VPN - Informationen fuer Experten: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
(Änderung IMT auf ZIM)
 
(6 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
 
{{article
 
{{article
 
|type=Information
 
|type=Information
|service=Service:Netzwerkspeicher
+
|service=Service:Netzbetrieb
 
|targetgroup=Gäste, Angestellte, Studierende
 
|targetgroup=Gäste, Angestellte, Studierende
 
|displaytitle=VPN - Informationen für Experten
 
|displaytitle=VPN - Informationen für Experten
Zeile 10: Zeile 10:
 
===Standardkonfiguration der VPN-Server===
 
===Standardkonfiguration der VPN-Server===
 
<br clear=all>
 
<br clear=all>
Von den Standard Uni VPN Servern (auch TCP) und den Gruppen VPN Servern werden in der Standardkonfiguration lediglich Routen für die IP Netze <b>131.234.0.0/16 </b> und <b>2001:638:502::/48 </b> von den VPN Servern an die Clients übergeben. Eine Ausnahme bilden hier gewisse Gruppen VPNs nach Absprache zwischen IMT und dem Bereichsadministrator des Gruppen VPNs.
+
Von den Standard Uni VPN Servern (auch TCP) und den Gruppen VPN Servern werden in der Standardkonfiguration lediglich Routen für die IP Netze <b>131.234.0.0/16 </b> und <b>2001:638:502::/48 </b> von den VPN Servern an die Clients übergeben. Eine Ausnahme bilden hier gewisse Gruppen VPNs nach Absprache zwischen ZIM und dem Bereichsadministrator des Gruppen VPNs.
 
<br clear=all>
 
<br clear=all>
 
===Erläuterung der IP-Netze===
 
===Erläuterung der IP-Netze===
 
<br clear=all>
 
<br clear=all>
 
IP Netze sind ein Zusammenschluss mehrerer IP Adressen. Die Route <b>131.234.0.0/16</b> (bzw. <b>131.234.0.0 255.255.0.0</b> in Subnetzmaskennotation) gilt für alle IPv4 Adressen, die mit der Zahl 131.234 anfangen. Das Übergeben der Route von den VPN Servern an die Clients weist das System an, Anfragen an IPs, die mit 131.234 beginnen, durch den VPN Tunnel in die Uni zu leiten. Gleiches gilt für das IPv6 Netz <b>2001:638:502::/48</b> und Anfragen an IPv6 Adressen, die mit 2001:638:502 beginnen. Da die Universität lediglich den <b>2001:638:502::/48</b> IPv6 Block verwaltet, sollten mit dieser Route alle Anfragen an Domains mit IPv6-Adressen der Universität immer durch den Tunnel geleitet werden, unabhängig davon, ob der gesamte Verkehr durch den Tunnel geleitet wird.
 
IP Netze sind ein Zusammenschluss mehrerer IP Adressen. Die Route <b>131.234.0.0/16</b> (bzw. <b>131.234.0.0 255.255.0.0</b> in Subnetzmaskennotation) gilt für alle IPv4 Adressen, die mit der Zahl 131.234 anfangen. Das Übergeben der Route von den VPN Servern an die Clients weist das System an, Anfragen an IPs, die mit 131.234 beginnen, durch den VPN Tunnel in die Uni zu leiten. Gleiches gilt für das IPv6 Netz <b>2001:638:502::/48</b> und Anfragen an IPv6 Adressen, die mit 2001:638:502 beginnen. Da die Universität lediglich den <b>2001:638:502::/48</b> IPv6 Block verwaltet, sollten mit dieser Route alle Anfragen an Domains mit IPv6-Adressen der Universität immer durch den Tunnel geleitet werden, unabhängig davon, ob der gesamte Verkehr durch den Tunnel geleitet wird.
<br clear=all>
+
<br clear=all>
 
Hinter jeder Domain der Universität (z.B. www.uni-paderborn.de oder webmail.uni-paderborn.de) verbirgt sich eine IPv4 (und eventuell auch, aber nicht zwingend eine IPv6) Adresse. Dementsprechend werden die meisten Dienste der Universität über eine Domain angesprochen, welche im Anschluss auf eine IP Adresse aufgelöst wird, damit die tatsächlichen Netzwerkpakete zu dem korrekten Server geschickt werden können. Der Großteil der Dienste der Universität nutzt IP Adressen aus den IP Netzen <b>131.234.0.0/16</b> und <b>2001:638:502::/48</b>.  
 
