Ein alternativer VPN-Client

A. Kaltenbacher

Um über die Funknetz-Zugangspunkte in der Universität ins Internet zu gelangen oder um vom häuslichen PC aus bestimmte Dienste des URZ oder der UB nutzen zu können, benötigen Sie einen VPN-Client. Bis jetzt gab es ‚nur’ den Cisco VPN-Client. Dieser ist nur für 32Bit-Windows-Systeme gedacht. Diejenigen unter Ihnen, die ein 64Bit-Windows-System ihr Eigen nennen, schauten ‚mit dem Ofenrohr ins Gebirg’. Mehr durch Zufall sind wir auf einen alternativen VPN-Client gestoßen, der im Bereich Windows sowohl 32Bit- als auch 64Bit-Systeme abdeckt, den ShrewSoft VPN-Client.

ShrewSoft bietet den Client vollkommen frei an. Zum Zeitpunkt, zu dem ich diesen Artikel schreibe, ist die Version 2.14 aktuell, die es für Windows XP/Vista für 32Bit- und 64Bit-Systeme gibt. Die Version 2.15 (bzw. später dann 2.2) ist auch für Windows 7 geeignet und ist als RC4 (Release Candidate 4) erhältlich. Diese Version ist für Windows 7 zwingend, zwar lässt sich auch die 2.14er auf Windows 7 installieren, funktioniert aber nicht, wenn man sie aufruft. Ich beschreibe die Version 2.14. Das Interessante am Installationsvorgang und dem Betrieb ist, dass die Oberflächen bei Windows XP, Vista (egal ob 32Bit oder 64Bit) genau gleich aussehen. Für Vista gibt es ein paar kleine Unterschiede, auf die ich im Laufe des Textes noch eingehen werde.

1. Vorbemerkung:
   Um den VPN-Client installieren zu können, darf kein anderer VPN-Client auf dem System sein, denn die verschiedenen VPN-Clients ‚vertragen’ sich untereinander überhaupt nicht. Hatten Sie vorher einen Cisco VPN-Client auf dem System, ist dieser über Start → Systemsteuerung → Software zu deinstallieren. Zur Sicherheit prüfen Sie bitte, ob der Client auch ordnungsgemäß deinstalliert worden ist. Sie finden Hinweise unter: http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_tech_note09186a0080094b7f.shtml.

2. VPN-Client herunterladen:
   Die Software für den ShrewSoft VPN-Client kann unter http://www.shrew.net/download/vpn heruntergeladen werden. Im mittleren Bereich der Seite findet man den aktuellen VPN-Client, weiter unten die Entwickler-Versionen (RCs und Alpha-Versionen). Wie man schön erkennt, wird ab der Version 2.15 und höher nur noch eine Datei notwendig, die sowohl für die 32Bit- als auch für die 64Bit-Version gilt. Bei der Version 2.14 gibt es für die 32Bit-Version und die 64Bit-Version jeweils eine eigene Installations-Datei. Sie laden sich daher die für Sie notwendige Datei auf Ihre Festplatte. Alternativ kann der Client im Novell-Netz aus dem Verzeichnis I:\ARCHIV\Funk-Netz auf einen USB-Stick kopiert werden, der jeweilige Name ist ‚sprechend und somit leicht zu erkennen. Zudem und auch für die aus dem Internet heruntergeladene Version benötigen Sie noch die Konfigurationsdatei mit dem Namen ku connect-shrewsoft.vpn.

3. VPN-Client installieren:
   Trennen Sie vor der Installation unbedingt die Netzverbindungen Ihres PCs - kappen Sie das Ethernet-Kabel bzw. schalten Sie das Funknetz ab. Durch einen Doppelklick auf die Installationsdatei starten Sie die Installation des VPN-Clients, bitte bleiben Sie bei der Installation am PC sitzen, denn Sie werden einige Male aufgefordert, die Installation fortzusetzen, weil die zu installierenden Treiber nicht von Microsoft zertifiziert sind.¹

   

   Bei der Installation werden zusätzliche Netzkomponenten installiert (im Endeffekt eine weitere virtuelle Netzwerkkarte), über die der verschlüsselte Datenverkehr läuft. Ich verzichte auf die Darstellung aller Grafiken, die ich bei der Installation angefertigt habe, denn dies würde den Rahmen sprengen.

