OpenVPN

Inhalt

sprungmarken_marker_14884

Installation und Einrichtung von OpenVPN

  1. OpenVPN-Client installieren  
  2. Passende Konfigurationsdatei für den gewünschten VPN-Zugang einbinden

Bei Problemen lesen Sie auch unsere FAQ und Seite zur Fehlerbehebung.

Installationsanleitungen

Konfigurationsdateien

Die Konfigurationsdateien für den VPN-Zugang finden Sie auf KIT-VPN Konfigurationsdateien.

Varianten des VPN-Zugangs

  1. VPN-Standard-Zugang (Konfigurationsdatei kit.ovpn) - für die meisten Benutzer passend
    • Benutzername: <KIT-Account>
    • Passwort: <KIT-Passwort>
       
  2. VPN2VLAN (Konfigurationsdatei kit-vpn2vlan.ovpn)
    • Benutzername:  <KIT-Account>@<Realm> (<Realm> ist der Name des Ziel-VLANs)
    • Passwort: <KIT-Passwort>
                        oder bei für den Zugang aktivierter Zwei-Faktor-Authentifizierung:
                        <KIT-Passwort><komma><Token>
  3. VPN2VLAN mit zweitem Faktor (Konfigurationsdatei kit-vpn2vlan-2fa.ovpn)
    • Benutzername:  <KIT-Account>@<Realm> (<Realm> ist der Name des Ziel-VLANs)
    • Passwort: <KIT-Passwort>
    • 2FA-Token/One-Time Password (OTP): <Token>
    • Hinweis: Die Datei wird von Linux NetworkManager nicht unterstützt. Stattdessen verwenden Sie die Methode mit Komma (s.o.).

VPN-Standard-Zugang des KIT

Der VPN-Standard-Zugang erlaubt den Zugriff auf KIT-Intranet für alle KIT-Angehörige.

Konfigurationsdatei

Sie benötigen die Konfigurationsdatei kit.ovpn.

Benutzername

Login nur mit KIT-Account (ab1234 für Mitarbeiter bzw. uxxxx für Studenten).

Mitarbeiter: Bitte verwenden Sie Ihren KIT-Anmeldenamen, den Sie auf dem Self-Service Portal des SCC nachsehen können. Er hat die Form ab1234. Die Anmeldung im Portal ist auch mit KIT-E-Mail-Adresse möglich.

Studenten: Ihr Anmeldename hat die Form uxxxx.

Nutzung von Split-VPN

Der VPN-Zugang erfährt derzeit eine intensive Nutzung aus den Heimnetzen von Beschäftigten und Studierenden des KIT. Wer in einer solch sicheren Umgebung arbeitet, dem empfehlen wir, die Split-Konfiguration für sein Betriebssystem herunterzuladen.

Konfigurationsdatei

Sie benötigen die Konfigurationsdatei kit-split.ovpn.

Hinweise

Vorteil: nur der Verkehr zum KIT geht durch den VPN-Tunnel. Der restliche Verkehr geht über die normale Internetanbindung. Diese ist dadurch performanter und die Ressourcen des KIT werden geschont.

Nachteil: Verlage, die keine Authentifizierung unterstützen, können so nicht direkt erreicht werden, da Sie nicht als KIT-Nutzer erkannt werden. 

Split-VPN bitte nur in sicheren Umgebungen nutzen.

Bei Verwendung von Split-Tunneling wird vom VPN-Server keine Default Route gepusht. Es kann aber sein, dass der Client diese trotzdem selbständig setzt. Dies sollte man überprüfen. Zum Beispiel muss unter Linux im Network Manager sicher gestellt werden, dass konfiguriert ist: IPv4 Settings und IPv6 Settings → Routes... dort den Haken setzen bei "Use this connection only for resources on its network".

VPN-Zugang VPN2VLAN

Zum Einrichten wird eine separate BCD benötigt. Für die BCD können die gewünschten Freischaltungen eingerichtet werden.
Ein VPN2VLAN-Zugang kann durch den IT-Beauftragten mit dem NETVS-Formular Antrag auf neue BCD/neues Netz mit VPN2VLAN-Zugang beantragt werden.

