VPN
- VPN allgemein
- VPN für Institute
- Was ist "Instituts-VPN" ?
- Technische Umsetzung
- Instituts-VPN beantragen und Benutzerkonten konfigurieren
- VPN Einrichten
- Cisco Secure Client nutzen
VPN allgemein
Kurz und knapp bietet die Verwendung von VPN Nutzenden an der TU Braunschweig folgende Vorteile:
- Sämtlicher Verkehr aus dem möglicherweise unsicheren lokalen Netz wird zunächst verschlüsselt zur TU Brauschweig übertragen. Der Verkehr selbst, so wie eigene Aktivitäten im Netz vor Ort sind vor dem Ausspähen durch Dritte geschützt.
- Man erhält Zugriff auf Dienste, die sonst nur aus dem Netz der TU Braunschweig möglich sind.
- Es werden die DNS-Server der TU Braunschweig genutzt, auf denen Sicherheitsmechanismen implementiert sind, die u. a. den Zugriff auf kompromittierte Ziele blockieren.
Genauer steht VPN steht für "Virtual Private Network", auf Deutsch virtuelles privates Netzwerk. Es handelt sich zunächst allgemein um eine Technologie, die es ermöglicht, eine sichere Verbindung zwischen einem Nutzer (oder einem lokalen Netzwerk) und einem entfernten Netzwerk herzustellen. Dabei wird außerdem der Datenverkehr zwischen Client und Server verschlüsselt, um Privatsphäre und die Sicherheit der übertragenen Daten zu gewährleisten. Oft wird diese Verbindung auch als "VPN-Tunnel" bezeichnet. Eine Einwahl per VPN aus einem mobilen Netzwerk, bei der sämtlicher Verkehr zunächst verschlüsselt zur Heimateinrichtung übertragen wird, beugt der Ausspähung der übertragenen Daten und eigenen Aktivitäten durch Dritte vor, die lediglich beobachten können, dass sämtlicher Verkehr zu einem einzigen entfernten Ziel übermittelt wird.
Für den VPN-Tunnel können verschiedene Protokolle zur gegenseitigen Authentifizierung der Tunnel-Endpunkte und Verschlüsselung des Datenverkehrs eingesetzt werden. An der TU Braunschweig wird IKEv2 für die Authentifizierung und den Austausch der Verschlüsselungsparamter eingesetzt, während der Tunnel selbst über Port 443 per SSL verschlüsselt wird. Letzteres erlaubt den Aufbau eines Tunnels aus nahezu allen Netzwerken, in denen speziellere Protokolle (z.B. IPSec) blockiert werden. Auf Client-Seite setzen wir hier insbesondere auf die Software "Cisco Secure Connect", die in gleicher bzw. sehr ähnlicher Weise für alle gängigen Betriebssysteme bereit steht.
Neben der Verschlüsselung des Verkehrs führt der Aufbau eines VPN-Tunnels zur Heimateinrichtung außerdem dazu, dass man innerhalb des Tunnels über eine IP-Adresse kommuniziert, die zur Heimateinrichtung gehört, und ggf. so von den Vorteilen und Berechtigungen profitiert, die man ansonsten nur nutzen könnte, wenn man sich im Heimatnetz befindet. An der TU-Braunschweig bezieht sich dies insbesondere auf einige Dienste, die sonst nur innerhalb des TU-Netzwerks erreichbar sind bzw. Dienste externer Anbieter, die diese wiederum für den Adressbereich der TU freigegeben haben. Letzteres betrifft vor allem Bibliotheksrecherchen in den Portalen verschiedener Verlage für wissenschaftliche Veröffentlichungen.
Ein weiterer Vorteil, der in Zeiten immer häufiger und professioneller werdender Phishing-Attacken von zunehmender Bedeutung wird, ist, dass für Verbindungen durch den VPN-Tunnel die DNS-Server der TU Braunschweig für die Namensauflösung zuständig sind. Bei der Herstellung einer VPN-Verbindung mit dem Profil "Tunnel-all-Traffic" profitieren Nutzende deswegen auch mobil bzw. im HomeOffice von den darauf implementierten Sicherheitsmechanismen, die z.B. den Zugriff auf bekanntermaßen kompromittierte Ziele blocken.
Es kann jeweils immer nur eine Verbindung pro Benutzer aufgebaut werden.
VPN für Institute
Beschreibt den Dienst "Instituts-VPN", der auf dem allgemeinen VPN-Dienst aufsetzt.
Was ist "Instituts-VPN" ?
