern und VPN knnen folgende Problemursachen in Frage kommen:
Problemursache #1: eigene Firewall. Der Router knnte eine Firewall besitzen. Bei Problemen diese kurzzeitig mal abschalten.
Problemursache #2: Die Firewall vom Router ist ausgeschaltet - kann ich da sonst noch was ein-/umstellen?
Das Problem ist bei solchen privaten Netzen mehr das Routing (mit NAT) an sich, weil der DSL-Router keine Ahnung hat, an welchen Rechner er die
Pakete weiterleiten soll. Man kann hchstens den Eintrag "FU-VPN-Zugang mit NAT (private Netze)" ausprobieren; der sollte theoretisch immer
funktionieren, weil der nur eine TCP-Verbindung verwendet, mit der jeder Router fertig werden msste. Alternativ kann man z.B. auch den Split-Zugang
benutzen, wenn vorher in den Einstellungen "Enable Transport Tunneling" und "IPSec over TCP" mit TCP Port 3500 eintragen wurde.
Zustzlich sollt man prfen, ob der Router Pakete auf den Ports 500 und 3500 wirklich durchlsst, diese Ports werden fr die Aushandlung der
Verschlsselung und den Datenverkehr bentigt.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

164

69 Sinn und Zweck des Fernuni-Accounts


Der Fernuni-Account wird bentigt fr:
den Zugang zum Internet
den Zugang zum Email Konto
das Arbeiten im Lernraum Virtuellen Universitt (LVU)
das Arbeiten in Moodle
das Einsenden von Prfungsaufgaben
alle sonstigen Anwendungen an der FernUni, die nach einem Benutzernamen und einem Kennwort verlangen
Alle Studierenden bekommen automatisch einen Benutzernamen in der Form q+Matrikelnummer. Diesen Benutzernamen verschicken wir per Brief
zusammen mit einem Generalpasswort. Im FIM-Portal https://account.fernuni-hagen.de/ kann dieser Account von den Studierenden selbst verwaltet
werden.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

165

70 UB-Datenbanken: hier WISO-NET und Absatzwirtschaft


1. WISO-NET WIWI
Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Mglichkeiten sich ins Uni-Netz anzumelden bzw. die
entsprechende Datenbank aufzurufen.

Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie
fr diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es ber den VPN-Client mit der Gruppe FU-VPN-STUD-NAT
(siehe 2.)
2. Zu BGH-Edition
a.) die BGH-Edition ist eine sogenannte Ica-Datenbank. Das heit, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client* (ica32t.exe) laden Sie
von unserer Web-Seite auf Ihren PC.
Sie finden den ICA Web Client auf der UB-Downloadseite http://www.ub.fernuni-hagen.de/download/index.html
Die ica32t.exe ausfhren. Alle Anfragen bernehmen. Browser schlieen und wieder ffnen und das PlugIn ist eingerichtet.

b.) jede ICA-Datenbank wie die BGH-Edition braucht zur Nutzung den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Wir verweisen an dieser Stelle
auf den Anyconnect-Client und auf die ZMI-Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml . Dort finden Sie eine Anleitung zur
Installation und Einrichtung der VPN-Clients.

Im Prinzip gilt das oben Gesagte auch fr andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro,
dora.buro@fernuni-hagen.de
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

166

71 UB-Datenbanken: hier WISO-NET und BGH-Edition


1. WISO-NET WIWI
Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Mglichkeiten sich ins Uni-Netz anzumelden bzw. die
entsprechende Datenbank aufzurufen.

Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie
fr diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es ber den VPN-Client mit der Gruppe FU-VPN-STUD-NAT
(siehe 2.)
2. Zu BGH-Edition
a.) die BGH-Edition ist eine sogenannte Ica-Datenbank. Das heit, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client* (ica32t.exe) laden Sie
von unserer Web-Seite auf Ihren PC.
Sie finden den ICA Web Client auf der UB-Downloadseite http://www.ub.fernuni-hagen.de/download/index.html
Die ica32t.exe ausfhren. Alle Anfragen bernehmen. Browser schlieen und wieder ffnen und das PlugIn ist eingerichtet.

b.) jede ICA-Datenbank wie die BGH-Edition braucht zur Nutzung den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Wir verweisen an dieser Stelle
auf den Anyconnect-Client und auf die ZMI-Seite http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml . Dort finden Sie eine Anleitung zur
Installation und Einrichtung der VPN-Clients.

