• Startseite
• Aktuell
• Inhalte
• Links
• Kontakt
• Impressum
• Datenschutz
• Änderungen

RSS Feed

Powered by PmWiki

Position: Inhalt >> NCPSpick

NCP-VPN-Client Spickzettel

Fehlersuche

• Hilfe > Erweiterte Logeinstellungen > Aktiviere Driver Full Trace
• Zusatzprogramm: NCP Tracer, wird standardmäßig mitinstalliert, siehe Startmenü

Dokumentation

• NCP > Service > Library > Handbücher > NCP Secure Entry Client
• Hilfemenü programmintern
• Diverse Artikel unter NCP > Servcie > Library > Whitepapers/Technische Informationen

Administration

• Sperren aufheben: Verbindung > Konfigurationsperren aufheben
• Sperren: Neustart sperrt automatisch
• Updates
  • Hilfe > Auf Updates prüfen
  • Im Internet findet man meist nur die aktuelle Version
  • Neuere Versionen, für die man keine Lizenz hat, können installiert werden, werden dann automtisch in den Features eingeschränkt.
• Profil von Lancom Wizzard übernehmen
  • Konfiguration > Profile > Hinzufügen/Importieren
• Profil exportieren (kann so auf anderen Clients importiert werden)
  • Konfiguraiton > Profile > Export
• IPsec Richtlinien konfigurieren
  • Im Profil unter IPsec-Einstellungen
  • Auf Editor... klicken
  • Hier IKE/IPsec Profile anpassen oder neue Profile anlegen
• Lizenz auf einem PC freigeben
  • Freigabe ist nötig, um Lizenz auf einem anderen Gerät zu nutzen
  • Lizenzschlüssel und Seriennummer notieren: Hilfe > Lizensierung
  • Hilfe > Client deaktivieren
  • siehe auch: https://www.ncp-e.com/de/service/software-aktivierung/de-reaktivierung.html
• Kein Autostart nach Boot
  • Ansicht > Autostart > Kein Autostart
• Konfiguration sichern und wiederherstellen
  • Sichern (Sicherheitskopie ncpphone.cfg > ncpphone.sav)
    • Konfiguration > Profil-Sicherung > Erstellen
  • Wiederherstellen (ncpphone.cfg < ncpphone.sav)
    • Konfiguration > Profil-Sicherung > Wiederherstellen
  • Sicherungsdatei kopieren
    • Unter C:\Program Files\NCP\SecureClient liegt die Datei ncpphone.cfg. Diese auf Zielsystem kopieren. Beim kopieren sollte der NCP-Client nicht gestartet sein.
• Konfigurationsdateien
  • ncpphone.sav - Sicherungsdatei, Kopie der ncpphone.cfg, die erstellt wird, sobald man Konfiguration > Profil-Sicherung > Erstellen aufruft.
  • ncpphone.cfg - Die eigentliche Konfigurationsdatei, aus der der Client seine komplette Konfiguration ausliest. Ausnahme: Lizenz und Aktivierung ist hier nicht enthalten, womit man sie aber gut auf andere Rechner übertragen kann, ohne das es zu Lizenzkonflikten kommt.
  • ncpphone.bak - Wenn man am Client eine Änderung vornimmt, wird zuerst die ursprüngliche ncpphone.cfg nach ncpphone.bak gesichert. Erst dann wird die neue ncpphone.cfg erzeugt.
  • ncpmon.ini - Diverse persistente Einstellungen der Oberfläche.
• Einzelnes Verbindungs-Profil sichern
  • Konfiguration > Profile
  • Profil auswählen und Export klicken
  • ggf. Häkchen bei "Benutzername/Passwörter und Schlüssel exportieren

