VPN-Technik

Der VPN-Dienst im Münchner Wissenschaftsnetz (MWN) basiert auf dem IPSec-Standard, welcher durch die Verschlüsselung der Daten eine hohe Sicherheit bietet. Voraussetzung für die Nutzung ist eine gültige Zugangskennung (Radiuskennung). Es muss ein spezielles Client-Programm verwendet werden, welches für die Nutzer des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.

Aktuelle Informationen gibt es unter https://doku.lrz.de/display/PUBLIC/VPN-Technik. Diese Seite wird nicht mehr aktualisiert.

Voraussetzungen

Voraussetzung für die Einrichtung eines "Virtual Private Net" (VPN) ist eine gültige Zugangskennung (Radiuskennung). Zur technischen Realisierung des "privaten Netzes" wird ein spezielles Client-Programm benötigt, das für die Nutzer des LRZ für die meisten Betriebsysteme kostenfrei zur Verfügung gestellt wird.

Technische Beschreibung

Datensicherheit

LRZ: Schema der VPN-Technik im MWN

Mittels VPN wird über eine bestehende IP-Verbindung eine zweite Verbindung (Tunnel) aufgebaut, welche den gesamten Datenverkehr über einen dedizierten Rechner, einen VPN-Server aus dem VPN-Cluster, leitet. Zum Einsatz kommen hier IPsec und SSLVPN, die die notwendige Sicherung gegen unbefugten Zugang und den Schutz der Daten durch Verschlüsselung gewährleisten. Nur der Empfänger kann die verschlüsselten Daten wieder entschlüsseln.

SSLVPN

Unter der Adresse asa-cluster.lrz.de wird der Cluster der SSLVPN-Server angesprochen. Der Cluster besteht zur Zeit aus den selben 4 Cisco ASA5540, die auch die IPsec-Dienste anbieten. Die Verbindung besteht aus bis zu drei Verbindungen, einer zu Kontrolle der Verbindung, einer SSL-TCP-Verbindung zur Datenübertragung und ggf. einer DTLS-UDP Verbindung zur Datenübertragung mit geringerer Latenz. Die Authenzität des Servers wird mit Zertifkaten überprüft.

IPsec

Der VPN-Server ipsec.lrz.de besteht aus vier Geräten. Die  Appliances Cisco ASA5540  arbeiten mit dem IPsec-Protokoll, das den Aufbau von sicheren Internetverbindungen beschreibt. Sie verschlüsseln die Daten gemäß dem Standard 3DES oder AES in Hardware. Mit dem Gruppenpasswort, einem sog. Preshared Key, den alle Benutzer gemeinsam haben, wird der Zugang zum VPN-Server überprüft. Er ist verschlüsselt in der Konfigurationsdatei abgelegt. Die Anmeldung erfolgt dann wie gewohnt durch Angabe einer Radius-Kennung.

IP-Adressen, Domainnamen

Per Voreinstellung wird eine weltweit geroutete IP-Adresse zugewiesen. Diese gehört zu einem von mehreren Adress-Pools, je nach der Instituion, der der Nutzer angehört. Diese Zugehörigkeit wird automatisch aus der Nutzerkennung ermittelt. Zum Schutz gegen Angriffe aus dem Internet kann auch eine private IP-Adresse (RFC 1918), welche nur innerhalb des MWN geroutet wird, angefordert werden. Für eine private Adresse ist der Nutzerkennung (Benutzername) bei der Authentifizierung ein # (Doppelkreuz) voranzustellen. Alle MWN-internen Dienste funktionieren mit einer privaten Adresse; nur für spezielle externe Dienste wie ICQ oder Messaging ist eine weltweit geroutete Adresse erforderlich.Verbindet man sich außerhalb des MWN über VPN, werden nur Netze im MWN über den VPN-Tunnel angesprochen. Das kann durch Voranstellen eines "!" vor die Kennung abgeschlatet werden.

