Datei: LIESMICH.TXT Produkt: FEC Secure IPSec Client Hersteller: Funkwerk Enterprise Communications GmbH, Nürnberg, Deutschland ------------------------------------------------------------------------------- 1. Produktbeschreibung =============================================================================== 1.1 Der universelle IPSec Client ------------------------------------------------------------------------------- Der FEC Secure IPSec Client kann in beliebigen VPN-Umgebungen eingesetzt werden. Er kommuniziert auf der Basis des IPSec-Standards mit den Gateways verschiedenster Hersteller und ist die Alternative zu der am Markt angebotenen, einheitlichen IPSec-Client-Technologie. Die Client Software emuliert einen Ethernet LAN- Adapter. Der FEC Secure IPSec Client verfügt über zusätzliche Leistungsmerkmale, die dem Anwender den Einstieg in eine ganzheitliche Remote Access VPN-Lösung ermöglichen. Der FEC Secure IPSec Client bietet: - Unterstützung aller gängigen Betriebssysteme - Einwahl über alle Übertragungsnetze - Kompatibilität mit den VPN Gateways unterschiedlichster Hersteller - Integrierte Personal Firewall für mehr Sicherheit - Dialer-Schutz (keine Bedrohung durch 0190er- und 0900er-Dialer) - Höhere Geschwindigkeit im ISDN (Kanalbündelung) - Gebührenersparnis (Kosten- und Verbindungskontrolle) - Bedienungskomfort (grafische Oberfläche) 1.2 Leistungsumfang ------------------------------------------------------------------------------- Der FEC Secure IPSec Client unterstützt alle gängigen Betriebssysteme (Windows 2000, XP und Vista). Die Einwahl in das Firmennetz erfolgt unabhängig vom Mediatyp, d.h. neben ISDN, PSTN (analoges Fernsprechnetz), GSM, GPRS und xDSL wird auch LAN- Technik wie im WLAN (am Firmengelände und Hotspot) oder lokalen Netzwerk (z.B. Filialnetz) unterstützt. Auf diese Weise kann mit ein und demselben Endgerät von unterschiedlichen Lokationen auf das Firmennetz zugegriffen werden: - in der Filiale über WLAN - in der Zentrale über LAN - unterwegs an Hotspots und beim Kunden über WLAN bzw. GPRS - im Home Office über xDSL oder ISDN 2. Installation =============================================================================== Der FEC Secure IPSec Client unterstützt derzeit die 32-Bit- Betriebssysteme Windows XP, Windows 2000 und Windows Vista. Die Installation der Software für Windows-Systeme erfolgt komfortabel über Setup. Im folgenden ist die Installation für Windows 2000/XP/Visa beschrieben. Bevor Sie die Software installieren, müssen die Installationsvoraussetzungen, wie im folgenden Kapitel beschrieben, erfüllt sein. 2.1 Installationsvoraussetzungen ------------------------------------------------------------------------------- Betriebssystem: Die Software kann auf Computern (min. 128 MB RAM) mit den Betriebssystemen Microsoft Windows 2000 SP4 + RSP1 oder Windows XP SP2 oder Windows Vista installiert werden. Halten Sie für die Dauer der Installation unbedingt die Datenträger für das jeweils im Einsatz befindliche Betriebssystem bereit, um Daten für die Treiberdatenbank des Betriebssystems nachladen zu können! Zielsystem: Die Parameter für das Zielsystem werden über die Profil-Einstellungen eingegeben. Entsprechend der möglichen Verbindungsarten des Clients muss das Zielsystem eine der folgenden Verbindungsarten unterstützen: ISDN, PSTN (analoges Modem), LAN over IP, WLAN oder PPP over Ethernet. Lokales System: Eines der folgenden Kommunikationsgeräte und der entsprechende Treiber muss auf dem Client-PC installiert sein. * ISDN-Adapter (ISDN) Der ISDN-Adapter muss die ISDN CAPI 2.0 unterstützen. Wenn Sie PPP Multilink nutzen, kann die Software bis zu 8 ISDN B-Kanäle (je nach Kanalanzahl des Adapters) bündeln. Jeder ISDN-Adapter, der die ISDN-Schnittstelle CAPI 2.0 unterstützt, kann eingesetzt werden. (Die CAPI wird mit der Installation des Adapters eingerichtet.) * Analoges Modem (Modem) Für die Kommunikation über Modem muss das Modem korrekt installiert sein, sowie Modem Init. String und COM-Port Definition zugewiesen sein. Das Modem muss den Hayes-Befehlssatz unterstützen. Ebenso können Mobiltelefone für die Datenkommunikation genutzt werden, nachdem die zugehörige Software installiert wurde, die sich für den Client genauso darstellt wie ein analoges Modem. Als Schnittstelle zwischen Handy und PC kann die serielle Schnittstelle, die IR-Schnittstelle (Infrarot) oder Bluetooth genutzt werden. Je nach Übertragungsart (GSM, V.110, GPRS, UMTS oder HSCSD) muss die Gegenstelle über die entsprechende Einwahlplattform verfügen. Der in die Modemkonfiguration des Secure Clients einzutragende Initialisierungs-String ist vom ISP oder dem Hersteller des Mobiltelefons zu beziehen. * LAN-Adapter (LAN) Um die Client-Software mit der Verbindungsart "LAN (over IP)" in einem Local Area Network betreiben zu können, muss zusätzlich zum bereits installierten LAN-Adapter (Ethernet) kein weiterer Adapter installiert werden. Die Verbindung der LAN-Clients ins WAN stellt ein beliebiger Access Router her. Einzige Voraussetzung: IP-Verbindung zum Zielsystem muss möglich sein. Die VPN- Funktionalität liefert die Client Software. * xDSL-Modem (PPPoE) Die Verbindungsart PPP over Ethernet setzt voraus, dass eine Ethernet-Karte installiert und darüber ein xDSL-Modem mit Splitter korrekt angeschlossen ist. * xDSL (AVM - PPP over CAPI) Diese Verbindungsart kann gewählt werden, wenn eine AVM Fritz! DSL-Karte eingesetzt wird. Im Feld "Rufnummer (Ziel)" in der Gruppe "Netzeinwahl" können für die Verbindung über CAPI noch AVM-spezifische Intitialisierungskommandos eingetragen werden. Unter Windows Betriebssystemen wird jedoch empfohlen den Standard "xDSL (PPPoE)" zu verwenden, da damit direkt über die Netzwerkschnittstelle mit der Karte kommuniziert wird.Bei Verwendung der AVM Fritz! DSL-Karte wird keine separate zusätzliche Netzwerkkarte benötigt. * Multifunktionskarte (GPRS/UMTS) Wird eine Multifunktionskarte für UMTS/GPRS/WLAN eingesetzt, so können mit der Client Software spezielle Features des Mobile Computings unter Einbeziehung der Karteneigenschaften genutzt werden (siehe - Handbuch-Anhang "Mobile Computing via GPRS/UMTS"). Aufgrund der direkten Unterstützung einer Multifunktionskarte durch den Secure Client kann die Installation einer Management-Software von der eingesetzten Karte entfallen. Die VPN-Verbindung wird unabhängig vom Microsoft DFÜ-Netzwerk über den integrierten NCP Dialer aufgebaut. Derzeit werden folgende Multifunktionskarten unterstützt: - T-Mobile Multimedia NetCard - Vodafone Mobile Connect Card - KPN Mobile Connect Card - T-Mobile DSL card 1800 - integrierte Karte des Lenovo Notebooks (Sierra Chipset) - Vodafone EasyBox USB-Adapter für UMTS/GPRS * WLAN-Adapter unter Windows 2000/XP/Vista (WLAN) Unter Windows 2000/XP/Vista kann der WLAN-Adapter mit der Verbindungsart "WLAN" betrieben werden. Im Monitormenü erscheint eigens der Menüpunkt "WLAN- Einstellungen", worin die Zugangsdaten zum Funknetz in einem Profil hinterlegt werden können. Wird diese "WLAN-Konfiguration aktiviert", so muss das