Im Prinzip gilt das oben Gesagte auch fr andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro,
dora.buro@fernuni-hagen.de
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

167

72 Vorgehen bei Zertifikatsproblemen


Hufig treten bei der Verwendung von Zertifikaten (z.B. bei der Authentifizierung an einem Web-Server) Probleme auf. Dies kann mehrere Ursachen
haben. Um dem Problem auf den Grund zu gehen sollte wie folgt vorgegangen werden:

1. Zertifikatstest
Unter https://ca.fernuni-hagen.de/secure/certtest.php kann ein einfacher Zertifikatstest durchgefhrt werden. Hier legt der User sein Zertifikat vor,
welches anschlieend auf Gltigkeit berprft wird.
2. Zertifikate suchen
ber die Suchfunktion auf https://ca.fernuni-hagen.de/certserver kann nach einem User-Zertifikat gesucht werden. Es werden alle Zertifikate des
Benutzers aufgelistet. Sollten hier alle Zertifikate den Status "zurckgezogen" haben oder gar kein Zertifikat gefunden werden, so hat der Benutzer
entweder kein gltiges Zertifikat installiert oder der Verffentlichung seines Zertifikats nicht zugestimmt.
3. Seriennummer
Wenn bei der Suche ein gltiges Zertifikat gefunden wird, kann die Seriennummer des Zertifikats verglichen werden. Die Seriennummer des Zertifikats
bekommt der Benutzer beim Zertifikatstest ausgegeben, im Internet-Explorer unter "Extras -> Internetoptionen -> Inhalte -> Zertifikate -> Doppelklick auf
das Zertifikat -> Details" oder im Mozilla Firefox unter "Extras -> Einstellungen -> Erweitert -> Verschlsselung -> Zertifikate anzeigen" angezeigt.
4. Mehrere Zertifikate
Es ist mglich, dass ein Benutzer mehrere Zertifikate im Zertifikatsspeicher (Internet-Explorer/Mozilla Firefox) oder auf einem eToken gespeichert hat.
So kann es vorkommen, dass ein falsches bzw. abgelaufenes Zertifikat vorgelegt wird und ein Login oder Zertifikatstest deshalb fehlschlgt. Bei der
Auswahl des richtigen Zertifikats hilft entweder wieder die Seriennummer oder das Datum (gltig von/gltig bis) weiter. Zudem knnen abgelaufene
Zertifikate gelscht werden, wenn sie nicht mehr bentigt werden (z.B. zum entschlsseln lteren von E-Mails).

168

73 Windows 7
Mit dem Client AnyConnect (ssl-client) von Cisco funktioniert der VPN-Zugang jetzt auch fr Vist 64/Windows 7. Hier https://webvpn.fernuni-hagen.de
ist ein Download mglich.
Bei Problemen bei der Installation des VPN-Client unter Win7 kann es hilfreich sein, die Einstellungen im Browser, z. B. bei Firefox unter Option
"Systemproxy verwenden" in "keinen Proxy verwenden" zu ndern.
Wenn Sie die Fehlermeldung "The VPN client agent was unable to create the interprocess communication depot" erhalten, kann unter Vista das
Deaktivieren des Dienstes fr die Gemeinsame Nutzung der Internetverbindung helfen. Zum Deaktivieren dieses Dienstes whlen Sie in der
Systemsteuerung unter System und Wartung,
Verwaltung, Dienste
dort aus der Liste den o.g. Dienst auswhlen,
deaktivieren
und anschlieend Windows neu starten

Es steht auch ein ipsec-client zur Verfgung, der die 64-Bit-Funktionalitt untersttzt, entsprechende Informationen finden Sie unter
http://wiki.fernuni-hagen.de/helpdesk/index.php/Installation_des_VPN-Clients_unter_Windows .

169

74 VPN unter Android


Auf Android-System kann der systemseitig vorhandene VPN Client verwendet werden mit folgenden Parametern:
Name: frei whlbar
Typ: IPSec Xauth PSK
Server-Adresse: 132.176.101.101
IPSec Identifer: FU-VPN-STUD-NAT
IPsec Pre-shared Key: FU-VPN-STUD-NAT
Zu finden ist VPN in den Einstellungen -> Drahtlos und Netzwerke -> Weitere Einstellungen -> VPN
Je nach Android Version und Hersteller des Gertes knnen sich die Einstellungen an anderen Stellen befinden.
Bei Problemen sollte zunchst berprft werden, ob der Kernel auch das tun-Modul geladen hat. Sollte dies nicht der Fall sein, knnen sie die
VPN-Funktion ihres Smartphones nicht verwenden.

