VPN-Technik


Der VPN-Dienst im Münchner Wissenschaftsnetz (MWN) basiert auf den VPN-Protokollen OpenVPN und Wireguard. Voraussetzung für die Nutzung ist eine gültige Zugangskennung. Es muss ein spezielles Client-Programm verwendet werden, das für die Beschäftigten und Studierenden der Universitäten und des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.

Voraussetzungen

Voraussetzung für die Einrichtung eines "Virtual Private Network" (VPN) ist eine gültige Zugangskennung, die an den Verzeichnisdiensten der Universitäten überprüft wird. Zur technischen Realisierung des "privaten Netzes" wird ein spezielles Client-Programm benötigt, das für die Beschäftigten und Studierenden der Universitäten und des Leibniz-Rechenzentrums kostenfrei zur Verfügung steht.

Technische Beschreibung

Datensicherheit

Mittels VPN wird über eine bestehende IP-Verbindung eine zweite Verbindung (Tunnel) aufgebaut, welche den Datenverkehr über ein dediziertes System, einen VPN-Server aus dem VPN-Cluster, leitet. Bei einem sogenannten Full-Tunnel wird der gesamte Verkehr durch den Tunnel geleitet. Beim Split-Tunnel sind das nur Ziele im MWN. Das lokale Netz, in dem sich der Client befindet, bleibt weiterhin erreichbar.

Die VPN-Server-Cluster im MWN unterstützen folgende Protokolle:

  • OpenVPN (Serverauswahl im Client über die Einrichtung) mit dem eduVPN-Client
  • WireGuard mit dem eduVPN-Client (seit )

eduVPN als VPN-Client seit September 2021

Der Server wird im Client ausgewählt (VPN - eduVPN - Installation und Konfiguration ) Für jede größere Einrichtung steht ein Controller und zwei Nodes zur Verfügung. Der Controller regelt die Anmeldung und die Verwaltung der Konfigurationsprofile, über die Nodes laufen die VPN-Verbindungen. Die Anmeldung erfolgt über Zertifikate mit kurzer Laufzeit, die für den Nutzenden transparent auf dem Controller verwaltet werden. eduVPN kann auch mit OpenVPN genutzt werden. Dazu kann man sich Konfigurationsdateien vom Controller herunterladen.

IP-Adressen, Domainnamen

IPv6-Adressen

Es stehen zwei Profile zur Verfügung, voreingestellt ist Split-Tunnel mit privaten IPv4-Adressen im MWN. Der Verkehr geht dabei nur ins Münchener Wissenschaftsnetz über VPN, Ziele im Internet werden direkt angesprochen. Für Spezialfälle gibt es eine Full-Tunnel Profil, bei dem alle Daten über den Tunnel gehen.

IPv6-Adressen

Bei eduVPN wird die IPv6-Adresse zusätzlich zur IPv4-Adresse automatisch zugewiesen. 

Domainnamen und IP-Pools

Jeder weltweit gerouteten IPv4-Adresse wird ein Hostname der Form xxx.subdomain.vpn.lrz.de zugewiesen. Die Adressen und Subdomain-Namen sind aus der folgenden Tabelle ersichtlich (die IP-Pools können sich ändern, Darstellung in CIDR-Format):

VPN: IP-Adressen und Subdomains: teilweise neue Bereiche ab  

EinrichtungSubdomainIP-Pools

Technische Universität München

tum

10.152.42.0/24
10.152.43.0/24
10.152.126.0/24
10.152.127.0/24

10.157.36.0/22
10.157.40.0/22
10.157.48.0/22




10.157.44.0/22
10.157.52.0/22
10.157.56.0/22
10.157.60.0/22
129.187.16.0/24
129.187.17.0/24
129.187.47.0/24
129.187.98.0/24
129.187.100.0/24
129.187.173.0/24		129.187.178.0/24
129.187.205.0/24
129.187.207.0/24
129.187.209.0/24
129.187.210.0/24
129.187.211.0/24
129.187.212.0/24
2001:4ca0:2fff::/48


Ludwig-Maximilians-Universitätlmu

10.153.38.0/24
10.153.39.0/24
10.153.154.0/24
10.153.155.0/24

10.163.152.0/22
10.163.156.0/22
10.163.160.0/22
10.163.164.0/22



141.84.12.0/24
141.84.13.0/24
141.84.14.0/24
141.84.15.0/24
141.84.16.0/24
141.84.17.0/24
141.84.18.0/24
141.84.19.0/24
141.84.22.0/24
141.84.23.0/24
141.84.28.0/24
141.84.29.0/24
141.84.30.0/24
141.84.31.0/24
141.84.32.0/24
141.84.33.0/24
141.84.34.0/24
2001:4ca0:4fff::/48



Hochschule Münchenhm10.159.2.0/24
10.159.3.0/24
10.159.4.0/24
10.159.5.0/24
10.159.6.0/24
10.159.7.0/24
10.159.8.0/24
10.159.9.0/24
10.159.16.0/24
10.159.17.0/24
10.159.18.0/24
10.159.19.0/24
129.187.34.0/24
129.187.52.0/24		129.187.110.0/24
129.187.118.0/24
2001:4ca0:6fff::/48
Hochschule Weihenstephan - Triesdorfhswt10.154.14.0/24
10.154.10.0/24
10.154.13.0/24
141.40.116.0/24
141.40.24.0/24
141.40.115.0/24
2001:4ca0:7fff::/48
Sonstige


ext10.155.24.0/24
10.155.25.0/24
129.187.50.0/24

10.155.200.0/22129.187.234.0/24
2001:4ca0:0:fe19::/64 
badw129.187.243.0/2410.155.56.0/24
10.155.57.0/24

