Internet-Zugang mit einem PDA im MWN

WLAN-Konfiguration und VPN-Verbindungen mit einem PDA (Pocket PC, Palm usw.)

Um mit einem PDA über WLAN im MWN ins Internet zu kommen gibt es 2 Möglichkeiten:

  1. Zugang über eduroam
  2. Installation eines VPN-Clients

1. Zugang über eduroam

Für das Projekt DFN-Roaming/ eduroam wurde der Zugang über das Protokoll 802.1x eingerichtet. 

2. Installation eines VPN-Clients

Integrierter Client:

Der in Windows PPC / Windows Mobile enthaltene VPN-Client kann leider nicht für unsere VPN-Lösung verwendet werden, da er die Authentifizierung über Xauth nicht unterstützt. Leider sind uns keine kostenlos erhältlichen VPN-Clients für PDAs bekannt.

Cisco AnyConnect Mobile SSLVPN Client:

Für einige PDAs funktioniert der AnyConnect SSL-VPN Client von Cisco. Eine Liste der unterstützten Geräte ist in den Releasenotes zum Client auf http://www.lrz.de/services/netz/mobil/vpn/anyconnect/ zu finden. Dort ist auch beschrieben, wie der Client installiert wird.

Alternative Clients (kostenpflichtig):

Das Produkt MovianVPN (PalmOS, Pocket PC u.a.) wurde von der Firma Certicom an Worldnet21 verkauft, das Nachfolgeprodukt heißt AnthaVPN. MovianVPN wurde von uns unter Pocket PC 2003 erfolgreich getestet, unten finden Sie eine Installationsanleitung. Unter Windows Mobile 5 funktioniert MovianVPN nicht, hierfür benötigt man das neue AnthaVPN. Wir haben dazu eine eigene Anleitung unter http://www.lrz.de/services/netz/mobil/pda-w2005-vpn/ erstellt.

Zur Konfiguration der Software benötigt man einen Gruppennamen und ein Gruppenpasswort, diese können (nach Validierung) von der Seite https://www.lrz.de/services/netz/mobil/vpnpda geholt werden.

Vor der Installation der VPN-Software müssen jedoch zuerst die passenden WLAN-Einstellungen vorgenommen werden. Die folgende Anleitung beschreibt das Vorgehen auf einem HP iPAQ mit Pocket PC 2003, für andere PDAs sind die Schritte entsprechend anzupassen.

Einrichten der WLAN-Unterstützung

Tipp: Legen Sie vor Beginn der Installation ein komplettes Backup der Dateien und Konfiguration Ihres PDAs an und kopieren Sie es auf Ihren PC. Es ist bei unseren Tests vorgekommen, dass die Funk-Unterstützung streikte und erst nach einem Hard-Reset (mit Verlust aller Programme und Einstellungen) wieder zu aktivieren war. Das vorhandene Backup ersparte dabei viel Arbeit und Ärger.

aktivieren

Als erstes muss das WLAN im PDA aktiviert werden, nach dem Einschalten des Geräts ist es normalerweise zunächst inaktiv. Beim iPAQ tippt man dazu auf Start und dann auf iPAQ Wireless. Im erscheinenden Fenster muss nach dem Anklicken von WLAN das Symbol grün werden. Bei unserem Testgerät war manchmal vorab ein Reset nötig um diese Funktion durchführen zu können. Entfernen Sie das Gerät aus der Docking-Station, die Verbindung mit einem PC verhindert manchmal die Kommunikation über WLAN.

Als nächstes muss der Name (SSID) des LRZ-WLANs konfiguriert werden. Das passende Fenster erreicht man über Start - Einstellungen - Verbindungen - Verbindungen - Erweitert - Netzwerkkarte. Nach Tippen auf Neue Einstellung gibt man als Netzwerkname lrz ein und stellt Verbindet mit auf Internet. Die Box Dies ist eine Gerät-zu-Computer (Ad-hoc)-Verbindung muss frei bleiben. (siehe linkes Bild) Nach dem Tippen auf OK sollte das Netz lrz bereits fertig eingetragen sein, im Bereich eines Access Points müsste der Status Verbunden angezeigt werden. (rechtes Bild). Falls es noch nicht klappt kann man zur Kontrolle den Tab Authentifizierung antippen. Die Felder bei Datenverschlüsselung (WEP aktiviert) und Netzwerkauthentifizierung dürfen dort beide nicht aktiviert sein.

