Navigation auf uzh.ch

Suche

Zentrale Informatik

FAQ

1.) VPN-Client herunterladen

F:  Wo kann ich den VPN-Client manuell (separat) herunterladen?

A: Sie können den VPN-Client von unserer Sharepoint-Seite herunterladen.
     (Bitte lesen Sie dort die README-Datei).

Hinweise:
  • Bei verwalteten Laptops erfolgt die Aktualisierung der Anwendung automatisch durch die Softwareverteilung der Zentralen Informatik (ZI).
  • Wenn Sie bei der Ivanti-Anmeldung auf Ihrem BYOD-Gerät (bring your own device) eine Aufforderung zum Client-Update erhalten, folgen Sie dieser bitte.
  • Das Update für die Mobilgeräte (iOS, Android) erfolgt durch den App-Store des Herstellers.

2.) macOS: «Bitte geben Sie eine gültige ICS-URL an.»

F:  Was bedeutet die Fehlermeldung: «Bitte geben Sie eine gültige ICS-URL an.»?

A: Je nach Internetanbieter kann es im Home Office zu Problemen mit IPv6 kommen. Im geöffneten 'Ivanti Secure Acces Client' erscheint die Fehlermeldung «… Bitte geben Sie eine gültige ICS-URL an.»

Lösung für durch die  Zentrale Informatik verwaltete Geräte (Software Center vorhanden):

  • macOS: Installieren Sie über das Softwarecenter die App 'IPv6 deaktivieren'. Sie können diese Anpassung  mit der App 'IPv6 aktivieren' wieder rückgängig machen. 

Lösung für alle anderen Geräte (Privatgeräte):

macOS: Ändern Sie bitte in den OSX-Systemeinstellungen den IPv6-Einstellungswert bei der entsprechenden Verbindungsart (z.B. WLAN) von 'Automatisch' nach 'Manuell' oder 'Nur Link-Lokal':

  • 'Netzwerk' > 'WLAN' > 'Details' (bei der entsprechenden Verbindung) > 'TCP/IP' > 'IPv6 konfigurieren'.

Je nach Betriebssystemversion können die Knopfbezeichnungen unterschiedlich lauten. Siehe dazu
Ändern von TCP/IP-Einstellungen auf dem Mac.

3.) macOS: Zugriff auf bestimmte E-Ressourcen (Datenbanken, E-Journals) funktioniert nicht.

F:  Warum erhalte ich bei gewissen Internetseiten die Meldung, dass meine IP-Adresse nicht zur Nutzung freigeschaltet wäre?

A: Als Sofortlösung / Alternative kann die browserbasierte und plattformunabhängige Lösung EZproxy  verwendet werden (Anleitung  (PDF, 1 MB)). Diese ermöglicht den Zugriff auf E-Ressourcen ebenso wie eine Verbindung über VPN / aus dem UZH-Netz.

Grundsätzlich gibt es auf Apple Geräten (MacOS) beim Surfen via dem Browser Safari eine Funktion zum Verstecken der IP-Adressen. Diese Funktion 'Private Relay' muss für den Webseitenzugriff deaktiviert werden.

  •  'Einstellungen'  > [dein Name] (Profil) > 'iCloud' > Schalter 'Privat-Relay'

Damit besuchte Webseiten keine Nutzerdaten (Betriebssystem, Ort, aufgerufene Webseiten) einsehen können, hat Apple den Datenschutzdienst iCloud Privat-Relay erfunden. Alle iCloud+ Abonnenten können damit den Datenverkehr über Safari verschlüsseln und ihre IP-Adresse verbergen. In Ländern, an denen Privat-Relay (nicht) verfügbar ist, wird es automatisch (de)aktiviert. Siehe auch ...

Sicheres Internetsurfen mit iCloud Privat-Relay auf dem iPhone

Für Interessierte:

Informationen zu iCloud Privat-Relay

iCloud Privat-Relay für bestimmte Websites, Netzwerke oder Systemeinstellungen verwalten

Hinweise:

  • Private Relay ist ein Dienst nur für Apple-Geräte.
  • Er funktioniert nur mit dem Browser Safari.
  • Wenn Sie Cookies akzeptieren, können Sie immer noch verfolgt werden.