2001:4ca0:1:ffff::/64

 
generic10.155.208.0/23
10.155.210.0/23
10.155.204.0/23
10.155.206.0/23
2001:4ca0:0:fe19::/64 

eduVPN: Adressen der Server und Anmeldemethoden:

EinrichtungController NodesOpenVPN: Ports Split-TunnelOpenVPN: Ports Full-TunnelWireGuardAuthStand
HMhm.eduvpn.lrz.de

eduvpn-nodes-hm-v3.srv.lrz.de

UDP/1194-1196 TCP/443

UDP/1197-1199 TCP/1197

UDP/51820

Shibboleth

 

LMUlmu.eduvpn.lrz.deeduvpn-nodes-lmu-v3.srv.lrz.deUDP/443 UDP/1194-1199 TCP/443UDP/1200-1202 TCP/1200UDP/51820Shibboleth

 

TUMtum.eduvpn.lrz.deeduvpn-nodes-tum-v3.srv.lrz.deUDP/443 UDP/1194-1199 TCP/443UDP/1200-1202 TCP/1200UDP/51820Shibboleth

  

HSWThswt.eduvpn.lrz.de

UDP/1195 TCP/1195

UDP/1196 TCP/1196UDP/51820Radius

 

Andere Institutionen mit VPN-Berechtigung
ext
badw
andere		rad.eduvpn.lrz.de





UDP/1197 TCP/1197
UDP/1198 TCP/1198
UDP/1197 TCP/1197
UDP/1201-1203 TCP/1201
UDP/1199 TCP/1199
UDP/1200 TCP/1200
UDP/51820		Radius




 
 
 

Routing (Datentransfer)

eduVPN

  1. VPN-Nutzende im Münchner Wissenschaftsnetz: Für Anwendende innerhalb des MWN, sei es über das "lrz"-WLAN oder eine öffentliche Datendose, wird immer der gesamte Datenverkehr über den VPN-Server geleitet ("geroutet"). Dazu muss Full-Tunnel gewählt werden.
  2. Von Zuhause oder aus dem Internet: Anders verhält es sich bei Nutzenden zuhause bzw. irgendwo im Internet, die einen fremden Provider verwenden. Dabei wird voreingestellt das sog. Split-Tunneling eingesetzt. Dies bedeutet, dass die Daten von und zu Adressen im restlichen Internet auf direktem Wege geroutet werden. Dadurch kann ein unnötiger Umweg der Daten über den VPN-Server eingespart werden. Nur die Daten von und zu Zielen im MWN werden verschlüsselt und über den VPN-Tunnel geschickt. Auf Nutzender-/Client-Seite ist dazu erst einmal nichts besonders zu konfigurieren, das Routing wird automatisch entsprechend eingestellt. Auch private Netze mit den Adressen 10.x.x.x, 172.16.x.x und 192.168.x.x werden direkt geroutet, außer der Zugriff auf lokale Netze zuhause, der ist auch bei einer aufgebauten VPN-Verbindung möglich.
  3. Spezielle Anwendungen: Bei anderen Anwendungen, wie z.B. dem Zugang zu Datenbanken, der Verwendung von Terminalserverclients oder IP-Telefonie-Anwendungen (Voice over IP, kurz VoIP), kann es nötig sein, das Split-Tunneling auszuschalten und alle Daten über den Tunnel zu senden. Dies kann durch ein den Full-Tunnel erreicht werden.
  4. Proxyserver: Zu beachten ist, dass bei Nutzung eines Proxyservers im MWN der WWW-Datenverkehr immer vollständig über den VPN-Server transferiert wird.
  5. Beschränkungen: Für die VPN-Verbindungen gelten die gleichen Beschränkungen bezüglich Bandbreite und exzessivem Verkehr wie beim NAT-Gateway Secomat.

Weitere Informationen zu VPN

Häufige Probleme

  1. Software-Störungen: Beim Aufbau und beim Abbau einer VPN-Verbindung ändert sich die IP-Adresse. Einige Anwendungen erlauben keinen Wechsel der Adresse während sie laufen, andere kommen damit zurecht. Es empfiehlt sich auf jeden Fall, netzabhängige Anwendungsprogramme, insbesondere Web-Browser nach dem Auf- und Abbau einer VPN-Verbindung neu zu starten.

  2. Falsche Eingabe: Ein häufiges Problem besteht in der falschen Eingabe der Kennung (login). Achten Sie bitte auf Groß- und Kleinbuchstaben - auch und insbesondere beim Passwort! LRZ-Kennungen folgen zur Zeit folgendem Muster (Konsonant, Vokal, Ziffer): KVZZKVK. Beispiele für Kennungen sind : gu55rob, fernanda.muster@campus.lmu.de, antonia.muster@tum.de, h.muster@wzw.tum, u1234ab.

  3. Firewalls: Bei Auftreten unklarer Probleme sollten Sie eventuell laufende (Personal-) Firewalls und die Internet-Verbindungsfreigabe bei Windows versuchsweise abschalten.

Fragen oder Probleme?

Weitere Tipps zu VPN-Verbindungen finden Sie im Bereich VPN-FAQ
Anfragen oder Kommentare richten Sie bitte an das Servicedesk.