Einstellungen

Unterpunkt "VPN" whlen

Info: Sperre einrichten

Art der Sperre auswhlen

Plusbutton auswhlen

170

Oben beschriebene Informationen eintragen

Neu angelegt VPN-Verbindung auswhlen

Mit normalen LogIn Daten einloggen

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

171

75 VPN unter Ubuntu


Ein Tipp von Friedrich Heinrichmeyer:
Es kursieren sehr viele verwirrende Anleitungen, die sich meist auf ltere Softwareversionen beziehen. Oft ist aber schwer ein Hinweis darauf zu
"googlen", dass sich ein Problem einfach erledigt hat. Genau das ist hier der Fall.
Es gengt unter Ubuntu-9.04 einfach, per Paketmanager das Paket "network-manager-vpnc" zu installieren. ber den Klappmenpunkt
"VPN-Verbindungen" im Netzwerk-Applet in der Taskleiste ist es nach erfolgter Installation wirklich nicht schwer, den VPN-Konfigurationsdialog zu
finden, der auch den Knopf "Importieren" fr die erstellten Cisco-Profile anbietet. Die Ubuntu-Entwickler entschlieen sich wahrscheinlich sogar, die
VPN-Software standardmig zu installieren.
"Kommandozeilenorientierte" Linux-Anwender mssen sich allerdings dazu durchringen, Ihre Netzwerkkonfiguration dem Gnome-Netzwerkmanager
anzuvertrauen, nur dann kann er auch eine VPN-Verbindung verwalten.
Getestet habe ich es daheim mit dem Student-Split-Konfiguration, d.h mit
http://www.fernuni-hagen.de/imperia/md/content/zmi/produkte/fu_vpn_stud_split.pcf. Man importiert die Datei und muss nur noch den Account "Riess",
durch seinen eigenen ersetzten.
Zusammengefasst: Man wnscht sich und benutzt dann den Network-Manager-VPNC unter Ubuntu und ist so optimistisch, dass man einfach die fr
den Original-Cisco-Client zur Verfgung gestellten Einstellungdateien verwendet.
Kubuntu ist derzeit leider nach meiner Ansicht nicht empfehlenswert, da das Standard-Desktop KDE4 zu viele Fehler hat.
Ergnzungstipp eines Lesers: ? Ich habe gerade eine VPN-Verbindung mit Ubuntu hergestellt. Lief alles problemlos bis auf ein kleines Detail:
Man muss den network manager restarten, damit das ganze funktioniert. Sonst bekommt man eine seltsame Fehlermeldung ("fehlende
VPN-Geheimnisse")...
Vielleicht knnt ihr auf der entsprechenden Wiki-Seite den Eintrag um:
sudo restart network-manager
ergnzen??
Gruppenpasswort: Bei mir war es erforderlich, dass man ein Gruppenpasswort angibt. Ich habe bei der Gruppe "FU-VPN-STUD-NAT" einfach den
Gruppennamen als Passwort gewhlt, was dann funktioniert hatte. - Leider habe ich keine Informationen gefunden, ob das so allgemeingltig ist.
Ansonsten hat es mit dem Import der Konfigurationsdatei sehr gut geklappt unter Xubuntu 12.04 LTS.

75.1 Ubuntu 10.10


Einfach die oben verlinkte Datei importieren. Benutzername und Passwort anpassen. Fertig. Ein Neustart des Network Manager ist nicht notwendig.

75.2 Ubuntu 12.04


EinTipp von Martin Kieser:
Der von Ubuntu eingesetzte Desktop "Unity" ist standardmig so konfiguriert, dass er nur explizit freigeschaltete Anwendungen in der "notification
area" /"systray" zulsst /anzeigt. Der Cisco Anyconnect -Client gehrt NICHT dazu. Ergo wird ein Linuxbenutzer nach dem Anmelden auf
webvpn.fernuni-hagen.de zwar Anyconnect installieren knnen und das Programm wird auch gestartet und alles funktioniert wie es soll - LEIDER wird
aber das Icon von fr die VPN-Verbindung nicht wie von der Anyconnect-Statusmeldung nach dem Aktivieren der Verbindung im Browserfenser selber
behauptet angezeigt und ebensowenig wird das Symbol der bereits bestehenden Internetverbindung mit einem "Schloss" (Zeichen fr aktives VPN)
versehen. Der Anwender erhlt so keinerlei Feedback ob die Prozedur erfolgreich war oder nicht. Lediglich der Test, ob zB Zugriff auf UB-Datenbanken
besteht gibt Auskunft. Das bedeutet aber auch, das der Nutzer die Verbindung nicht beenden kann, und so unntig lange und viel Datenverkehr ber
das Uninetz schickt - auch wenn die eigentliche Arbeit getan ist.
Abhilfe bei Ubuntu 12.04: Das Programm "dconf-editor" installieren und starten. Klicken in der linken Fensterhlfte auf (in der Reihenfolge): com ->
canonical -> unity -> panel
In der rechten Fensterhlfte steht nun in der Rubrik "Name": systray-whitelist In der Rubrik "Value" rechts daneben: ['JavaEmbeddedFrame', 'Wine',
'Update-notifier']

172

Den Wert fr Value nun ndern auf: ['all']


Dann einmal abmelden. NAch dem nchsten Anmelden und dem Starten des Anyconnect-Clients aus dem Browser heraus (auf
webvpn.fernuni-hagen.de) ist dann auch das Symbol sichtbar (links der farbige Erdball mit dem gelben Schloss davor).

