Der VPN-Dienst im Münchner Wissenschaftsnetz (MWN) basiert auf SSLVPN oder IPSec, welche durch Verschlüsselung der Daten eine hohe Sicherheit bieten. Voraussetzung für die Nutzung ist eine gültige Zugangskennung. Es muss ein spezielles Client-Programm verwendet werden, das für die Beschäftigten und Studierenden der Universitäten und des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.

Voraussetzungen

Voraussetzung für die Einrichtung eines "Virtual Private Network" (VPN) ist eine gültige Zugangskennung, die über das Radiusprotokoll an den Verzeichnisdiensten der Universitäten überprüft wird. Zur technischen Realisierung des "privaten Netzes" wird ein spezielles Client-Programm benötigt, das für die Beschäftigten und Studierenden der Universitäten und des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.

Technische Beschreibung

Datensicherheit

Mittels VPN wird über eine bestehende IP-Verbindung eine zweite Verbindung (Tunnel) aufgebaut, welche den gesamten Datenverkehr über ein dediziertes System, einen VPN-Server aus dem VPN-Cluster, leitet. Zum Einsatz kommen hier IPsec und SSLVPN, die die notwendige Sicherung gegen unbefugten Zugang zum Münchner Wissenschaftsnetz und den Schutz der Daten durch Verschlüsselung gewährleisten.

Die VPN-Server-Cluster im MWN unterstützen zwei Protokolle:

  • SSL/DTLS (Serverauswahl im Client über die Einrichtung) mit dem eduVPN Client
  • SSL/DTLS ( Virtuelle Serveradresse: https://asa-cluster.lrz.de) mit dem AnyConnect Client
  • IPsec mit XAUTH ( Virtuelle Serveradresse: ipsec.lrz.de) mit dem IPsec Client

eduVPN als neuer VPN-Client

Der Server wird im Client ausgewählt (VPN - eduVPN - Installation und Konfiguration ) Für jeder größere Einrichtung steht ein Controller und zwei Nodes zur Verfügung. Der Controller regelt die Anmeldung und die Verwaltung der Konfigurationsprofile, über die Nodes laufen die VPN-Verbindungen. Die Anmeldung erfolgt über Zertifikate mit kurzer Laufzeit, die für den Nutzenden transparent auf dem Controller verwaltet werden. eduVPN kann auch mit opeVPN genutzt werden. Dazu kann man sich Konfigurationsdateien vom Controller herunterladen.

AnyConnect SSLVPN für VPN Verbindungen

Unter der Adresse asa-cluster.lrz.de wird der Cluster der SSLVPN-Server angesprochen. Der Cluster besteht den selben zwei Cisco ASA5585-X, die auch die IPsec-Dienste anbieten. Die VPN-Verbindung mit dem AnyConnect-Client besteht aus bis zu drei IP-Verbindungen, ein Kontrollkanal zu Steuerung, einer SSL-TCP-Verbindung zur Datenübertragung und ggf. einer DTLS-UDP Verbindung zur Datenübertragung mit geringer Latenz. Die Authenzität des Servers wird durch Serverzertifkate überprüft.

IPsec - für alte Systeme und spezielle Anforderungen

Der VPN-Server ipsec.lrz.de besteht aus zwei Geräten. Die  Appliances Cisco ASA5585-X arbeiten mit dem IPsec-Protokoll, das den Aufbau von sicheren Internetverbindungen beschreibt. Sie verschlüsseln die Daten mit AES in Hardware. Mit dem Gruppenpasswort, einem sog. Preshared Key, den alle Konfigurationen gemeinsam haben, wird der Zugang zum VPN-Server überprüft. Er ist verschlüsselt in der Konfigurationsdatei abgelegt. Die Anmeldung erfolgt dann wie gewohnt durch Angabe einer gültigen Kennung.

IP-Adressen, Domainnamen

eduVPN

Es stehen zwei Profile zur Verfügung, voreingestellt ist Split-Tunnel mit privaten IPv4-Adressen im MWN. Der Verkehr geht dabei nur ins Münchener Wissenschaftsnetz über VPN, Ziele im Internet werden direkt angesprochen. Für Spezialfälle gibt es eine Full-Tunnel Profil, bei dem alle Daten über den Tunnel gehen.

AnyConnect

Per Voreinstellung wird eine weltweit geroutete IP-Adresse zugewiesen. Diese gehört zu einem von mehreren Adress-Pools, je nach der Einrichtung, der der Anwendende angehört. Diese Zugehörigkeit wird automatisch aus der Kennung ermittelt.

Ein # vor der Kennung für private IP-Adressen

Zum Schutz gegen Angriffe aus dem Internet kann auch eine private IP-Adresse (RFC 1918) angefordert werden, welche nur innerhalb des MWN geroutet wird. Für eine private Adresse ist der Kennung (login) bei der Authentifizierung ein # (Doppelkreuz) voranzustellen. Alle MWN-internen Dienste funktionieren mit einer privaten Adresse; nur für externe Dienste  ist eine weltweit geroutete Adresse erforderlich.