Management-Tool der WLAN-Karte deaktiviert werden. (Alternativ kann auch das Management-Tool der WLAN-Karte genutzt werden, dann muss die WLAN-Konfiguration im Monitormenü deaktiviert werden.) Wird die Verbindungsart WLAN für ein Zielsystem im Telefonbuch eingestellt, so wird unter dem grafischen Feld des Client-Monitors eine weitere Fläche eingeblendet, auf der die Feldstärke und das WLAN-Netz dargestellt werden. Bitte beachten Sie zur Konfiguration der WLAN-Einstellungen die Beschreibung zum Parameter "Verbindungsart". * Automatische Medienerkennung Werden wechselweise unterschiedliche Verbindungsarten genutzt, so erkennt der Client automatisch, welche Verbindungsarten aktuell zur Verfügung stehen und wählt davon die schnellste aus. Auf Grundlage eines vorkonfigurierten Zielsystems wird automatisch die Verbindungsart erkannt und eingesetzt, die für den Client-PC aktuell zur Verfügung steht, wobei bei mehreren alternativen Übertragungswegen automatisch der schnellste gewählt wird. In einer Suchroutine ist die Priorisierung der Verbindungsarten in folgender Reihenfolge festgelegt: 1. LAN, 2. WLAN, 3. DSL, 4. UMTS/GPRS, 5. ISDN, 6. MODEM. Die Konfiguration erfolgt mit der Verbindungsart "automatische Medienerkennung" im Telefonbuch unter "Zielsystem". Alle für diesen Client-PC vorkonfigurierten Zielsysteme zum VPN Gateway des Firmennetzes können dieser automatischen Medienerkennung sofern gewünscht zugeordnet werden (über das Parameterfeld "Zielsystem" im Telefonbuch). Damit erübrigt sich die manuelle Auswahl eines Mediums (WLAN, UMTS, Netzwerk, DSL, ISDN, Modem) aus den Telefonbucheinträgen. Die Eingangsdaten für die Verbindung zum ISP werden für den Anwender transparent aus den vorhandenen Telefonbucheinträgen übernommen. Beachten Sie dazu die Beschreibung zu "Zielsystem / Verbindungsart". Voraussetzungen für Strong Security Wenn Sie die Software nutzen, die Zertifizierung (X.509) unterstützt (Strong Security-Version des Clients), so müssen folgende Voraussetzungen erfüllt sein: * TCP/IP Das Netzwerk-Protokoll TCP/IP muss auf dem Rechner installiert sein. * Chipkartenleser Wenn Sie die "Erweiterte Authentisierung" (Strong Authentication) nutzen wollen, muss ein Chipkartenleser an Ihr System angeschlossen sein. Die Client Software unterstützt automatisch alle Chipkartenleser, die PC/SC-konform sind. Diese Chipkartenleser werden nur in der Liste der Chipkartenleser aufgenommen, nachdem der Leser angeschlossen und die zugehörige Treiber-Software installiert wurde. Die Client Software erkennt dann den Chipkartenleser nach einem Boot-Vorgang automatisch. Erst dann kann der installierte Leser ausgewählt und genutzt werden. Dazu stellen Sie nach dem ersten Start des Monitors den Chipkartenleser ein unter "Konfiguration -> Zertifikate". Nachdem Sie die Smart Card in den Chipkartenleser gesteckt haben, können Sie Ihre PIN eingeben. + Chipkartenleser (CT-API-konform) Wenn Sie einen CT-API-konformen Chipkartenleser nutzen, beachten Sie bitte folgendes: * Mit der aktuellen Software werden Treiber für die Modelle SCM Swapsmart und SCM 1x0 (PIN Pad Reader) mitgeliefert. Diese Chipkartenleser können im Monitor unter "Konfiguration -> Zertifikate" eingestellt werden. Sollte der Chipkartenleser mit den mitgelieferten Treibern nicht funktionieren oder ein anderer Chipkartenleser installiert sein, wenden Sie sich unbedingt an den Hersteller des Chipkartenlesers, bzw. konsultieren Sie die entsprechende Website bezüglich aktueller Hardware-Treiber, um den aktuellsten CT-API-Treiber zu