Typische Konfiguration

• Profile VPN
  • Grundeinstellungen
    • VPN zu IPsec-Gegenstelle
    • Verbindungsmedium: Automatisch oder LAN/WLAN
  • Verbindungssteuerung
    • Verbindungsaufbau: manuell
    • Timeout: 3600
  • IPsec-Einstellungen
    • Gateway: Feste öffentliche IP oder Dyndns-Domain
    • Richtlinien:
      • IKE: PSK/Triple-DES/SHA/DH2
      • IPsec: ESP/Triple-DES/SHA
      • Austausch-Modus: Aggressive (IKEv1)
      • PFS: DH2
  • Erweiterte IPsec-Optionen
    • Standard IPsec
  • Identität
    • FQDN
    • ID: PCxxx (Auf Gegenstelle genauso einrichten)
    • PSK (passend zur Gegenstelle)
  • IPsec-Adresszuweisung
    • Lokale IP-Adresse (der Client fungiert als VPN-Gateway und erstellt ein eigenes IP-Netzwerk, typisch 192.168.254.0 (192.168.254.2 für den Adapter und 192.168.254.3 für das Gateway) und legt für die Netzwerke der Gegenstelle Routen fest. Siehe auch ipconfig und route print. "Lokale IP-Adresse" meint hier in dem Zusammenhang, dass der Client sich aus einem beliebigen Lokalen Adresspool selbständig ein freies Netz sucht, es hat nichts mit der lokalen IP-Adresse eines anderen Interfaces zu tun.)
  • Split-Tunneling
    • Entfernte IP-Netzwerke eintragen, die erreichbar sein sollen
  • Link Firewall
    • Stateful Inspection: bei bestehender Verbindung
    • Netbios über IP
• Profile Internet Einwahl über UMTS-Stick
  • Grundeinstellungen
    • Internet-Verbindung ohne VPN
  • GPRS
    • APN von SIM-Karte
  • Verbindungssteuerung
    • manuell
    • Timeout: 7200
  • Link Firewall
    • Stateful inspection: bei bestehender Verbindung
    • Netbios über IP
• Firewall
  • aktivieren
  • Regel "Alle ausgehenden Verbindungen IPv4" übernehmen
  • IPSec-Protokoll zulassen
  • Achtung: Firewall gilt global für alle Verbindungen, ist also eine universelle Personal-Firewall. Prüfen, ob zusätzliche Firewall überhaupt nötig ist. Die Link-Firewall im Profil hingegen bezieht sich nur auf diese Verbindung und sollte eingeschaltet werden.
  • ACHTUNG: Es wird von NCP empfohlen, die Link Firewall auszuschalten, wenn die globale Personal-Firewall benutzt wird, um Konflikte zu vermeiden!
• Konfigurationssperren
  • Benutzer/Passwort festlegen, z.B. administrator/[password] (Achtung: Benutzername Case sensitiv)
  • Für normale Benutzer alle Häckchen auf allen Reitern entfernen

UMTS-Sticks

Der Client kann als generelles Anwahlwerkzeug für UMTS-Sticks verwendet werden. Es braucht dann keine Software der Hersteller bzw. Provider mehr, die oft auch Probleme machen. Hierfür legt man sich ein Profil nur für die Interneteinwahl an (Grundeinstellungen > Verbindungstyp > Internet Verbindung ohne VPN) und eins für den Tunnel. Als Verbindungsmedium wählt man GPRS/UMTS. Auf der Registerkarte GPRS/UMTS lässt man den Konfigurationsmodus auf "APN von SIM-Karte" stehen. Keine weiteren Werte eingeben/auswählen. Nachdem der Stick angesteckt wurde, kann dann der Client geöffnet werden. Findet der Client den Stick nicht, meldet er "Mobilfunkkarte Gerät nicht gefunden".

Ist das Gerät gefunden, wird keine Meldung angezeigt. Jetzt kann man das Profil starten. Beim ersten Start wird der PIN abgefragt, danach wird das Netz gesucht, wenn gefunden, wird die Feldstärke angezeigt und die Verbindung aufgebaut. Eine reine Internet Verbindung wird mit "Verbindung NAS" angegeben, es erscheint nach erfolgreicher Verbindung ein dünner grüner Strich.

Bei VPN-Einwahl über Stick erscheint nach Verbindung ein dicker grüner Strich.

Der Client soll angeblich mit vielen Surfsticks und Mobilfunkkarten kompatibel sein. Selber positiv getestet hab ich es mit Huawei E173. Neuere Sticks, die selber wie ein Router fungieren, also über ein Netzwerk ansprechbar sind und wo man über eine Webseite die Pin eingeben muss, funktionieren allerdings nicht. Getestet z.B. mit Huawei E303, was nicht funktionierte. Ist auch logisch, weil das ganze Verfahren nicht kompatibel für eine Fremdsteuerung ist.