Die Einwahl über den VPN-Dienst der TU (vpngate.tu-braunschweig.de) erlaubt zunächst grundsätzlich die verschlüsselte Übertragung von Daten aus einem möglicherweise unsicheren (mobilen) Netz bis zur TU, wo der Verkehr entschlüsselt und die Daten normal über das Internet weiterverteilt werden. Darüberhinaus erhält der Nutzer durch die im VPN vergebene TU-interne IP-Adresse Zugriff auf Dienste der TU, die nur TU-intern freigegeben sind. Im Kombination mit entsprechenden Regeln auf den Instituts-Firewalls, die die Netze aller Einrichtungen auch innerhalb der TU noch mal voreinander schützen, erweitert der Dienst "Instituts-VPN" letzteren Vorteil gewissermaßen auf die Netze und internen Dienste innerhalb einzelner Einrichtungen.
Das Angebot "Instituts-VPN" baut dazu auf dem allgemeinen VPN-Angebot auf, stellt aber den Nutzern einzelner Einrichtungen jeweils einen eigenen VPN-Adress-Pool bereit, der im KDD unter Datennetz->IPv4 eingesehen werden kann. Nutzer des Dienstes "Instituts-VPN" erhalten bei der VPN-Einwahl entsprechend keine IP-Adresse aus einem öffentlichen VPN-IP-Adressbereich der TU sondern eine IP-Adresse aus dem VPN-Adressbereich, der nur ihrer Einrichtung gehört und nur von Mitarbeitenden der Einrichtungen genutzt werden kann. Welche Mitarbeitenden (mit welcher TUBS-ID) den Dienst nutzen können, stellt der DV-Koordinator dazu im KDD ein. Entsprechende Einstellungen werden unter „Personen zu Netzwerk“ im KDD durchgeführt und sind ca. 30 Minuten später (ggf. nach Neu-Einwahl im VPN) aktiv. Nach Aufbau der VPN-Verbindung kann in den "Statistics" des Anyconnect-Clients oder wahlweise über z.B. die Website https://www.wieistmeineip.de überprüft werden, ob eine IP-Adresse aus dem für die Einrichtung reservierten Adressbereich vergeben wurde.
Parallel dazu wird die Firewall der Einrichtung so konfiguriert, dass Einrichtungs-interne Dienste von den speziellen VPN-IP-Adressen aus zugreifbar werden. Wie weitreichend diese Firewall-Freischaltungen sein sollen, richtet sich nach Ihren Anforderungen.
Die folgenden zwei Bilder verdeutlichen beispielhaft den Unterschied zwischen der Nutzung des allgemeinen VPN-Dienstes und der Nutzung von Instituts-VPN im Hinblick auf Instituts-interne Dienste:
mit VPN
Technische Umsetzung
Für die technische Realisierung des Dienstes "Instituts-VPN" vergeben wir an jede Einrichtung einen Pool von maximal acht öffentlichen IP-Adressen im VPN und richten zur Nutzung dieses Adresspools für Ihre Einrichtung ein spezielles Verbindungsprofil auf unserem VPN-Gateway ("vpngate.tu-braunschweig.de) ein. Durch Zuordnung des entsprechenden Netzes zur TUBS-ID eines Mitarbeitenden (im KDD unter „Personen zu Netz“) wird bei der Anmeldung dieser TUBS-ID am VPN-Gateway eine Information übermittelt, die für genau diese TUBS-ID das Profil und damit den Adresspool für Ihr Institut auswählt. Dadurch brauchen weder Sie noch Ihre Kollegen Änderungen an Ihren VPN-Clients bzw. deren Konfiguration vorzunehmen. Sie installieren und konfigurieren den Client genau wie zur Nutzung des allgemeinen VPN-Angebots.
Die IP-Adressen Ihres VPN-Pools werden dynamisch zugeordnet. Eine feste Zuweisung von IP-Adressen im VPN an einzelne Benutzer ist nicht möglich. Entsprechend der Größe des VPN-Adressspools können gleichzeitige VPN-Verbindungen aufgebaut werden. Sofern dies nicht ausreicht, teilen Sie (als DV-Koordinator) bitte mit, dass es einen erhöhten Bedarf gibt. Dann werden wir zusätzlich eine Lösung konfigurieren, die mithilfe von NAT/PAT die Anzahl der gleichzeitig möglichen Verbindungen bis auf ca. 260 gleichzeitige Verbindungen erweitert, ohne dass auf den Clients etwas geändert werden muss. Bei dieser Lösung wird zusätzlich zu den bereits vergebenen öffentlichen IP-Adressen ein Netz von 255 privaten Adressen (aus dem Adressraum 10.0.*.*) konfiguriert und dynamisch auf die letzte der öffentlichen IPs übersetzt.
