VPN

Mit einem VPN-Zugang (Virtual Private Network) können Sie auch außerhalb des Uni-Datennetzes auf Uni-beschränkte Dienste wie z.B. lokale Intranet-Applikationen und Datenbankangebote der ULB zugreifen. Das Gerät, das den VPN-Zugang verwendet, wird quasi in das Netzwerk der Universität integriert und erhält damit alle Rechte eines Rechners aus dem lokalen Netzwerk.

Um eine Verbindung über VPN zu den Diensten der Universität herstellen zu können ist die Installation eines VPN Client auf Ihrem Gerät notwendig. Wir empfehlen den Cisco Secure Client. Eine Verbindung über Cisco AnyConnect ist aber weiterhin möglich.

Inhalt

Wann brauche ich VPN

VPN wird benötigt für:

  • elektronische Bibliotheks-Datenbanken und Journale der ULB
  • direkter Zugriff auf Netzlaufwerke (Laufwerke "J:", "M:" oder Ähnliches) (Anleitung)
  • Confluence Wiki
  • Verwendung bestimmter Softwareprodukte (insbes. mit Netzwerklizenzen, z.B. Matlab, Maple, Mathematica, Origin, Mathcad, SPSS für MitarbeiterInnen)
  • Sharepoint

Sie brauchen kein VPN für:

Voraussetzungen für VPN

Für den VPN-Zugang benötigen Sie:

  • einen funktionierenden Internetzugang eines beliebigen Providers
  • eine Benutzerkennung an der Uni Innsbruck inklusive dem Dienst "Datennetzzugang". Der Dienst wird für alle Studierenden und Mitarbeitenden der Universität automatisch bei der Einrichtung des Accounts aktiviert
  • die Installation der Cisco Secure Client Software auf Ihrem Rechner

Wir bitten um einen "fair use": nutzen Sie die VPN-Verbindung nur solange Sie die geschützten Anwendungen der Universität verwenden, und trennen Sie anschließend die Verbindung wieder. Damit geben Sie die VPN-Verbindung für andere Anwender*innen wieder frei und ermöglichen uns Lizenzkosten zu sparen und den Service weiterhin in dieser Form anbieten zu können.

Technische Beschreibung

Beim Aufbau einer VPN-Verbindung wird ein Tunnel zwischen Ihrem Gerät und unserem Cisco VPN Server hergestellt.

Nach einer erfolgreichen Validierung wird Ihr PC ins Datennetz der Uni integriert. Dazu bekommt er temporär eine dynamische IP-Adresse der Uni-Innsbruck zugeteilt.

Um eine erhöhte Sicherheit zu erreichen und einen gleichzeitigen Einbruch über "die Hintertür" Ihres PCs zu vermeiden, wird von Ihrem Betriebssystem für die Dauer der VPN-Sitzung die direkte Kommunikation Ihres PCs auf den VPN-Tunnel eingeschränkt.

Wir empfehlen die Verwendung des Cisco Secure Client, da dieser alle wichtigen Plattformen unterstützt.

Anleitung Cisco Secure Client

Um eine Verbindung über VPN zu den Diensten der Universität herstellen zu können ist die Installation des Cisco Secure Client auf Ihrem Gerät notwendig. Wir empfehlen insbesondere ein Update des bisher angebotenen Cisco AnyConnect.

Installation / Update

Auf der Downloadseite des ZID können Sie sich die aktuelle Version des Cisco Secure Client für Windows, macOS, und Linux herunter laden. Es ist eine Anmeldung auf der Uni-Login-Seite notwendig, um auf die Seite zugreifen zu können.

Für Ihre mobilen Geräte finden Sie den Cisco Secure Client / AnyConnect im jeweiligen AppStore.

  1. Laden Sie die Software über die Downloadseite des ZID auf Ihr Gerät herunter.
  2. Führen Sie die heruntergeladene Datei aus. Sie finden diese auf Ihrem Gerät (normalerweise im Downloadordner). Für Windows ist der Dateinamen z. B. cisco-secure-client-win-.....-core-vpn-predeploy-k9.msi.
  3. Folgen Sie den Anweisungen des Setup Wizards. Der Cisco Secure Client muss mit Admin-Rechten am PC installiert werden.
  4. Sie können nun den Cisco Secure Client verwenden.

