VPN - AnyConnect

Dieser Dienst wurde am 3. August 2022 abgeschaltet. Bitte nutzen Sie eduVPN. Anleitungen finden Sie unter VPN - eduVPN


Ab September 2021 wird der Cisco AnyConnect VPN Dienst für die meisten Anwendungsfälle durch einen neuen VPN-Server auf Basis von eduVPN ersetzt. Der hier beschriebene AnyConnect-Dienst geht dann außer Betrieb. Bitte folgen Sie den Anleitungen unter VPN - eduVPN


Mit dem AnyConnect SSLVPN Client können Nutzende von Windows und macOS, Linux sowie Android uns iOS eine VPN-Verbindung herstellen. Dazu muss einmalig das Programm Cisco AnyConnect Secure Mobility Client auf Ihrem Rechner installiert werden. Wie das funktioniert, wird in diesem Artikel beschrieben. Empfohlen für Windows 10 bis Windows 8, macOS Big Sur, macOS Catalina bis Sierra.

1. Wie installiere ich das Programm auf meinem Rechner?

Das Programm Cisco AnyConnect Secure Mobility Client kann direkt auf jedem Rechner mit Internetzugang installiert werden. Beachten Sie bitte die Besonderheiten für Linux unter Punkt 5.

  • Gehen Sie im Webbrowser Ihrer Wahl auf die Seite https://asa-cluster.lrz.de.
  • Geben Sie Ihre Kennung und Ihr Passwort ein.
  • Ein Installationsprogramm wird heruntergeladen oder das Programm installiert sich selbst.
  • Wird die VPN-Verbindung nicht von selbst aufgebaut, geben Sie bitte in das Feld links neben Connect asa-cluster.lrz.de und nicht Ihren Benutzernamen ein. Der wird danach abgefragt
  • Dieser Vorgang muss nur einmal durchgeführt werden, danach rufen Sie das Programm Cisco AnyConnect Secure Mobility Client auf Ihrem Rechner auf.

2. Wie installiere ich das Programm auf meinem Smartphone?

3. Die Anmeldung klappt nicht! Die Installation war erfolgreich.

  • Ihre Kennung muss für VPN berechtigt sein, das gilt für Beschäftigte und Studierende, nicht aber für Alumni.
  • Eduroamkennungen der Form be15pil@eduroam.mwn.de sind nicht VPN-berechtigt, verwenden Sie da einfach den Teil vor dem @, im Beispiel: be15pil.
  • Eduroamkennungen externer Einrichtungen sind ebenfalls nicht berechtigt.

4. Schon die Installation funktioniert nicht. Was kann ich tun?

Für eine fehlgeschlagene Installation gibt es verschiedene Gründe, bei den meisten kann man sich selbst helfen.

4.1 Java wird nicht gefunden oder kann nicht aktiviert werden.

Es erscheint bei der Installation im Browserfenster nach der Meldung "Attempting to use Java" die Fehlermeldung Web-based Installation was unsuccessful...

  • Klicken Sie auf den Link unter Install using the link below. Damit wird das Installationsprogramm in den Downloadordner Ihres Rechners heruntergeladen.
  • Starten Sie das Installationsprogramm von Hand.
  • Starten Sie den Client, indem Sie das Programm Cisco AnyConnect Secure Mobility Client aufrufen.
  • In das Feld Connect to schreiben sie asa-cluster.lrz.de und klicken auf connect.

4.2 Mein Betriebsystem wird nicht unterstützt!

Es werden die aktuellen Betriebsysteme unterstützt. Alte Systeme, die auch von den Herstelleren nicht mehr aktualisiert werden werden nicht unterstützt.