Studentenwohnheime

Rechner, d.h. Clients, die vor dem Aufbau der VPN-Verbindung bereits eine private IP-Adresse haben, erhalten beim VPN eine offizielle IP-Adresse (außer mit #). Ausnahmen sind Clients in Studentenwohnheimen, diese erhalten immer private IP-Adressen.

IPv6-Adressen

Beim AnyConnect Client wird die IPv6-Adresse automatisch zugewiesen. Beim IPsec-Client gilt: Ist auf dem Client der Dienst isatap definiert, dann erhält der Rechner auch eine IPv6 Adresse. Mehr Informationen sind unter http://www.lrz.de/services/netz/ipv6/isatap1/index.html zu finden.

Jeder IPv4-Adresse wird außerdem ein Hostname der Form xxx.subdomain.vpn.lrz.de zugewiesen. Die Adressen und Subdomain-Namen sind aus der folgenden Tabelle ersichtlich (die IP-Pools können sich ändern, Darstellung in CIDR-Format):

VPN: IP-Adressen und Subdomains

Einrichtung

Subdomain

IP-Pools

Technische Universität München

tum

10.152.42.0/24
10.152.43.0/24

 10.152.126.0/24
10.152.127.0/24

129.187.16.0/24
129.187.17.0/24
129.187.41.0/24
129.187.47.0/24
129.187.51.0/24
129.187.98.0/24
129.187.100.0/24
129.187.173.0/24

129.187.178.0/24
129.187.205.0/24
129.187.207.0/24
129.187.209.0/24
129.187.210.0/24
129.187.211.0/24
129.187.212.0/24

2001:4ca0:2fff::/48

Ludwig-Maximilians-Universität

lmu

10.153.38.0/24
10.153.39.0/24

 10.153.154.0/24
10.153.155.0/24

141.84.12.0/24
141.84.13.0/24
141.84.14.0/24
141.84.15.0/24
141.84.16.0/24
141.84.17.0/24
141.84.18.0/24
141.84.22.0/24

 141.84.23.0/24
141.84.28.0/24
141.84.29.0/24
141.84.30.0/24
141.84.31.0/24
141.84.32.0/24
141.84.33.0/24
141.84.34.0/24

2001:4ca0:4fff::/48

Hochschule München

hm

10.159.2.0/24
10.159.3.0/24

 10.159.4.0/24
10.159.5.0/24

129.187.34.0/24
129.187.52.0/24

 129.187.110.0/24
129.187.118.0/24

2001:4ca0:6fff::/48

Hochschule Weihenstephan - Triesdorf

hswt

10.154.10.0/24
10.154.13.0/24

 10.154.14.0/24

141.40.24.0/24
141.40.115.0/24

 141.40.116.0/24

2001:4ca0:7fff::/48

Sonstige

ext

10.155.24.0/24
10.155.25.0/24

 129.187.50.0/24
badw 10.155.56.0/24
129.187.243.0/24		 10.155.57.0/24
VPN: Adressen der Server
Virtuelle Cluster IP asa-cluster.lrz.de, ipsec.lrz.de 129.187.7.27 / 2001:4ca0:0:119:0:500:1:27
asa01.lrz.de, ipsec01.lrz.de 129.187.7.1 / 2001:4ca0:0:119:0:500:1:1
asa03.lrz.de, ipsec03.lrz.de 129.187.7.3 / 2001:4ca0:0:119:0:500:1:3
asa04.lrz.de, ipsec04.lrz.de 129.187.7.4 / 2001:4ca0:0:119:0:500:1:4
asa05.lrz.de, ipsec05.lrz.de 129.187.7.5 / 2001:4ca0:0:119:0:500:1:5
asa11.lrz.de, ipsec11.lrz.de 129.187.7.11 / 2001:4ca0:0:119:0:500:1:11
Adressen aus dem Bereich 129.187.254.0/24 sind nicht mehr in Betrieb

Routing (Datentransfer)