erhalten und zu installieren. Nehmen Sie außerdem folgende Einstellung in der Client Software vor: * Editieren Sie die Datei NCPPKI.CONF, befindlich im Installationsverzeichnis, indem Sie als "Modulname" den Namen des angeschlossenen Chipkartenlesers (xyz) eintragen und als DLLWIN95 bzw. DLLWINNT den Namen des installierten Treibers eintragen. Für die NT-basierenden Betriebssysteme Windows 2000 und Windows XP ist der Modulname DLLWINNT zu benutzen. (Der Standardname für CT-API-konforme Treiber ist CT32.DLL). Wichtig: Nur die Treiber sind in der Liste sichtbar, die mit "visible = 1" auf sichtbar gesetzt wurden! Modulname = SCM Swapsmart (CT-API) -> xyz DLLWIN95 = scm20098.dll -> ct32.dll DLLWINNT = scm200nt.dll -> ct32.dll * Nach einem Boot-Vorgang erscheint der von Ihnen eingetragene "Modulname" im Monitor-Menü unter "Konfiguration -> Zertifikate -> Chipkartenleser". Selektieren Sie nun diesen Chipkartenleser. + Chipkarten Folgende Chipkarten können direkt bei PC/SC- oder CT-API-Auswahl genutzt werden: * Signtrust * NetKey 2000* TC Trust (CardOS M4) * Telesec PKS SigG + Soft-Zertifikate und Tokens (PKCS#12) Statt einer Smart Card können auch Soft-Zertifikate genutzt werden. + Chipkartenleser oder Token (PKCS#11) Mit der Software für den Kartenleser oder Token werden Treiber in Form einer PKCS#11-Bibliothek (DLL) mitgeliefert. Diese Treiber-Software muss zunächst installiert werden. Anschließend muss die Datei NCPPKI.CONF editiert werden. * Editieren Sie die Datei NCPPKI.CONF, befindlich im Installationsverzeichnis, indem Sie als "Modulname" den Namen des angeschlossenen Lesers oder Tokens (xyz) eintragen. Als PKCS#11-DLL muss der Name der DLL eingegeben werden. Der zugehörige "Slotindex" ist herstellerabhängig (Standard = 0). Wichtig: Nur die Treiber sind in der Liste sichtbar, die mit "visible = 1" auf sichtbar gesetzt wurden! Modulname = xyz PKCS#11-DLL = Name der DLL Slotindex = * Nach einem Boot-Vorgang erscheint der von Ihnen eingetragene "Modulname" im Monitor-Menü unter "Verbindung -> Zertifikate -> Konfiguration -> Chipkartenleser". Selektieren Sie nun diesen Chipkartenleser oder Token. 2.2 Installation der Client Software ------------------------------------------------------------------------------- Die vorliegende Version und künftige Versionen des Clients werden von der Qualitätssicherung nur noch für die Windows-Betriebssysteme Windows 2000, Windows XP und Windows Vista getestet. Für Windows NT sowie Windows 98 oder älter kann somit keine Gewähr mehr für die volle Funktionsfähigkeit der Client Software übernommen werden. Sie können die Software in Form einer EXE-Datei als Download von der FEC- Internetseite unter www.funkwerk-ec.com beziehen. Die Installation erfolgt für die Betriebssysteme Windows 2000/XP und Vista im Wesentlichen gleich. Installation und Lizenzierung Der FEC Secure IPSec Client wird zunächst immer als Testversion installiert. Haben Sie eine Lizenz erworben, so können die Lizenzierungsdaten nach der Installation und einem Reboot im Monitor-Menü "Hilfe / Lizenzinfo und Aktivierung" eingegeben werden. Spätestens in den letzten 10 Tagen vor Ablauf der 30-tägigen Gültigkeitsdauer der Testversion werden Sie im Client-Monitor daran erinnert, dass eine Lizenzierung vorgenommen werden muss, wenn die Client Software weiter verwendet werden soll. Bitte beachten Sie zur Lizenzierung die Beschreibung im Handbuchabschnitt zum Monitor-Menüpunkt "Hilfe / Lizenzinfo und Aktivierung". Bitte beachten Sie bei der Installation des Clients unter Windows