VPN-Technik
Der VPN-Dienst im Münchner Wissenschaftsnetz (MWN) basiert auf dem IPSec-Standard, welcher durch die Verschlüsselung der Daten eine hohe Sicherheit bietet. Voraussetzung für die Nutzung ist eine gültige Zugangskennung (Radiuskennung). Es muss ein spezielles Client-Programm verwendet werden, welches für die Nutzer des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.
Voraussetzungen
Voraussetzung für die Einrichtung eines "Virtual Private Net" (VPN) ist eine gültige Zugangskennung (Radiuskennung). Zur technischen Realisierung des "privaten Netzes" wird ein spezielles Client-Programm benötigt, das für die Nutzer des LRZ für die meisten Betriebsysteme kostenfrei zur Verfügung gestellt wird.
Technische Beschreibung
Datensicherheit
Mittels VPN wird über eine bestehende IP-Verbindung eine zweite Verbindung (Tunnel) aufgebaut, welche den gesamten Datenverkehr über einen dedizierten Rechner, einen VPN-Server aus dem VPN-Cluster, leitet. Zum Einsatz kommen hier IPsec und SSLVPN, die die notwendige Sicherung gegen unbefugten Zugang und den Schutz der Daten durch Verschlüsselung gewährleisten. Nur der Empfänger kann die verschlüsselten Daten wieder entschlüsseln.
SSLVPN
Unter der Adresse asa-cluster.lrz.de wird der Cluster der SSLVPN-Server angesprochen. Der Cluster besteht zur Zeit aus den selben 4 Cisco ASA5540, die auch die IPsec-Dienste anbieten. Die Verbindung besteht aus bis zu drei Verbindungen, einer zu Kontrolle der Verbindung, einer SSL-TCP-Verbindung zur Datenübertragung und ggf. einer DTLS-UDP Verbindung zur Datenübertragung mit geringerer Latenz. Die Authenzität des Servers wird mit Zertifkaten überprüft.
IPsec
Der VPN-Server ipsec.lrz.de
besteht aus vier Geräten. Die Appliances Cisco ASA5540 arbeiten mit dem IPsec-Protokoll, das den Aufbau von sicheren Internetverbindungen beschreibt. Sie verschlüsseln die Daten gemäß dem Standard 3DES oder AES in Hardware. Mit dem Gruppenpasswort, einem sog. Preshared Key, den alle Benutzer gemeinsam haben, wird der Zugang zum VPN-Server überprüft. Er ist verschlüsselt in der Konfigurationsdatei abgelegt. Die Anmeldung erfolgt dann wie gewohnt durch Angabe einer Radius-Kennung.
IP-Adressen, Domainnamen
Per Voreinstellung wird eine weltweit geroutete IP-Adresse zugewiesen. Diese gehört zu einem von mehreren Adress-Pools, je nach der Instituion, der der Nutzer angehört. Diese Zugehörigkeit wird automatisch aus der Nutzerkennung ermittelt. Zum Schutz gegen Angriffe aus dem Internet kann auch eine private IP-Adresse (RFC 1918), welche nur innerhalb des MWN geroutet wird, angefordert werden. Für eine private Adresse ist der Nutzerkennung (Benutzername) bei der Authentifizierung ein # (Doppelkreuz) voranzustellen. Alle MWN-internen Dienste funktionieren mit einer privaten Adresse; nur für spezielle externe Dienste wie ICQ oder Messaging ist eine weltweit geroutete Adresse erforderlich.Verbindet man sich außerhalb des MWN über VPN, werden nur Netze im MWN über den VPN-Tunnel angesprochen. Das kann durch Voranstellen eines "!" vor die Kennung abgeschlatet werden.
Studentenwohnheime
Rechner, d.h. Clients, die vor dem Aufbau der VPN-Verbindung bereits eine private IP-Adresse haben, erhalten beim VPN eine offizielle IP-Adresse (außer mit #). Ausnahmen sind Clients in Studentenwohnheimen, diese erhalten immer private IP-Adressen.
IPv6-Adressen
Beim AnyConnect Client wird die IPv6-Adresse automatisch zugewiesen. Beim IPsec-Client gilt: Ist auf dem Client der Dienst isatap definiert, dann erhält der Rechner auch eine IPv6 Adresse. Mehr Informationen sind unter http://www.lrz.de/services/netz/ipv6/isatap1/index.html zu finden.