Ein ! vor der Kennung für spezielles Routing

Verbindet man sich außerhalb des MWN über VPN, werden nur Netze im MWN über den VPN-Tunnel angesprochen. Das kann durch Voranstellen eines "!" vor die Kennung abgeschaltet werden.

Studentenwohnheime

Rechner, d.h. Clients, die vor dem Aufbau der VPN-Verbindung bereits eine private IP-Adresse haben, erhalten beim VPN eine offizielle IP-Adresse (außer mit #). Ausnahmen sind Clients in Studierendenwohnheimen, diese erhalten immer private IP-Adressen. Damit wird verhindert, dass die Firewalls der Wohnheime umgangen werden.

IPv6-Adressen

Nur bei eduVPN und SSLVPN mit dem AnyConnect Client wird die IPv6-Adresse automatisch zugewiesen. Beim IPsec-Client gilt: Ist auf dem Client der Dienst isatap definiert, dann erhält der Rechner auch eine IPv6 Adresse. Mehr Informationen sind unter http://www.lrz.de/services/netz/ipv6/isatap1/index.html zu finden. Die Verbindung über IPv6 zu den VPN-Servern.

Domainnamen und IP-Pools

Jeder IPv4-Adresse wird ein Hostname der Form xxx.subdomain.vpn.lrz.de zugewiesen. Die Adressen und Subdomain-Namen sind aus der folgenden Tabelle ersichtlich (die IP-Pools können sich ändern, Darstellung in CIDR-Format):

VPN: IP-Adressen und Subdomains: neue Bereiche seit 2020-03!

EinrichtungSubdomainIP-Pools

Technische Universität München

tum

10.152.42.0/24
10.152.43.0/24
10.157.36.0/22
10.157.44.0/22

10.152.126.0/24
10.152.127.0/24
10.157.40.0/22
10.157.48.0/22

10.157.52.0/22← OpenVPN-Test
129.187.16.0/24
129.187.17.0/24
129.187.41.0/24
129.187.47.0/24
129.187.51.0/24
129.187.98.0/24
129.187.100.0/24
129.187.173.0/24
129.187.178.0/24
129.187.205.0/24
129.187.207.0/24
129.187.209.0/24
129.187.210.0/24
129.187.211.0/24
129.187.212.0/24
2001:4ca0:2fff::/48
2001:4ca0:2fff:9:0:1::/96
2001:4ca0:2fff:9:0:2::/96
← OpenVPN-Test
Ludwig-Maximilians-Universitätlmu

10.153.38.0/24
10.153.39.0/24
10.163.152.0/22
10.163.160.0/22

10.153.154.0/24
10.153.155.0/24
10.163.156.0/22

10.163.164.0/22← OpenVPN-Test
141.84.12.0/24
141.84.13.0/24
141.84.14.0/24
141.84.15.0/24
141.84.16.0/24
141.84.17.0/24
141.84.18.0/24
141.84.19.0/24
141.84.22.0/24
141.84.23.0/24
141.84.28.0/24
141.84.29.0/24
141.84.30.0/24
141.84.31.0/24
141.84.32.0/24
141.84.33.0/24
141.84.34.0/24
2001:4ca0:4fff::/48
2001:4ca0:4fff:9:0:1::/96
2001:4ca0:4fff:9:0:2::/96
← OpenVPN-Test
Hochschule Münchenhm10.159.2.0/24
10.159.3.0/24
10.159.4.0/24
10.159.5.0/24
129.187.34.0/24
129.187.52.0/24
129.187.110.0/24
129.187.118.0/24
2001:4ca0:6fff::/48
Hochschule Weihenstephan - Triesdorfhswt10.154.10.0/24
10.154.13.0/24
10.154.14.0/24
141.40.24.0/24
141.40.115.0/24
141.40.116.0/24
2001:4ca0:7fff::/48
Sonstige


ext10.155.24.0/24
10.155.25.0/24
129.187.50.0/24
2001:4ca0:0:fe19:://64
badw10.155.56.0/24
129.187.243.0/24
10.155.57.0/24

2001:4ca0:1:ffff::/64


generic10.155.208.0/2310.155.210.0/23
2001:4ca0:0:fe19::/64

eduVPN: Adressen der Server und Anmeldemethoden

EinrichtungController Nodes
HMhm.eduvpn.lrz.de

eduvpn-nodes-hm.srv.lrz.de

Shibboleth
LMUlmu.eduvpn.lrz.deeduvpn-nodes-lmu.srv.lrz.deShibboleth
TUMtum.eduvpn.lrz.deeduvpn-nodes-tum.srv.lrz.deShibboleth
HSWT und anderehswt.eduvpn.lrz.de
Radius
Andere Institutionen mit VPN-Berechtigungrad.eduvpn.lrz.de
Radius

AnyConnect-VPN: Adressen der Server:

Virtuelle Cluster IPasa-cluster.lrz.de, ipsec.lrz.de129.187.7.27 / 2001:4ca0:0:119:0:500:1:27

asa01.lrz.de, ipsec01.lrz.de129.187.7.1 / 2001:4ca0:0:119:0:500:1:1

asa03.lrz.de, ipsec03.lrz.de129.187.7.3 / 2001:4ca0:0:119:0:500:1:3

asa04.lrz.de, ipsec04.lrz.de129.187.7.4 / 2001:4ca0:0:119:0:500:1:4

asa05.lrz.de, ipsec05.lrz.de129.187.7.5 / 2001:4ca0:0:119:0:500:1:5

asa11.lrz.de, ipsec11.lrz.de129.187.7.11 / 2001:4ca0:0:119:0:500:1:11


Adressen aus dem Bereich 129.187.254.0/24 sind nicht mehr in Betrieb

Routing (Datentransfer)

AnyConnect

  1. VPN-Nutzende im Münchner Wissenschaftsnetz: Für Anwendende innerhalb des MWN, sei es über das "lrz"-WLAN oder eine öffentliche Datendose, wird immer der gesamte Datenverkehr über den VPN-Server geleitet ("geroutet").
  2. Von Zuhause oder aus dem Internet: Anders verhält es sich bei Nutzenden zuhause bzw. irgendwo im Internet, die einen fremden Provider verwenden. Dabei wird das sog. Split-Tunneling eingesetzt. Dies bedeutet, dass die Daten von und zu Adressen im restlichen Internet auf direktem Wege geroutet werden. Dadurch kann ein unnötiger Umweg der Daten über den VPN-Server eingespart werden. Nur die Daten von und zu Zielen im MWN werden verschlüsselt und über den VPN-Tunnel geschickt. Auf Nutzender-/Client-Seite ist dazu nichts besonders zu konfigurieren, das Routing wird automatisch entsprechend eingestellt. Auch privaten Netze mit den Adressen 10.x.x.x, 172.16.x.x und 192.168.x.x werden direkt geroutet, außer es wird im Client die Option Allow Local LAN Access aktiviert. Dadurch wird der Zugriff auf lokale Netze zuhause bei einer aufgebauten VPN-Verbindung möglich.
  3. Spezielle Anwendungen: Bei anderen Anwendungen, wie z.B. dem Zugang zu Datenbanken, der Verwendung von Terminalserverclients oder IP-Telefonie-Anwendungen (Voice over IP, kurz VoIP), kann es nötig sein, das Split-Tunneling auszuschalten und alle Daten über den Tunnel zu senden. Dies kann durch ein Voranstellen eines Ausrufezeichens "!" vor den Kennung bei der Authentifizierung eingestellt werden.
  4. Proxyserver: Zu beachten ist, dass bei Nutzung eines Proxyservers im MWN der WWW-Datenverkehr immer vollständig über den VPN-Server transferiert wird.
  5. Beschränkungen: Für die VPN-Verbindungen gelten die gleichen Beschränkungen bezüglich Bandbreite und exzessivem Verkehr wie beim NAT-Gateway Secomat.

Weitere Informationen zu VPN

Häufige Probleme

  1. Software-Störungen: Beim Aufbau und beim Abbau einer VPN-Verbindung ändert sich die IP-Adresse. Einige Anwendungen erlauben keinen Wechsel der Adresse während sie laufen, andere kommen damit zurecht. Es empfiehlt sich auf jeden Fall, netzabhängige Anwendungsprogramme, insbesondere Web-Browser nach dem Auf- und Abbau einer VPN-Verbindung neu zu starten.
  2. Falsche Eingabe: Ein häufiges Problem besteht in der falschen Eingabe der Kennung (login). Ob Ihre Kennung überhaupt geeignet ist, können Sie in der Übersicht der Radiuszonen prüfen. Bei der Eingabe muss (außer bei den LRZ-Kennungen) auch der Teil nach dem "@"-Zeichen mit eingegeben werden. Achten Sie bitte auf Groß- und Kleinbuchstaben - auch und insbesondere beim Passwort! LRZ-Kunnungen folgen zur Zeit folgendem Muster (Konsonant, Vokal, Ziffer): KVZZKVK. Beispiele für Kennungen sind : gu55rob, gabi.muster@campus.lmu.de, stefan.muster@tum.de, h.muster@wzw.tum, u1234ab.

  3. VPN-Verbindung über einen anderen Provider: VPN-Verbindungen über eine bereits bestehende IPsec-VPN-Verbindung sind nicht möglich. DSL-Kunden von Anbietenden, welche den Verbindungsaufbau über VPN realisieren, können daher unser VPN (zurzeit) nicht nutzen.
  4. Firewalls: Bei Auftreten unklarer Probleme sollten Sie eventuell laufende (Personal-) Firewalls und die Internet-Verbindungsfreigabe bei Windows versuchsweise abschalten.

Fragen oder Probleme?

Weitere Tipps zu VPN-Verbindungen finden Sie im Bereich Frequently Asked Questions (FAQ).
Anfragen oder Kommentare richten Sie bitte an das Servicedesk.

  • No labels