XP/Vista Die Systemeigenschaften des Betriebssystems Windows XP/Vista sind bei Neueinrichtung restriktiv beschaffen. Sie sind standardmäßig so eingestellt, dass bei der Installation von Treiber-Software, die nicht von Microsoft lizenziert wurde, ein MS-spezifischer sogenannter "Windows-Logo-Test" durchgeführt wird, in dessen Folge das Betriebssystem davor warnt, die Treiber- Software zu installieren. Dem kann auf zwei Arten begegnet werden: - Ändern Sie die restriktive Standardeinstellung des Systems. Unter "System - Systemeigenschaften - Hardware - Gerätemanager - Treibersignaturoptionen" ändern Sie das Vorgehen von Windows auf "Ignorieren - Software unabhängig von Zulassung installieren"! - Nehmen Sie die obige Einstellungsänderung nicht vor, erscheint während des Setups nach dem Kopieren der Dateien eine Meldung, die vor der Installation des Client Adapters warnt - ignorieren Sie diese Meldung und klicken Sie auf "Installation fortsetzen"! Installation von CD Nachdem Sie die CD in das Laufwerk Ihres Computers eingelegt haben, erscheint nach einigen Sekunden automatisch die Begrüßungsmaske auf Ihrem Monitor. Sie wählen aus, welches Produkt Sie installieren möchten und klicken anschließend auf "Installieren". Das weitere Verfahren ist mit der Installation von Wechseldatenträger ab "Wählen der Setup-Sprache" identisch. 2.2.1 Standard-Installation ............................................................................... Die EXE-Datei, die Sie mit einem Download oder mit der CD erhalten haben, kopieren Sie auf die Festplatte des PCs. Der Dateiname der EXE-Datei beinhaltet Versions- und Build-Nummer der Software, z. B.: FEC_EntryCl_Win_203_040.EXE Wählen Sie im Windows-Hauptmenu "Start / Einstellungen / Systemsteuerung". In der Windows-Systemsteuerung wählen Sie "Software" oder "Neue Programme hinzufügen". Klicken Sie dann auf den Button zum Installieren von CD oder Diskette. Im daraufhin erscheinenden Fenster klicken Sie auf "Durchsuchen", um die EXE- Datei Ihrer Software zu suchen. Wenn sie angezeigt wird, klicken Sie auf "Fertigstellen". Im folgenden Fenster können Sie die Setup-Sprache auswählen. Klicken Sie danach auf "OK". Anschließend bereitet das Setup-Programm den Install-Shield Assistenten vor, mit dessen Hilfe die Installation fortgesetzt wird. Lesen Sie bitte die Hinweise im Willkommen-Fenster des Setup-Programms bevor Sie auf "Weiter" klicken. Bitte beachten Sie nachfolgenden Hinweis und deaktivieren Sie VPN Client und Personal Firewall eines fremden Herstellers, um Instabilität oder Datenverlust zu vermeiden, Anschließend werden die Lizenzbedingungen gezeigt. Stimmen Sie dem Vertag mit "Ja" zu, sonst wird die Installation abgebrochen. Standard-Installationsverzeichnis ist: Programme\FEC Secure IPSec Client (Unter Windows Vista kann auch "Program Files\FEC Secure IPSec Client" angezeigt werden.) Unabhängig von Standard- oder benutzerdefinierter Installation können Sie einen beliebigen Zielordner für die Software wählen, wenn Sie "Durchsuchen" anklicken. Dies ist insbesondere dann wichtig, wenn der Benutzer keine Rechte auf das System-Root-Verzeichnis hat. Wenn Sie eine "Standard" Installation vornehmen, ist das Setup mit diesem Fenster abgeschlossen. Nehmen Sie eine "Benutzerdefinierte Installation" vor, so können Sie weitere Einstellungen vornehmen. Im folgenden Fenster der "Benutzerdefinierten Installation" bestimmmen Sie den Programmordner für die Client Software. (Standard ist "FEC Secure IPSec Client"). Außerdem kann das Programm-Icon