Alternativ ist es auch mglich, den "Cisco Anyconnect Secure Mobility Client" ber das Programm-Men zu starten und zu bedienen; doch dazu muss
der (unbedarfte?) Anwender erstmal wissen, dass die Verbindung noch aktiv ist bzw berhaupt aktiviert wurde. Denn auch in diesem Fall taucht das
Symbol im "systray" /"notification area" eben leider nicht auf.

75.3 Ubuntu 14.04


Ein Tipp von Martin Schroeder:
Mal fr eine modernere Form wie Ubuntu Trusty Gnome 32 Bit Version, falls es Abweichungen in der 64Bit Version gibt, werde ich das noch anfgen.
zuerst wurde die von der FU Hagen "http://www.fernuni-hagen.de/zmi/produkte_service/vpn_client.shtml" (links unten unter LINUX) heruntergeladene
Installationsdatei vpnsetup32.sh ausgefhrt als root. Ubuntu zeigte an, dass die Datei ausgefhrt wird, aber ich finde den VPN Client von Cisco spter
nicht im Auswahlmen des network-manager, sondern nur das VPN PPTP Protokoll.
173

daher habe ich nachinstalliert: sudo apt-get install network-manager-vpnc openvpn (restart vpn daemon erfolgt bei der Installation automatisch)
danach kann man endlich einen Cisco kompatiblen VPN Client auswhlen, wenn man einen neuen Verbindungstyp VPN im Netzwerk Manager anklickt.
Erzeugen der Cisco VPN Verbindung im Network-manager : Host ist ( nach der Datei oben von Friedrich Heinrichmeyer): 132.176.101.101 der Rest ist
der eigene Zugangsname, Passwort,Gruppe FU-VPN-STUD-NAT Passwort Gruppe ist bei mir (wie auch weiter oben angegeben): FU-VPN-STUD-NAT
Die Anzeige der VPN Aktivitt ist im Gnome-Men gut sichtbar, der Client kann ein- und ausgeschaltet werden.

Anmerkung des Helpdesk-Teams: Fr Ubuntu knnen wir leider keinen Support anbieten!

174

76 VPN-Client: Fehlermeldungen und Lsungen


76.1 Inhaltsverzeichnis
1 412: The remote peer is no longer responding
2 414:Failed to establish a TCP connection
3 442: Failed to enable virtual adapter
4 Alternative: anyconnect
Die folgenden Fehlermeldungen werden im Helpdesk am hufigsten gemeldet. Hier finden Sie die Ursachen und Lsungen.

76.2 412: The remote peer is no longer responding

Ursachen:
Der Benutzer befindet sich hinter einer firewall, die die ports UDP 1000/500 und/oder ESP blockt.
Der VPN-client verbindet sich ber TCP und der TCP-port 3500 fr NATT ist geblockt.
Die Internetverbindung ist nicht stabil oder die Antworten vom Gateway kommen nicht beim client an, da der client vermutet, dass das
Gateway nicht mehr verfgbar ist.
Lsungen:
Falls Sie ber WLAN arbeiten, versuchen Sie es ber eine Kabelverbindung
Schalten Sie Ihre firewall aus, testen Sie die Verbindung und stellen Sie fest, ob das Problem bestand hat. Ist das nicht der Fall, knnen Sie
die firewall wieder einschalten und Ausnahmen fr die ports 500, port 3500 und das ESP-Protokoll in der firewall eintragen.
Verwenden ein Profil mit NAT-T/TCP (port 10000 in der firewall muss frei sein )
Editieren Sie die Profil-Datei(.pcf) und setzen Sie den Parameter ForceKeepAlive=0
?

76.3 414:Failed to establish a TCP connection

175

Ursachen:
Der Benutzer befindet sich hinter einer firewall, die die ports UDP 1000/500 und/oder ESP blockt.
Der VPN-client verbindet sich ber TCP und der TCP-port 3500 fr NATT ist geblockt.
Die Internetverbindung ist nicht stabil oder die Antworten vom Gateway kommen nicht beim client an, da der client vermutet, dass das
Gateway nicht mehr verfgbar ist.
Lsungen:
Schalten Sie Ihre firewall aus, testen Sie die Verbindung und stellen Sie fest, ob das Problem bestand hat. Ist das nicht der Fall, knnen Sie
die firewall wieder einschalten und Ausnahmen fr die ports 500, port 3500 und das ESP-Protokoll in der firewall eintragen.

