Cisco AnyConnect
Institute und Einrichtungen der TU Dresden können als empfohlene Software Cisco AnyConnect Secure Mobility Client für den gesicherten Zugriff auf die jeweiligen Institutsnetze und das Datennetz der TU Dresden einsetzen.
Cisco AnyConnect verwendet für den VPN Tunnel über die Standart-Ports für SSL (TCP Port 443) und DTLS (UDP Port 443). Beide Ports sind in Ihrer Firewall frei zu schalten, ansonsten könnte der Durchsatz vermindert sein.
Mit Aufbau der VPN-Verbindung erhält der Computer eine IP-Adresse aus dem zugeordneten Netz.
Cisco AnyConnect bietet mehrere Vorteile:
- deutlich weniger Verbindungsprobleme in externen Netzen, da https häufig nicht eingeschränkt ist im Vergleich zu IPSec VPN
- automatischer Wiederaufbau der VPN-Verbindung bei Wechsel des Netzes, z.B. im WLAN
- signifikant einfachere Installation der Software
- automatische Updates für die Software über das VPN-Gateway
- Linux-Version unabhängig von der Kernel-Version (komplett Userland)
Installation
Für folgende Betriebssysteme wird Cisco AnyConnect angeboten:
| Betriebssystem | Automatische Installation über Browser |
Konfigurationsanleitung für die manuelle Installation |
Hinweise |
|---|---|---|---|
|
Windows 7 SP1, 8.1 & 10 x86(32-bit) and x64(64-bit) |
Ja | Windows 7 SP1, 8.1 & 10 |
Windows 8 - ACHTUNG: wird nicht mehr supported Windows10: vor dem Upgrade auf Windows 10 ist AnyConnect zu deinstalllieren und danach wieder zu installieren |
| Linux 64bit | Nein | Linux 64bit | offiziell unterstützt werden: Linux Red Hat 6, 7 & Ubuntu 14.04 (LTS) , 16.04 (LTS), and 18.04 (LTS) (64-bit only) -- ansonsten bitte openconnect verwenden |
| Mac OS X 10.11, 10.12, 10.13, and 10.14 | Ja | Mac OS X 10.11, 10.12, 10.13, and 10.14 | AnyConnect läuft NICHT mehr unter MacOSX 10.5 (kein support), ebenfalls nicht mehr supported sind die Versionen 10.6 bis 10.10 |
| Windows Mobile 5.0, 6.0, 6.1 und 6.5 | Ja |
Cisco AnyConnect Software
Für die Nutzung des SSL VPN ist die Installation der Client Software Cisco AnyConnect notwendig. Aus lizenzrechtlichen Gründen ist ein Download der Software nur mit einem gültigen Login des ZIH möglich. Für die Erst-Installation benötigen Sie Administrator-Rechte.
ACHTUNG: beim Upgrade von Windows SOLLTE der Cisco AnyConnect Client VOR dem Upgrade deinstalliert werden, sonst funktioniert er danach ggf. nicht mehr.
Die Windows-Dateien müssen als *.msi Datei auf dem Windows-Rechner gespeichert werden. Sollte das nicht automatisch erfolgen, ist nach Klick auf die rechte Maustaste auf dem Link im Kontextmenü der Punkt "Ziel speichern unter..." auszuwählen. Als Dateiformat ist "Alle Dateien" zu aktivieren und an den Dateinamen ".msi" anzuhängen. Dann kann die Datei gespeichert werden.
Version AnyConnect 4.6.03049:
- AnyConnect für Linux 64bit (Version 4.6.03049)
- AnyConnect für Mac OS X auf Intel (Version 4.6.03049)
- AnyConnect für Windows (Version 4.6.03049)
Transform-Datei (.mst) für Windows - Abschalten des Customer Experience Feedback(CEF) : Starten sie ein CMD-Fenster als "Administrator" und führen Sie diesen Befehl aus:
msiexec -i anyconnect-win-4_6_03049-core-vpn-predeploy-k9.msi TRANSFORMS=anyconnect-win-disable-customer-experience-feedback-4_6_03049.mst
Damit wird das CEF im AnyConnect abgeschaltet. - DART -Analysetool für AnyConnect-Fehler unter Windows
- NAM -Network Access Management Tool für Windows
- PE -Profile Editor Tool für Windows
Version AnyConnect 4.5.03040:
- AnyConnect für Linux 64bit (Version 4.5.03040)
- AnyConnect für Mac OS X auf Intel (Version 4.5.03040)
- AnyConnect für Windows (Version 4.5.03040)
Transform-Datei (.mst) für Windows - Abschalten des Customer Experience Feedback(CEF) : Starten sie ein CMD-Fenster als "Administrator" und führen Sie diesen Befehl aus:
msiexec -i anyconnect-win-4_5_03040-core-vpn-predeploy-k9.msi TRANSFORMS=anyconnect-win-disable-customer-experience-feedback_4_5_03040.mst
Damit wird das CEF im AnyConnect abgeschaltet. - DART -Analysetool für AnyConnect-Fehler unter Windows
- NAM -Network Access Management Tool für Windows
- PE -Profile Editor Tool für Windows
Version AnyConnect 4.5.01044:
- AnyConnect für Linux 64bit (Version 4.5.01044)
- AnyConnect für Mac OS X auf Intel (Version 4.5.01044)
- AnyConnect für Windows (Version 4.5.01044)
Transform-Datei (.mst) für Windows - Abschalten des Customer Experience Feedback(CEF) : Starten sie ein CMD-Fenster als "Administrator" und führen Sie diesen Befehl aus:
msiexec -i anyconnect-win-4-5-01044-core-vpn-predeploy-k9.msi TRANSFORMS=anyconnect-win-disable-customer-experience-feedback-4-5-01044.mst
Damit wird das CEF im AnyConnect abgeschaltet. - DART -Analysetool für AnyConnect-Fehler unter Windows
!! ältere Versionen als 4.5.01044 sind aufgrund von Sicherheitslücken NICHT mehr zu verwenden !!
Hier die Versionen für Windows Mobile:
Cisco AnyConnect prüft die Vertrauenswürdigkeit durch ein Zertifikat auf dem VPN-Gateway, das sich auf das Deutsche Telekom Root CA certificate stützt. Dieses Zertifikat ist auf den meisten Systemen bereits vorinstalliert. Sollten Sie eine Warnung wie:
Untrusted VPN Server Blocked! AnyConnect cannot verify the VPN server: vpn2.zih.tu-dresden.de. Connecting to this server may result in a severe security compromise!
erhalten, können dieses Zertifikat unter angegebenem Link installieren.