VPN
Einrichten einer VPN Verbindung zu einem Lehrstuhl der CIT Fakultäten
- Einrichten einer VPN Verbindung zu einem Lehrstuhl der CIT Fakultäten
1. Allgemein
1.1. Freischaltung und Konfigurationsdatei
Ein VPN ist für jeden Lehrstuhl (sowie Service-Büros etc.) erhältlich. Das VPN muss aber zunächst in Zusammenarbeit mit dem Lehrstuhladmin bzw. EDV-Betreuer eingerichtet werden. Falls Sie einen VPN-Zugang erhalten wollen, wenden Sie sich darum bitte an Ihren Lehrstuhladmin bzw. EDV-Betreuer. Diese sind letztlich auch für die Konfiguration verantwortlich, die ITO übernimmt nur den Betrieb und Beratung.
Der Zugang muss für jeden Benutzer beim Lehrstuhladmin frei geschaltet werden, die Konfigurationsdatei erhält man unter https://vpn.ito.cit.tum.de.
Bitte beachten: Eine Verbindung zum VPN kann nur von außerhalb des jeweiligen Lehrstuhlnetzes (bzw. den Netzen, die im VPN konfiguriert sind) aufgebaut werden; zum einen, da eine Verbindung doppelte Routen erzeugen würde, und zum anderen, da das VPN eine UDP-Verbindung benutzt, und UDP in den meisten Netzen komplett blockiert ist.
Das VPN erlaubt keine Direktverbindung ins Internet. Unter Windows sollte der Zugriff aufs Internet ueber die direkte Netzwerkverbindung des Computers einfach moeglich sein; unter Linux kann entweder der Webproxy (proxy.cit.tum.de) benutzt werden oder die Routing-Tabelle muss so eingestellt werden, dass das VPN nur fuer vom VPN bereitgestellte Routen benutzt wird (keine Default-Route zum VPN).
1.2. Login und Passwort
Login: CIT-Kennung (z.B. musterma)
Passwort: CIT-Passwort
1.3. Benötigte Software
Auf dem Mac empfehlen wir Tunnelblick:
macOS: Tunnelblick
Ansonsten mus die Software openvpn-client heruntergeladen und installiert werden:
Windows: Link für Windows
Ubuntu: sudo apt-get install openvpn
2. Windows:
Installieren Sie den OpenVPN-Client diesen erhalten Sie unter: https://openvpn.net/community-downloads/
Starten Sie den Installer:
Kopieren Sie die OVPN-Datei (siehe oben) in den config-Ordner. Normalerweise befindet sich dieser unter C:\Programme\OpenVPN\config
Starten Sie dann den VPN-Client über das Desktop-Symbol. (evtl. ist dieser schon gestartet, dann erhalten Sie eine entsprechende Meldung.
Klicken Sie anschließend mit der rechten Maustaste in der Symbolleiste auf das OpenVPN-Symbol und wählen Sie verbinden
Geben Sie nun Ihre Zugangsdaten ein (ohne @cit.tum.de)
Nun ist die Verbindung hergestellt und das OpenVPN-Symbol in der Symbolleiste sollte grün sein.
3. macOS:
Wenn Sie Tunnelblick nicht installiert haben, können Sie hier herunterladen und installieren.
Öffnen Sie die Seite https://vpn.ito.cit.tum.de und Suchen Sie Ihren Lehrstuhl in der Liste.
Klicken Sie auf die Konfigurationsdatei (standard, legacy, ios) mit der rechten Maustaste und wählen Sie Speichern die Datei als... aus.
Wählen Sie den Speicherort der Datei aus.
Die Datei wurde als .txt Datei gespeichert. Löschen Sie die Endung .txt. Die Konfigurationsdatei mit Doppelklick oder mit der rechten Maustaste wie unten öffnen.
Sie können auswählen, ob die Konfigurationsdatei für alle Benutzer des Laptops oder nur für den aktuellen Benutzer, also für Sie installiert werden soll.