Instituts-VPN beantragen und Benutzerkonten konfigurieren
Instituts-VPN beantragen
Im Modul "Datennetz" des KDD sind die Netzbereiche aufgelistet, die teilweise oder vollständig Ihrer Einrichtung zugeordnet sind. Neben den Namen der Adressbereiche befinden sich Spalten für weitere Dienste, die zu den Adressbereichen aktiv oder verfügbar sind. Zum Beantragen von Instituts-VPN klicken Sie auf "Beantragen" in der entsprechenden Spalte. Bitte beachten Sie, dass wir den Dienst in der Regel nur für einen Adressbereich einer Einrichtung einrichten. Näheres zur Netzübersicht finden Sie auch in der Dokumentation des KDD-Datennetzmoduls.
Ist Instituts-VPN bereits aktiv, wird dies (neben dem entsprechenden grünen Haken in der Spalte neben dem Adressbereich) in der Rubrik "Übersicht anderer Adressbereiche" weiter unten angezeigt. Dort wird jedoch nur der übergeordnete Adressbereich aufgelistet, aus dem Ihrer Einrichtung einzelne IP-Adressen zugeteilt wurden. Welche IP-Adressen dies genau sind, erfahren Sie durch Klick auf den Adressbereich.
Benutzerkonten für Instituts-VPN konfigurieren
In der Rubrik "Personen zu Netzwerk" werden alle Mitarbeitenden, die der Einrichtung zugeordnet sind, mit Ihren jeweiligen Benutzerkonten aufgelistet. Markieren Sie einen Mitarbeiter durch Klick und gehen Sie unten auf [Auswählen]. In der folgenden Ansicht können Sie pro TUBS-ID des Mitarbeitenden über ein Drop-Down-Menü wählen, ob diese bei der VPN-Einwahl im öffentlichen Netz ("Public") oder in einem der Einrichtung zugeordneten VPN-Adressbereich landen sollen. Bestätigen Sie die Änderung durch Klick auf die entsprechende Schaltfläche. Es kann bis zu 30 Minuten dauern, bis die Änderung im System aktiv wird. Danach muss außerdem eine neue Anmeldung am VPN erfolgen.
VPN Einrichten
Anleitung zum Einrichten von VPN auf verschiedenen Endgeräten.
Windows
Zunächst laden Sie die Installationsdatei für Ihr Betriebssystem unter https://www.tu-braunschweig.de/it/software → Download VPN-Client → Windows herunter. Speichern Sie diese zunächst auf Ihrer Festplatte.
Mac OS
Für die (erstmalige) Installation des Cisco Secure-Clients laden Sie die zugehörige Installations-Datei zunächst von unserer Webseite herunter. Öffnen Sie die Datei durch Doppelklick.
Wenn Sie den Client beendet haben, können Sie ihn zukünftig über Programme → Cisco → Cisco Secure-Client starten.
Linux
Laden Sie den VPN Client „anyconnect-linux-<Version>.tar.gz“ (32bit) oder „anyconnect-linux-64-<Version>.tar.gz“ (64bit) von der Downloadseite des Gauß-IT-Zentrums (unter Software bei „V“ für VPN) herunter.
In jedem Fall können Sie das Programm aber über die Kommandozeile öffnen:
/opt/cisco/anyconnect/bin/vpnui
Apple IOS und Android
Für Smartphones von Apple mit IOS Betriebssystem und Geräten anderer Hersteller mit Googles Android Betriebssystem finden Sie den "Cisco Secure Client - Anyconnect" im jeweiligen Anbieterportal. Bitte suchen Sie dort nach „Cisco Secure Client“. Wählen Sie die Version, die von „Cisco Systems, Inc.“ herausgegeben wird und installieren Sie die neueste Version der App.
Die Benutzer von Apple-Geräten haben es besonders leicht, da die Monokultur der Hardware es der Softwareentwicklung bei Cisco ermöglicht, genau eine Version anzubieten. Benutzer von Android-Geräten müssen sich u. U. die für ihr Gerät passende Version anhand der Beschreibungen heraussuchen.
Um eine Verbindung herzustellen, starten Sie bitte den Cisco AnyConnect Client auf Ihrem Smartphone. Wählen Sie für die erste Verbindung „Neue VPN-Verbindung hinzufügen…“ aus. Es öffnet sich der Verbindungseditor. Tippen Sie auf „Serveradresse“ und geben Sie „vpngate.tu-bs.de“ (oder vpngate.tu-braunschweig.de) in das Feld ein und bestätigen mit **OK**. In der Liste der verfügbaren Verbindungen erscheint nun „vpngate.tu-bs.de“. Starten Sie die Verbindung, indem Sie einen Eintrag auswählen und ggf. auf den Schalter im Feld „AnyConnect-VPN“ (Apple) tippen. Sie werden nun aufgefordert, Ihre TUBS-ID und das dazugehörige Kennwort einzugeben, um eine Verbindung herzustellen.