76.4 442: Failed to enable virtual adapter

176

Bei Windows 7 / Vista kommt es hufig zu einem Error 442: Failed to enable virtual adapter. Eine Mglichkeit das Problem zu lsen kann folgender
Ablauf sein:
Klicken Sie auf Start und tippen Sie services.msc ein. ffnen Sie das Programm.
1. Finden Sie die Dienste Cisco Systems, Inc VPN und Gemeinsame Nutzung der Internetverbindung und beenden diese.
2. ffnen Sie per Doppelklick den Dienst Gemeinsame Nutzung der Internetverbindung und ndern Sie den Starttyp von Automatisch auf
Manuell.
3. Starten Sie den Dienst Cisco Systems, Inc VPN wieder und fhren Sie dann den Cisco VPN Client aus.
Wenn das nichts hilft, gibt es noch eine Mglichkeit, es ber die registry zu versuchen. Eine ausfhrliche Beschreibung gibt es z.B. hier:
http://www.myself.ch/vpn.

76.5 Alternative: anyconnect


Sollte sich ein Fehler gar nicht beheben lassen, so knnen Sie auch alternativ zum Aufbau einer VPN-Verbindung auf den anyconnect-Client
ausweichen.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

177

77 VPN-Clients mehrerer Anbieter


Auch Cisco-VPN-Clients von anderen Anbietern knnen fr den Fernuni-Zugang benutzt werden. Das VPN-Gateway der Fernuni hat die IP-Adresse
132.176.101.101. Die zugehrigen Gruppen finden Sie im Profilgruppen-Wikibeitrag
Aber bitte dringend beachten: der VPN-Client muss von Cisco sein!
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

178

78 VPN-Gateway nicht erreichbar


Meldung: Unable to contact.... Remote peer no longer responding
Ursache: Routingprobleme bei Endgerten, die durch vorhergehende DHCP-Adressvergabe verursacht werden.
Die Problembeschreibung:
Resolving Microsoft Routing Problems on Cisco VPN Clients
Microsoft routing problems can occur when a Cisco VPN Client (VPN 3000 Client, Cisco Secure VPN Client, or VPN 5000 Client) gets an IP address
from the device terminating the tunnel (Cisco VPN 3000 Concentrator, router, PIX Firewall, or VPN 5000 Concentrator) that is on the same network as
the local Network Interface Card (NIC). This can occur if a user has a laptop on the corporate network with a Dynamic Host Configuration Protocol
(DHCP) or static IP address (10.50.1.x), brings the laptop home, dials into an Internet Service Provider (ISP) and connects using the VPN Client. If the
terminating device sends the VPN Client an IP address that is on the same network (10.50.1.x), the user cannot send any data over the client
connection. The packets are sent to the NIC, instead of over the VPN connection, because the traffic is still routed out of the NIC. This problem occurs
on Microsoft Windows 95, Windows 98, and Windows NT 4.0. Symptoms of this problem are that the VPN tunnel comes up, but the PC cannot pass
traffic. A route print command still shows the DHCP or static address, or both. If the IP address was received through DHCP, the DHCP lease can be
manually released. The information in this document is based on the software and hardware versions below. Cisco VPN 3000 Client Cisco VPN 5000
Client Cisco Secure VPN Client
Die Lsung: Releasing the DHCP Lease
Microsoft Windows 95 Follow the instructions below to release the DHCP lease on Windows 95: Open an MS-DOS window and type winipcfg. Select
Release.
Microsoft Windows 98 Open an MS-DOS window and issue the ipconfig /release_all command.
You can also follow the directions for Windows 95.
Microsoft Windows NT Open an MS-DOS window and issue the ipconfig /release command.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

179

79 VPN-Probleme - Cisco-Lsungen (FAQ) (englisch)


VPN Client Dokumentation Original von cisco:
http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/5_0/index.htm
VPN Client FAQs von cisco (alte Version ggf. ersetzen)
http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml
VPN Client startet nicht
VPN 4.8 does not show on my screen.
Q:It shows up in the task bar and on the sys tray... I try to right click and restore it but nothing happens... So I've uninstalled-reinstalled it but the same
problem happens. I haven't deleted the folder after its installed yet because of a "if you delete this folder it could affect other programs etc error. Should I
delete the folder and try another reinstall? Is there a repair tool/options for this? Its really starting to tick me off.
A:I think removing the cisco vpn client entries from the registry may help you. You may uninstall the client, then check if there is any folder remaining of
its installation and delete it. Then delete the registry entries for the client.

