VPN-Technik

Der VPN-Dienst im Münchner Wissenschaftsnetz (MWN) basiert auf OpenVPN. Voraussetzung für die Nutzung ist eine gültige Zugangskennung. Es muss ein spezielles Client-Programm verwendet werden, das für die Beschäftigten und Studierenden der Universitäten und des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.

Voraussetzungen

Voraussetzung für die Einrichtung eines "Virtual Private Network" (VPN) ist eine gültige Zugangskennung, die an den Verzeichnisdiensten der Universitäten überprüft wird. Zur technischen Realisierung des "privaten Netzes" wird ein spezielles Client-Programm benötigt, das für die Beschäftigten und Studierenden der Universitäten und des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.

Technische Beschreibung

Datensicherheit

Mittels VPN wird über eine bestehende IP-Verbindung eine zweite Verbindung (Tunnel) aufgebaut, welche den Datenverkehr über ein dediziertes System, einen VPN-Server aus dem VPN-Cluster, leitet. Bei einem sogenannten Full-Tunnel wird der gesamte Verkehr durch den Tunnel geleitet. Beim Split-Tunnel sind das nur Ziele im MWN. Das lokale Netz, in dem sich der Client befindet, bleibt weiterhin erreichbar.

Die VPN-Server-Cluster im MWN unterstützen folgende Protokolle:

OpenVPN (Serverauswahl im Client über die Einrichtung) mit dem eduVPN-Client
WireGuard mit dem eduVPN-Client (seit 29.12.2023 )

eduVPN als neuer VPN-Client seit September 2021

Der Server wird im Client ausgewählt (VPN - eduVPN - Installation und Konfiguration ) Für jede größere Einrichtung steht ein Controller und zwei Nodes zur Verfügung. Der Controller regelt die Anmeldung und die Verwaltung der Konfigurationsprofile, über die Nodes laufen die VPN-Verbindungen. Die Anmeldung erfolgt über Zertifikate mit kurzer Laufzeit, die für den Nutzenden transparent auf dem Controller verwaltet werden. eduVPN kann auch mit OpenVPN genutzt werden. Dazu kann man sich Konfigurationsdateien vom Controller herunterladen.

IP-Adressen, Domainnamen

eduVPN

Es stehen zwei Profile zur Verfügung, voreingestellt ist Split-Tunnel mit privaten IPv4-Adressen im MWN. Der Verkehr geht dabei nur ins Münchener Wissenschaftsnetz über VPN, Ziele im Internet werden direkt angesprochen. Für Spezialfälle gibt es eine Full-Tunnel Profil, bei dem alle Daten über den Tunnel gehen.

IPv6-Adressen

Bei eduVPN wird die IPv6-Adresse zusätzlich zur IPv4-Adresse automatisch zugewiesen.

Domainnamen und IP-Pools

Jeder weltweit gerouteten IPv4-Adresse wird ein Hostname der Form xxx.subdomain.vpn.lrz.de zugewiesen. Die Adressen und Subdomain-Namen sind aus der folgenden Tabelle ersichtlich (die IP-Pools können sich ändern, Darstellung in CIDR-Format):

VPN: IP-Adressen und Subdomains: teilweise neue Bereiche ab 28.12.2023

Einrichtung	Subdomain	IP-Pools
Technische Universität München	tum	`10.152.42.0/24` `10.152.43.0/24 10.152.126.0/24 10.152.127.0/24`	`10.157.36.0/22 10.157.40.0/2210.157.48.0/22`
			`10.157.44.0/22 10.157.52.0/2210.157.56.0/22 10.157.60.0/22`
		`129.187.16.0/24` `129.187.17.0/24` `129.187.47.0/24` `129.187.98.0/24` `129.187.100.0/24` `129.187.173.0/24`	`129.187.178.0/24` `129.187.205.0/24` `129.187.207.0/24` `129.187.209.0/24` `129.187.210.0/24` `129.187.211.0/24` `129.187.212.0/24`
		`2001:4ca0:2fff::/48`

Ludwig-Maximilians-Universität	lmu	`10.153.38.0/24` `10.153.39.0/24 10.153.154.0/24 10.153.155.0/24`	`10.163.152.0/22 10.163.156.0/22 10.163.160.0/2210.163.164.0/22`

		`141.84.12.0/24` `141.84.13.0/24` `141.84.14.0/24` `141.84.15.0/24` `141.84.16.0/24` `141.84.17.0/24` `141.84.18.0/24` `141.84.19.0/24 141.84.22.0/24`	`141.84.23.0/24 141.84.28.0/24 141.84.29.0/24 141.84.30.0/24 141.84.31.0/24 141.84.32.0/24 141.84.33.0/24 141.84.34.0/24`
		`2001:4ca0:4fff::/48`