Probleme und Fallen

• Weil es keine 2 Standardgateways geben sollte, hat der VPN-Client in einer typischen Konstellation (Split Tunneling) keins. Das führt zu einem "Nicht identifizierten Netzwerk" des Tunnels. Damit nur eingeschränkter Austausch möglich.
• Lässt sich nicht aktivieren: Lizenz evtl. schon benutzt? Leider gibt es keine Möglichkeit zu prüfen, welche Lizenzen schon in Benutzung sind. Wenn eine Lizenz deinstalliert wird, unbedingt vorher die Lizenz unter Hilfe > Client deaktivieren wieder freigeben. Wenn das nicht möglich ist, kann man schriftlich die Freigabe der Lizenz beantragen, Ausweiskopie ist nötig und das dauert ein paar Tage.
• Lizenz ist aktiviert und trotzdem meldet Client, die Lizenz wäre nicht aktiviert: Zuerst nochmal Online gehen und dann nochmal Aktivierung probieren. Wenn NCP auch als einziger Internetzugang genutzt wird (UMTS), muss man sich erstmal mit einem anderen Einwahltool einwählen oder per WLAN eine temporäre Verbindung herstellen. Wenn das nicht hilft, Lizenz mal mit Hilfe > Client deaktivieren freigeben, Link in Freigabemail bestätigen und dann nochmal neu aktivieren. Wenn auch das nicht hilft, mal mit einer anderen Lizenz probieren, falls verfügbar. Zuvor die alte Lizenz aber auch erst wieder freigeben.
• Trotz aktivierter Lizenz meldet Client, Testversion wäre abgelaufen: ncpphone.cfg zuerst sichern. Lizenz und Seriennummer aufschreiben. Dann eine komplette Deinstallation inkl. aller Einstellungen (Häkchen nicht vergessen). Dann komplette Neuinstallation mit Lizenzeingabe und Aktivierung. Wenn das alles funktioniert hat, die alte ncpphone.cfg wieder einspielen.
• Merkwürdigkeit: Obwohl sauber lizensiert und aktiviert, machten mehrere Clients Probleme, wenn man nochmal unter Hilfe auf Lizeninfo und Aktivierung ging. Hier musste dann die Aktivierung erneut gemacht werden, weil beim nächsten Start die Meldung kam, dass nicht aktiviert ist. Hier gabs auch die Widersprüchlichkeit, dass unter Lizenzinfo aktiviert stand, aber auf der Hauptmaske nicht.
• Alle Lizenz- und Aktivierungsprobleme am besten im Adminkonto machen, nicht im Benutzerkonto.
• Ältere Versionen werden leider bei ncp nicht zum Download angeboten. Das kann für große Probleme sorgen, wenn nach einem Update es zu Kompatibilitätsproblemen kommt. Updates von daher immer mit großer Vorsicht einspielen, am besten mit einem Testlauf in einer Testumgebung bzw. mit Wiederherstellungspunkt. Ältere Versionen am besten selber archivieren. Die können auch helfen, falls mal andere Probleme auftauchen.
• Ältere Lizenzen laufen trotzdem mit neueren Versionen. Die neuere Version wird lediglich vom Funktionsumfang auf die ältere Version abgespeckt. Unter Hilfe > Lizenzinfo findet man sowohl die aktuell installierte Version, wie auch die Version laut Lizenz.
• Trotz konfigurierter Link Firewall (Stateful Inspection: bei bestehender Verbindung, Netbios über IP) funktionierte die bei reinen Interneteinwahlprofilen UMTS ohne VPN nicht. Sehr merkwürdig, weil bei Übernahme der ncpphone.cfg auf einen anderen Rechner es dort funktionierte. Hängt evtl. mit UMTS-Stick zusammen. Link-Firewall bei VPN funktionierte aber immer.

Stand: 12.06.2015 23:05 Uhr
© Winfried Mueller, www.reintechnisch.de

Ändern | Historie