Hinter jeder Domain der Universität (z.B. www.uni-paderborn.de oder webmail.uni-paderborn.de) verbirgt sich eine IPv4 (und eventuell auch, aber nicht zwingend eine IPv6) Adresse. Dementsprechend werden die meisten Dienste der Universität über eine Domain angesprochen, welche im Anschluss auf eine IP Adresse aufgelöst wird, damit die tatsächlichen Netzwerkpakete zu dem korrekten Server geschickt werden können. Der Großteil der Dienste der Universität nutzt IP Adressen aus den IP Netzen <b>131.234.0.0/16</b> und <b>2001:638:502::/48</b>.  
 
=====Sonderfälle=====
 
=====Sonderfälle=====
Zeile 23: Zeile 23:
 
<br clear=all>
 
<br clear=all>
 
Routen für Netze wie <b>172.16.0.0/16</b> (bzw. <b>172.16.0.0 255.255.0.0</b>) werden von uns nicht automatisch an die VPN Clients übergeben, da es sich hierbei um einen privaten Adressbereich handelt, welcher theoretisch in jedem Netzwerk vergeben werden kann. Je nachdem, von wo Sie auf die Universität zugreifen, kann es also sein, dass das Hinzufügen einer solchen Route zu Problemen mit Ihrem Netz führt, wenn dieses den IP Adressbereich einsetzt.
 
Routen für Netze wie <b>172.16.0.0/16</b> (bzw. <b>172.16.0.0 255.255.0.0</b>) werden von uns nicht automatisch an die VPN Clients übergeben, da es sich hierbei um einen privaten Adressbereich handelt, welcher theoretisch in jedem Netzwerk vergeben werden kann. Je nachdem, von wo Sie auf die Universität zugreifen, kann es also sein, dass das Hinzufügen einer solchen Route zu Problemen mit Ihrem Netz führt, wenn dieses den IP Adressbereich einsetzt.
<br clear=all>
+
<br clear=all>
Eigene Routen können einfach an die OpenVPN Configs angehangen werden (jeweils als eigenständige Zeile):
+
 
<br clear=all>
+
 
 +
<b>Eigene Routen können einfach an die OpenVPN Configs angehangen werden (jeweils als eigenständige Zeile):</b>
 +
<br clear=all>
 
====Für IPv4 Netze:====  
 
====Für IPv4 Netze:====  
 
<br clear=all>
 
<br clear=all>
 
Route <b>172.16.0.0 255.255.0.0</b>
 
Route <b>172.16.0.0 255.255.0.0</b>
<br clear=all>
+
<br clear=all>
 +
 
 +
 
 
Der <b>erste Block</b> bezeichnet dabei die IP-Adresse und der <b>zweite Block</b> die Subnetzmaske. Die Subnetzmaske gibt an, welche IPs innerhalb des IP Netzes sind und welche nicht dazu gehören. Eine IPv4 Adresse ist in vier Bereiche (hier 172, 16, 0 und 0) aufgeteilt, welche auch Oktett genannt werden, da diese Adressen aus vier 8-Bit-Bereichen bestehen. Die Subnetzmaske dahinter gibt dann an, welche Bits der IPv4 Adresse den Netzteil abbilden, um daraus feststellen zu können, welche IP Adressen ebenfalls Teil dieses größeren Netzes sind. Daraus entscheidet das System dann, ob eine Anfrage durch den VPN Tunnel geleitet wird. Die Subnetzmaske bildet sich aus der Umrechnung der jeweiligen acht Bits (d.h. der Binärzahl) in Dezimalnotation.
 