Verwendung

Achtung: für die Anmeldung am VPN Dienst im Cisco Secure Client wird ab sofort statt Ihres Uni-Passworts ein VPN-Token benötigt.

1. Öffnen Sie https://vpntoken.uibk.ac.at und melden Sie sich auf der Uni-Login-Seite an.

2. Öffnen Sie den Cisco Secure Client auf Ihrem Gerät.

 ClientApp

 

3. Beim ersten Verbindungsaufbau geben Sie in das noch leere Feld den Namen unseres Servers vpn.uibk.ac.at ein. Ab dem zweiten Verbindungsaufbau wird Ihnen der Name VPN Universitaet Innsbruck angezeigt.

Server NameVerbinden

 

4. Klicken Sie auf Verbinden / Connect. Es öffnet sich ein neues Fenster.

5. Aktualisieren Sie (mit F5) die Seite https://vpntoken.uibk.ac.at und kopieren Sie den Token (Einmalpasswort).

 Token kopieren V2

 

6. Gehen Sie zurück zum Cisco Secure Client und geben Sie Ihre Uni-Benutzerkennung in das Feld Benutzername / Username sowie den eben kopierten Token in das Feld Kennwort / Password ein.

VPN Token eingeben V2

 

7. Klicken Sie auf OK. Es öffnet sich ein neues Fenster.

8. Klicken Sie auf Annehmen / Accept. Die Verbindung wird nun aufgebaut.

Willkommen annehmen


Aus Sicherheitsgründen wird der Zugang nach 5 Fehlversuchen mit falschem Passwort generell für eine gewisse Zeit gesperrt. (Block_Brute_Force)

Client beenden

Nach einem erfolgreichen Verbindungsaufbau finden Sie das Cisco Secure Client - Symbol in der Taskbar (Kugel mit einem Schloss).

Taskbar

 

Das geschlossene Schloss bei dem Symbol zeigt Ihnen an, dass die VPN-Verbindung erfolgreich aufgebaut wurde.

Zum Beenden öffnen Sie den Cisco Secure Client und klicken auf Verbindung Trennen / Disconnect.

Verbindung trennen

 

Um die kostbaren VPN-Lizenzen nicht unnötig zu belegen, bitten wir Sie, die Verbindung jeweils nach Ihren Arbeiten manuell zu beenden. 

Zusätzliche Infos

Einstellungen und Infos

  • Zahnrad-Symbol: weiter Informationen zur VPN-Verbindung; Einstellungen ansehen und ändern.
  • i-Symbol: Infos zu Cisco Secure Client, z.B. Programm-Version.
  • Nach 30 Minuten Inaktivität (es werden keine Pakete übertragen) und nach 10 Stunden maximaler Verbindungszeit (9 Hours .... Remaining) wird die Verbindung automatisch unterbrochen. Sie müssen sich dann erneut anmelden.

VPN Optionen

Durch Hinzufügen von mit _ getrennten Optionen an Ihre Benutzerkennung kann das Verhalten des vpn-Tunnels gesteuert werden.

Folgende Optionen sind möglich:

Option
 Bedeutung
 Anmerkung
split
 Split-Tunneling wird aktiviert
es wird also nur Verkehr zur Universität via VPN-Tunnel an den VPN-Server gesendet. Der restliche Verkehr gelangt ohne Umweg und unverschlüsselt an sein Ziel.

long

erhöhtes (maximales) Session Timeout - statt 10h zwei Tage

  

Eine Anmeldung mit cXXXXX_split_long beschert Ihnen also einen langlebigen Split-Tunnel.

 

Bekannte Probleme und Lösungen

VPN Installation unter macOS - Client already installed

Bei der Installation wird behauptet, dass der Cisco Secure Client bereits installiert ist.
Ursache ist ein vorausgegangenes, ungültiges Entfernen der Software durch Löschen des Programmordners.