auf dem Desktop angezeigt werden. Zu den weiteren Einstellungen bezüglich Ihres Kommunikations-Gateways sind nähere Informationen von Ihrem Administrator oder Internet Service Provider nötig. Mit DHCP (Dynamic Host Control Protocol) zu kommunizieren, bedeutet, dass Sie für jede Session automatisch eine IP-Adresse zugewiesen bekommen. In diesem Fall klicken Sie auf "IP-Adresse wird von Server vergeben". Wenn Sie die "IP-Adresse selbst festlegen", geben Sie in diesem Fenster die IP-Adressen ein. Bitte beachten Sie: Ist bereits eine Netzwerkkarte mit Default Gateway installiert, so muss der Eintrag "Default Gateway" hier gelöscht werden. Es darf nur eine Netzwerkkarte mit Default Gateway installiert sein. Die DNS-Adresse bitte nur eintragen, wenn Sie sie von Ihrem Provider oder Systemadministrator zur Verfügung gestellt bekommen haben. Sie können anschließend entscheiden, ob vor dem Windows-Logon an einer remote Domain die Verbindung zum Network Access Server aufgebaut werden soll. Für diesen Verbindungsaufbau müssen Sie gegebenenfalls die PIN für ihr Zertifikat und das (nicht gespeicherte) Passwort für die Client Software eingeben. Nachdem die Verbindung zum NAS hergestellt wurde, können Sie sich an die remote Domain anmelden. Diese Anmeldung erfolgt dann bereits verschlüsselt. Bitte beachten Sie: Aktivieren Sie diese Option vor dem Windows Logon, so wird hiermit automatisch die NCP Gina installiert. Nur wenn die NCP Gina - wie in diesem Setup-Fnenter möglich - nach der Windows Gina installiert ist, können die Logon-Optionen auch genutzt werden. Diese Logon-Optionen können über das Monitormenü des Clients unter "Konfiguration" gesetzt werden. Wird die Logon-Option hier nicht aktiviert, und soll sie jedoch zu einem späteren Zeitpunkt genutzt werden, so kann die NCP Gina nach diesem Setup mit dem Kommando rwscmd / ginainstall dauerhaft installiert werden. Beachten Sie dazu die Beschreibung "Secure Client Services" im Anhang dieses Handbuchs. Danach werden die Dateien der Client Software eingespielt. Anschließend werden die Netzwerkkomponenten installiert. Damit ist die Installation der Client Software abgeschlossen. Die neuen Einstellungen werden erst wirksam, wenn Sie den Computer neu starten. Klicken Sie "Ja, Computer jetzt neu starten" und betätigen Sie den Beenden-Button, um Ihr System zu booten. 2.3 Update und Deinstallation ------------------------------------------------------------------------------- Wenn bei der Installation eine ältere Version der Client Software gefunden wird, haben Sie die Möglichkeit, ein Update durchzuführen. Die Profil-Einstellungen, Zertifikate und die Verbindungssteuerung werden bei einem Update in der früher gemachten Konfiguration beibehalten. (Sollten noch andere Programme laufen, werden diese nun gestoppt.) Um die Client Software zu entfernen, gehen Sie zu: "Start" -> "Einstellungen"-> "Systemsteuerung". Klicken Sie nun auf "Software" und wählen Sie den client aus der Liste. Klicken Sie dann auf den Button mit "Hinzufügen/Entfernen". Das Uninstall Shield Programm löscht nun die Client Software von Ihrem PC. Wichtig: Nachdem die Komponenten entfernt wurden, sind die Profil-Einstellungen des Clients erhalten geblieben, so dass sie für neuere Versionen des Clients genutzt werden können. Um die Dateien vollständig vom PC zu löschen, müssen Sie sie per Hand aus dem Installations-Verzeichnis löschen. =============================================================================== Funkwerk Enterprise Communications GmbH, Februar 2008