VPN

Zuletzt geändert von Leo Fahrbach am 2024/04/24 15:56

Einrichten einer VPN Verbindung zu einem Lehrstuhl der CIT Fakultäten

1. Allgemein

1.1. Freischaltung und Konfigurationsdatei

Ein VPN ist für jeden Lehrstuhl (sowie Service-Büros etc.) erhältlich. Das VPN muss aber zunächst in Zusammenarbeit mit dem Lehrstuhladmin bzw. EDV-Betreuer eingerichtet werden. Falls Sie einen VPN-Zugang erhalten wollen, wenden Sie sich darum bitte an Ihren Lehrstuhladmin bzw. EDV-Betreuer. Diese sind letztlich auch für die Konfiguration verantwortlich, die ITO übernimmt nur den Betrieb und Beratung.

Der Zugang muss für jeden Benutzer beim Lehrstuhladmin frei geschaltet werden, die Konfigurationsdatei erhält man unter https://vpn.ito.cit.tum.de.

Bitte beachten: Eine Verbindung zum VPN kann nur von außerhalb des jeweiligen Lehrstuhlnetzes (bzw. den Netzen, die im VPN konfiguriert sind) aufgebaut werden; zum einen, da eine Verbindung doppelte Routen erzeugen würde, und zum anderen, da das VPN eine UDP-Verbindung benutzt, und UDP in den meisten Netzen komplett blockiert ist.

Das VPN erlaubt keine Direktverbindung ins Internet. Unter Windows sollte der Zugriff aufs Internet ueber die direkte Netzwerkverbindung des Computers einfach moeglich sein; unter Linux kann entweder der Webproxy (proxy.cit.tum.de) benutzt werden oder die Routing-Tabelle muss so eingestellt werden, dass das VPN nur fuer vom VPN bereitgestellte Routen benutzt wird (keine Default-Route zum VPN).

1.2. Login und Passwort

Login: CIT-Kennung (z.B. musterma)
Passwort: CIT-Passwort

1.3. Benötigte Software

Auf dem Mac empfehlen wir Tunnelblick:

macOS: Tunnelblick

Ansonsten mus die Software openvpn-client heruntergeladen und installiert werden:

Windows:  Link für Windows

Ubuntu: sudo apt-get install openvpn

2. Windows:

Installieren Sie den OpenVPN-Client diesen erhalten Sie unter: https://openvpn.net/community-downloads/

Starten Sie den Installer:

https://xwiki.rbg.tum.de/bin/download/Informatik/Helpdesk/Vpn/WebHome/OpenVPNinstallWindows.png

Kopieren Sie die OVPN-Datei (siehe oben) in den config-Ordner. Normalerweise befindet sich dieser unter C:\Programme\OpenVPN\config

https://xwiki.rbg.tum.de/bin/download/Informatik/Helpdesk/Vpn/WebHome/OpenVPNWindowsConfig.png

Starten Sie dann den VPN-Client über das Desktop-Symbol. (evtl. ist dieser schon gestartet, dann erhalten Sie eine entsprechende Meldung.

https://xwiki.rbg.tum.de/bin/download/Informatik/Helpdesk/Vpn/WebHome/OpenVPNwindowsIcon.png

Klicken Sie anschließend mit der rechten Maustaste in der Symbolleiste auf das OpenVPN-Symbol und wählen Sie verbinden

https://xwiki.rbg.tum.de/bin/download/Informatik/Helpdesk/Vpn/WebHome/OpenVPNWindwosConnect.png

Geben Sie nun Ihre Zugangsdaten ein (ohne @cit.tum.de)

https://xwiki.rbg.tum.de/bin/download/Informatik/Helpdesk/Vpn/WebHome/OpenVPNwindowsLogin.png

Nun ist die Verbindung hergestellt und das OpenVPN-Symbol in der Symbolleiste sollte grün sein.

Screenshot 2020-03-20 at 13.48.37.png

3. macOS:

Wenn Sie Tunnelblick nicht installiert haben, können Sie hier herunterladen und installieren.

Hinweis: Der Zugang muss für jeden Benutzer beim Lehrstuhladmin frei geschaltet werden, die Konfigurationsdatei erhalten Sie unter https://vpn.ito.cit.tum.de.

