ALIs

kommt noch

VPN-Technik

Der VPN-Dienst im Münchner Wissenschaftsnetz (MWN) basiert auf dem IPSec-Standard, welcher durch die Verschlüsselung der Daten eine hohe Sicherheit bietet. Voraussetzung für die Nutzung ist eine gültige Zugangskennung (Radiuskennung). Es muss ein spezielles Client-Programm verwendet werden, welches für die Nutzer des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.

Voraussetzungen

Voraussetzung für die Einrichtung eines "Virtual Private Net" (VPN) ist eine gültige Zugangskennung (Radiuskennung). Zur technischen Realisierung des "privaten Netzes" wird ein spezielles Client-Programm benötigt, das für die Nutzer des LRZ für die meisten Betriebsysteme kostenfrei zur Verfügung gestellt wird.

Technische Beschreibung

Datensicherheit

LRZ: Schema der VPN-Technik im MWN

Mittels VPN wird über eine bestehende IP-Verbindung eine zweite Verbindung (Tunnel) aufgebaut, welche den gesamten Datenverkehr über einen dedizierten Rechner, den VPN-Server, leitet. Zum Einsatz kommen hier IPsec und SSLVPN, die die notwendige Sicherung gegen unbefugten Zugang und den Schutz der Daten durch Verschlüsselung gewährleisten. Nur der Empfänger kann die verschlüsselten Daten wieder entschlüsseln.

SSLVPN

Unter der Adresse asa-cluster.lrz.de wird der Cluster der SSLVPN-Server angesprochen. Der Cluster besteht zur Zeit aus den selben 4 ASA5540, die auch die IPsec Dientse anbieten.

IPsec

Der VPN-Server ipsec.lrz.de (IP-Adresse: 129.187.254.28) besteht aus vier Geräten. Die vier Appiances ASA5540 der Firma Cisc arbeiten mit dem IPsec-Protokoll, welches den Aufbau von sicheren Internetverbindungen beschreibt. Sie verschlüsseln die Daten gemäß dem Standard 3DES (168 Bit) in Hardware. Mit dem Gruppenpasswort, einem sog. Preshared Key, den alle Benutzer gemeinsam haben, wird der Zugang zum VPN-Server überprüft. Er ist verschlüsselt in der Konfigurationsdatei abgelegt. Die Anmeldung erfolgt dann wie gewohnt durch Angabe einer Radius-Kennung.

IP-Adressen, Domainnamen

Per Voreinstellung wird eine weltweit geroutete IP-Adresse zugewiesen. Diese gehört zu einem von mehreren Adress-Pools, je nach der Instituion, der der Nutzer angehört. Diese Zugehörigkeit wird automatisch aus der Nutzerkennung ermittelt. Zum Schutz gegen Angriffe aus dem Internet kann auch eine private IP-Adresse (RFC 1918), welche nur innerhalb des MWN geroutet wird, angefordert werden. Für eine private Adresse ist der Nutzerkennung (Benutzername) bei der Authentifizierung ein # (Doppelkreuz) voranzustellen. Alle MWN-internen Dienste funktionieren mit einer privaten Adresse; nur für spezielle externe Dienste wie ICQ oder Messaging ist eine weltweit geroutete Adresse erforderlich.Verbindet man sich außerhalb des MWN über VPN, werden nur Netze im MWN über den VPN-Tunnel angesprochen. Das kann durch Voranstellen eines "!" vor die Kennung abgeschlatet werden.

Studentenwohnheime

Rechner, d.h. Clients, die vor dem Aufbau der VPN-Verbindung bereits eine private IP-Adresse haben, erhalten beim VPN eine offizielle IP-Adresse (außer mit #). Ausnahmen sind Clients in Studentenwohnheimen, diese erhalten immer private IP-Adressen.

IPv6-Adressen

Ist auf dem Client der Dienst isatap definiert, dann erhält der Rechner auch eine IPv6 Adresse. Mehr Informationen sind unter http://www.lrz.de/services/netz/ipv6/isatap1/index.html zu finden.

Jeder Adresse wird außerdem ein Hostname der Form xxx.subdomain.vpn.lrz.de zugewiesen. Die Adressen und Subdomain-Namen sind aus der folgenden Tabelle ersichtlich (die IP-Pools können sich ändern):

VPN: IP-Adressen und Subdomains

Einrichtung

Subdomain

IP-Pools

Technische Universität München

tum

10.152.42.1-254
10.152.43.1-254

 10.152.126.1-254
10.152.127.1-254

129.187.13.1-254
129.187.16.1-254
129.187.17.1-254
129.187.41.1-254
129.187.47.1-254
129.187.51.1-254
129.187.98.1-254

 129.187.100.1-254
129.187.173.1-254
129.187.178.1-254
129.187.205.1-254
129.187.207.1-254
129.187.209.1-254
129.187.210.1-254
129.187.211.1-254
129.187.212.1-254

 

