VPN-Technik
Der VPN-Dienst im Münchner Wissenschaftsnetz (MWN) basiert auf den VPN-Protokollen OpenVPN und Wireguard. Voraussetzung für die Nutzung ist eine gültige Zugangskennung. Es muss ein spezielles Client-Programm verwendet werden, das für die Beschäftigten und Studierenden der Universitäten und des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.
Voraussetzungen
Voraussetzung für die Einrichtung eines "Virtual Private Network" (VPN) ist eine gültige Zugangskennung, die an den Verzeichnisdiensten der Universitäten überprüft wird. Zur technischen Realisierung des "privaten Netzes" wird ein spezielles Client-Programm benötigt, das für die Beschäftigten und Studierenden der Universitäten und des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.
Technische Beschreibung
Datensicherheit
Mittels VPN wird über eine bestehende IP-Verbindung eine zweite Verbindung (Tunnel) aufgebaut, welche den Datenverkehr über ein dediziertes System, einen VPN-Server aus dem VPN-Cluster, leitet. Bei einem sogenannten Full-Tunnel wird der gesamte Verkehr durch den Tunnel geleitet. Beim Split-Tunnel sind das nur Ziele im MWN. Das lokale Netz, in dem sich der Client befindet, bleibt weiterhin erreichbar.
Die VPN-Server-Cluster im MWN unterstützen folgende Protokolle:
- OpenVPN (Serverauswahl im Client über die Einrichtung) mit dem eduVPN-Client
- WireGuard mit dem eduVPN-Client (seit )
eduVPN als VPN-Client seit September 2021
Der Server wird im Client ausgewählt (VPN - eduVPN - Installation und Konfiguration ) Für jede größere Einrichtung steht ein Controller und zwei Nodes zur Verfügung. Der Controller regelt die Anmeldung und die Verwaltung der Konfigurationsprofile, über die Nodes laufen die VPN-Verbindungen. Die Anmeldung erfolgt über Zertifikate mit kurzer Laufzeit, die für den Nutzenden transparent auf dem Controller verwaltet werden. eduVPN kann auch mit OpenVPN genutzt werden. Dazu kann man sich Konfigurationsdateien vom Controller herunterladen.
IP-Adressen, Domainnamen
IPv6-Adressen
Es stehen zwei Profile zur Verfügung, voreingestellt ist Split-Tunnel mit privaten IPv4-Adressen im MWN. Der Verkehr geht dabei nur ins Münchener Wissenschaftsnetz über VPN, Ziele im Internet werden direkt angesprochen. Für Spezialfälle gibt es eine Full-Tunnel Profil, bei dem alle Daten über den Tunnel gehen.
IPv6-Adressen
Bei eduVPN wird die IPv6-Adresse zusätzlich zur IPv4-Adresse automatisch zugewiesen.
Domainnamen und IP-Pools
Jeder weltweit gerouteten IPv4-Adresse wird ein Hostname der Form xxx.subdomain.vpn.lrz.de
zugewiesen. Die Adressen und Subdomain-Namen sind aus der folgenden Tabelle ersichtlich (die IP-Pools können sich ändern, Darstellung in CIDR-Format):
VPN: IP-Adressen und Subdomains: teilweise neue Bereiche ab
Einrichtung | Subdomain | IP-Pools | |
---|---|---|---|
Technische Universität München | tum |
|
|
| |||
129.187.16.0/24 129.187.17.0/24 129.187.47.0/24 129.187.98.0/24 129.187.100.0/24 129.187.173.0/24 | 129.187.178.0/24 129.187.205.0/24 129.187.207.0/24 129.187.209.0/24 129.187.210.0/24 129.187.211.0/24 129.187.212.0/24 | ||
2001:4ca0:2fff::/48 | |||
Ludwig-Maximilians-Universität | lmu |
|
|
141.84.12.0/24 141.84.13.0/24 141.84.14.0/24 141.84.15.0/24 141.84.16.0/24 141.84.17.0/24 141.84.18.0/24 141.84.19.0/24 | 141.84.23.0/24 | ||
2001:4ca0:4fff::/48 | |||
Hochschule München | hm | 10.159.2.0/24 10.159.3.0/24 | 10.159.6.0/24 10.159.7.0/24 |
129.187.34.0/24 129.187.52.0/24 | 129.187.110.0/24 129.187.118.0/24 | ||
2001:4ca0:6fff::/48 | |||
Hochschule Weihenstephan - Triesdorf | hswt | 10.154.14.0/24 | 10.154.10.0/24 |
141.40.116.0/24 | 141.40.24.0/24 141.40.115.0/24 | ||
2001:4ca0:7fff::/48 | |||
Sonstige | ext | 10.155.24.0/24 10.155.25.0/24 | 129.187.50.0/24 |
10.155.200.0/22 | 129.187.234.0/24 | ||
2001:4ca0:0:fe19::/64 | |||