Der <b>erste Block</b> bezeichnet dabei die IP-Adresse und der <b>zweite Block</b> die Subnetzmaske. Die Subnetzmaske gibt an, welche IPs innerhalb des IP Netzes sind und welche nicht dazu gehören. Eine IPv4 Adresse ist in vier Bereiche (hier 172, 16, 0 und 0) aufgeteilt, welche auch Oktett genannt werden, da diese Adressen aus vier 8-Bit-Bereichen bestehen. Die Subnetzmaske dahinter gibt dann an, welche Bits der IPv4 Adresse den Netzteil abbilden, um daraus feststellen zu können, welche IP Adressen ebenfalls Teil dieses größeren Netzes sind. Daraus entscheidet das System dann, ob eine Anfrage durch den VPN Tunnel geleitet wird. Die Subnetzmaske bildet sich aus der Umrechnung der jeweiligen acht Bits (d.h. der Binärzahl) in Dezimalnotation.
<br clear=all>
+
<br clear=all>
 
Hier können aber auch einzelne IP Adressen angegeben werden:
 
Hier können aber auch einzelne IP Adressen angegeben werden:
 
<br clear=all>
 
<br clear=all>
 
Route <b>172.16.3.9 255.255.255.255</b>
 
Route <b>172.16.3.9 255.255.255.255</b>
<br clear=all>
+
<br clear=all>
 
Da wir hier eine Subnetzmaske angeben, in der alle Bits der IP Adresse die Netzadresse bilden, soll lediglich exakt die IP <b>172.16.3.9 </b>durch den Tunnel geleitet werden.
 
Da wir hier eine Subnetzmaske angeben, in der alle Bits der IP Adresse die Netzadresse bilden, soll lediglich exakt die IP <b>172.16.3.9 </b>durch den Tunnel geleitet werden.
<br clear=all>
+
<br clear=all>
 
====Für IPv6 Netze:====
 
====Für IPv6 Netze:====
 
<br clear=all>
 
<br clear=all>
 
route-ipv6 <b>2001:638:502::/48</b>
 
route-ipv6 <b>2001:638:502::/48</b>
<br clear=all>
+
<br clear=all>
 +
 
 
Diese Angabe von Routen kann auch genutzt werden, wenn Anfragen an Uni fremde Systeme durch den VPN Tunnel geleitet werden sollen, ohne dass der gesamte Verkehr durch den Tunnel geleitet wird.
 
Diese Angabe von Routen kann auch genutzt werden, wenn Anfragen an Uni fremde Systeme durch den VPN Tunnel geleitet werden sollen, ohne dass der gesamte Verkehr durch den Tunnel geleitet wird.

Aktuelle Version vom 22. Mai 2024, 14:34 Uhr

Allgemeine Informationen
Information
Informationen
BetriebssystemAlle
ServiceNetzwerk
Interessant fürGäste, Angestellte und Studierende
HilfeWiki des ZIM der Uni Paderborn

set displaytitle to VPN - Informationen für Experten

Erweiterte Anleitung für VPN-Verbindungen[Bearbeiten | Quelltext bearbeiten]

Standardkonfiguration der VPN-Server[Bearbeiten | Quelltext bearbeiten]


Von den Standard Uni VPN Servern (auch TCP) und den Gruppen VPN Servern werden in der Standardkonfiguration lediglich Routen für die IP Netze 131.234.0.0/16 und 2001:638:502::/48 von den VPN Servern an die Clients übergeben. Eine Ausnahme bilden hier gewisse Gruppen VPNs nach Absprache zwischen ZIM und dem Bereichsadministrator des Gruppen VPNs.

Erläuterung der IP-Netze[Bearbeiten | Quelltext bearbeiten]


IP Netze sind ein Zusammenschluss mehrerer IP Adressen. Die Route 131.234.0.0/16 (bzw. 131.234.0.0 255.255.0.0 in Subnetzmaskennotation) gilt für alle IPv4 Adressen, die mit der Zahl 131.234 anfangen. Das Übergeben der Route von den VPN Servern an die Clients weist das System an, Anfragen an IPs, die mit 131.234 beginnen, durch den VPN Tunnel in die Uni zu leiten. Gleiches gilt für das IPv6 Netz 2001:638:502::/48 und Anfragen an IPv6 Adressen, die mit 2001:638:502 beginnen. Da die Universität lediglich den 2001:638:502::/48 IPv6 Block verwaltet, sollten mit dieser Route alle Anfragen an Domains mit IPv6-Adressen der Universität immer durch den Tunnel geleitet werden, unabhängig davon, ob der gesamte Verkehr durch den Tunnel geleitet wird.
Hinter jeder Domain der Universität (z.B. www.uni-paderborn.de oder webmail.uni-paderborn.de) verbirgt sich eine IPv4 (und eventuell auch, aber nicht zwingend eine IPv6) Adresse. Dementsprechend werden die meisten Dienste der Universität über eine Domain angesprochen, welche im Anschluss auf eine IP Adresse aufgelöst wird, damit die tatsächlichen Netzwerkpakete zu dem korrekten Server geschickt werden können. Der Großteil der Dienste der Universität nutzt IP Adressen aus den IP Netzen 131.234.0.0/16 und 2001:638:502::/48.

