Novell BorderManager 3.8 VPN-Client – Readme

1.0 Einführung

Die Novell BorderManager VPN-Client-Software ermöglicht einer Arbeitsstation die sichere Kommunikation mit einem durch einen Novell-VPN-Server geschützten Netzwerk über das Internet.

2.0 Funktionen

Die VPN-Client-Software verfügt über die nachfolgend aufgeführten Funktionen.

2.1 X509-Zertifikatsbeglaubigungsmodus

Der NBM 3.8 VPN-Client muss das x509-Zertifikat des Benutzers und das verbürgte Stammzertifikat des Servers angeben, um den IKE-Hauptmodus der Beglaubigung durchführen zu können. Diese beiden Zertifikate müssen zur lokalen Arbeitsstation kopiert werden (<laufwerk>:\novell\vpnc\certificates\users oder <laufwerk>:\novell\vpnc\certificates\trustedroot), von der aus VPN ausgeführt werden soll.

2.1.1 Zertifikatabruf

Der VPN-Client bietet die Funktion zum Abruf des Benutzerzertifikats von Novell eDirectory. Dazu muss der Novell-Client als abhängig vom VPN-Client definiert sein. Wenn Novell-Client installiert ist, wird diese Funktion so aktiviert, dass der Benutzer sein Zertifikat abrufen kann. Zum Abruf des Benutzerzertifikats müssen Benutzername, Passwort, Kontext, Baum und IP-Adresse (optional) sowie der Name des Benutzerzertifikats (nur Name, d. h. adminCert) angegeben werden. Damit wird das Benutzerzertifikat abgerufen und unter <laufwerk>:\novell\vpnc\certificates\users als AdminCert.pfx gespeichert. Wenn es für einen Benutzer mehrere Zertifikate gibt, werden sie als AdminCert(n).pfx gespeichert, wobei gilt n = 1..n.

2.1.2 Lokale Richtlinie

Beim IKE-Beglaubigungsmodus kann der Benutzer durch Klicken auf den Richtlinieneditor auf der VPN-Registerkarte IKE- und IPSec-Parameter festlegen. Diese Richtlinie wird standardmäßig dem VPN-Server unterstellt, wenn der Server keinerlei Richtlinie festlegt.

2.2 NMAS-Beglaubigungsmodus

Der Novell VPN-Client ist in NMAS (Novell Modular Authentication Service) integriert. NMAS arbeitet mit Novell Client. Installieren Sie den Novell Client, um die NMAS-Funktion nutzen zu können.

Wählen Sie in der Registerkarte "Konfiguration" die Option "NMAS" und geben Sie in der Registerkarte "eDirectory" die NMAS-Benutzerinformationen und den Berechtigungsnachweis ein. Geben Sie in der Registerkarte "VPN" die VPN-Serveradresse und NMAS-Sequenz (z. B. NDS/eDirectory, Universal Smart Card, Einfaches Passwort usw.) an. Bei dieser Methode wird ein Dialogfeld zur Eingabe des Berechtigungsnachweises angezeigt, sofern dieser noch nicht eingegeben wurde.

2.3 NMAS LDAP-Beglaubigungsmodus

Wählen Sie in der Registerkarte "Konfiguration" die Option "NMAS" und aktivieren Sie das Kontrollkästchen "LDAP". Gehen Sie zur VPN-Registerkarte und geben Sie die IP-Adresse des VPN-Servers sowie die LDAP-Benutzer-DN ein (z. B. CN=Admin, O=Novell). Bei der LDAP-Methode wird ein Dialogfeld zur Eingabe des Berechtigungsnachweises angezeigt.

2.4 Abwärtskompatibilitätsmodus

Wählen Sie in der Registerkarte "Konfiguration" den Modus "Abwärtskompatibilität". Geben Sie in die Registerkarte "eDirectory" den eDirectory-Berechtigungsnachweis ein. Bei diesem Modus kommuniziert der NBM 3.8-Client mit dem NBM-Server (BMEE 3.6, NBM 3.7, NBM 3.8) im SKIP-Modus. Wenn auf dem Client NMAS installiert ist, wird die ActiveCard-Token-Beglaubigung aktiviert. Die ActiveCard-Token-Beglaubigung funktioniert nur, wenn in eDirectory für den Benutzer die ActiveCard-Token-Methode konfiguriert wurde. In der Registerkarte "VPN" muss der Berechtigungsnachweis für die ActiveCard-Token-Methode eingegeben werden.

