Über einen VPN-Zugang können Studierende und Mitarbeiter der Universität zu Köln auch von außerhalb Dienste nutzen, die ansonsten nur im Uni-Netz UKLAN zur Verfügung stehen.

Dazu müssen Sie den VPN-Client installieren, der Ihren Rechner über das Internet virtuell in das UKLAN einbindet.

Um eine VPN-Verbindung beziehungsweise einen VPN-Tunnel einrichten zu können

• muss eine Verbindung ins Internet bestehen.
• benötigt man einen Account der Universität zu Köln (S-Mail-Account für Studierende beziehungsweise Uni-Account für Mitarbeiter).

Beim VPN werden virtuelle Tunnel aufgebaut, durch die Ihre Daten geleitet werden. Sie können zwischen zwei verschiedenen Tunneltypen wählen:

• Full-Tunnel: Beim Full-Tunnel-Verfahren besteht außer der Verbindung zum VPN-Server keine weitere Verbindung des Rechners zum Internet. Alle Webseiten und Internet-Dienste werden ausschließlich über das Netz der Uni Köln übertragen. Einige Dienste können nur mit einer Full-Tunnel-Verbindung genutzt werden, wie zum Beispiel die digitalen Angebote der Universitäts- und Stadtbibliothek (Datenbanken, E-Zeitschriften, E-Books und so weiter). Diese Angebote liegen auf den (externen) Servern der jeweiligen Anbieter und akzeptieren nur Anfragen von Rechnern aus dem Universitätsnetz. Um Netzgeräte in Ihrem lokalen Netz zu erreichen, z.B. Netzwerkdrucker, muss in den Einstellungen des Klienten die Funktion "Local LAN Access" aktiviert werden.
  
  
• Split-Tunnel: Beim Split-Tunnel-Verfahren werden die Daten nur dann über den Tunnel geleitet, wenn die aufgerufene Webseite oder der Internetdienst innerhalb des UKLANs liegt. Ansonsten wird eine direkte Verbindung von Ihrem Rechner zum Webseiten- beziehungsweise Dienstanbieter hergestellt. Downloads und Datenverkehr von externen Servern werden also nicht erst über die Universität geleitet.

Bei Verwendung des AnyConnect-Clients sind die Profile durchnummeriert und heißen zum Beispiel „1-Full-Tunnel“. Desweiteren kann beim AnyConnect-Client über die Profile ausgewählt werden, ob nach Verbindungsaufbau automatisch die Startseite der Universität aufgerufen wird oder nicht. Verwenden Sie dazu gegebenenfalls die Profile mit dem Zusatz „_ohne_Startseite“.

Unterstützt werden von uns die beiden Cisco-Clients AnyConnect und IPSec. Sie können auf den Plattformen Windows 2000/XP/Vista, Mac OS X/iPhone/iPod touch sowie Linux installiert werden. Es handelt sich um Lizenzsoftware, die Studierende und Mitarbeiter der Universität zu Köln kostenfrei herunterladen und nutzen können.

Für Benutzer von Microsoft Windows empfehlen wir den neueren AnyConnect-Client. Dieser bietet folgende Vorteile:

• Automatisierte Installation über Webbrowser
• Geringerer Konfigurationsaufwand
• Bessere Unterstützung verschiedener Firewalls
• Unterstützung für 64-Bit-Betriebssysteme (zum Beispiel 64-Bit-Versionen von Vista und Windows 7)

Unter Mac OS X Snow Leopard (10.6) und aktuellen Versionen von iPhone/iPod touch empfiehlt es sich, den vorinstallierten IPSec-Client zu verwenden. Hier funktioniert aber auch der AnyConnect.

Für Linux und BSD-Unix ist VPNC (Freie Software) eine empfehlenswerte Alternative zum AnyConnect.

Alternativen zur Cisco-Software für internetfähige Handys und mobile Endgeräte haben wir unter "Sonstige Clients" zusammengestellt.

• AnyConnect-Client von Cisco für Windows, Linux und Mac OS (empfohlen)
• IPSec-Client von Cisco
• IPSec-Client von Cisco für Mac OS X ab 10.6 Snow Leopard
• AnyConnect-Client von Cisco für Mac OS X 10.4 (Tiger) / 10.5 (Leopard)
• freier Linux-Klient VPNC
• Klienten für mobile Endgeräte zum Beispiel Wlan-Handys / iPhone / iPod touch

• AnyConnect-Client:
  
  • Inkompatibilitäten: Es bestehen bekannte Inkompatibilitäten mit Internet-Security-Suites bzw. Personal Firewalls der Hersteller F-Secure und Kaspersky. Im Fall von Kaspersky können die Probleme eventuell behoben werden, indem unter Einstellungen > Netzwerk > Porteinstellungen der SSL-Port 443 von der Überwachung ausgenommen wird.
  
  
  • Probleme bei der Installation unter Vista: Wenn die Installation des AnyConnect-Clients fehlschlägt mit der Fehlermeldung "The VPN client agent was unable to create the interprocess communication depot", so kann unter Vista das Deaktivieren des Dienstes für die Gemeinsame Nutzung der Internetverbindung helfen. Die Einstellmöglichkeit zum Deaktivieren dieses Dienstes finden Sie in der Systemsteuerung unter System und Wartung >Verwaltung > Dienste (dort aus der Liste den oben genannten Dienst auswählen, deaktivieren und anschließend Windows neu starten).
    
    
  • AnyConnect VPN Client Troubleshooting Tech Note von Cisco
    
    
  • Bei Schwierigkeiten mit dem AnyConnect-Client kann man parallel den IPSec-Client installieren, sofern für die Plattform vorhanden.
    
    
• IPSec-Client:
  
  • Probleme durch Verändern oder Verschieben der Startmenüeinträge (Windows): damit macht man den Client unbrauchbar. Wenn die Rücknahme der Änderungen nicht ausreicht, muss man den Client deinstallieren und neu installieren. Es gibt Hinweise, dass dieses Problem nur bei Verwendung des MSI-Installers auftritt, nicht bei Verwendung des IS-Installers.
    
    
  • Probleme durch zusätzliche Firewalls
    Bei IPSec müssen Firewalls zwischen dem Klienten und dem VPN-Server richtig konfiguriert werden. Die folgenden Ports müssen gegebenenfalls in beide Richtungen geöffnet werden:
  • UDP port 500
  • UDP port 10000
  • UDP 4500
  • IP protocol 50 ESP
  
  
  • Bei Schwierigkeiten mit dem IPSec-Clienten darf man keinesfalls eine zweite Version (IS-Version/MSI-Version) parallel installieren, sondern muss die vorhandene Version zuerst deinstallieren.