Hochschule München	hm	`10.159.2.0/24` `10.159.3.0/24 10.159.4.0/24 10.159.5.0/24`	`10.159.6.0/24` `10.159.7.0/24 10.159.8.0/24 10.159.9.0/24`
		`129.187.34.0/24` `129.187.52.0/24`	`129.187.110.0/24` `129.187.118.0/24`
		`2001:4ca0:6fff::/48`
Hochschule Weihenstephan - Triesdorf	hswt	`10.154.14.0/24`	`10.154.10.0/24 10.154.13.0/24`
		`141.40.116.0/24`	`141.40.24.0/24` `141.40.115.0/24`
		`2001:4ca0:7fff::/48`
Sonstige	ext	`10.155.24.0/24` `10.155.25.0/24`	`129.187.50.0/24`
		`10.155.200.0/22`	129.187.234.0/24
		`2001:4ca0:0:fe19::/64`
	badw	`129.187.243.0/24`	`10.155.56.0/24 10.155.57.0/24`
	badw	`2001:4ca0:1:ffff::/64`
	generic	`10.155.208.0/23 10.155.210.0/23`	`10.155.204.0/23 10.155.206.0/23`
	generic	`2001:4ca0:0:fe19::/64`

Farben: eduVPN alte Server IPv4
eduVPN neue Server IPv4 ab 28.12.2023
eduVPN neue IPv4-Pools ab 28.12.2023

eduVPN: Adressen der Server und Anmeldemethoden alte Server bis 28.12.2023

Einrichtung	Controller	Nodes	Ports Split-Tunnel	Ports Full-Tunnel	Auth	Stand
HM	hm.eduvpn.lrz.de	eduvpn-nodes-hm.srv.lrz.de	UDP/1194-1196 TCP/443	UDP/1197-1199 TCP/1197	Shibboleth	18.10.2022
LMU	lmu.eduvpn.lrz.de	eduvpn-nodes-lmu.srv.lrz.de	UDP/443 UDP/1194-1199 TCP/443	UDP/1200 TCP/1200	Shibboleth	28.09.2022
TUM	tum.eduvpn.lrz.de	eduvpn-nodes-tum.srv.lrz.de	UDP/443 UDP/1194-1199 TCP/443	UDP/1200 TCP/1200	Shibboleth	28.09.2022
HSWT	hswt.eduvpn.lrz.de		UDP/1195 TCP/1195	UDP/1196 TCP/1196	Radius	28.09.2022
Andere Institutionen mit VPN-Berechtigung ext badw andere	rad.eduvpn.lrz.de		UDP/1197 TCP/1197 UDP/1198 TCP/1198 UDP/1197 TCP/1197	UDP/1201-1203 TCP/1201 UDP/1199 TCP/1199 UDP/1200 TCP/1200	Radius	18.10.2022 28.09.2022 28.09.2022

eduVPN: Adressen der Server und Anmeldemethoden neue Server ab 28.12.2023

Einrichtung	Controller	Nodes	OpenVPN: Ports Split-Tunnel	OpenVPN: Ports Full-Tunnel	Auth	Stand
HM	hm.eduvpn.lrz.de	eduvpn-nodes-hm-v3.srv.lrz.de	UDP/1194-1196 TCP/443	UDP/1197-1199 TCP/1197	Shibboleth	28.12.2023
LMU	lmu.eduvpn.lrz.de	eduvpn-nodes-lmu-v3.srv.lrz.de	UDP/443 UDP/1194-1199 TCP/443	UDP/1200 TCP/1200	Shibboleth	28.12.2023
TUM	tum.eduvpn.lrz.de	eduvpn-nodes-tum-v3.srv.lrz.de	UDP/443 UDP/1194-1199 TCP/443	UDP/1200 TCP/1200	Shibboleth	28.12.2023
HSWT	hswt.eduvpn.lrz.de		UDP/1195 TCP/1195	UDP/1196 TCP/1196	Radius	28.12.2023
Andere Institutionen mit VPN-Berechtigung ext badw andere	rad.eduvpn.lrz.de		UDP/1197 TCP/1197 UDP/1198 TCP/1198 UDP/1197 TCP/1197	UDP/1201-1203 TCP/1201 UDP/1199 TCP/1199 UDP/1200 TCP/1200	Radius	28.12.2023 28.12.2023 28.12.2023

