Internetzugang über VPN
Achtung!!
Der VPN der Universität Duisburg-Essen steht seit dem Angriff auf die UDE derzeit nur für den Zugriff auf die Online-Ressourcen (E-Books, elektronische Zeitschriften und Datenbanken) der Universitätsbibliothek zur Verfügung.
Anleitungen:
- openconnect für Windows (de)
- openconnect für Windows (en)
- openconnect für MacOS (de)
- openconnect für MacOS (en)
Wenn die Verbindung nicht zustande kommt, kann eine Deinstallation mit anschließender Neuinstallation helfen.
Änderung (09.05.2023)
Bisher war der Aufruf von extern erreichbaren UDE-Diensten (z. B. Shibboleth und Mailserver) via VPN nicht möglich. Der Zugriff auf diese Dienste wurde nun freigeschaltet, sodass ein ständiger Wechsel zwischen VPN und Internet nicht mehr nötig ist.
Dies betrifft ausschließlich die von extern erreichbaren Dienste. UDE-Dienste, die nur aus dem internen Netz erreichbar sind, sind davon nicht betroffen.
VPN
Mit Hilfe eines Zugangs über VPN (Virtual Private Network), mit dem Sie einen Tunnel zum Netz der Universität aufbauen, läuft ihr gesamter Datenverkehr über eine verschlüsselte Verbindung über unseren VPN-Server.
Wozu benötigt man einen VPN Zugang?
Wenn Sie sich nicht aus dem Universitätsnetz sondern von extern mit den Diensten der Uni verbinden, wird Ihnen der Zugriff auf einige Dienste untersagt. Dazu gehören lizensierte Angebote wie z.B. Software oder sicherheitsrelevante Systeme wie das Gleitzeitsystem.
Abhilfe schafft ein Zugang über VPN (Virtual Private Network), mit dem Sie einen Tunnel zum Netz der Universität aufbauen. Damit läuft ihr gesamter Datenverkehr über eine verschlüsselte Verbindung über unseren VPN-Server. Während der Verbindung bekommen Sie eine IP-Adresse aus dem Universitätsnetz.
Vorteile von VPN
- Lizenzrecht
Sie benötigen eine IP-Adresse aus dem Universitätsnetz , um lizensierte Dienste wie Software oder e-Books, die nur Hochschulangehörigen zur Verfügung gestellt werden dürfen, nutzen zu können.
- Datensicherheit
Durch die verschlüsselte Verbindung sind Ihre Daten vor unbefugtem Zugriff geschützt. Deshalb darf z.B. auf das Gleitzeitsystem oder den Backup-Dienst (TSM) nur aus einem geschützten Netz zugegriffen werden.
- Datensicherheit in öffentlichen Netzen
Auch wenn Sie über öffentliche WLAN-Netze z.B. Ihre E-Mails abrufen oder auf andere persönliche Daten zugreifen, ist eine verschlüsselte Verbindung sinnvoll. So können die Daten nicht von Unbefugten ausspioniert werden.
Der Zugriff auf das Netz der Universität über VPN darf aus lizenzrechtlichen Gründen nur Hochschulangehörigen ermöglicht werden.
Wie kann VPN genutzt werden?
Über den quelloffenen VPN-Clienten „openconnect“ kann eine gesicherte Verbindung ins Uninetz aufgebaut werden. Dieser Client ist bei einigen Linux Distrubitionen bereits standardmäßig installiert (z.B. Fedora Linux). Bei anderen Linux/Unix Distrubitionen kann es leicht über den Paketmanager nachinstalliert werden. Openconnect gibt es auch für Windows und Mac OS.
Bitte nutzen Sie auf mobilen Betriebssystemen folgende Apps aus den jeweiligen Appstores. Die Einstellungen sind die gleichen wie bei den Desktop Clients.
- Android Geräte: Openconnect
- IOS Geräte: Cisco Secure Client
Installationsanleitungen finden Sie unter
Testinstallation von Forcepoint
Als Äquivalent zum OpenConnect VPN wird die VPN-Funktionalität der Forcepoint Next Generation Firewalls genutzt.
Zur Herstellung eines Tunnels wird ein Client zur Verfügung gestellt, welcher ohne Administrationsrechte unter Windows und macOS auskommt.
Der Zugang zum Netz der Universität erfolgt über Firewall-Cluster an den Standorten in Duisburg und in Essen.
Installationsanleitungen finden Sie unter
Forcepoint für Windows
Forcepoint für Linux
Forcepoint für Mac
Informationen zum VPN-Server
- Nutzt der VPN-Server IPsec, PPTP, L2TP, IKEv2 oder OpenVPN?
- Nichts davon. Bei AnyConnect und OpenConnect handelt es sich um Varianten von SSL-VPN.
- Wo liegen die Vorteile von SSL-VPN gegenüber anderen Protokollen?
- SSL-VPN wickelt die gesamte Kommunikation über den Port 443, der auch für HTTPS genutzt wird, ab und ist dadurch ohne weiteres mit NAT-Routern kompatibel und relativ unempfindlich gegenüber Firewalls und Proxy-Servern.
- Wie erkenne ich, welche TLS- bzw. DTLS-Version meine VPN-Verbindung verwendet?
- Bei OpenConnect-GUI findet sich die Information auf dem Reiter "VPN
Info" des Hauptfensters. Falls die Verbindung ausschließlich über das
TCP-Protokoll erfolgt, wird unter "DTLS Cipher:" nichts angezeigt:
Beim OpenConnect Client für die Kommandozeile werden die Informationen
während des Verbindungsaufbaus ausgegeben (ggf. muss die verbose option
"-v" verwendet werden).
Beispielausgabe für TLS:
CSTP-Inhaltskodierung
(TLS1.3)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
Beispielausgabe für DTLS:
DTLS-Verbindung aufgebaut (mit GnuTLS).Schiffrierwerk
(DTLS1.2)-(PSK)-(AES-256-GCM).
- Warum kann ich den VPN-Server nicht mit Windows/Mac/iOS/... Bordmitteln benutzen?
- Da es bisher keinen offiziellen Standard für SSL-VPN gibt, sondern jeder Hersteller eine eigene Variante (Cisco AnyConnect, Juniper Network Connect, ...) entwickelt hat, haben die Betriebssystemhersteller bisher von einer Implementierung abgesehen. Das OpenConnect Projekt versucht nun mit seinen Clients und dem Server diese Vielzahl an Varianten unter einen Hut zu bringen und ein standardisiertes SSL-VPN Protokoll zu etablieren, welches es dann hoffentlich auch irgendwann in die Betriebssysteme schafft.
- Fehlermeldung: "Hinzufügen der Route fehlgeschlagen: Falscher Parameter" oder "Löschen der Route fehlgeschlagen: Falscher Parameter"
- Bitte wechseln Sie einmal in das Verzeichnis C:\Program Files (x86)\OpenConnect-GUI. Benennen Sie das vorhandene Script vpnc-script.js um. Speichern Sie in dem Verzeihnis das neue vpnc-script Die Verbindung sollte sich nun korrekt aufbauen und funktionieren.