VPN Client Installationsproblem


Q:Hi guys,this is gonna sound stupid but here goes. I tried to install client 4.08msi but it failed.Tried to remove it but still leaves a file called
"installservcie.exe" and won't let me remove it,not right peremission even though I'm the admin for my laptop.
A:If the uninstall process doesn't finish you may use this :
How to Manually Uninstall the Cisco VPN Client 3.5 and Later for Windows 2000 and Windows XP
http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_tech_note09186a0080094b7f.shtml

VPN Client Firewallproblem


http://www.cisco.com/warp/public/471/vpn_3000_faq.shtml#qa8
http://www.urz.uni-heidelberg.de/Netzdienste/vpn/cisco/probleme_firewall.shtml

VPN Client Connection terminated Reason 403


Siehe VPN Client Firewallproblem
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

180

80 WebVPN
WebVPN stellt mit Hilfe einesWebbrowsers eine VPN-Verbindung ber das VPN-Gateway zur Verfgung. WebVPN bietet fr das aktuelle
Anwendungsspektrum eine einfache (und echte) Alternative zu den VPN-Client-Lsungen. WebVPN besitzt gegenber einer separaten Client-Lsung
den Vorteil, dass lediglich ein gngiger WWW-Browser bentigt wird ? es kann daher ohne weitere Installationsarbeit genutzt werden und funktioniert
darberhinaus plattformunabhngig. Authorisierte FernUni-Anwendungen knnen auf diese Weise beinahe direkt genutzt werden. nderungen und
Erweiterungen von Zugriffsrechten im lokalen Anwendernetz, beispielsweise eine Firewall in der Firma, sind nicht ntig. Auf dem Endgert muss
lediglich das Java Runtime Environment Version 1.4 (oder hher) von Sun Microsystems installiert sein.
Besondere Hinweise fr die Benutzung spezieller Dienste der Universittsbibliothek:
Leider gilt fr das Service-Angebot der Universittsbibliothek im Zusammenhang mit WebVPN die folgende Einschrnkung:
Literaturdatenbank-Recherchen die einen ICA-Client bentigen knnen nicht ber WebVPN gettigt werden!
Und: Es gibt Darstellungsprobleme von Digibib-Seiten - Infos dazu finden Sie hier: Darstellungsprobleme von Digibib-Seiten via WebVPN /
hier Ebsco
In beiden Fllen kommen Sie an der Installation eines separaten VPN-Clients leider nicht vorbei. Der Cisco-anyconnect-Client steht unter
http://www.fernuni-hagen.de/zmi/download/#software zum Download zur Verfgung.
Ansonsten gilt:
Sie gelangen auf die Anmeldeseite von WebVPN durch Eingabe des Links https://webvpn.fernuni-hagen.de.

Nach erfolgreicher Anmeldung steht die FUNet-WebVPN-Oberflche zur Verfgung.


Beachten Sie bitte die Hinweise unter der jeweiligen Rubrik im rechten Seitenbereich.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

181

81 Xntp-Installation an der FernUni


81.1 Hinweise zur xntp-Installation an der FernUni
In der Distribution von Solaris und SuSE-Linux ist xntp, der Time Service im Internet, inzwischen enthalten, so da zur Aktivierung lediglich ein
Konfigurationsfile zu erstellen ist. Falls xntp in Ihrem System nicht enthalten ist, kann die Distribution von unserem ftp-Server bezogen und nach der
beiliegenden Anleitung installiert werden.
Auf unserm ftp-Server ftp.fernuni-hagen.de liegen im Verzeichnis /pub/unix/ntp die komplette Distribution von xntp, dem Time Service im Internet, mit
ausfhrlicher Dokumentation, sowie die erforderlichen Konfigurationsfiles fr die Benutzung im FUNet. Dieser Text soll diese Dokumentation nicht
ersetzen, sondern die Struktur der Server im FuNet aufzeigen und Hinweise zur Implementation geben.

81.1.1 Konfiguration
Auf unserm ftp-Server ftp.fernuni-hagen.de liegen im Verzeichnis /pub/unix/ntp Muster fuer die erforderlichen Konfigurationfiles. Wenn Sie die Zeit an
dem zentralen Router fuer Ihr Subnetz synchronisieren wollen, kopieren Sie das File ntp.conf.broadcast in /etc/inet/ntp.conf auf Ihr System. Im File
/etc/services muessen die zwei Zeilen
ntp 123/tcp # Network Time Protocol
ntp 123/udp # Network Time Protocol

enthalten sein; falls nicht, sind sie zu ergaenzen. Nun koennen Sie als root den Time-Service starten:
# /usr/sbin/ntpdate -v linden.fernuni-hagen.de locust.fernuni-hagen.de
# /usr/sbin/ntpd -l /var/adm/ntplog (Linux)
# /usr/lib/inet/xntpd -l /var/adm/ntplog (Solaris)

bzw.
# /usr/local/bin/ntpdate -v linden.fernuni-hagen.de locust.fernuni-hagen.de
# /usr/local/bin/ntpd -l /var/adm/ntplog