Jeder IPv4-Adresse wird außerdem ein Hostname der Form xxx.subdomain.vpn.lrz.de
zugewiesen. Die Adressen und Subdomain-Namen sind aus der folgenden Tabelle ersichtlich (die IP-Pools können sich ändern, Darstellung in CIDR-Format):
Einrichtung |
Subdomain |
IP-Pools | |
---|---|---|---|
Technische Universität München |
tum |
|
10.152.126.0/24 |
|
|
||
|
|||
Ludwig-Maximilians-Universität |
lmu |
|
10.153.154.0/24 |
|
141.84.23.0/24 |
||
|
|
||
Hochschule München |
hm |
|
10.159.4.0/24 |
|
129.187.110.0/24 |
||
|
|
||
Hochschule Weihenstephan - Triesdorf |
hswt |
|
10.154.14.0/24 |
|
141.40.116.0/24 |
||
|
|
||
Sonstige |
ext |
|
129.187.50.0/24 |
badw | 10.155.56.0/24 129.187.243.0/24 |
10.155.57.0/24 |
Virtuelle Cluster IP | asa-cluster.lrz.de, ipsec.lrz.de | 129.187.7.27 / 2001:4ca0:0:119:0:500:1:27 |
asa01.lrz.de, ipsec01.lrz.de | 129.187.7.1 / 2001:4ca0:0:119:0:500:1:1 | |
asa03.lrz.de, ipsec03.lrz.de | 129.187.7.3 / 2001:4ca0:0:119:0:500:1:3 | |
asa04.lrz.de, ipsec04.lrz.de | 129.187.7.4 / 2001:4ca0:0:119:0:500:1:4 | |
asa05.lrz.de, ipsec05.lrz.de | 129.187.7.5 / 2001:4ca0:0:119:0:500:1:5 | |
asa11.lrz.de, ipsec11.lrz.de | 129.187.7.11 / 2001:4ca0:0:119:0:500:1:11 | |
Adressen aus dem Bereich 129.187.254.0/24 sind nicht mehr in Betrieb |
Routing (Datentransfer)
- VPN-Nutzer im Münchner Wissenschaftsnetz: Für Anwender innerhalb des MWN, sei es über Funk-LAN oder öffentliche Datendose, wird immer der gesamte Datenverkehr über den VPN-Server geleitet ("geroutet").
- Von Zuhause oder aus dem Internet: Anders verhält es sich bei Nutzern zuhause bzw. irgendwo im Internet, die einen fremden Provider verwenden. Dabei wird das sog. Split-Tunneling eingesetzt. Dies bedeutet, dass die Daten von und zu Adressen im restlichen Internet auf direktem Wege geroutet werden. Dadurch kann ein unnötiger Umweg der Daten über den VPN-Server eingespart werden. Nur die Daten von und zu Zielen im MWN werden also verschlüsselt und über den VPN-Tunnel geschickt. Auf Nutzer-/Client-Seite ist dazu nichts Besonderes zu konfigurieren, das Routing wird automatisch entsprechend eingestellt. Auch die privaten Netze mit den Adressen
10.x.x.x, 172.16.x.x
und192.168.x.x
werden direkt geroutet, außer es wird im Client die OptionAllow Local LAN Access
aktiviert. Dadurch wird der Zugriff auf lokale Netze zuhause bei einer aufgebauten VPN-Verbindung möglich. - Spezielle Anwendungen: Bei anderen Anwendungen, wie z.B. dem Zugang zu Datenbanken, der Verwendung von Terminalserverclients oder IP-Telefonie-Anwendungen (Voice over IP, kurz VoIP), kann es nötig sein, das Split-Tunneling auszuschalten und alle Daten über den Tunnel zu senden. Dies kann durch ein Voranstellen eines Ausrufezeichens "!" vor den Usernamen bei der Authentifizierung eingestellt werden.
- Proxyserver: Zu beachten ist, dass bei Nutzung eines Proxyservers im MWN der WWW-Datenverkehr immer vollständig über den VPN-Server transferiert wird.
- Beschränkungen: Für die VPN-Verbindungen gelten die gleichen Beschränkungen bezüglich Bandbreite und exzessivem Verkehr wie beim NAT-Gateway Secomat.
Häufige Probleme
- Software-Störungen: Beim Aufbau und beim Abbau einer VPN-Verbindung ändert sich die IP-Adresse. Einige Anwendungen erlauben keinen Wechsel der Adresse während sie laufen, andere kommen damit zurecht. Es empfiehlt sich auf jeden Fall, netzabhängige Anwendungsprogramme, insbesondere Web-Browser nach dem Auf- und Abbau einer VPN-Verbindung neu zu starten.
-
Falsche Eingabe: Ein häufiges Problem besteht in der falschen Eingabe der Nutzerkennung (Username). Ob Ihre Kennung überhaupt geeignet ist, können Sie in der Übersicht der Radiuszonen prüfen. Bei der Eingabe muss (außer bei den LRZ-Kennungen) auch der Teil nach dem "@"-Zeichen mit eingegeben werden. Achten Sie bitte auf Groß- und Kleinbuchstaben - auch beim Passwort!
- Beispiele für User-Namen:
- u1234ab
- gabi.muster@campus.lmu.de
- stefan.muster@tum.de
- h.muster@wzw.tum
- VPN-Verbindung über einen anderen Provider: VPN-Verbindungen über eine bereits bestehende IPsec-VPN-Verbindung sind nicht möglich. DSL-Kunden von Anbietern, welche den Verbindungsaufbau über VPN realisieren, können daher unser VPN (zurzeit) nicht nutzen.
- Firewalls: Bei Auftreten unklarer Probleme sollten Sie eventuell laufende (Personal) Firewalls und die Internet-Verbindungsfreigabe von Windows XP versuchsweise abschalten.
Fragen oder Probleme?
Weitere Tipps zu VPN-Verbindungen finden Sie im Bereich Frequently Asked Questions (FAQ).
Anfragen oder Kommentare richten Sie bitte an das Servicedesk.