Öffnen Sie die Seite https://vpn.ito.cit.tum.de und Suchen Sie Ihren Lehrstuhl in der Liste.

openvpnstandard.png

Klicken Sie auf die Konfigurationsdatei (standard, legacy, ios) mit der rechten Maustaste und wählen Sie Speichern die Datei als... aus.

vpndownloadovpn.png

Wählen Sie den Speicherort der Datei aus.

openvpnsave.png

Die Datei wurde als .txt Datei gespeichert. Löschen Sie die Endung .txt. Die Konfigurationsdatei mit Doppelklick oder mit der rechten Maustaste wie unten öffnen.

openvpnopenwith.png

Sie können auswählen, ob die Konfigurationsdatei für alle Benutzer des Laptops oder nur für den aktuellen Benutzer, also für Sie installiert werden soll.

openvpnonlyme.png

Geben Sie das Systempasswort ein, um die Installation zu bestätigen.

openvpninstallconfiguration.png

Wenn die Konfigurationsdatei installiert wurde, erscheint oben rechts folgendes Fenster:

openvpnsuccessfullyinstalled.png

Sie sehen ein Tunnel-Symbol, wenn das Programm gestartet ist. Als Nächstes können Sie es anklicken und Connect vpn-xxx-standard auswählen, um zum VPN zu verbinden.

connectopenvpn.png

Zum Schluss geben Sie die CIT-Kennung (ohne @cit.tum.de ) und das ITO-Passwort im geöffneten Fenster ein und klicken Sie auf OK.

openvpnlogin.png

Wenn die Verbindung hergestellt ist, ist das Tunnelblick-Symbol weiss wie unten auf dem Screenshot zu sehen ist.

Screenshot 2020-03-20 at 13.53.25.png

4. Linux:

Die Konfigurationsdatei speichern, z.B. in den Home Ordner. Im Terminal in dieses Verzeichnis gehen und dort diesen Befehl ausführen : sudo openvpn Konfigurationsdatei, z.B. für die Gruppe XXX:

sudo openvpn vpnxxx.ovpn

Dann die CIT-Kennung (ohne @in.tum.de, @cit.tum.de oder ohne @ma.tum.de) und das ITO-Passwort eingeben.

4.1 VPN Profil in networkmanager importieren

Das ITO VPN Profil kann entweder über das Gui oder über die Kommandozeile importiert werden.

4.1.1 Über das GUI-Tool nm-connection-editor:

Klicken Sie mit der rechten Maustaste auf das nm-Applet und klicken Sie auf Verbindungen bearbeiten:
Dann wählen Sie zuerst Hinzufügen und danach Importieren einer gespeicherten VPN-Konfiguration aus.

4.1.2 Über das Terminal:

Geben Sie folgenden Befehl im Terminal ein:

nmcli connection import type openvpn file ~/vpn-rbg-standard.ovpn

4.2 Mögliche Probleme

Es kann sein, dass openvpn unter Ubuntu nicht funktioniert.
 Das Problem liegt daran, dass man im networkmanager openvpn plugin in der Einstellungsseite einen Haken bei ''Use this connection only for resources on its network'' setzen muss. Wenn man den anmacht, dann wird kein defaultgateway gesetzt. Obwohl ITO VPN kein defaultgateway setzt, kommt der networkmanager auf die Idee, trotzdem eins zu setzen wenn man dies anhakt, dann funktioniert die VPN-Verbindung.

vpnipv4.jpg.png

Dasselbe sollte auch für IPv6 Settings gemacht werden.

vpnipv6.png

5. Spezialfälle

5.1 Mehrere VPNs

In Windows muss bei mehreren gleichzeitigenOpenVPN-Verbindungen ein weiteres TAP-Device hinzuge fügt werden.

Windows 7:

  • Hierzu fügt man per \"hdwwiz.exe\" (Add Hardware Wizard) eine neue Hardwarekomponente hinzu.
  • Man wählt die Hardware manuell aus der Liste aus (erweiterte Einstellung), belässt die Einstellungen bei \"Alle Komponenten anzeigen\", klickt auf \"Installationsmedium vorhanden\"
  • Der Pfad für den Treiber ist:C:\Program Files\TAP-Windows\driver
  • TAP-Windows Adapter V9 auswählen

alle Windows-Versionen:

Powershell -> Als Administrator ausführen
cd "\Program Files\TAP-Windows\bin" .\tapinstall.exe install "C:\Program Files\TAP-Windows\driver\OemVista.inf" tap0901

5.2 unterschiedliche VPNs

Es gibt Probleme bei der gleichzeitigen Installation anderer VPN-Clients:

- Stonesoft: Der Stonesoft VPN-Client kann die Konfiguration der Routen verhindern. In diesem Fall ist Deinstallation des Stonesoft-Client derzeit die beste Lösung.

- AVM Client: der AVM-Client kann einen Bluescreen auslösen. In diesem Fall muss die Bindung an AVM-Client im TAP-Adapter entfernt werden.

- EduVPN: Derzeit keine Probleme bekannt.