2.5 Modus "Vorinstallierte Beglaubigung"

Wählen Sie in der Registerkarte "Konfiguration" den Modus "Vorinstallierte Beglaubigung". Gehen Sie zur Registerkarte "VPN" und geben Sie das Passwort für den im VPN-Server konfigurierten vorinstallierten Schlüssel ein.

2.6 VPN-Client mit Novell-Client integriert

Diese Version des Novell VPN-Client ist in den Novell-Client für Windows 98, Windows NT, Windows 2000 oder Windows XP Home integrierbar. Führen Sie nach der Installation des neuen VPN-Clients einen Neustart des Computers durch. Während dieses Neustarts erfolgt die Integration des VPN-Clients in Novell Client. Nach dem Systemstart enthält das Fenster "Novell-Anmeldung" die Dropdown-Liste "Standort". Diese Liste enthält den Standardeintrag sowie einen Eintrag für die VPN-Funktionen. Je nach auszuführender Operation können Sie einen beliebigen Standort wählen.

Es stehen vier neue Registerkarten zur Verfügung, die durch Auswahl der Novell Client32-Eigenschaften in einer Service-Instanz konfiguriert werden können. Die vier Registerkarten haben folgende Funktionen:

• Konfiguration: Zur Eingabe der Beglaubigungsmethode für den VPN-Client sowie von Einwahl, Novell-Anmeldung, IPX-Option und Launcher zum Starten von Anwendungen nach Herstellung der VPN-Verbindung.
• VPN: Zur Eingabe des Berechtigungsnachweises für die in der Registerkarte "Konfiguration" angegebene Beglaubigungsmethode.
• Einwählen: Zur Durchführung des Einwählvorgangs. Diese Registerkarte wird in der Registerkarte "Konfiguration" angezeigt, wenn die Einwahl aktiviert ist.
• VPN-Status: Zeigt den Status der VPN-Einwahl und/oder -Beglaubigung an.

2.7 Alle VPN-Clients für Windows-Plattformen verwenden NICI-Verschlüsselung

In dieser Version von VPN-Client für Windows 98, Windows Me, Windows 2000 und Windows XP wird die NICI-(128-Bit-)Verschlüsselung verwendet, da für NICI keine Exportbeschränkungen gelten.

2.7.1 NICI-Versionen

Wenn NICI 1.7.0 (128-Bit-Version) nicht installiert ist, wird es vom VPN-Setup-Programm installiert. Diese NICI-Version überschreibt NICI 1.5.7 (56-Bit) bzw. NICI 1.5.3 (56/128-Bit), jedoch nicht NICI 2.6.0. Wenn NICI 2.6.0 installiert ist, bleiben NICI 1.5.7 und 2.6.0 nebeneinander bestehen.

2.8 Auswahl von Einwähleinträgen

Unter Windows 98 und Windows Me können Sie Einwähleinträge jedes beliebigen Servertyps auswählen. In früheren Versionen (bei Novell BorderManager Enterprise Edition 3.0) war nur die Auswahl von Einwähleinträgen des Typs "Novell Virtual Private Network" möglich. Alle Einträge müssen so konfiguriert werden, dass sie nur TCP/IP-Verbindungen aushandeln. Wenn Sie den VPN-Client über DFÜ-Netzwerk und nicht über vpnlogin.exe aufrufen möchten, muss der Einwahleintrag, den Sie für das DFÜ-Netzwerk auswählen, dem Servertyp "Novell Virtual Private Network" entsprechen; andernfalls wird vpnlogin.exe nach dem Herstellen der Einwählverbindung nicht aufgerufen.

Unter Windows NT können Sie Einwähleinträge jedes beliebigen Servertyps auswählen. Bei Windows NT steht der Servertyp 'Novell Virtual Private Network' im DFÜ-Netzwerk nicht zur Auswahl.

Wenn die Einwahl erforderlich ist, muss vor der Installation des VPN-Clients das DFÜ-Netzwerk installiert werden.