  1. VPN-Nutzer im Münchner Wissenschaftsnetz: Für Anwender innerhalb des MWN, sei es über Funk-LAN oder öffentliche Datendose, wird immer der gesamte Datenverkehr über den VPN-Server geleitet ("geroutet").
  2. Von Zuhause oder aus dem Internet: Anders verhält es sich bei Nutzern zuhause bzw. irgendwo im Internet, die einen fremden Provider verwenden. Dabei wird das sog. Split-Tunneling eingesetzt. Dies bedeutet, dass die Daten von und zu Adressen im restlichen Internet auf direktem Wege geroutet werden. Dadurch kann ein unnötiger Umweg der Daten über den VPN-Server eingespart werden. Nur die Daten von und zu Zielen im MWN werden also verschlüsselt und über den VPN-Tunnel geschickt. Auf Nutzer-/Client-Seite ist dazu nichts Besonderes zu konfigurieren, das Routing wird automatisch entsprechend eingestellt. Auch die privaten Netze mit den Adressen 10.x.x.x, 172.16.x.x und 192.168.x.x werden direkt geroutet, außer es wird im Client die Option Allow Local LAN Access aktiviert. Dadurch wird der Zugriff auf lokale Netze zuhause bei einer aufgebauten VPN-Verbindung möglich.
  3. Spezielle Anwendungen: Bei anderen Anwendungen, wie z.B. dem Zugang zu Datenbanken, der Verwendung von Terminalserverclients oder IP-Telefonie-Anwendungen (Voice over IP, kurz VoIP), kann es nötig sein, das Split-Tunneling auszuschalten und alle Daten über den Tunnel zu senden. Dies kann durch ein Voranstellen eines Ausrufezeichens "!" vor den Usernamen bei der Authentifizierung eingestellt werden.
  4. Proxyserver: Zu beachten ist, dass bei Nutzung eines Proxyservers im MWN der WWW-Datenverkehr immer vollständig über den VPN-Server transferiert wird.
  5. Beschränkungen: Für die VPN-Verbindungen gelten die gleichen Beschränkungen bezüglich Bandbreite und exzessivem Verkehr wie beim NAT-Gateway Secomat.

Weitere Informationen zu VPN

Häufige Probleme

  1. Software-Störungen: Beim Aufbau und beim Abbau einer VPN-Verbindung ändert sich die IP-Adresse. Einige Anwendungen erlauben keinen Wechsel der Adresse während sie laufen, andere kommen damit zurecht. Es empfiehlt sich auf jeden Fall, netzabhängige Anwendungsprogramme, insbesondere Web-Browser nach dem Auf- und Abbau einer VPN-Verbindung neu zu starten.

  2. Falsche Eingabe: Ein häufiges Problem besteht in der falschen Eingabe der Nutzerkennung (Username). Ob Ihre Kennung überhaupt geeignet ist, können Sie in der Übersicht der Radiuszonen prüfen. Bei der Eingabe muss (außer bei den LRZ-Kennungen) auch der Teil nach dem "@"-Zeichen mit eingegeben werden. Achten Sie bitte auf Groß- und Kleinbuchstaben - auch beim Passwort!

    Beispiele für User-Namen:
    u1234ab
    gabi.muster@campus.lmu.de
    stefan.muster@tum.de
    h.muster@wzw.tum
  3. VPN-Verbindung über einen anderen Provider: VPN-Verbindungen über eine bereits bestehende IPsec-VPN-Verbindung sind nicht möglich. DSL-Kunden von Anbietern, welche den Verbindungsaufbau über VPN realisieren, können daher unser VPN (zurzeit) nicht nutzen.
  4. Firewalls: Bei Auftreten unklarer Probleme sollten Sie eventuell laufende (Personal) Firewalls und die Internet-Verbindungsfreigabe von Windows XP versuchsweise abschalten.

Fragen oder Probleme?

Weitere Tipps zu VPN-Verbindungen finden Sie im Bereich Frequently Asked Questions (FAQ).
Anfragen oder Kommentare richten Sie bitte an das Servicedesk.