Sonderfälle[Bearbeiten | Quelltext bearbeiten]

Dies trifft allerdings nicht auf alle Dienste zu, wie z.B. uc.voice.uni-paderborn.de. Hier beginnt die IPv4 Adresse nicht mit 131.234, sondern mit 172.16, gleichzeitig ist eine Verbindung zu diesem System nur aus dem Netzwerk der Universität möglich. Mit dem Uni-VPN kommt man also nur auf dieses System, wenn man den gesamten Verkehr durch den Tunnel leitet oder indem man bei sich lokal eine entsprechende Route hinzufügt.

Hinzufügen benutzerdefinierter Routen[Bearbeiten | Quelltext bearbeiten]


Routen für Netze wie 172.16.0.0/16 (bzw. 172.16.0.0 255.255.0.0) werden von uns nicht automatisch an die VPN Clients übergeben, da es sich hierbei um einen privaten Adressbereich handelt, welcher theoretisch in jedem Netzwerk vergeben werden kann. Je nachdem, von wo Sie auf die Universität zugreifen, kann es also sein, dass das Hinzufügen einer solchen Route zu Problemen mit Ihrem Netz führt, wenn dieses den IP Adressbereich einsetzt.


Eigene Routen können einfach an die OpenVPN Configs angehangen werden (jeweils als eigenständige Zeile):

Für IPv4 Netze:[Bearbeiten | Quelltext bearbeiten]


Route 172.16.0.0 255.255.0.0


Der erste Block bezeichnet dabei die IP-Adresse und der zweite Block die Subnetzmaske. Die Subnetzmaske gibt an, welche IPs innerhalb des IP Netzes sind und welche nicht dazu gehören. Eine IPv4 Adresse ist in vier Bereiche (hier 172, 16, 0 und 0) aufgeteilt, welche auch Oktett genannt werden, da diese Adressen aus vier 8-Bit-Bereichen bestehen. Die Subnetzmaske dahinter gibt dann an, welche Bits der IPv4 Adresse den Netzteil abbilden, um daraus feststellen zu können, welche IP Adressen ebenfalls Teil dieses größeren Netzes sind. Daraus entscheidet das System dann, ob eine Anfrage durch den VPN Tunnel geleitet wird. Die Subnetzmaske bildet sich aus der Umrechnung der jeweiligen acht Bits (d.h. der Binärzahl) in Dezimalnotation.
Hier können aber auch einzelne IP Adressen angegeben werden:
Route 172.16.3.9 255.255.255.255
Da wir hier eine Subnetzmaske angeben, in der alle Bits der IP Adresse die Netzadresse bilden, soll lediglich exakt die IP 172.16.3.9 durch den Tunnel geleitet werden.

Für IPv6 Netze:[Bearbeiten | Quelltext bearbeiten]


route-ipv6 2001:638:502::/48

Diese Angabe von Routen kann auch genutzt werden, wenn Anfragen an Uni fremde Systeme durch den VPN Tunnel geleitet werden sollen, ohne dass der gesamte Verkehr durch den Tunnel geleitet wird.


Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des ZIM - Sie finden uns in Raum I0.401

Wir sind zu folgenden Zeiten erreichbar:


Mo-Do Fr
Vor-Ort-Support 08:30 - 16:00 08:30 - 14:00
Telefonsupport 08:30 - 16:00 08:30 - 14:00


Das ZIM:Servicecenter Medien auf H1 hat aktuell zu folgenden Zeiten geöffnet:

Mo-Do Fr
08:00 - 16:00 08:00 - 14:30
Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.