Installation und Einrichtung von OpenVPN

1. OpenVPN-Client installieren (Anleitungen siehe unten oder oben im Menü) 
2. Passende Konfigurationsdatei für den gewünschten VPN-Zugang einbinden
   Die Konfigurationsdateien finden Sie am Anfang der Anleitungen für die einzelnen Betriebssysteme. Die Split-Konfiguration finden Sie auf der Seite mit den Spezialkonfigurationen.

Bei Problemen lesen Sie auch unsere FAQ und Seite zur Fehlerbehebung.

Nutzung von Split-VPN

Der VPN-Zugang erfährt derzeit eine intensive Nutzung aus den Heimnetzen von Beschäftigten und Studierenden des KIT. Wer in einer solch sicheren Umgebung arbeitet, dem empfehlen wir, die Split-Konfiguration für sein Betriebssystem herunterzuladen.

Hierzu gehen Sie bitte auf die Seite mit den Spezialkonfigurationen und laden sich die Konfigurationsdatei kit-split herunter.

Vorteil: nur der Verkehr zum KIT geht durch den VPN-Tunnel. Der restliche Verkehr geht über die normale Internetanbindung. Diese ist dadurch performanter und die Ressourcen des KIT werden geschont.

Nachteil: Verlage, die keine Authentifizierung unterstützen, können so nicht direkt erreicht werden, da Sie nicht als KIT-Nutzer erkannt werden. 

Split-VPN bitte nur in sicheren Umgebungen nutzen.

Installationsanleitungen und Konfigurationsdateien für die verschiedenen Betriebssysteme

• macOS
• Windows
• Linux
• Android
• iOS/iPadOS

Varianten des VPN-Zugangs

1. VPN-Standard-Zugang (Konfigurationsdatei kit.ovpn) - für die meisten Benutzer passend
   • Benutzername: <KIT-Account>
   • Passwort: <KIT-Passwort>
      
2. VPN-Spezialzugang (VPN2VLAN) (Konfigurationsdatei kit-vpn2vlan.ovpn)
   • Benutzername:  <KIT-Account>@<Realm> (<Realm> ist der Name des Ziel-VLANs)
   • Passwort: <KIT-Passwort>
                       oder bei für den Zugang aktivierter Zwei-Faktor-Authentifizierung:
                       <KIT-Passwort><komma><Token>

VPN-Standard-Zugang des KIT

Der VPN-Standard-Zugang erlaubt den Zugriff auf KIT-Intranet für alle KIT-Angehörige.

Konfigurationsdatei

Sie benötigen die Konfigurationsdatei kit.ovpn. Sie finden diese am Anfang der Anleitung für Ihr Betriebssystem.

Benutzername

Login nur mit KIT-Account (ab1234 für Mitarbeiter bzw. uxxxx für Studenten).

Mitarbeiter: Bitte verwenden Sie Ihren KIT-Anmeldenamen, den Sie auf dem Self-Service Portal des SCC nachsehen können. Er hat die Form ab1234. Die Anmeldung im Portal ist auch mit KIT-E-Mail-Adresse möglich.

Studenten: Ihr Anmeldename hat die Form uxxxx.

VPN-Spezialzugang (VPN2VLAN)

Damit ein Spezialzugang für VPN in ein bestimmtes VLAN (VPN2VLAN) eingerichtet wird, muss der Zugang durch den IT-Beauftragten über das Musterticket  Antrag auf VPN2VLAN-Zugang beantragt werden.

Benötigen Sie als Nutzer die Berechtigung für einen bestimmten VPN2VLAN-Zugang, wenden Sie sich bitte an Ihren IT-Beauftragten. Wurde die Berechtigung eingerichtet, müssen Sie lediglich an Ihren KIT-Benutzernamen @realm hinten anhängen. Falls der Zugang auch mit Split-Tunneling verfügbar ist (muss zusätzlich beantragt werden), lautet der Realm <vlan-name>-split.