Bei der ersten Verbindung werden Konfigurationsprofile heruntergeladen und in der Applikation hinterlegt, zwischen denen in der Folge gewechselt werden kann. Welches der Profile in welchem Fall genutzt werden sollte, lesen Sie bitte in den entsprechenden Abschnitten "Cisco Secure Connect Client" nutzen bzw. Wahl der Profile dieser Anleitung nach.
iOS
Android
Cisco Secure Client nutzen
Beschreibt, wie der Cisco Secure Client erstmals eingerichtet wird und welche Optionen es bei der Profilauswahl gibt.
VPN-Client "Cisco Secure Client" erstmals starten
Die Verwendung des Clients ist unabhängig davon, auf welchem Betriebssystem er installiert ist. Für die Verwendung ist ebenso unerheblich, wie der Client genau aussieht, was unter Mac OS X, Windows und Linux jeweils leicht unterschiedlich ist. Die Versionen für Smartphones unterscheiden sich naturgemäß stärker von den Desktop-Versionen, weswegen Sie hier bitte der Beschreibung im vorhergehenden Abschnitt folgen. In dieser Anleitung werden wir nicht jeden Schritt mit einem Screenshot aller Versionen belegen, sondern uns an unterschiedlichen Beispielen orientieren. Hier zunächst ein kurzer Überblick über das unterschiedliche Aussehen der Clients unter den verschiedenen Betriebssystemen:
VPN an anderen Einrichtungen nutzen
Wenn Sie an mehr als einer Einrichtung den AnyConnect VPN-Client benutzen müssen oder sollen, dann können Sie dies ohne erneute Installation des Programms tun. Starten Sie den Client. Klicken Sie in das Feld „Connect to:“ bzw. „VPN: Ready to connect:“ hinein und Tippen Sie den Namen des neuen VPN-Servers in das Feld.
Die vorstehenden Abbildungen von verschiedenen Betriebssystemen sollen eines verdeutlichen: Statt der vorkonfigurierten Werte lässt sich in das Feld jederzeit der Name eines anderen VPN-Servers eintragen zu dem man Verbindung aufbauen möchte und der Verbindungen über den AnyConnect Client zulässt.
Grundsätzliche Fehlerbehebung
Sollten bei der Installation, dem manuellen Update oder dem automatischen Update Probleme während der Installationsroutine oder dem Verbindungsaufbau bestehen, sollte als Erstes der installierte Virenscanner und die installierte Firewall (zusätzlich zu der Windows internen Firewall) überprüft werden. Grundsätzlich ist es ratsam die Firewall erst nach der Installation des VPN-Clients zu installieren, falls eine zusätzliche Firewall gewünscht wird. Sollten weiterhin Probleme auftreten, bitte eine komplette Deinstallation des VPN Clients (inklusive aller ggf. vorhandenen älteren Versionen) vornehmen. Hierzu bitte nach der Deinstallation folgende Ordner manuell löschen falls sie noch vorhanden sind (Windows).
-
C:\ProgramData\Cisco\Cisco Secure Connect VPN Client\
-
C:\Users\„IhrBenutzername“\AppData\Local\Cisco\
Anschließend sollten Sie einen Neustart durchführen und danach den aktuellen AnyConnect Client herunterladen und manuell installieren:
https://www.tu-braunschweig.de/it/downloads/software
Erfolgreich getestet wurde der aktuelle VPN Client unter den Betriebssystemen Windows 8.1, Windows 10, Windows 11, Linux und Mac OS X (Intel). Sowohl ohne als auch mit dem von der TU Braunschweig angebotenen Virenscanner. Der Einsatz anderer Virenscanner oder Firewalls können zu einem erheblichen Mehraufwand bei der Installation führen und werden offiziell nicht unterstützt. Sollten Fehler auftreten, halten Sie bitte die Versionsinformationen zu der genutzten Java Version, dem Betriebssystem und dem genutzten VPN Client bereit und geben Sie diese bei einer Störungsmeldung mit an.
OpenSuse
Unter OpenSuse 15.1 Leap kommt es aktuell zum Fehler „install: cannot create regular file '/lib/systemd/system/vpnagentd.service': No such file or directory“ . Dazu bitte dem Fix auf der Herstellerseite folgen.