Wenn Sie die Einwähleinträge über VPNLogin.exe auswählen, sollten Sie Einträge auswählen, die nicht die PPP-Komprimierung (Point-to-Point-Protokoll) aktivieren. Die Komprimierung verschlüsselter Daten führt zu unnötig erhöhter CPU-Belastung, wobei die Größe der versendeten Pakete jedoch nicht weiter verringert wird.

Installieren Sie zuerst das Modem und anschließend den VPN-Client.

2.9 Automatische Erstellung eines Novell-VPN-Einwähleintrags

Während der VPN-Client-Installation wird automatisch ein Novell-VPN-Einwähleintrag für Sie erstellt, wenn Sie die Option "DFÜ-Netzwerk" verwenden.

2.10 Hinweis zum Ablauf des Passworts

Während der VPN-Client-Anmeldung wird der eDirectory-Benutzer benachrichtigt, wenn das eDirectory-Password des Benutzers abgelaufen ist und Kulanzanmeldungen verwendet werden. Der Benutzer erhält während der VPN-Client-Anmeldung außerdem eine Option zur Änderung des eDirectory-Passworts. Diese Option ist auch über das VPN-Client-Symbol in der Taskleiste verfügbar. Die Option zur Passwortänderung wird dem Benutzer nur dann angeboten, wenn der Benutzer eDirectory-Berechtigungsnachweise für die VPN-/NetWare-Anmeldung aus der VPN-Client-Anwendung verwendet. Bei einer kontextlosen Anmeldung schlägt die Passwortänderung fehl. Es werden sämtliche eDirectory-Benutzerinformationen benötigt.

2.11 Richtlinie

Die durch den Administrator in eDirectory festgelegte Richtlinie wird auf den Client angewendet. Wenn während einer aktiven VPN-Sitzung eine Richtlinie für den entsprechenden VPN-Benutzer geändert wird, werden die Änderungen erst in der nächsten Sitzung übernommen.

2.12 Automatische Installation

In dieser Version des VPN-Client wird die automatische Installation unterstützt. Damit kann eine Installation ohne Benutzereingaben abgeschlossen werden. Wenn die Option "Einwählen" ausgewählt wird, und wenn die Arbeitsstation über kein DFÜ-Netzwerk verfügt bzw. keine Fernzugriffskomponenten installiert sind, ist eingeschränktes Eingreifen der Benutzer erforderlich.

Um diese Funktion zu nutzen, führen Sie SETUP.EXE mit einem Switch zum Erstellen einer Antwortdatei aus, der die Antworten auf alle Fragen enthält, die in der Regel während der Installation gestellt werden. Da dies die Auswahl des Einwähl-Client, des LAN-Client oder von beiden mit einschließt, müssen Sie möglicherweise mehrere Antwortdateien auf der Grundlage der Benutzeranforderungen erstellen.

Nach Erstellung der Antwortdatei können Sie SETUP.EXE mit einem anderen Switch ausführen, der die Verwendung der Antwortdatei veranlasst, sodass für die Installation nur wenige Eingriffe seitens des Benutzers erforderlich sind. Es gibt auch einen Switch, der eine Protokolldatei für die automatische Installation erstellt. Dieser kann zur Verifizierung einer erfolgreichen Installation oder zur Diagnose der Ursachen für eine fehlgeschlagene Installation verwendet werden. Beispiele zur Verwendung dieser Switches sind nachfolgend aufgeführt.

Bei Arbeitsstationen mit verschiedenen Windows-Versionen muss häufig eine "automatische Installation" durchgeführt werden. Wenn Windows oder der Novell-Client über eine CD installiert wurden, werden Sie vom VPN-Client-Installationsprogramm zum Einlegen der Installations-CD-ROMs aufgefordert. Da die Antworten auf diese Installationsanweisungen von der installierten Windows-Version abhängig sind, ist es in dieser Situation am besten, eine Antwortdatei zu erstellen, die den Benutzer bei Bedarf nach diesen Installations-CD-ROMs fragt.

So erstellen Sie eine solche Antwortdatei:

1. Führen Sie eine normale Installation des VPN-Client aus, ohne die Antwortdatei zu erstellen. Während der Installation werden Sie möglicherweise nach Windows- bzw. Novell-Client-CD-ROMs gefragt. Fahren Sie wie gewöhnlich mit der Installation fort.