Benötigen Sie als Nutzer die Berechtigung für einen bestimmten VPN2VLAN-Zugang, wenden Sie sich bitte an Ihren IT-Beauftragten. Wurde die Berechtigung eingerichtet, müssen Sie lediglich an Ihren KIT-Benutzernamen @realm hinten anhängen. Falls der Zugang auch mit Split-Tunneling verfügbar ist (muss zusätzlich beantragt werden), lautet der Realm <vlan-name>-split.

Konfigurationsdatei

Sie brauchen eine spezielle Konfigurationsdatei, die bei den Anleitungen für die Betriebssysteme zusätzlich zu der Standardkonfiguration verlinkt ist. Dies ist die Datei kit-vpn2vlan.ovpn.

Benutzername

Benutzername für die Anmeldung im VPN2VLAN-Zugang: <kit-account>@<realm>

Falls ein Zugang mit Split-Tunneling verfügbar ist, lautet der Benutzername: <kit-account>@<realm>-split

Passwort

<KIT-Passwort>

oder bei für den Zugang aktivierter Zwei-Faktor-Authentifizierung:
<KIT-Passwort><komma><Token>
Sie geben zuerst Ihr KIT-Passwort ein und dann das Zeichen Komma. Danach tippen Sie den aktuellen Token-Code ein bzw. lösen den Yubikey aus. Bitte speichern Sie das Passwort nicht, da Sie dieses aufgrund des Tokens jedes mal neu eingeben müssen.

VPN-Zugang zu SAP mit Token (*nicht* ESS)

 

Konfigurationsdatei

Für den Tunnel zu SAP müssen Sie die Konfigurationsdatei für VPN2VLAN kit-vpn2vlan.ovpn verwenden. Sie finden diese oben auf der Seite mit der Installationsanleitung.

Benutzername

Sie müssen sich anmelden: 

  • innerhalb des KITs: @sap mit Zwei-Faktor-Authentifizierung
  • außerhalb des KIT: @sap-von-aussen mit Zwei-Faktor-Authentifizierung

Das Passwort ist eine Kombination aus Ihrem KIT-Passwort und Ihrem Token, getrennt durch ein Komma.

Spezialkonfigurationen für Standard-VPN und VPN2VLAN

Im Normalfall ist der Standard-VPN-Zugang völlig ausreichend. Für besondere Anforderungen haben wir aber noch weitere VPN-Zugänge eingerichtet. Dafür brauchen Sie spezielle Konfigurationsdateien, die Sie auf der Seite KIT-VPN Konfigurationsdateien finden.

Mit mehreren Geräten gleichzeitig im VPN

Um mehrere Verbindungen gleichzeitig zum OpenVPN-Server aufbauen zu können, muss der Benutzername um eine eindeutige Kennung erweitert werden, um eine Unterscheidung der Clients zu ermöglichen. Die Kennung (z.B. den Rechner-Namen) muss man mit / getrennt hinter den eigentlichen Benutzernamen schreiben und vor ein eventuelles @.

Beispiel: Sie können sich gleichzeitig mit user/rechner1 und user/rechner2 bzw. user/rechner1@vlan-name und user/rechner2@vlan-name anmelden. Die Kennungen können Sie frei wählen.

Mehrere VPN-Verbindungen gleichzeitig auf einem Rechner

Es ist mit OpenVPN möglich, mehrere VPN-Verbindungen gleichzeitig auf dem Rechner aktiv zu haben. Unter Windows ist hierzu nötig, dass Sie einen zweiten TAP-Adapter installieren. Dafür muss man (als Administrator) folgenden Befehl (Batch-File) ausführen: C:\"Program Files"\TAP-Windows\bin\addtap.bat . Neuere OpenVPN-Installationen bieten dazu eine Verknüpfung im Windows-Startmenü. Diese finden Sie unter "Start"->"OpenVPN"-> "Add a new TAP-Windows6 virtual network adapter" (intern wird dabei der Befehl "C:\Program Files\OpenVPN\bin\tapctl.exe" create --hwid root\tap0901 aufgerufen).

Die Kombination von zwei VPN2VLAN-Zugängen ist problemlos möglich. Die Kombination des Standard-KIT-VPN-Zugang mit einem VPN2VLAN-Zugang ist leider nicht problemlos möglich.