4.) Studierende: Zugriff auf E-Ressourcen (Journals, Datenbanken) nicht möglich mit iPhones/iPads (iOS/iPadOS).

F:  Warum kann ich via meinem iPhone/iPad nicht auf E-Ressourcen zugreifen?

A: Aufgrund einer Limitierung innerhalb dieser Apple-Betriebssysteme funktioniert das Routing für URL's (Internetadressen) nicht korrekt in Kombination mit Ivanti VPN. Dies hat für den Zugriff auf E-Ressourcen folgende Konsequenz:

  • Für Studierende ist der Zugriff mit iOS/iPadOS-Geräten über Ivanti VPN nicht möglich. Als Alternative kann die browserbasierte und plattformunabhängige LösungEZproxy  verwendet werden (Anleitung (PDF, 1 MB)). Diese ermöglicht den Zugriff auf E-Ressourcen ebenso wie eine Verbindung über VPN / aus dem UZH-Netz.
  • Für UZH-Mitarbeitende ist der Zugriff über iOS/iPadOS normal möglich, da für diese Personengruppe andere VPN-Profile verwendet werden. Ist eine Person an der UZH sowohl eingeschrieben, als auch angestellt, wird die Anstellung informationstechnisch stärker gewichtet, sodass die Person unter "UZH-Mitarbeitende" fällt.

5.) Zugriff auf E-Ressourcen (Journals, Datenbanken) nicht möglich aufgrund 'Privacy' Browser-Einstellung.

F:  Warum bin ich NICHT in dem für den Zugriff erforderlichen Netzwerk?

A: Sollten Sie beim Zugriff auf eine E-Ressource, trotz aktiver VPN-Verbindung, eine Meldung erhalten, dass Sie sich nicht in dem für den Zugriff erforderlichen Netzwerk befänden, überprüfen Sie bitte in Ihren Browser-Einstellungen, ob Sie die Einstellung zu "DNS über HTTPS" deaktiviert haben:

  • Firefox: Einstellungen > Register 'Allgemein' > Abschnitt 'Verbindungs-Einstellungen' > Button 'Einstellungen' > Checkbox 'DNS über HTTPS aktivieren' .
  • Edge: Einstellungen > Register 'Datenschutz, Suche und Dienste' > Abschnitt 'Sicherheit' > Schalter 'Verwenden Sie sicheres DNS, um anzugeben, wie die Netzwerkadresse für Websites nachzuschlagen ist'.
  • Chrome: Einstellungen > Register 'Datenschutz und Sicherheit' > Sicherheit > Abschnitt 'Erweitert' > Schalter 'Namen von Websites, die du besuchst, verschlüsseln.

Auf verwalteten Geräten ist diese Einstellung standardmässig deaktiviert. Diese Funktion ist nicht überall vorhanden (z.B. auf Mobilgeräten).

Für (Firefox-) Interessierte:

Verbindungs-Einstellungen in Firefox
DNS über HTTPS in Firefox
Konfiguration der Schutzstufen von DNS über HTTPS (DoH) in Firefox

6.) Windows: Kein Internet nach Aktivierung der VPN-Verbindung

F: Wieso erscheint bei meinem WLAN, nach Aktivierung der Ivanti VPN-Verbindung, die Meldung "Kein Internet, gesichert" ?

A: Überprüfen Sie bitte folgende drei Punkte:

  • Sollte sie aktiv sein, deaktivieren Sie bitte in den WLAN-Verbindungseigenschaften folgende Checkbox (Ev. benötigen Sie dazu Admin-Rechte):
         -> 'Internetprotokoll, Version 6 (TCP/IPv6)'
    (Windows-Einstellungen > Abschnitte 'Netzwerk & Internet' > 'WLAN' > 'Verwandte Einstellungen' : 'Adapteroptionen ändern' > aktive WLAN-Verbindung auswählen > Kontextmenübefehl 'Eigenschaften' > Register 'Netzwerk')
  • Verhält es sich mit anderen Browsern genauso?
  • Erscheint das betreffende WLAN (SSID) in den Windows-Einstellungen ('Netzwerk & Internet' > 'WLAN') unter 'Bekannte Netzwerke verwalten'? Falls nicht, bitte dort das Netzwerk neu hinzufügen.

7.) Linux (Suse): Ivanti VPN-Client Installationsanleitung

F: Läuft Ivanti Secure Access Client auch auf Suse Linux / openSuse?