Abhilfe: Sie können den noch falschen Verweis durch Ausführen des Kommandos sudo pkgutil --forget com.cisco.pkg.anyconnect.vpn
in der terminal.app entfernen.

VPN Installation unter Linux - Installationsprobleme

Auf Grund von Problemen bei der eher komplexen Installation des Cisco Secure Client empfehlen wir die Verwendung von "OpenConnect", das inzwischen bei fast allen Linux-Distributionen enthalten ist.
Als VPN-Server tragen Sie bitte die Adresse vpn.uibk.ac.at ein.

Zusätzliche Sicherheitsprodukte - Beim Verbindungsaufbau bzw. der Installation erscheinen Windows Fehlermeldungen

Einige Sicherheitsprodukte wie z.B. Zone-Alarm, Avira, McAffee verursachen oft Probleme.
Die Sicherheitssoftware versucht auch Web-Verkehr zu untersuchen und arbeitet auf Ihrem System mit einer ManInTheMiddle-Attacke um HTTPS-Verbindungen zu prüfen. Diese Maßnahmen verhindern dann den VPN-Verbindungsaufbau.
Bitte deinstallieren Sie diese Produkte unter Windows 10 und darüber. Windows bietet mit dem "Viren- und Bedrohungsschutz" bereits einen guten Basisschutz.

Nach Aufbau der Verbindung kann ich auf IP-Geräte (z.B. Drucker) in meinem Heimnetz nicht mehr zugreifen

Klicken Sie im Cisco Secure Client am unteren Ende auf das Zahnrad-Icon und aktivieren Sie im Tab Voreinstellungen / Preferences die Option Lokal LAN Zugriff bei Verwendung von VPN zulassen / Allow local (LAN) access when using VPN (if configured).

Timeouts - Die VPN-Verbindung wird abgebrochen

Idle Time Out - Werden über den VPN Tunnel KEINE Pakete übertragen, wird die Verbindung nach 30 Minuten abgebrochen. Einen Packetzähler finden Sie im Cisco Secure Client unter statistics.
Starten Sie ggf. eine Anwendung, die regelmäßig Daten anfordert/braucht.

Session Time Out - Sitzungen können maximal 10 Stunden bestehen. Die noch verbleibende Zeit wird im AnyConnect-Klienten unten in der GUI angezeigt.

Die Limits dienen dazu, keine unnötigen Ressourcen, insbesondere Lizenzen, zu verbrauchen.
Für besondere Fälle können Sie auch unser VPN-Option long verwenden.

Web-Seiten werden nach dem VPN-Verbindungsaufbau im Browser nicht mehr angezeigt

Im Browser erscheint eine Fehlermeldung, dass Sie nicht berechtigt sind, den Server zu nutzen. In der Konfiguration Ihres Web-Browsers ist vermutlich ein Proxy-Server Ihres Providers konfiguriert, den Sie nach dem VPN-Verbindungsaufbau mit der Ihnen dann zugewiesenen Uni-IP-Adresse nicht mehr nutzen dürfen.

Abhilfe:
Deaktivieren Sie den Proxy-Server im Web-Browser. Beim Internet Explorer finden Sie die Einstellung unter
Extras/Internetoptionen/Verbindungen/Ihr Provider/Einstellungen bzw.
Extras/Internetoptionen/Verbindungen/LAN-Einstellungen/Einstellungen .
Die Optionen "Proxyserver für diese .... verwenden" sowie die beiden Optionen unter "automatische Konfiguration" dürfen nicht aktiviert sein.

Verbindung wird aufgebaut; Datenbanken können im Web-Browser aber trotzdem nicht genutzt werden

Überprüfen Sie mit Ihrem Web-Browser ob Sie tatsächlich eine IP-Adresse der Uni-Innsbruck bekommen. Besuchen Sie dazu die Webseite http://checkip.dyndns.org/

Ihr Browser sollte als "Current IP Address:" eine IP-Adresse des VPN-Pools der Uni Innsbruck liefern. Diese Adressen beginnen i.a. mit 138.232.. Die IP wird dynamisch beim Verbindungsaufbau zugewiesen.