2. Führen Sie nach dem Neustart SETUP.EXE erneut aus und erstellen Sie nun die Antwortdatei. Während der Neuinstallation werden Sie nicht nach den Installations-CD-ROMs für Windows oder Novell-Client gefragt und daher kann die Antwortdatei keine Antwort ausgeben, wenn das Benutzer-Installationsprogramm nach den Windows- oder Client-CD-ROMs fragt. Da in der Antwortdatei keine Antwort vorhanden ist, wird der Benutzer bei Bedarf nach den Windows- oder Novell-Client-CD-ROMs gefragt.

   Um das ordnungsgemäße Funktionieren der Antwortdatei zu überprüfen, führen Sie auf einer Arbeitsstation, auf der der VPN-Client nicht installiert ist, eine automatische Installation durch. Die Installationsprotokolldatei sollte ResultCode=0 anzeigen.

   Die automatische Installation kann nur mit SETUP.EXE im Verzeichnis "disk1" ausgeführt werden. Sie funktioniert nicht mit der selbstextrahierenden ausführbaren EXE-Datei.

   Die automatische Installation wird durch Ausführen von SETUP.EXE im Verzeichnis "disk1" mit bestimmten Befehlszeilenoptionen aktiviert. Verfügbare Optionen für SETUP.EXE sind:

   -r - Installation ausführen und eine Antwort in eine Datei umleiten

   -s - Automatische Installation ausführen.

   Je nachdem, welche der beiden Optionen verwendet wird, können die Optionen "-f1" und "-f2" zum Festlegen der Namendateien verwendet werden.

So verwenden Sie die automatische Installationsfunktion

1. Erstellen Sie eine Antwortdatei, indem Sie von disk1 der VPN-Client-CD-ROMs aus folgenden Befehl eingeben:

   setup.exe -r -f1"<ANTWORTDATEI>"

   wobei <ANTWORTDATEI> den absoluten Pfad und Namen der Antwortdatei enthält. Die Option "-f1"<ANTWORTDATEI>" kann weggelassen werden. In solchen Fällen wird im Windows- oder WinNT-Verzeichnis eine Antwortdatei mit dem Namen SETUP.ISS erstellt. Beispielsweise führt

   setup.exe -r -f1"c:\test\setup.iss" die Installation aus und speichert die Eingabe in C:\TEST\SETUP.ISS.

   HINWEIS: Wenn die Switches "-f1" und "-f2" verwendet werden, darf vor dem Anführungszeichen kein Leerschritt stehen. Beispielsweise: -f1 "dateiname" ist nicht korrekt. -f1"dateiname" ist korrekt.

2. Führen Sie die Installation auf der Grundlage von zuvor erfassten Eingaben aus, indem Sie folgenden Befehl aus disk1 der VPN-Client-CD-ROMs eingeben:

   setup.exe -r -f1"<ANTWORTDATEI>" -f2"<PROTOKOLLDATEI>",

   wobei <ANTWORTDATEI> den absoluten Pfad und Namen der Antwortdatei enthält und <PROTOKOLLDATEI> den absoluten Pfad und Namen der Protokolldatei enthält.

   Beispielsweise führt setup.exe -s -f1"c:\winnt\response.txt" -f2".\setup.log" die Installation mit Eingaben aus response.txt im Verzeichnis c:\WinNT aus und protokolliert das Ergebnis in der Datei setup.log im gleichen Verzeichnis wie setup.exe.

3. Verifizieren Sie den erfolgreichen Abschluss der automatischen Installation durch Überprüfen des Inhalts von setup.log. Es sollte der folgende Ergebnisabschnitt angezeigt werden:

   [ResponseResult]

   ResultCode=0

   Ein Wert von 0 für ResultCode zeigt, dass die Installation erfolgreich war. Ein von null abweichender Wert weist auf Fehler hin. Die möglichen ResultCode-Werte sind:

   0 Erfolgreich.

   -1 Allgemeiner Fehler.

   -2 Ungültiger Modus.

   -3 Erforderliche Daten in der Datei "SETUP.ISS" nicht gefunden.

   -4 Nicht genügend Arbeitsspeicher verfügbar.

   -5 Die Datei existiert nicht.

   -6 In die Antwortdatei kann nicht geschrieben werden.

   -7 In die Protokolldatei kann nicht geschrieben werden.