                    

Installation von movianVPN

Die heruntergeladene exe-Datei führt man auf dem PC aus, während der PDA eingeschaltet und und mit dem PC verbunden ist. Die Installation auf dem PDA läuft dann automatisch ab, anschließend ist ein Reset durchzuführen. Nun müsste im Startmenü der Eintrag movianVPN vorhanden sein. Starten Sie nun das Programm. Als erstes muss ein Policy Name eingetragen werden, dieser ist beliebig wählbar. Wir haben hier mwn eingetragen.


Nach Tippen auf New ist dann im erscheinenden Fenster im 2.Feld Cisco Unified Client auszuwählen und im 3. Feld mittels der Tastatur ipsec.lrz.de einzugeben. Außerdem müssen die Boxen bei Use Perfect Forward Secrecy und Use Extended Authentication markiert werden.


Nach Antippen von Continue sind nun die Authentifizierungsdaten einzugeben. Der Group Name lautet mwnpda, das Group Password erfahren Sie auf der WWW-Seite https://www.lrz.de/services/netz/mobil/vpnpda. Bei User Name geben Sie Ihre Benutzerkennung inklusive der Radiuszone an. Das Feld SA Life stellen Sie bitte auf 8.

Tippen Sie dann auf IKE Suite. Wählen Sie hier bei Group GRP2_DH-1024, bei Cipher 3DES_CBC und bei Hash MD5 aus.


Tippen Sie nun auf Continue und dann auf IPsec Suite. Stellen Sie bei Suite ESPIP_3DES_MD5-96 ein.


Nach Continue und Done ist über Options - Connection Type der richtige Verbindungstyp (Internet) einzustellen. Nach Done ist movianVPN nun fertig konfiguriert und bereit für ein Login.

Verbindungsaufbau

Nach Antippen von Login erscheinen einige Meldungen, danach sollte die Aufforderung zur Eingabe das Passworts kommen.

Geben Sie das Passwort ein (auf Groß-/Kleinschreibung achten) und tippen Sie auf OK. Wenn (nach einigen anderen Ausgaben) die Meldung Finished erscheint, hat der Verbindungsaufbau funktioniert. Tippen Sie auf OK.


Das movianVPN-Fenster kann nun durch Tippen auf Exit geschlossen werden, die VPN-Verbindung bleibt bestehen bis ein Logout durchgeführt wird. Die vorhandene VPN-Verbindung wird durch das Symbol in der Taskleiste rechts unten signalisiert. Sie können nun den Internet-Explorer oder ein anderes Kommunikationsprogramm starten und die Angebote des weltweiten Internets nutzen.

                        

 

Problembehandlung

Falls der Verbindungsaufbau nicht wie beschrieben klappt sollte man als erstes prüfen ob die zugrunde liegende Netzverbindung (i.a Funk-LAN) funktioniert. In movianVPN ist zu diesem Zweck ein integriertes Ping verfügbar, welches über Tools - Ping aufgerufen werden kann.

Falls nicht Successful gemeldet wird, versuchen Sie die Wireless-Funktions Ihres PDAs neu zu aktivieren, möglicherweise hilft ein Reset des Geräts.

Bei den Tools sind weitere Hilfsmittel verfügbar, mit View IPsec Status können z.B. alle eingestellten Parameter wie die zugeteilte IP-Adresse usw. eingesehen werden.


Falls das Passwort-Fenster wiederholt erscheint, wurde der User Name bzw. das Passwort nicht akzeptiert. Prüfen Sie, ob die verwendete Kombination bei der Validierung der Gruppen-Passwortseite https://www.lrz.de/services/netz/mobil/vpnpda funktioniert. Prüfen Sie ansonsten nochmals alle Einstellungen und führen einen Reset Ihres PDAs durch.

Wenn Sie Ihr Problem selbst nicht lösen können, wenden Sie sich bitte mit einer möglichst detaillierten Beschreibung an das Servicedesk.