  • Windows 10: Wird von Windows 7/8/8.1 aktualisiert, soll vorher der neueste Client installiert werden. Alternativ kann man  den Client vor der Aktualisierung deinstallieren und ihn danach neu installieren.
  • Windows 8.1 (unterstützte Geräte in den Releasenotes unten). Vor der Aktualisierung auf Windows 8.1 wird empfohlen, den Client zu deinstallieren und danach neu zu installieren. (Der in Windows integrierte VPN-Client kann sich nicht mit unserem VPN-Server verbinden.)
  • Nicht mehr unterstützt werden: Windows 7, Vista: Supportende von Microsoft, Windows 7 am 14. 1. 2020, Windows Vista am 11. 4. 2017.

  • Mac OS 11 (Big Sur) benötigt AnyConnect Version 4.9.04xxx oder höher. Diese Version wird inzwischen auch von den VPN-Servern ausgeliefert. Alternativ kann Sie auch vom VPN Downloadportal herunterladen und manuell installiert werden. Dabei bitte nur das VPN-Modul (das erste) installieren. Vom Hersteller gibe es weitreichende technische Informationen dazu. (externer Link: AnyConnect und macOS Big Sur)
  • Mac OS 10.15 (Catalina) benötigt AnyConnect Version 4.8 oder höher. Diese Version wird inzwischen auch von den VPN-Servern ausgeliefert. Alternativ kann Sie auch vom VPN Downloadportal herunterladen und manuell installiert werden. Dabei bitte nur das VPN-Modul (das erste) installieren.
  • Mac OS 10.14 (Mojave), Mac OS (High Sierra), OS X 10.12 (Sierra), und ggf noch funktionieren mit AnyConnect, sie besitzen zudem einen integrierten Cisco VPN-IPsec-Client (Info)
  • Nicht mehr unterstützt werden folgende Versionen: Mac OS X 10.11 (El Capitan) funktioniert nur noch bis Version 4.8 des AnyConnect Clients, Mac OS X 10.10 (Yosemite)  und Mac OS X 10.9 (Mavericks) funktioniert nur noch bis Version 4.7 des AnyConnect Clients. Entweder das veraltete Betriebsystem aktualisieren oder Version 4.6 über das Downloadportal installieren und den Client mit der Gruppe "AnyConnect+NoUpdate" verwenden. Alternativ bei Problemen den integrierten Client verwenden.(Info)
  • Mac OS X 10.8 (Mountain Lion) und älter werden von der aktuellen Version 4.x des AnyConnect nicht mehr unterstützt. Entweder das veraltete Betriebsystem aktualisieren oder Version 3.x über das Downloadportal installieren und den Client mit der Gruppe "AnyConnect+NoUpdate" verwenden. Alternativ bei Problemen den integrierten Client verwenden.(Info)

  • Linux, Version 4.3 untersützt nur noch 64Bit Versionen (siehe Releasenotes unten)

  • Android im Android Store:  https://play.google.com/store/search?q=anyconnect&c=apps

4.4 Es kommt die Fehlermeldung: Diese Verbindung ist nicht sicher

Das kann daran liegen, dass das entsprechende Zertifikat nicht installiert ist. Normalerweise tritts dieser Fall bei aktuellen Systemen sehr selten auf.

Bitte überprüfen Sie, ob Sie die für die SSL-Verbindung benötigten Zertifikate installiert haben. Beim Aufruf der Seite https://asa-cluster.lrz.de darf im Browser keine Fehlermeldung erscheinen. Das Wurzelzertifikat T-Telesec GlobalRoot Class 2 ist auf allen aktuellen Betriebsystemen schon vorinstalliert. Falls doch eine Fehlermeldung erscheint, können die benötigten Zertifikate  T-Telesec Globalroot Class 2, DFN-Verein Global Issuing CA und DFN-Verein Global Issuing, wie unter http://www.lrz.de/services/pki/certs/index.html beschrieben, installiert werden. Da die Zertifikate auf einem externen Webserver liegen, sind sie hier als Kopien abgelegt:


Name (CN des CA Zertifikats)