   -8 Ungültiger Pfad zur InstallShield Silent-Antwortdatei.

   -9 Kein gültiger Listentyp (Zeichenkette oder Nummer).

   -10 Ungültiger Datentyp.

   -11 Unbekannter Fehler während der Einrichtung.

   -12 Dialogfelder sind in einer anderen Reihenfolge angeordnet.

   -51 Der angegebene Ordner konnte nicht erstellt werden.

   -52 Zugriff auf die angegebene Datei bzw. den Ordner nicht möglich.

   -53 Ausgewählte Option ungültig.

   Der häufigste Installationsfehlercode ist -12. Die Fehlerbedingung zeigt in der Regel ein Dialogfeld mit einer Fehlermeldung an, die eine Benutzereingabe wie z. B. Klicken auf "Ja" erfordert, um die Kenntnisnahme des Fehlers zu bestätigen. Da diese Antwort nicht in der Antwortdatei vorhanden ist, wird während der automatischen Installation davon ausgegangen, dass die Dialogfelder der Antwortdatei in einer anderen Reihenfolge angeordnet sind. Daher wird die Fehlermeldung -12 angezeigt.

   Mit einer Stapeldatei kann der Vorgang der automatischen Installation noch weiter automatisiert werden. So können Sie beispielsweise die folgende INSTALL.BAT im DISK1-Unterverzeichnis erstellen: setup.exe -s -f1"c:\vpninst\disk1\response.txt" -f2"c:\temp\vpninst.log" rem Hierbei wird vorausgesetzt, dass der VPN-Client aus c:\vpinst extrahiert wurde. rem Er könnte sich auf einem Netzlaufwerk oder in einem beliebigen anderen Verzeichnis befinden. Fügen Sie zwischen -f1 und dem Anführungszeichen keinen Leerschritt ein. Wenn das Symbol für die VPN-Anmeldung auf dem Desktop angezeigt wird, müssen Sie einen Neustart durchführen, wodurch die Installation des VPN-Client abgeschlossen wird.

3.0 Bekannte Probleme und Einschränkungen

1. Unter Windows 2000, Windows XP und XP Home Edition sowie Windows ME ist über den VPN-Client keine IPX^TM-Unterstützung möglich.
2. Wenn bei einer Aufrüstung des Computers bereits der frühere VPN-Client installiert ist, müssen Sie zuerst die VPN-Client-Software von Ihrer Arbeitsstation entfernen und erst danach auf das neue Betriebssystem aufrüsten. Nach der Aufrüstung muss der VPN-Client erneut installiert werden.
3. Benutzer mit eingeschränktem Zugriff auf Windows 2000 und Windows XP können den VPN-Client nicht benutzen, weil diese Benutzer über keine Privilegien zur Aktualisierung des Abschnitts HKEY_LOCAL_MACHINE in der Registrierung verfügen. Standardbenutzer und -administratoren können den VPN-Client verwenden.
4. Der Novell IP-Gateway-Client kann nicht zusammen mit dem VPN-Client verwendet werden. Deaktivieren Sie die Verwendung der Novell IP-Gateway-Komponente durch den Client, bevor Sie sich mit der VPN-Client-Software in ein VPN einwählen. Die Gateway-Komponente des Client kann über die Auswahl "Eigenschaften" unter "Netzwerk" deaktiviert werden.
5. Wenn sich Ihr VPN-Server hinter einer Firewall befindet, müssen Sie die Firewall so konfigurieren, dass Sie folgenden Datenverkehr durchlässt (eingehend und abgehend):

   - TCP-Anschluss 353

   - UDP-Anschluss 353

   - UDP-Anschluss 2010

   - UDP-Anschluss 500

   - UDP-Anschluss 4500

   - IP-Protokoll-ID 57

   - IP-Protokoll-ID 50

   - IP-Protokoll-ID 51

   Wenn der VPN-Server Ihre Firewall darstellt, sind die Ausnahmefilter bereits so konfiguriert, dass sie diesen Datenverkehr durchlassen. Während der VPN-Konfigurierung müssen die Filter aktualisiert werden.