badw | 129.187.243.0/24 |
| |
| |||
generic | 10.155.208.0/23 | 10.155.204.0/23 | |
2001:4ca0:0:fe19::/64 |
eduVPN: Adressen der Server und Anmeldemethoden:
Einrichtung | Controller | Nodes | OpenVPN: Ports Split-Tunnel | OpenVPN: Ports Full-Tunnel | Auth | Stand |
---|---|---|---|---|---|---|
HM | hm.eduvpn.lrz.de | eduvpn-nodes-hm-v3.srv.lrz.de | UDP/1194-1196 TCP/443 | UDP/1197-1199 TCP/1197 | Shibboleth |
|
LMU | lmu.eduvpn.lrz.de | eduvpn-nodes-lmu-v3.srv.lrz.de | UDP/443 UDP/1194-1199 TCP/443 | UDP/1200 TCP/1200 | Shibboleth |
|
TUM | tum.eduvpn.lrz.de | eduvpn-nodes-tum-v3.srv.lrz.de | UDP/443 UDP/1194-1199 TCP/443 | UDP/1200 TCP/1200 | Shibboleth |
|
HSWT | hswt.eduvpn.lrz.de | UDP/1195 TCP/1195 | UDP/1196 TCP/1196 | Radius |
| |
Andere Institutionen mit VPN-Berechtigung ext badw andere | rad.eduvpn.lrz.de | UDP/1197 TCP/1197 UDP/1198 TCP/1198 UDP/1197 TCP/1197 | UDP/1201-1203 TCP/1201 UDP/1199 TCP/1199 UDP/1200 TCP/1200 | Radius |
|
Routing (Datentransfer)
eduVPN
- VPN-Nutzende im Münchner Wissenschaftsnetz: Für Anwendende innerhalb des MWN, sei es über das "lrz"-WLAN oder eine öffentliche Datendose, wird immer der gesamte Datenverkehr über den VPN-Server geleitet ("geroutet"). Dazu muss Full-Tunnel gewählt werden.
- Von Zuhause oder aus dem Internet: Anders verhält es sich bei Nutzenden zuhause bzw. irgendwo im Internet, die einen fremden Provider verwenden. Dabei wird voreingestellt das sog. Split-Tunneling eingesetzt. Dies bedeutet, dass die Daten von und zu Adressen im restlichen Internet auf direktem Wege geroutet werden. Dadurch kann ein unnötiger Umweg der Daten über den VPN-Server eingespart werden. Nur die Daten von und zu Zielen im MWN werden verschlüsselt und über den VPN-Tunnel geschickt. Auf Nutzender-/Client-Seite ist dazu erst einmal nichts besonders zu konfigurieren, das Routing wird automatisch entsprechend eingestellt. Auch private Netze mit den Adressen
10.x.x.x, 172.16.x.x
und192.168.x.x
werden direkt geroutet, außer der Zugriff auf lokale Netze zuhause, der ist auch bei einer aufgebauten VPN-Verbindung möglich. - Spezielle Anwendungen: Bei anderen Anwendungen, wie z.B. dem Zugang zu Datenbanken, der Verwendung von Terminalserverclients oder IP-Telefonie-Anwendungen (Voice over IP, kurz VoIP), kann es nötig sein, das Split-Tunneling auszuschalten und alle Daten über den Tunnel zu senden. Dies kann durch ein den Full-Tunnel erreicht werden.
- Proxyserver: Zu beachten ist, dass bei Nutzung eines Proxyservers im MWN der WWW-Datenverkehr immer vollständig über den VPN-Server transferiert wird.
- Beschränkungen: Für die VPN-Verbindungen gelten die gleichen Beschränkungen bezüglich Bandbreite und exzessivem Verkehr wie beim NAT-Gateway Secomat.
Häufige Probleme
- Software-Störungen: Beim Aufbau und beim Abbau einer VPN-Verbindung ändert sich die IP-Adresse. Einige Anwendungen erlauben keinen Wechsel der Adresse während sie laufen, andere kommen damit zurecht. Es empfiehlt sich auf jeden Fall, netzabhängige Anwendungsprogramme, insbesondere Web-Browser nach dem Auf- und Abbau einer VPN-Verbindung neu zu starten.
Falsche Eingabe: Ein häufiges Problem besteht in der falschen Eingabe der Kennung (login). Achten Sie bitte auf Groß- und Kleinbuchstaben - auch und insbesondere beim Passwort! LRZ-Kennungen folgen zur Zeit folgendem Muster (Konsonant, Vokal, Ziffer): KVZZKVK. Beispiele für Kennungen sind : gu55rob, fernanda.muster@campus.lmu.de, antonia.muster@tum.de, h.muster@wzw.tum, u1234ab.
- Firewalls: Bei Auftreten unklarer Probleme sollten Sie eventuell laufende (Personal-) Firewalls und die Internet-Verbindungsfreigabe bei Windows versuchsweise abschalten.
Fragen oder Probleme?
Weitere Tipps zu VPN-Verbindungen finden Sie im Bereich VPN-FAQ
Anfragen oder Kommentare richten Sie bitte an das Servicedesk.