VPN
Das AIP ermöglicht seinen Nutzenden den Zugriff auf interne Ressourcen über eine VPN-Verbindung. VPN steht dabei für "Virtual Private Network", Ihr Computer baut dabei eine gesicherte Verbindung zum Instituts-Netz auf. Der Zugang zum Instituts-Netz des AIP wird mit einer "Next-Generation-Firewall" geschützt. Um eine VPN-Verbindung aufzubauen, benötigen Sie ein entsprechendes Programm ("VPN-Client"), sowie einen AIP-Account mit Zugang zur Windows-Domäne "Astrophysik".
**Achtung:** Die nachfolgende Anleitung gilt nicht für den VPN-Zugang zum Verwaltungsnetz! Bitte kontaktieren Sie uns direkt, wenn Sie einen solchen Zugang einrichten wollen.
Bitte beachten Sie folgende Einschränkungen:
- der Verbindungsaufbau zum VPN funktioniert nur korrekt, wenn sich Ihr Rechner in einem Netz außerhalb des AIP befindet
- die Verbindung über das VPN mit dem Suffix "aip" ermöglicht den Zugriff auf interne Ressourcen. Der Netzwerk-Verkehr zu Ressourcen außerhalb des AIP-Netzwerkes wird direkt über Ihren Internet-Anbieter abgewickelt, dadurch wird das AIP-Netzwerk von diesem Verkehr entlastet.
- Wenn Sie auf vom AIP lizensierte Elektronische Zeitschriften auf den Webseiten der Verlage zugreifen wollen, müssen Sie bei der Einstellung die Domäne bzw. den Suffix "journal" anstelle "aip" auswählen (s.u.). Über diese VPN-Verbindung können Sie natürlich auch auf interne Ressourcen zugreifen. Es empfiehlt sich, zwei VPN-Verbindungen zu konfigurieren und zwischen diesen bei Bedarf wechseln - eine für den Zugriff auf interne Ressourcen und ein weitere für den gleichzeitigen Zugriff auf die Zeitschriften und die internen Ressourcen.
- Beim Aufbau der VPN-Verbindung wird der Status Ihres PCs geprüft, ob z.B. das Betriebssystem auf dem aktuellen Stand ist. Ggf. werden erst Software-Updates eingespielt, bevor die Verbindung aufgebaut werden kann, dies kann einige Minuten dauern.
Linux-Betriebssysteme
Für Linux empfehlen wir einen OpenSource-Client ("openfortivpn"), der mit wenigen Handgriffen installiert ist und bequem von der Kommandozeile gestartet werden kann. Hier am Beispiel eines PC mit Ubuntu 18.04:
# VPN-Client aus dem Repository Ihrer Distribution installieren
sudo apt-get install openfortivpn
# VPN-Client starten und dabei das Zertifikat des VPN-Servers akzeptieren
sudo openfortivpn vpn-gate.aip.de:443 --realm=aip --username=your_account_name \
--trusted-cert 5d89f02fff72fc044873a8b38880152a46f48bc2e00aa19ff7beab8b16b6fa6f
Das Fenster mit der Kommandozeile so lange offen lassen, wie Sie mit dem VPN verbunden bleiben wollen. Wenn Sie auf die vom AIP lizensierten elektronischen Zeitschriften zugreifen wollen, bitte "--realm=journal" verwenden.
Andere Betriebssysteme
Für Microsoft-, Apple- und Android-Betriebssysteme empfehlen wir den VPN-Client des Herstellers der Firewall. Der "FortiClient" bietet auf den unterschiedlichen Betriebssystemen eine unterschiedliche Funktionsvielfalt an, auch unterscheiden sich die Benutzeroberflächen. Die nachfolgende Anleitung ist ggf. sinngemäß auf den Client Ihres Betriebssystems zu übernehmen.
Für Windows-Systeme und MacOS bieten eine bereits vorkonfigurierte Version des FortiClients zum download an. Laden Sie die zu Ihrem System passende Setup-Datei herunter, starten das Setup und folgen den Instruktionen. Sie benötigen dazu ggf. Admin-Rechte auf Ihrem Rechner.
MacOS: https://extreme-ems.aip.de:10443/installers/Default/7.0.11_win_macOS/FortiClient_7.0.11.dmg
Der Installer fordert Sie u.a. zur Anerkennung der Lizenzbedingungen auf, bitte bestätigen Sie diese. Je nach Betriebssystem können sie dann entweder mit der Standard-Installation fortfahren (Windows) oder Sie wählen "Anpassen" beim Installationstyp (MacOS) und fügen dann z.B. das Modul "Malware Protection" hinzu.
Für Android können Sie die aktuelle FortiClient-App (nicht die FortiClientVPN-App!) im Google Play Store herunterladen.
Aktuelle Versionen des FortiClients (höher als 7.0.x) werden über einen sogenannten EMS-Server konfiguriert, dafür gilt die folgende Anleitung. Weiter unten finden Sie auch eine Anleitung für ältere Versionen des FortiClients, mit denen Sie direkt die VPN-Verbindung öffnen können.
Konfiguration mit EMS-Server
Im folgenden wird die Einrichtung des VPN-Clients am Beispiel eines Android-Systems erläutert.
Die Applikation (App) ist kostenfrei. Gehen Sie dazu in den Google Play Store und suchen Sie nach FortiClient.
