Cisco Secure Client (AnyConnect)
Institute und Einrichtungen der TU Dresden können für den gesicherten Zugriff auf die jeweiligen Institutsnetze und das Datennetz der TU Dresden die Software Cisco Secure Client (AnyConnect) einsetzen.
Cisco Secure Client (AnyConnect) verwendet für den VPN Tunnel über die Standart-Ports für SSL (TCP Port 443) und DTLS (UDP Port 443). Beide Ports sind in Ihrer Firewall freizuschalten, ansonsten könnte der Durchsatz vermindert sein.
Mit Aufbau der VPN-Verbindung erhält der Computer eine IP-Adresse aus dem zugeordneten Netz.
Cisco Secure Client (AnyConnect) bietet mehrere Vorteile:
- deutlich weniger Verbindungsprobleme bei der Nutzung aus externen Netzen, da HTTPS häufig nicht eingeschränkt ist im Vergleich zu IPSec VPN
- automatischer Wiederaufbau der VPN-Verbindung bei Wechsel des Netzes, z.B. im WLAN
- signifikant einfachere Installation der Software
- automatische Updates für die Software über das VPN-Gateway
- Linux-Version unabhängig von der Kernel-Version
Installation
Für folgende Betriebssysteme wird Cisco Secure Client (AnyConnect) angeboten:
| Betriebssystem | Automatische Installation über Browser |
Konfigurationsanleitung für die manuelle Installation |
supportete Versionen |
|---|---|---|---|
|
Windows 10 und 11 x86(32-bit) und x64(64-bit) |
Ja | Anleitung für Windows | Windows 11 (64-bit) und aktuell von Microsoft supportete Versionen von Windows 10 x86 (32-bit) und x64 (64-bit) |
| Linux 64bit | Nein | Anleitung für Linux 64bit | offiziell unterstützt werden: Linux Red Hat 9.x und 8.x, and 7.x & Ubuntu LTS 22.04 und 20.04 |
| Apple | Ja | Anleitung für Apple |
iPhone: iOS 13.0 oder neuer. |
| Android | Nein | Anleitung für Android | Aktuelle Versionen laut Store |
Cisco Secure Client (AnyConnect) Software
Für die Nutzung des SSL VPN ist die Installation der Client Software Cisco Secure Client (AnyConnect) notwendig. Aus lizenzrechtlichen Gründen ist ein Download der Software nur mit einem gültigenLogin des ZIH möglich. Für die Erst-Installation benötigen Sie Administrator-Rechte.
Ab dem 11.01.2024 wird das VPN Gateway ein neues Serverzertifikat haben und Secure Client (AnyConnect) wird dessen Vertrauenswürdigkeit mit dem neuen Root-Zertifikat der TU Dresden abgleichen:
VPN-SectigoChain.pem
Wenn Sie eine Fehlermeldung wie "Untrusted VPN server certificate" erhalten, können Sie diese Root-Zertifikatskette in den vertrauenswürdigen Stammzertifikatsspeicher auf Ihrem lokalen System importieren.
ACHTUNG: beim Upgrade von Windows sollte der Secure Client (AnyConnect) Client VOR dem Upgrade deinstalliert werden, sonst funktioniert er danach ggf. nicht mehr.
Die Windows-Dateien müssen als *.msi Datei auf dem Windows-Rechner gespeichert werden. Sollte das nicht automatisch erfolgen, ist nach Klick auf die rechte Maustaste auf dem Link im Kontextmenü der Punkt "Ziel speichern unter..." auszuwählen. Als Dateiformat ist "Alle Dateien" zu aktivieren und an den Dateinamen ".msi" anzuhängen. Dann kann die Datei gespeichert werden.
ACHTUNG:
prüfen Sie, ob in der URL-Zeile des Browsers der korrekte Link-Text zu sehen ist:
"https://tu-dresden.de/zih/dienste/service-katalog/arbeitsumgebung/zugang_datennetz/vpn/ssl_vpn"
Weiterhin können Sie die Echtheit des Zertifikates prüfen, klicken Sie auf das kleine Schlosssymbol links neben der URL. Die Verbindung muss sicher, das Zertifikat gültig sein. Ansonsten ist die Webseite gefälscht und jemand möchte Ihre Credentials phishen oder Ihnen Malware zum Download anbieten. Wenden Sie sich in diesem Fall an den Service Desk.