Firma
(O and OU des CA Zertifikats)

gültig
bis

T-TeleSec GlobalRoot Class 2

T-Systems Enterprise Services GmbH
T-Systems Trust Center

Oktober 2033

DFN-Verein Certification Authority 2Verein zur Foerderung eines Deutschen Forschungsnetzes e. V.
DFN-PKI
Februar 2031
DFN-Verein Global Issuing CAVerein zur Foerderung eines Deutschen Forschungsnetzes e. V.
DFN-PKI
Februar 2031


Vorgehensweise für die Installation der Zertifikate:

Windows 10, 8.1, 8:

Herunterladen der Zertifikate. Danach wird mit einem Doppelklick auf die Zertifikate nach Abnicken der Sicherheitswarnung das Zertifikat geöffnet. Durch Klicken auf den Reiter "Zertifizierungspfad" können Sie im Fenster Zertifizierungsstatus ablesen, ob das Zertifikat als gültig erkannt wird. Wenn nicht kann es im Reiter "Allgemein" importiert werden. Dazu klicken Sie auf "Zertifikat installieren"und folgen den Anweisungen des Zertifikatimport-Assistenten.

Linux:

Die Zertifikate müssen im Firefox Zertifikatsspeicher abgelegt werden. Das geschieht am einfachsten, indem man mit Firefox auf dieser Seite die lokalen Kopien oder unter http://www.lrz.de/services/pki/certs/index.html auf die entsprechenden Links klickt und den Import bestätigt. Falls dann immer noch der Fehler  "The following Certificate received from the Server could not be verified:..." beim Verbindungsaufbau erscheint, kann nach vpn44 - AnyConnect - Zertifikatsfehler vorgegangen werden.

Mac OS X:

Die Zertifikate müssen heruntergeladen und durch Doppelklick in den Schlüsselbund importiert werden.

5. Das Programm startet nicht! Was kann ich tun?

Linux:

Hier kann es passieren, dass das GUI des Anyconnect nicht starten will. Startet man den AnyConnect-Client im Terminal mit

/opt/cisco/anyconnect/bin/vpnui

und erhält dann eine Fehlermeldung, dass bestimmte Bibliotheken nicht geladen werden können, müssen diese nachinstalliert werden. Aktuell handelt es sich um libpangox die bei neueren Linux-Installationen nicht mehr standardmäßig dabei ist.

Diese können so nachinstalliert werden:

sudo apt-get install libpangox-1.0-0 libpangoxft-1.0-0 pangox-compat-devel

6. Manuelle Installation

  • Gehen Sie auf das Downloadportal https://www.lrz.de/services/netz/mobil/vpnclient
  • Melden Sie sich an
  • Laden Sie das Installationsprogramm für Ihr Betriebsystem. Damit wird das Installationsprogramm in den Downloadordner Ihres Rechners heruntergeladen.
  • Starten Sie das Installationsprogramm von Hand.
  • Installieren Sie nur das VPN-Modul. Die anderen Module werden nicht benötigt und können ggf. stören.
  • Starten Sie den Client, indem Sie das Programm Cisco AnyConnect Secure Mobility Client aufrufen.
  • In das Feld links neben Connect schreiben sie asa-cluster.lrz.de und klicken auf Connect.

7. Beta- und aktuellste Versionen:

Erfahrene Nutzende können aktuellste und Beta-Versionen des AnyConncet Client über unser Download Portal herunterladen.

8. Alternative Programme:

Für Linux und Mac OS X kann auch die Open Source Applikation OpenConnect verwendet werden. Diese ist z.B. ab Ubuntu Karmic (9.10) auch in den NetworkManager integriert. Für Android gib es ebenfalls die OpenConnect-App über den Playstore. https://play.google.com/store/search?q=openconnect&c=apps

9. Herstellerinformationen:

AnyConnect VPN Client FAQ - Cisco Community.pdf - lokale Kopie

AnyConnect VPN Client FAQ, online in der Cisco Community

Release_Notes_AnyConnect_4_7_4056.pdf - lokale Kopie

Release_Notes_AnyConnect_4_6_4056.pdf - lokale Kopie