Tippen Sie auf die gewünschte App (FortiClient, nicht die FortiClientVPN-App)und drücken Sie dann oben auf die Schaltfläche Installieren.
Akzeptieren Sie die Zugriffsberechtigungen.
- Zugriff auf Kamera und Speicher erlauben
- "Display over other apps" erlauben
Daraufhin wird die Anwendung heruntergeladen und installiert. Wenn die App erfolgreich heruntergeladen wurde, finden Sie nun unter Ihren installierten Apps das Symbol der Anwendung mit dem Namen FortiClient.
Öffnen Sie die Anwendung über das Symbol.
Beim ersten Starten der Anwendung erscheint ein Fenster, wählen Sie „User Input“ (Login) aus. Es ist keine Nennung von Mail und Telefonnummer notwendig.
Im nächsten Schritt legen Sie Ihren Anzeigenamen in der App fest. Wenn Sie diesen bestätigen mit dem Feld „Next“ werden Sie zum nächsten Fenster weitergeleitet.
Des Weiteren wählen Sie unten „Specify EMS IP“ aus.
Im erscheinenden Fenster geben Sie den Host ein:
extreme-ems.aip.de
Die Felder "Port" und "Site" können frei bleiben.
Es erscheint eine Abfrage für das EMS-Zertifikat. Um weiter zu verfahren tippen Sie auf „ALLOW“.
Jetzt werden werden die EMS-Einstellungen gesucht. Nach erfolgreicher Suche und Übernahme der Einstellungen wird der Status auf grün geändert. Prüfen Sie auch, ob die „Zero Trust Telemetry Settings“ aktiviert sind. Schalten Sie ggf. den Regler rechts neben dem entsprechenden Text auf aktiv.
Über das Menü (die drei horizontalen Linien oben rechts) den Punkt VPN auswählen.
Es werden verschiedene VPN Tunnel angeboten, tippen Sie auf den für Sie benötigten VPN Tunnel. Im Normalfall ist dies ist "AIP Default", wenn Sie auf Online-Zeitschriften aus dem Angebot der AIP-Bibliothek zugreifen wollen, dann bitte "AIP Journal" auswählen. Auf der nächsten Seite dann "Connect" antippen.
Im folgenden Fenster sind die notwendigen Anmelde-Daten auszufüllen und einzuloggen.
Zunächst taucht ein Hinweis auf, dass der FortiClient eine VPN-Verbindung herstellt und überwacht. Das ist korrekt, bitte "OK" antippen.
Dann erneut die Zertifikatswarnung bestätigen.
Schlussendlich wird der VPN-Tunnel geöffnet und es erscheinen die entsprechenden Informationen. Zum Trennen kann dann unten das Feld "Disconnect" verwendet werden.
Anleitung für ältere Versionen des FortiClients
Der FortiClient enthält eine eigene Antivirus-Funktion ("real time protection"). Wenn auf Ihrem Rechner bereits eine Antivirus-Software arbeitet, erkennt der FortiClient diese und bietet bei der Installation an, die eigene "real time protection"-Funktion abzuschalten. Bitte akzeptieren Sie dies ggf.
Während der Installation wird die eigentliche Client-Software nachgeladen, dies kann einige Minuten dauern.
Nach der Installation startet der Client und kann konfiguriert werden. Abhängig vom Betriebssystem kann es auch nötig sein, die Nutzer-Oberfläche des Clients mit einem Klick auf das Icon in der Task-Bar Ihres Rechners zu starten.
Klicken Sie bitte links im Menü den Punkt "Remote Access" und dann den Link "Configure VPN" an. Die VPN-Verbindung wird per SSL-VPN aufgebaut. Im Feld "Connection Name" sollte man eine sinnvolle Bezeichnung eintragen (z.B. "AIP-VPN"), im Feld "Remote Gateway" bitte "vpn-gate.aip.de/aip" eintragen (inklusive des Suffixes "/aip" bzw. "/journal", wenn Sie auf elektronische Zeitschriften zugreifen wollen!). Bei den anderen Einstellungen können Sie die Standard-Werte belassen und abspeichern.
Jetzt können Sie Ihren Windows-Benutzernamen und das Passwort eingeben und die Verbindung aufbauen.
Wenn die Verbindung hergestellt werden konnte, erscheint eine entsprechende Meldung. Sie können das Fenster nun schließen. Durch Klicken auf das FortiClient-Icon können Sie den Status der Verbindung prüfen und die Verbindung beenden. Je nach Betriebssystem und Installationsumfang bietet Ihnen der FortiClient auch die Möglichkeit, Ihren Rechner auf Schwachstellen und Schadsoftware zu durchsuchen. Beides sollten Sie in regelmäßigen Abständen tun!
Für Puristen - mit SSH ins AIP-Netz
Nutzende mit einem aktiven AIP-Account inkl. Linux-Zugang können sich auch über einen SSH-Gateway-Server ("login.aip.de") mit dem AIP-Netz verbinden. Hinweise dazu finden Sie hier.
Cluster-Zugang
Weitere Hinweise zum Zugang zu den HPC-Clustern des AIP finden Sie auf den Webseiten der eScience-Gruppe.
VPN-Verbindung in das Verwaltungsnetz herstellen
Wie Sie eine VPN-Verbindung in das Verwaltungsnetz herstellen können erfahren Sie hier