6. Wenn Sie den VPN-Client zusammen mit dem Novell-Client verwenden, müssen Sie sich vor dem Trennen der Verbindung zum VPN-Server von NetWare abmelden, unabhängig davon, ob Sie ausschließlich eine IP-Verbindung oder eine IP-Verbindung zusammen mit einer IPX-VPN-Verbindung verwenden. Andernfalls werden Ihre NetWare-Verbindungen nicht bereinigt und Sie erreichen die Höchstzahl zulässiger gleichzeitiger Anmeldungen möglicherweise bereits nach mehreren Versuchen zur Verwendung des VPN.
7. Für die NMAS^TM-Beglaubigung werden keine unterschiedlichen Zugriffsberechtigungen unterstützt.
8. NMAS 2.2.4 funktioniert nicht unter Window ME. Wenn Sie NMAS benötigen, müssen Sie manuell NMAS 2.1 installieren und danach fortfahren.
9. Die Novell NDS^®-Anmeldung am Server und die Passwortänderung werden nicht unterstützt, da der Novell Client^TM unter Windows ME nicht unterstützt wird.
10. Wenn der VPN-Client vor dem Novell Client installiert wird, erfolgt keine Integration mit Novell Client. Wenn diese Situation eintritt, müssen Sie regvpn aus dem WINSYS-Verzeichnis ausführen.
11. Wenn der Zertifikatabruf fehlschlägt, müssen Sie in das Feld "Baumname" den Namen des Baums und den Namen des bevorzugten Servers eingeben. Geben Sie die Details in folgendem Format ein: <baumname/passwort>.
12. Wenn die NMAS-Sequenz im Novell Client von der NMAS-Sequenz im VPN-Client abweicht, ist eventuell vom VPN-Client aus die Anmeldung am NetWare-Server nicht möglich.
13. Die Novell-Anmeldung vom VPN-Client am NetWare-Server kann nur erfolgen, wenn sich sowohl der VPN-Server und der NetWare-Server im selben Baum befinden.
14. Wenn auf einer Windows 98-Arbeitsstation bereits Kernel NICI 1.7.0 installiert ist, empfehlen wird, vor der Installation des VPN-Clients Kernel NICI 1.7.0 zu deinstallieren.
15. In NMAS 2.2.4 funktioniert die USC-Beglaubigungsmethode nicht. Löschen Sie in diesem Fall die Einstellung local/machine/software/Novell/NMAS/1.0/IDIDDLLPath aus der Windows-Registrierung. Nachdem diese Registrierungseinstellung geändert wurde, wird nicht die Benutzer-ID von der Karte verwendet, und der Benutzer wird zur Eingabe der Benutzer-ID aufgefordert.

4.0 Rechtliche Hinweise

Novell, Inc. übernimmt für Inhalt oder Verwendung dieser Dokumentation keine Haftung und schließt insbesondere jegliche ausdrücklichen oder impliziten Gewährleistungsansprüche bezüglich der Marktfähigkeit oder Eignung für einen bestimmten Zweck aus. Novell, Inc. behält sich das Recht vor, dieses Dokument jederzeit teilweise oder vollständig zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen davon in Kenntnis zu setzen.

Novell übernimmt des Weiteren keine Haftung für jegliche Software und schließt insbesondere jegliche ausdrücklichen oder impliziten Gewährleistungsansprüche bezüglich Marktfähigkeit oder Eignung für einen bestimmten Zweck aus. Außerdem behält sich Novell, Inc. das Recht vor, Novell-Software jederzeit ganz oder teilweise zu ändern, ohne dass für Novell, Inc. die Verpflichtung entsteht, Personen oder Organisationen von diesen Änderungen in Kenntnis zu setzen.

Dieses Produkt darf nicht exportiert oder erneut exportiert werden, wenn dabei gültige Rechte oder Bestimmungen verletzt werden, einschließlich und ohne Einschränkung der Exportbestimmungen der USA oder der Gesetze des Landes, in dem Sie Ihren Wohnsitz haben.

Copyright © 1997-2001, 2002, 2003 Novell, Inc. Alle Rechte vorbehalten. Ohne die ausdrückliche, schriftliche Genehmigung des Herausgebers darf kein Teil dieser Veröffentlichung reproduziert, fotokopiert, übertragen oder in einem Speichersystem verarbeitet werden.

Novell ist eine eingetragene Marke von Novell, Inc. in den USA und anderen Ländern.

Die Rechte für alle Drittanbieter-Produkte liegen bei den jeweiligen Eigentümern.