VPN-Zugang ins TUBANET der TU Bergakademie Freiberg

     Nutzung des Virtuellen Privaten Netzes (VPN) im TUBANET der TU Bergakademie
     Installieren des Cisco Systems VPN Client
    Installation des Cisco Systems VPN Client unter MS-Windows
     Konfiguration des Cisco Systems VPN Client
     Zugangshilfe für Bibliotheksrecherche nach VPN-Einwahl von Aussen
    Installationsanleitung "Quickproxy"
    (Mit dem Wechsel des zentralen Firewalls nicht mehr notwendig.)
     Alternative ShrewSoft VPN-Client zu Cisco
    Der ShrewSoft VPN-Client ist eine quelloffene und kostenlose Alternative zum VPNclient von Cisco
     Download des Shrew Soft VPN Client
     Installieren des Shrew Soft VPN Client
     Konfiguration des Shrew Soft VPN Client
     Zugang auf mobilen Geräten

Kurzfassung

Ab sofort stellt das Universitätsrechenzentrum seinen Nutzern an der TU Bergakademie Freiberg einen gesicherten Zugang (IPSec-verschlüsselter VPN-Zugang) in das interne Campusdatennetz TUBANET aus unsicheren öffentlichen Datennetzen (Einwahl über beliebige Internetprovider) zur Verfügung.
Das VPN dient weiterhin zum sicheren und komfortablen Zugang in das Internet und zu internen Ressourcen des TUBANET aus dem Funknetz (TUBAFuN) sowie bei der Nutzung von Anschlüssen in öffentlich zugänglichen Räumen (Hörsäle, Seminarräume, Foyers) der TU Bergakademie Freiberg.

Entsprechende VPN-Client-Software der Firma Cisco Systems, Inc. werden unter der folgenden URL zum Download angeboten:



Was ist ein VPN?

VPN (Virtual Privat Network) schließt Computer oder ganze Netze über ein unsicheres Netz (Internet oder Funknetz) virtual an das Campusnetz TUBANET an. Das Netz bzw. der angeschlossene Computer werden virtueller Teil des TUBANET und Zugriffe auf das Intranet (hochschulinterner Bereich) werden dadurch möglich.
Ein zweiter wichtiger Aspekt einer VPN-Verbindung liegt in der verschlüsselten Datenübertragung über das dazwischen liegende "unsichere" Internet bzw. Funknetz.
Eine VPN-Verbindung wird immer zwischen einem VPN-Client (auf Ihrem PC installiert) und einem VPN-Server (am URZ) aufgebaut. Ab dem VPN-Server in das innere Netz liegt wieder ein unverschlüsselter Datenverkehr vor.
Der Datenverkehr von externen Nutzern, von öffentlichen Netzdosen im Campus und über das Funknetz der TU (TUBAFUN) wird über eine VPN-Verbindung realisiert, um das Abhören von sicherheitsrelevanten Daten (z.B. Passwörter) in so genannten unsicheren Netzabschnitten zu unterbinden.

Was benötige ich?

Jeder Nutzer des VPN-Dienstes, ganz gleich von welchem Standort:

  1. aus dem Funknetz (TUBAFUN),
  2. von einer öffentlichen Netzdose im Campus,
  3. aus einem beliebigen Standort im Internet,

benötigt für den Aufbau einer VPN-Verbindung:

  1. eine Benutzerkennung mit Passwort in der zentralen Nutzerdatenbank des URZ,
  2. die zum Betriebssystem des eigenen Computers passende VPN-Client-Software,
  3. und für Funknetzzugang einen PC mit Funknetzkarte.

Zugangsarten über VPN

In der nachfolgenden Skizze sind die drei möglichen Zugriffsarten dargestellt.


Prinzip-Skizze des VPN im TUBANET


Zugang aus dem Funknetz (TUBAFUN)

Zeitgleich mit der Bereitstellung von VPN-Verbindungen ist auch das Funknetz der TU Bergakademie Freiberg (TUBAFUN) zur Nutzung freigegeben worden. Es konzentriert sich zunächst auf so genannte "Hot Spots" und wird bedarfsgerecht, flächendeckend ausgebaut.
Aktuelle Informationen zum TUBAFAN finden Sie im Funknetz der TU Bergakademie Freiberg.

Der Zugang

Sie befinden sich mit Ihrem Computer mit Funknetzkarte im Empfangsbereich eines von uns installierten Sender, dem so genannten Access-Point. Dieser Sender gehört zum Funknetz der TU, das von uns den Namen "tubafun" bekommen hat. In der Netzverbindung " Wireless-LAN" auf Ihrem Computer (Laptop) muss dieses das aktuelle Netz sein. Sie können durchaus im Sendegebiet von mehreren Funknetzen liegen und müssen sich in diesem Fall das Funknetz "tubafun" als bevorzugtes Funknetz auswählen.
Nach Verbindungsaufnahme zum Access-Point befinden Sie sich in einem internen, nicht routbarem Netz d.h., Sie haben noch keine Konnektivität zum TUBANET und ins Internet.
Ihr Computer muss auf "IP-Adresse automatisch beziehen" eingestellt sein, damit Ihnen vom DHCP-Server automatisch eine IP-Adresse zugeordnet werden kann.

Sie benötigen nun einen VPN-Client für Ihr Betriebssystem, den Sie sich unter

http://www.vpn.tu-freiberg.de/

mit dem lokalen Browser herunterladen und installieren.