Konfigurationsdatei

Sie brauchen eine spezielle Konfigurationsdatei, die bei den Anleitungen für die Betriebssysteme zusätzlich zu der Standardkonfiguration verlinkt ist. Dies ist die Datei kit-vpn2vlan.ovpn.

Benutzername

Benutzername für die Anmeldung im VPN2VLAN-Zugang: <kit-account>@<realm>

Falls ein Zugang mit Split-Tunneling verfügbar ist, lautet der Benutzername: <kit-account>@<realm>-split

Passwort

<KIT-Passwort>

oder bei für den Zugang aktivierter Zwei-Faktor-Authentifizierung:
<KIT-Passwort><komma><Token>
Sie geben zuerst Ihr KIT-Passwort ein und dann das Zeichen Komma. Danach tippen Sie den aktuellen Token-Code ein bzw. lösen den Yubikey aus. Bitte speichern Sie das Passwort nicht, da Sie dieses aufgrund des Tokens jedes mal neu eingeben müssen.

VPN-Zugang zu SAP mit Token (*nicht* ESS)

Konfigurationsdatei

Für den Tunnel zu SAP müssen Sie die Konfigurationsdatei für VPN2VLAN kit-vpn2vlan.ovpn verwenden. Sie finden diese oben auf der Seite mit der Installationsanleitung.

Benutzername

Sie müssen sich anmelden: 

• innerhalb des KITs: @sap mit Zwei-Faktor-Authentifizierung
• außerhalb des KIT: @sap-von-aussen mit Zwei-Faktor-Authentifizierung

Das Passwort ist eine Kombination aus Ihrem KIT-Passwort und Ihrem Token, getrennt durch ein Komma.

Spezialkonfigurationen für Standard-VPN und VPN2VLAN

Im Normalfall ist der Standard-VPN-Zugang völlig ausreichend. Für besondere Anforderungen haben wir aber noch weitere VPN-Zugänge eingerichtet. Dafür brauchen Sie spezielle Konfigurationsdateien, die Sie auf der Seite Spezialkonfigurationen finden.

Split-Tunneling

Beim Split-Tunneling wird nur der Traffic zum KIT durch den VPN-Tunnel geleitet. Hierfür bieten wir auch eine spezielle Konfigurationsdatei auf o.g. Seite an.

Bei Verwendung von Split-Tunneling wird vom VPN-Server keine Default Route gepusht. Es kann aber sein, dass der Client diese trotzdem selbständig setzt. Dies sollte man überprüfen. Zum Beispiel muss unter Linux im Network Manager sicher gestellt werden, dass konfiguriert ist: IPv4 Settings und IPv6 Settings → Routes... dort den Haken setzen bei "Use this connection only for resources on its network".

Mit mehreren Geräten gleichzeitig im VPN

Um mehrere Verbindungen gleichzeitig zum OpenVPN-Server aufbauen zu können, muss der Benutzername um eine eindeutige Kennung erweitert werden, um eine Unterscheidung der Clients zu ermöglichen. Die Kennung (z.B. den Rechner-Namen) muss man mit / getrennt hinter den eigentlichen Benutzernamen schreiben und vor ein eventuelles @.

Beispiel: Sie können sich gleichzeitig mit user/rechner1 und user/rechner2 bzw. user/rechner1@vlan-name und user/rechner2@vlan-name anmelden. Die Kennungen können Sie frei wählen.

Mehrere VPN-Verbindungen gleichzeitig auf einem Rechner

Es ist mit OpenVPN möglich, mehrere VPN-Verbindungen gleichzeitig auf dem Rechner aktiv zu haben. Unter Windows ist hierzu nötig, dass Sie einen zweiten TAP-Adapter installieren. Dafür müssen Sie folgendes ausführen: C:\Program Files\TAP-Windows\bin\addtap.bat

Die Kombination von zwei VPN2VLAN-Zugängen ist problemlos möglich. Die Kombination des Standard-KIT-VPN-Zugang mit einem VPN2VLAN-Zugang ist leider nicht problemlos möglich.