Version AnyConnect (Secure Client) 5.1.6.103
- AnyConnect für Linux 64bit (Version 5.1.6.103)
- AnyConnect für Windows (Version 5.1.6.103)
Bei Verwendung des NAM Modules für 802.1x das AnyConnect, die .mst-Datei UND die Datei für das NAM Modul erst herunter laden und dann die Installation vornehmen. NAM Modul gleich im Anschluss an den VPN-Client installieren. - Transform-Datei (.mst) für Windows - Abschalten des Customer Experience Feedback(CEF) :
Starten sie ein CMD-Fenster als "Administrator" und führen Sie diesen Befehl aus (eine Zeile):
msiexec -i cisco-secure-client-win-5-1-6-103-core-vpn-predeploy-k9.msi TRANSFORMS=anyconnect-win-disable-customer-experience-feedback_5-1-6-103.mst
Damit wird das CEF im AnyConnect abgeschaltet. - NAM (Version 5.1.6.103) - Network Access Management Tool für Windows
zur Verwaltung von Netzwerkzugängen unter Windows bei Verwendung von 802.1X für die Netzwerkauthentifizierung im dyport- um Kabel- und WLAN-Datennetz-Verbindungen über das NAM Modul zu verwalten, ist die Datei tud-nam-profile.nsp nach
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system zu kopieren und in "configuration.xml" umzubenennen - um nur Kabel-Datennetz-Verbindungen über das NAM Modul zu verwalten und WLAN-Verbindungen über die Bordmittel des Windows Betriebssystems, ist die Datei tud-nam-profile_NoWifi.nsp nach
C:\ProgramData\Cisco\Cisco Secure Client\Network Access Manager\system zu kopieren und in "configuration.xml" umzubenennen
- um Kabel- und WLAN-Datennetz-Verbindungen über das NAM Modul zu verwalten, ist die Datei tud-nam-profile.nsp nach
- PE (Version 5.1.6.103) - Profile Editor Tool für Windows
- DART (Version 5.1.6.103) - Analysetool für AnyConnect-Fehler unter Windows
- SBL (Version 5.1.6.103) - für SBL
- AnyConnect für MacOSX kann nicht mehr über das WebCMS zum Download zur Verfügung gestellt werden. Die Software kann, sobald sie auf dem VPN-Gateway aktiviert wurde, über https://vpn2.zih.tu-dresden.de heruntergeladen werden. (Anmelden mit <ZIH-Username>@tu-dresden.de und Passwort)
Version AnyConnect 4.10.08025
- AnyConnect für Linux 64bit (Version 4.10.08025)
- AnyConnect für Mac OS X auf Intel und ARM (Version 4.10.08025)
- AnyConnect für Windows (Version 4.10.08025)
- Transform-Datei (.mst) für Windows - Abschalten des Customer Experience Feedback(CEF) :
Starten sie ein CMD-Fenster als "Administrator" und führen Sie diesen Befehl aus (eine Zeile):
msiexec -i anyconnect-win-4_10_08025-core-vpn-predeploy-k9.msi TRANSFORMS=anyconnect-win-disable-customer-experience-feedback-4_10_08025.mst
Damit wird das CEF im AnyConnect abgeschaltet. - NAM (Version 4.10.08025) - Network Access Management Tool für Windows
zur Verwaltung von Netzwerkzugängen unter Windows bei Verwendung von 802.1X für die Netzwerkauthentifizierung im dyport- um Kabel- und WLAN-Datennetz-Verbindungen über das NAM Modul zu verwalten, ist die Datei tud-nam-profile.nsp nach
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system zu kopieren und in "configuration.xml" umzubenennen - um nur Kabel-Datennetz-Verbindungen über das NAM Modul zu verwalten und WLAN-Verbindungen über die Bordmittel des Windows Betriebssystems, ist die Datei tud-nam-profile_NoWifi.nsp nach
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system zu kopieren und in "configuration.xml" umzubenennen
- um Kabel- und WLAN-Datennetz-Verbindungen über das NAM Modul zu verwalten, ist die Datei tud-nam-profile.nsp nach
- PE (Version 4.10.08025) - Profile Editor Tool für Windows
- DART (Version 4.10.08025) - Analysetool für AnyConnect-Fehler unter Windows
- GINA (Version 4.10.08025) - für SBL
- AnyConnect für Windows ARM (Version 4.10.08025)
!! ältere Versionen sind aufgrund von Sicherheitslücken NICHT mehr zu verwenden !!
Alte Versionen für Windows Mobile (nicht mehr supported).
Tunnel-Groups
Beim Aufruf des Cisco AnyConnect können bei "Group:" verschiedene Tunnel-Groups ausgewählt werden. Diese werden hier erläutert:
- A-Tunnel-TU-Networks
Datennetzverbindungen in alle TU-Netze laufen durch den VPN-Tunnel, das sind:
141.30.0.0/16, 141.76.0.0/16, 172.16.0.0/12, 192.168.0.0/16 - B-Tunnel-Public-TU-Networks
Datennetzverbindungen zu öffentlichen TU-Netzen laufen durch den VPN-Tunnel, das sind: 141.30.0.0/16, 141.76.0.0/16 - C-Tunnel-All-Networks
alle Datennetzverbindungen laufen durch den VPN Tunnel - TUD-vpn-lic
Verwendung ausschließlich für den Zugriff auf den Lizenzserver (MathCAD u.a.)
Authorisierung über die DOM Domain (der Nutzer muss explizit durch seinen IT-Administrator in einer bestimmten ActiveDirectory Group der DOM Domain dafür eingetragen werden)