Zugang von einem Netzanschluss aus einem öffentlichen Raum

Um einen unkontrollierten Zugang ins TUBANET und in das Internet über Netzanschlüsse in öffentlichen Räumen zu unterbinden, werden diese in ein nicht routbares Netz gelegt. Erst nach Aufbau einer authentisierten VPN-Verbindung ins TUBANET werden alle Beschränkungen aufgehoben und Sie können arbeiten wie sie es bisher im LAN gewöhnt sind.
Voraussetzung ist, dass Ihr Computer so eingestellt ist, dass er eine IP-Adresse automatisch beziehen kann. In Ihrer LAN-Verbindung muss der Knopf "IP-Adresse automatisch beziehen" gedrückt sein. Nur so bekommt Ihr Computer erst einmal eine IP-Adresse aus dem nicht routbaren Netz und kann in diesem kommunizieren.

Nun laden Sie sich über die Adresse:

http://www.vpn.tu-freiberg.de/

den für Sie passenden VPN-Clienten herunter und installieren diesen vor dem ersten Zugang ins Netz.

Sollten Sie keine Verbindung zum Web-Server des nicht routbaren Netzes bekommen, so kann

  1. der Knopf "IP-Adresse automatisch beziehen" nicht gedrückt sein oder
  2. die gewählte Netzdose noch nicht auf das interne Netz umgestellt worden sein.

In beiden Fällen setzen Sie sich mit Ihrem lokalen Netzwerkadministrator in Verbindung.

Zugang aus dem Internet in das Campusdatennetz TUBANET

Wenn Sie sich über einen beliebigen Provider von zu Hause oder von einem externen Arbeitsplatz in das Internet einwählen, stehen Ihnen bestimmte Netzdienste der TU Bergakademie Freiberg nicht zur Verfügung. Sie haben keinen Zugriff auf interne Informationen, können nicht alle Bibliotheksrecherchen durchführen oder auf dem Newsserver sich in den Newsgruppen informieren. Diese Dienste sind nur einem Computer mit einer IP-Adresse aus dem TU-Adressraum bereitgestellt. Vom Provider erhalten Sie eine IP-Adresse aus seinem Bereich automatisch zugewiesen, sodass Sie bei Zugriff auf das Intranet der TU immer als externer Nutzer erkannt und abgewiesen werden. Benutzen Sie jedoch von gleicher Stelle einen VPN-Zugang, so kommuniziert Ihr Computer über den VPN-Tunnel virtuell mit einer IP-Adresse aus dem Adressraum der TU Freiberg und Sie werden als Mitarbeiter oder Student unserer Einrichtung erkannt. Sie haben damit die gleichen Zugriffsrechte auf Informationen wie interne Nutzer.

Achtung! Bei der VPN-Nutzung vom Internet aus tritt allerdings eine systembedingte Besonderheit auf. Über das VPN kann im Gegensatz zu den beiden anderen Zugangsarten (Funknetz, öffentlich zugängliche Festnetzdosen im Campus) beim Zugriff aus dem Internet nicht wieder in das Internet zurückgeroutet werden. D.h. solange die verschlüsselte Verbindung in das Campusdatennetz TUBANET besteht, können vom externen PC aus nicht gleichzeitig Verbindungen in das Internet aufgenommen oder unterhalten werden. Diese Einschränkung ist systembedingt und verhindert, dass ein potentieller Angreifer durch gleichzeitiges Beobachten Ihrer verschlüsselt in das TUBANET hineingehenden und unverschlüsselt aus dem TUBANET herauskommenden Datenpakete die geheimen IPSec-Schlüssel ermitteln kann.
Das sollte für Sie allerdings normalerweise kein Problem darstellen, Sie müssen sich lediglich in Ihrer Arbeitsweise darauf einstellen, dass Sie entweder gesichert im Campusdatennetz TUBANET oder ungeschützt im Internet arbeiten.
Für den begründeten Ausnahmefall, dass Sie von außerhalb z.B. die Recherchemöglichkeiten in elektronischen Zeitschriften und Datenbanken (siehe Webseiten der Universitätsbibliothek), deren Zugriff an eine TUBANET-IP-Adresse (139.20.) gebunden ist, nutzen möchten, bietet wir den sicheren Weg über einen internen Web-Proxy an.
Konfigurieren Sie dazu nach der Verbindungsaufnahme mittels des VPN-Clienten in Ihrem Browser den zentralen Webserver "www.tu-freiberg.de" mit dem Port 80 als Web-Proxy. Dieser leitet dann Ihre http- und ftp-Anfragen an die betreffenden Server außerhalb des Campusdatennetzes.
Bitte beachten Sie, dass Sie nach Trennen der gesicherten VPN-Verbindung in das Campusdatennetz die entsprechende Proxy-Einstellung in Ihrem Webbrowser wieder deaktiveren müssen, da der interne Webbproxy seinerseits nur Anfragen aus den VPN-Zugangsnetzen (139.20.207.0/24 und 139.20.208.0/24) entgegennimmt.

Vor dem Erstzugang müssen Sie sich den für Ihr Betriebssystem aktuellen VPN-Client unter der URL:


herunterladen und installieren.


Installieren des VPN-Clienten

Sie haben sich unabhängig von Ihrer gewünschten Zugangsart einen VPN-Client heruntergeladen und müssen diesen nur einmal auf Ihrem Computer installieren.

Bei allen späteren VPN-Zugängen starten Sie nur den installierten VPN-Client und Ihr VPN-Tunnel wird sofort nach Ihrer Authentisierung aufgebaut.

Die Installation der Cisco-VPN-Clienten unterscheidet sich nach dem jeweils verwendeten Betriebssystem auf Ihrem lokalen PC. Die untenstehenden Links führen Sie zu einer detaillierten Installations- und Konfigurationsanleitung