Bekommen Sie eine komplett andere Adresse angezeigt, stimmt irgendetwas mit Ihren Routing-Einstellungen am PC nicht, oder Sie haben einen falschen Proxyserver in Ihrem Browser konfiguriert. Die Datenpakete wandern dann nicht über die VPN-Verbindung zur Universität und von dort weiter, sondern über einen anderen Kanal, was den Datenbankanbieter veranlasst, Ihre Anfrage mangels Berechtigung abzuweisen.

Erstellen einer DART (Diagnostic and Reporting Tool) Datei

Sollten alle Lösungsversuche scheitern, können Sie uns eine DART-Datei zusenden.
Zum Erstellen der Datei gehen Sie wie folgt vor:

  • Laden sie die entsprechende DART-Software von der Downloadseite des ZID und installieren sie diese.
  • Klicken Sie im Cisco Secure Client auf das Einstellungen-Symbol (Rad am unteren Rand der GUI) und wählen Sie dann "Diagnostics".

Die bei der Diagnose entstehende Datei speichern Sie auf Ihrem Desktop und senden diese dann nach innet-admin@uibk.ac...

Chrome meldet beim Download der Software "nicht sicher".

Die angebotene Software ist vom ZID geprüft und kann bedenkenlos verwendet werden.

Warum ist die Anmeldung bei VPN mit 2FA so umständlich?

Nutzbarkeit und Sicherheit sind leider oft ein Gegensatzpaar.

Die Einführung einer Zwei-Faktorauthentifizierung, insbesondere für den Externen Netzzugang via VPN, ist seit einiger Zeit geplant und im aktuellen IT-Sicherheitsumfeld absolut notwendig.

Die Eingabe von Zwei Faktoren bedeutet naturgemäß immer einen Mehraufwand. Das von uns konkret für VPN gewählte Verfahren ist vor allem unserer Entscheidung geschuldet eine Kontinuität beim VPN-Produkt anzubieten und gleichzeitig bei den 2FA-Verfahren mehrere Verfahren (TOTP, Webauthn, ...) unterstützen zu können.

Das Verfahren bedarf etwas Gewöhnung. Wir arbeiten dennoch daran den Vorgang so einfach wie möglich zu gestalten.

VPN Neuigkeiten

  • 21. Oktber 2024:
    Wir empfehlen allen ein Update des Cisco Secure Client auf die aktuelle Version der VPN-Software .
  • 4. März 2024:
    Im Zuge der Erhöhung der IT-Sicherheit werden sukzessive die Dienste der Universität mit einer Zwei-Faktor-Authentifizierung versehen.
    Für den VPN-Zugang bedeutet das einen zweistufigen Anmeldeprozess mittels VPN-Token das Sie zuerst auf der Seite https://vpntoken.uibk.ac.at erhalten und dann im Cisco-Klienten als Kennwort/Password eingeben.
    Übergangsphase: Bis 31.3.2024 können Sie alternativ im Klienten noch ihr Passwort verwenden.
  • 23. Oktober 2023:
    Neue VPN Hardware in Betrieb genommen. Diese Software bietet kein Web-VPN mehr an und erfordert AnyConnect >=4.0 wodurch auch die Unterstützung für Windows7 32bit wegfällt..
    Probleme melden Sie bitte an innet-admin@uibk.a.
  • 18. Juni 2023: Block_Brute_Force:
    Aus Sicherheitsgründen wird der Zugang nach 5 Fehlversuchen mit falschem Passwort generell für eine gewisse Zeit (nach dem letzten Fehlversuch) gesperrt.

 

Kontakt

Bitte richten Sie Ihre Anfragen an den ZD Service Desk unter ZID-Service@uibk.ac.at oder von Mo. - Fr. 08:00 - 16:00 unter +43 512 507 23999.

Nach oben scrollen