4. Nach erfolgter Installation rate ich zu einem Neustart, auch wenn die Software das nicht ausdrücklich erfordert. Damit der Client einwandfrei funktioniert, stellen Sie bitte sicher, dass eine Netzverbindung vorhanden ist. Startet man nämlich den Client ohne Netzverbindung, dann gibt es eine Fehlermeldung (logisch) und selbst nach einer danach aufgenommenen Netzverbindung ist das Laufzeitverhalten des Clients dann zwar stabil aber die Netzverbindung wird ungewöhnlich oft unterbrochen. Es kann sein, dass beim Start der Software die Windows-Firewall nachfragt, ob der ShrewSoft-Client geblockt werden soll, dies sollte verneint werden. Unter Umständen müssen bei manchen Windows-Installationen die Ports 500 und 4500 TCP und UDP über das Sicherheitscenter (zu erreichen über die Systemeinstellungen in Windows) freigeschaltet werden.² Will man den VPN-Client auch zu Hause nutzen, dann müssen evtl. auf dem heimischen Router ins Internet (DSL-Router oder Router vor einem Kabelmodem) die soeben genannten Ports geöffnet werden. Hinweise wie man dazu vorgehen muss, stehen in der Bedienungsanleitung oder lassen sich über eine Suche im Internet schnell und leicht beziehen. Bevor mit dem Client nun endgültig gearbeitet werden kann, müssen die Konfigurationsinformationen importiert werden, dies geschieht nach dem Start des VPN-Clients (er heißt Access Manager)

   

   über File → Import und die nachfolgende Auswahl der Import-Datei ku connect-shrewsoft.vpn vom USB-Stick.

   

   Hierauf kann man dann über einen Doppelclick auf das Symbol der jeweiligen Verbindung oder einen Click auf ‚Connect’ die Verbindungsaufnahme starten:

   

   Es öffnet sich ein Fenster zur Eingabe von Kennung und Passwort; nachdem beides ordnungsgemäß eingegeben worden ist und eine Netzverbindung besteht, erhält man ein Meldungsfenster:

   

   Dieses Fenster sagt aber nur, dass man sich ordnungsgemäß angemeldet hat, eine Netzverbindung dauert bei diesem Client ein kleines Bisschen, über einen Click auf das Register ‚Network’ sollte man sicherstellen, dass der Status ‚Connected’ erreicht ist und bei ‚Established’ eine Eins steht:

   Die Daten im Bereich ‚Security Associations’ wechseln im Laufe der jeweiligen Sitzung, jede Stunde wird ein neuer Sitzungsschlüssel ausgehandelt, so dass die Zahlen bei ‚Established’ und ‚Expired’ wachsen. Das hat aber keinen Einfluss auf die Arbeit am Notebook oder dem heimischen Rechner.

   

5. Sollte es bei der Verbindungsaufnahme oder während der Arbeit Probleme geben, hilft einem evtl. das sog. Trace Utility weiter, das bei der Installation mit installiert wird. Um dieses unter Windows Vista und höher nutzen zu können, muss man es mit Administrator-Rechten starten (unter XP auch notwendig, aber wenn man mit diesen Rechten angemeldet ist, reicht es da aus). Also über einen rechten Mausclick auf das Symbol und den Punkt ‚als Administrator ausführen’ dieses Programm starten. Leider kann man nun im Trace Utility eine ganze Menge einstellen, diese Möglichkeiten will ich hier nicht darstellen, denn auch dies sprengte den Rahmen des Artikels. Für die Interessierten schlage ich als Einstellung über File → Options die Einstellungen ‚Log output level’ debug und die Einstellungen Enable packet dump of decrypted IKE traffic, Enable packet dump of encrypted IKE traffic sowie Enable packet dump of DNS proxy traffic vor. Dann kann man den Datenverkehr über das Symbol ‚Open Log’ gut verfolgen.

6. Sollten Probleme weiterhin bestehen, gibt es als erste Anlaufstelle in Eichstätt und in Ingolstadt die regelmäßigen Funknetz-Sprechstunden (die genauen Daten ersieht man ganz gut über die Homepage des Rechenzentrums).

ShrewSoft hat mit dem freien VPN-Client ein gutes Stück Software geschaffen, mit dem man nun auch mit 64Bit-Windows-Systemen bei uns ins Netz gehen kann. Zudem konnte ich feststellen, dass der Client bei den von mir vorgenommenen Installationen außerordentlich stabil und schnell läuft.

¹Die Meldungen brauchen Sie in diesem Fall aber nicht zu beunruhigen, denn bei den Rechnern, auf denen ich diesen Client installiert habe, laufen die Treiber usw. von ShrewSoft äußerst stabil.

²Bei meinen Installationen unter Windows XP und Windows Vista brauchte ich das zwar nicht zu tun, aber in verschiedenen Hinweisen im Internet konnte ich entsprechende Aussagen dazu lesen.