Routing (Datentransfer)

eduVPN

VPN-Nutzende im Münchner Wissenschaftsnetz: Für Anwendende innerhalb des MWN, sei es über das "lrz"-WLAN oder eine öffentliche Datendose, wird immer der gesamte Datenverkehr über den VPN-Server geleitet ("geroutet"). Dazu muss Full-Tunnel gewählt werden.
Von Zuhause oder aus dem Internet: Anders verhält es sich bei Nutzenden zuhause bzw. irgendwo im Internet, die einen fremden Provider verwenden. Dabei wird voreingestellt das sog. Split-Tunneling eingesetzt. Dies bedeutet, dass die Daten von und zu Adressen im restlichen Internet auf direktem Wege geroutet werden. Dadurch kann ein unnötiger Umweg der Daten über den VPN-Server eingespart werden. Nur die Daten von und zu Zielen im MWN werden verschlüsselt und über den VPN-Tunnel geschickt. Auf Nutzender-/Client-Seite ist dazu erst einmal nichts besonders zu konfigurieren, das Routing wird automatisch entsprechend eingestellt. Auch private Netze mit den Adressen 10.x.x.x, 172.16.x.x und 192.168.x.x werden direkt geroutet, außer der Zugriff auf lokale Netze zuhause, der ist auch bei einer aufgebauten VPN-Verbindung möglich.
Spezielle Anwendungen: Bei anderen Anwendungen, wie z.B. dem Zugang zu Datenbanken, der Verwendung von Terminalserverclients oder IP-Telefonie-Anwendungen (Voice over IP, kurz VoIP), kann es nötig sein, das Split-Tunneling auszuschalten und alle Daten über den Tunnel zu senden. Dies kann durch ein den Full-Tunnel erreicht werden.
Proxyserver: Zu beachten ist, dass bei Nutzung eines Proxyservers im MWN der WWW-Datenverkehr immer vollständig über den VPN-Server transferiert wird.
Beschränkungen: Für die VPN-Verbindungen gelten die gleichen Beschränkungen bezüglich Bandbreite und exzessivem Verkehr wie beim NAT-Gateway Secomat.

Weitere Informationen zu VPN

Häufige Probleme

Software-Störungen: Beim Aufbau und beim Abbau einer VPN-Verbindung ändert sich die IP-Adresse. Einige Anwendungen erlauben keinen Wechsel der Adresse während sie laufen, andere kommen damit zurecht. Es empfiehlt sich auf jeden Fall, netzabhängige Anwendungsprogramme, insbesondere Web-Browser nach dem Auf- und Abbau einer VPN-Verbindung neu zu starten.
Falsche Eingabe: Ein häufiges Problem besteht in der falschen Eingabe der Kennung (login). Achten Sie bitte auf Groß- und Kleinbuchstaben - auch und insbesondere beim Passwort! LRZ-Kennungen folgen zur Zeit folgendem Muster (Konsonant, Vokal, Ziffer): KVZZKVK. Beispiele für Kennungen sind : gu55rob, alex.muster@campus.lmu.de, toni.muster@tum.de, h.muster@wzw.tum, u1234ab.
Firewalls: Bei Auftreten unklarer Probleme sollten Sie eventuell laufende (Personal-) Firewalls und die Internet-Verbindungsfreigabe bei Windows versuchsweise abschalten.

Fragen oder Probleme?

Weitere Tipps zu VPN-Verbindungen finden Sie im Bereich VPN-FAQ
Anfragen oder Kommentare richten Sie bitte an das Servicedesk.

Voraussetzungen

Technische Beschreibung

Datensicherheit

Die VPN-Server-Cluster im MWN unterstützen folgende Protokolle:

eduVPN als neuer VPN-Client seit September 2021

IP-Adressen, Domainnamen

eduVPN

IPv6-Adressen

Domainnamen und IP-Pools

VPN: IP-Adressen und Subdomains: teilweise neue Bereiche ab 28.12.2023

Farben: eduVPN alte Server IPv4 eduVPN neue Server IPv4 ab 28.12.2023 eduVPN neue IPv4-Pools ab 28.12.2023

eduVPN: Adressen der Server und Anmeldemethoden alte Server bis 28.12.2023

eduVPN: Adressen der Server und Anmeldemethoden neue Server ab 28.12.2023

Routing (Datentransfer)

eduVPN

Häufige Probleme

Fragen oder Probleme?

Farben: eduVPN alte Server IPv4
eduVPN neue Server IPv4 ab 28.12.2023
eduVPN neue IPv4-Pools ab 28.12.2023