A: Ivanti VPN konnte erfolgreich auf Suse Linux / openSuse getestet werden.
     Folgende Schritte sind mindestens nötig (als 'root'):

  • > zypper in libgtkmm-3_0-1 libbsd0 mozilla-nss-tools libcurl4 libwebkit2gtk-4_0-37       (the package requirements don't match SuSE package names)
  • > rpm -Uhv --nodeps Ivanti_Secure_Access_x86_64.rpm       (--nodeps because the required package names are wrong)
  • > /opt/pulsesecure/bin/setup_cef.sh install -tmpDirPath /tmp       (to install chromium embedded browser, if installation by the GUI fails/hangs)
  • Then start pulseUI or the commandline equivalent       (default location is: /opt/pulsesecure/bin/pulseUI)
    > /opt/pulsesecure/bin/pulseUI &

8.) Linux (Ubuntu): «'cef' is not installed on this machine.»

F: Was bedeutet «Chromium embedded browser (cef) is not installed on this machine.»?

A: Der Ivanti VPN-Client möchte gerne eine Webseite innerhalb seiner Anwendung öffnen (zur Benutzerauthentifizierung) und benötigt dazu die Browser-Laufzeitumgebung (Rahmen, engl.: Framework) 'Chromium embedded framework'. Sollte die 'cef'-Installation hängenbleiben, versuchen Sie, wie unter nachfolgenden Links beschrieben, das Framework manuell zu installieren:

Sollten dabei Probleme auftauchen, versuchen Sie es bitte nochmals und geben im Ivanti-Skript die Pfadangaben in von Ubuntu verwendeter 'absoluter Notation' an (Mit dem Befehl 'realpath' ist die absolute Notation eines Dateipfads eruierbar.)

Beispiel:

DF=/usr/bin/df   sollte mit einer der folgenden Varianten korrigiert werden:

1.) DF=df ,  2.) DF=/bin/df  ,  3.) DF=$(which df)

Empfohlen wird die dritte Variante, weil sie auch für andere Linux-Distributionen geeignet sei, solange der Befehl 'which' verfügbar wäre.

Dieser Lösungsvorschlag mit der gefixten Version des Skripts (siehe setup_cef.pdf (PDF, 270 KB) ) wurde uns freundlicherweise von einem Nutzer zur Verfügung gestellt und ist ohne jegliche Gewähr.

9.) Linux (Ubuntu): Anmeldung am VPN-Portal

F: Wieso kann ich mich beim VPN-Portal nicht anmelden?

A: Um sich am VPN-Protal anzumelden, geben Sie bitte die Serveradresse remoteaccess.uzh.ch/vpn ohne die Protokollbezeichnung https:// an. 

10.) Linux (Debian): Kein Ivanti-Tunneling ins NUZ

F: Wieso geht der Verkehr ins NUZ, trotz VPN-Verbindung, nicht über den Tunnel?

A: Sollte auf Debian basierten Linux-Rechnern (z.B. Version 12, Codename 'bookworm'), trotz bestehender VPN-Verbindung, der Verkehr ins Netzwerk der Universität Zürich (NUZ) nicht über den Tunnel gehen, kann es sein, dass die Default-Route über die Netzwerkschnittstellenkarte (NIC) enp0s3 die bessere Metrik (Verbindungsgüte) aufweist (Metrik '0'), als diejenige über das Ivanti Tunnel Interface tun0 (Metrik '1'). (Je höher der Wert ist, desto schlechter ist die Metrik.)

Lösung: Metrik übersteuern durch Schlechterstellung als 1.

Siehe auch Changing the Network Routing Metric Permanently

Eng Fra Ita Spa Srb Ru Ukr Ind Chi CH

11.) Linux (MX): Pulse Secure nur mit 'systemd' als Init Manager

F: Wieso kann ich keine Verbindung erstellen?

A: Auf der Linux-Distribution 'MX' bitte den Initialisierungsprozess systemd verwenden.

Siehe auch ...

Unterstützte Linux-Versionen (Debian, Ubuntu, CentOS, Fedora, RHEL)
Debian-Benutzerhandbuch (systemd: Als default eingestellt)
MX-Benutzerhandbuch (systemd: Nicht default, Debian-Pakete verwendbar)