Ludwig-Maximilians-Universität

lmu

10.153.38.1-254
10.153.39.1-254

 10.153.154.1-254
10.153.155.1.254

141.84.12.1-254
141.84.13.1-254
141.84.14.1-254
141.84.15.1-254
141.84.16.1-254
141.84.17.1-254

 141.84.18.1-254
141.84.22.1-254
141.84.23.1-254
141.84.28.1-254
141.84.29.1-254
141.84.30.1-254

Hochschule München

hm
(ehem. fhm)

10.159.2.1-254
10.159.3.1-254

 10.159.4.1-254
10.159.5.1-254

129.187.34.1-254
129.187.52.1-254

 129.187.110.1-254
129.187.118.1-254

Hochschule Weihenstephan - Triesdorf

hswt
(ehem fhw)

10.154.10.1-254
10.154.13.1-254

 10.154.14.1-254

141.40.24.1-254
141.40.115.1-254

 141.40.116.1-254

Sonstige (Externe)

ext

10.155.24.1-254
10.155.25.1-254

 129.187.50.1-254
badw 10.155.56.1-254
 10.155.57.1-254

Routing (Datentransfer)

  1. VPN-Nutzer im Münchner Wissenschaftsnetz: Für Anwender innerhalb des MWN, sei es über Funk-LAN oder öffentliche Datendose, wird immer der gesamte Datenverkehr über den VPN-Server geleitet ("geroutet").
  2. Von Zuhause oder aus dem Internet: Anders verhält es sich bei Nutzern zuhause bzw. irgendwo im Internet, die einen fremden Provider verwenden. Dabei wird das sog. Split-Tunneling eingesetzt. Dies bedeutet, dass die Daten von und zu Adressen im restlichen Internet auf direktem Wege geroutet werden. Dadurch kann ein unnötiger Umweg der Daten über den VPN-Server eingespart werden. Nur die Daten von und zu Zielen im MWN werden also verschlüsselt und über den VPN-Tunnel geschickt. Auf Nutzer-/Client-Seite ist dazu nichts Besonderes zu konfigurieren, das Routing wird automatisch entsprechend eingestellt. Auch die privaten Netze mit den Adressen 10.x.x.x, 172.16.x.x und 192.168.x.x werden direkt geroutet, außer es wird im Client die Option Allow Local LAN Access aktiviert. Dadurch wird der Zugriff auf lokale Netze zuhause bei einer aufgebauten VPN-Verbindung möglich.
  3. Spezielle Anwendungen: Bei anderen Anwendungen, wie z.B. dem Zugang zu Datenbanken, der Verwendung von Terminalserverclients oder IP-Telefonie-Anwendungen (Voice over IP, kurz VoIP), kann es nötig sein, das Split-Tunneling auszuschalten und alle Daten über den Tunnel zu senden. Dies kann durch ein Voranstellen eines Ausrufezeichens "!" vor den Usernamen bei der Authentifizierung eingestellt werden.
  4. Proxyserver: Zu beachten ist, dass bei Nutzung eines Proxyservers im MWN der WWW-Datenverkehr immer vollständig über den VPN-Server transferiert wird.
  5. Beschränkungen: Für die VPN-Verbindungen gelten die gleichen Beschränkungen bezüglich Bandbreite und exzessivem Verkehr wie beim NAT-Gateway Secomat.

Weitere Informationen zu VPN

Häufige Probleme

  1. Software-Störungen: Beim Aufbau und beim Abbau einer VPN-Verbindung ändert sich die IP-Adresse. Einige Anwendungen erlauben keinen Wechsel der Adresse während sie laufen, andere kommen damit zurecht. Es empfiehlt sich auf jeden Fall, netzabhängige Anwendungsprogramme, insbesondere Web-Browser nach dem Auf- und Abbau einer VPN-Verbindung neu zu starten.

  2. Falsche Eingabe: Ein häufiges Problem besteht in der falschen Eingabe der Nutzerkennung (Username). Ob Ihre Kennung überhaupt geeignet ist, können Sie in der Übersicht der Radiuszonen prüfen. Bei der Eingabe muss (außer bei den LRZ-Kennungen) auch der Teil nach dem "@"-Zeichen mit eingegeben werden. Achten Sie bitte auf Groß- und Kleinbuchstaben - auch beim Passwort!

    Beispiele für User-Namen:
    u1234ab
    gabi.muster@campus.lmu.de
    stefan.muster@tum.de
    h.muster@wzw.tum
  3. VPN-Verbindung über einen anderen Provider: VPN-Verbindungen über eine bereits bestehende IPsec-VPN-Verbindung sind nicht möglich. DSL-Kunden von Anbietern, welche den Verbindungsaufbau über VPN realisieren, können daher unser VPN (zurzeit) nicht nutzen.
  4. Firewalls: Bei Auftreten unklarer Probleme sollten Sie eventuell laufende (Personal) Firewalls und die Internet-Verbindungsfreigabe von Windows XP versuchsweise abschalten.

Fragen oder Probleme?

Weitere Tipps zu VPN-Verbindungen finden Sie im Bereich Frequently Asked Questions (FAQ).
Anfragen oder Kommentare richten Sie bitte an das Servicedesk.