Geben Sie das Systempasswort ein, um die Installation zu bestätigen.
Wenn die Konfigurationsdatei installiert wurde, erscheint oben rechts folgendes Fenster:
Sie sehen ein Tunnel-Symbol, wenn das Programm gestartet ist. Als Nächstes können Sie es anklicken und Connect vpn-xxx-standard auswählen, um zum VPN zu verbinden.
Zum Schluss geben Sie die CIT-Kennung (ohne @cit.tum.de ) und das ITO-Passwort im geöffneten Fenster ein und klicken Sie auf OK.
Wenn die Verbindung hergestellt ist, ist das Tunnelblick-Symbol weiss wie unten auf dem Screenshot zu sehen ist.
4. Linux:
Die Konfigurationsdatei speichern, z.B. in den Home Ordner. Im Terminal in dieses Verzeichnis gehen und dort diesen Befehl ausführen : sudo openvpn Konfigurationsdatei, z.B. für die Gruppe XXX:
Dann die CIT-Kennung (ohne @in.tum.de, @cit.tum.de oder ohne @ma.tum.de) und das ITO-Passwort eingeben.
4.1 VPN Profil in networkmanager importieren
Das ITO VPN Profil kann entweder über das Gui oder über die Kommandozeile importiert werden.
4.1.1 Über das GUI-Tool nm-connection-editor:
Klicken Sie mit der rechten Maustaste auf das nm-Applet und klicken Sie auf Verbindungen bearbeiten:
Dann wählen Sie zuerst Hinzufügen und danach Importieren einer gespeicherten VPN-Konfiguration aus.
4.1.2 Über das Terminal:
Geben Sie folgenden Befehl im Terminal ein:
4.2 Mögliche Probleme
Es kann sein, dass openvpn unter Ubuntu nicht funktioniert.
Das Problem liegt daran, dass man im networkmanager openvpn plugin in der Einstellungsseite einen Haken bei ''Use this connection only for resources on its network'' setzen muss. Wenn man den anmacht, dann wird kein defaultgateway gesetzt. Obwohl ITO VPN kein defaultgateway setzt, kommt der networkmanager auf die Idee, trotzdem eins zu setzen wenn man dies anhakt, dann funktioniert die VPN-Verbindung.
Dasselbe sollte auch für IPv6 Settings gemacht werden.
5. Spezialfälle
5.1 Mehrere VPNs
In Windows muss bei mehreren gleichzeitigenOpenVPN-Verbindungen ein weiteres TAP-Device hinzuge fügt werden.
Windows 7:
- Hierzu fügt man per \"hdwwiz.exe\" (Add Hardware Wizard) eine neue Hardwarekomponente hinzu.
- Man wählt die Hardware manuell aus der Liste aus (erweiterte Einstellung), belässt die Einstellungen bei \"Alle Komponenten anzeigen\", klickt auf \"Installationsmedium vorhanden\"
- Der Pfad für den Treiber ist:C:\Program Files\TAP-Windows\driver
- TAP-Windows Adapter V9 auswählen
alle Windows-Versionen:
Powershell -> Als Administrator ausführen
cd "\Program Files\TAP-Windows\bin" .\tapinstall.exe install "C:\Program Files\TAP-Windows\driver\OemVista.inf" tap0901
5.2 unterschiedliche VPNs
Es gibt Probleme bei der gleichzeitigen Installation anderer VPN-Clients:
- Stonesoft: Der Stonesoft VPN-Client kann die Konfiguration der Routen verhindern. In diesem Fall ist Deinstallation des Stonesoft-Client derzeit die beste Lösung.
- AVM Client: der AVM-Client kann einen Bluescreen auslösen. In diesem Fall muss die Bindung an AVM-Client im TAP-Adapter entfernt werden.
- EduVPN: Derzeit keine Probleme bekannt.