Eine Uebersicht ueber den Status des Prozesses und die Zeitabweichung von den Servern erhalten Sie mit dem Kommando:
# /usr/local/bin/ntpdc -p

bzw.
# /usr/sbin/xntpdc -p

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

182

82 Zertifikate und Google Chrome


Mit Google Chrome funktionieren unsere Zertifikate leider nicht. Um unser Angebot nutzen zu knnen, verwenden sie bitte Firefox oder Internet
Explorer.
Nach meiner Erfahrung funktionieren die Zertifikate mit Google Chrome und Chromium ab Juni 2010 fr Moodle und den LVU (F. Heinrichmeyer). Mit
Chromium unter Linux funktionierten sie am 15. September 2010 nur mit Moodle.

82.1 Export aus Firefox


ber einen Export aus Firefox ist es mglich das Zertifikat in Chrome oder Chromium zu importieren und dort dann auch zu nutzen.
--MHA (Diskussion) 20:24, 27. Jun. 2013 (CEST)

183

83 Zugang zum Netzwerk ?FU-Campus? der FernUniversitt


Die FernUniversitt stellt auf dem Campusgelnde in Hagen sowie in den Regionalzentren (auer in Mnchen) das Netzwerk ?FU-Campus? zur
Verfgung. Dies kann von Studenten und Mitarbeitern zur Einwahl in das Netzwerk der FernUniversitt und auch ins Internet genutzt werden. Hierzu ist
eine Anmeldung erforderlich, die webbasiert und gerteunabhngig erfolgt.
Wireless-Lan-Zugang Fr den drahtlosen Zugang ist in den Rumen der FernUniversitt und in den Regionalzentren das Funknetzwerk (WLAN) mit
der SSID ?FU-Campus? eingerichtet. Dies ist ein offenes, unverschlsseltes Netzwerk. Befindet sich ein Notebook oder PDA/Smartphone in der Nhe
eines Einwahlpunktes (AccessPoint), kann dieses Netzwerk angewhlt werden. Dies ist unabhngig vom Betriebssystem, also auch etwa mit
MacBookl(Apple), Google Android oder Linux mglich. Verschlsselungseinstellungen sind nicht erforderlich.
Drahtgebundener Zugang In den Rumen der Regionalzentren sind zustzlich Netzwerkdosen fr den Anschluss ber ein Netzwerkkabel vorhanden.
Studenten und Mitarbeiter knnen ihre Endgerte wie PCs oder Notebooks auch hier anschlieen und so den Netzzugang erhalten.
IP-Adressen Das Netzwerk ?FU-Campus? stellt fr alle angeschlossenen Gerte die dynamische Netzkonfiguration ber DHCP bereit. Sowohl ber
WLAN als auch drahtgebunden werden IP-Adressen automatisch vergeben. Die Endgerte sind hierzu auf ?automatische Konfiguration? bzw. auf
?DHCP? zu konfigurieren.
Anmeldung Nach erfolgter Verbindung (Herstellung der Funkverbindung ber WLAN oder Einstecken des Kabels in die Dose) ist eine Legitimierung fr
den Zugang zum FuNET der FernUniversitt und zum Internet erforderlich. Hierzu kann jeder Webbrowser auf dem Endgert verwendet werden. Beim
Aufruf einer Seite aus dem Internet erfolgt eine Umlenkung und es erscheint das Anmeldeportal:

Hier knnen Studenten und Mitarbeiter sich anmelden und so den Zugang erhalten. Nach erfolgreichem Login ist das Netzwerk freigeschaltet.

184

Abmeldung Nach Beendigung der Arbeit wird gebeten, sich wieder abzumelden. Dies wird aus Sicherheitsgrnden dringend empfohlen, dient aber
auch der Einsparung von Netzressourcen und damit der Performance. Nach erfolgreichem Login erscheint zustzlich dieses kleine Fenster:
(Popup-Blocker bitte ausschalten)

Dies sollte whrend der Anmeldung geffnet bleiben. Wenn auf ?Abmeldung? geklickt wird, schliet sich das Fenster selbstndig und die Sitzung wird
beendet. Danach ist ggf. eine neue Anmeldung erforderlich.

185

84 Zugang zum WLAN


Alle Informationen zu diesem Thema finden Sie hier: http://www/zmi/produkte_service/wlan.shtml
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

186

85 Volltexten der Bibliothek


Bei Problemen mit dem Zugriff auf die Datenbanken/Volltexte der Bibliothek hilft ein Blick auf diese Seite:
http://www.ub.fernuni-hagen.de/volltexte/zugang.html#proxy
Die Konfiguration des Proxy-Eintrags im Browser ist die beste Lsung, wenn der Zugriff ber einen Fremdprovider erfolgt.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

187

86 Zugriff auf lokales Netz bei bestehender VPN-Verbindung


Um whrend einer bestehenden VPN Verbindung zum Fernuni-Netzwerk auch auf das lokale Netze (lokaler Netzwerkdrucker, lokales NAS, etc.)
zuzugreifen, muss der Cisco VPN Client verwendet werden.
Fr Gruppen/Profile, die nicht das sogenannte Split-Tunneling verwenden(insbesondere *-BIB) mu der lokale Zugriff noch explizit erlaubt werden.
Markieren Sie dazu die gewnschte Gruppe, klicken Sie auf modify und whlen Sie die Karteikarte Transport. Hier die Option Allow Local Lan Access
aktivieren.
Leider gibt es in der AnyConnect-Version des Clients die LocalLanAccess-Option aktuell nicht, sie wird aber in der nchsten Client-Version verfgbar.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

188

87 Zugriff auf UB-Datenbanken: hier WISO-NET und Absatzwirtschaft


1. WISO-NET WIWI

Wenn Sie die Datenbankseite auf unserer Bibliotheks-Homepage aufrufen, haben Sie drei Mglichkeiten sich ins Uni-Netz anzumelden bzw. die
entsprechende Datenbank aufzurufen. (siehe
http://www.ub.fernuni-hagen.de/datenbankenlieferdienste/showdatabaseoffcampus.html?id=184abaseoffcampus.html?id=184abaseoffcampus.html?id=184abase
Proxy-Server 1
Proxy-Server2
Web-VPN
Melden Sie sich z.B. unter Proxy-Server1 mit Ihrem Hochschulaccount an (username=qMatrikelnummer und Password). Den VPN-Client brauchen Sie
fr diese Datenbank nicht. Sollten Sie hier trotzdem nicht weiterkommen, versuchen Sie es ber den VPN-Client mit der Gruppe FU-VPN-STUD-NAT
(siehe 2.)
2. Zu Absatzwirtschaft
a.) die Datenbank "Absatzwirtschaft" ist eine sogenannte Ica-Datenbank. Das heit, sie braucht das ICA-PlugIn in Ihrem Browser. Die* ica-Client*
(ica32t.exe) laden Sie von unserer Web-Seite auf Ihren PC.
http://www.ub.fernuni-hagen.de/download/index.html
-> ICA 32-bit Web-Client.
Die ica32t.exe ausfhren. Alle Anfragen bernehmen. Browser schlieen und wieder ffnen und das PlugIn ist eingerichtet.
b.) jede ICA-Datenbank Wie "Absatzwirtschaft" braucht den VPN-Client und die Gruppe FU-VPN-STUD-NAT. Bei Bedarf finden Sie die Datei hier:
http://www.fernuni-hagen.de/zmi/helpdesk/vpn.shtml
(Achtung: Fernuni-Account erforderlich (q+Matrikelnummer))
Kopieren sie diese Datei FU-VPN-STUD-NAT.pcf in Ihr VPN-Verzeichnis unter C:\Programme\Cisco Systems\VPN Client\Profiles- Dort stecken nmlich
auch die anderen Vebindungsdateien.
Beim nchsten ffnen von VPN bitte mit dieser Verbindung im Hochschulnetz anmelden. Rufen Sie jetzt die Datenbank ABSATZWIRTSCHAFT auf.
Wenn Sie dann zum ersten Mal eine ICA-Datenbank aufrufen, fragt das System ein Fenster ab. Markieren Sie bitte die Option "Fr Dateien dieses Typs
immer diese Aktion ausfhren". Somit haben Sie festgelegt, dass jegliche ICA-Datenbanken sich mit diesem ICA-PlugIn automatisch ffnen.
Falls ein ica-client benoetigt wird, funktioniert der Zugriff auf die UB-Datenbanken nur mit den Gruppen FU-VPN-BIB, FU-VPN-STUD, FU-VPN-BIB-NAT
und FU-VPN-STUD-NAT, nicht mit den entsprechenden SPLIT-Gruppen, da die entsprechenden Server FernUni-Absenderadressen verlangen. Bei
SPLIT-Tunneling wuerde die vom Provider vergebene Adresse als Absender eingesetzt.
Im Prinzip gilt das oben Gesagte auch fr andere Bibliotheks-Datenbanken. Bei Zugriffs-Problemen wenden Sie sich bitte direkt an die UB, Frau Buro,
dora.buro@fernuni-hagen.de

Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

189