OpenVPN

Inhalt

sprungmarken_marker_14884

Aktuelle Information (Anmeldung in VPN)

Ab Dienstag, den 13. Juli, 22:00 Uhr, sind die Anmeldungen mit "<kit-account>" ohne Angabe eines Bereiches (@realm) unter der Verwendung den VPN2VLAN-Konfigurationsdateien (kit-vpn2vlan*.ovpn) nicht mehr möglich.

Personen, die keinen Bereich (Realm) haben, benötigen die Standard-VPN-Konfigurationsdatei kit*.ovpn (*ohne* vpn2vlan).
Sie sollten ab SOFORT - spätestens aber bis zum angegebenen Termin - auf die Nutzung dieser Konfigurationsdatei umstellen.

Installation und Einrichtung von OpenVPN

  1. OpenVPN-Client installieren (Anleitungen siehe unten oder oben im Menü) 
  2. Passende Konfigurationsdatei für den gewünschten VPN-Zugang einbinden
    Die Konfigurationsdateien finden Sie am Anfang der Anleitungen für die einzelnen Betriebssysteme. Die Split-Konfiguration finden Sie auf der Seite mit den Spezialkonfigurationen.


Bei Problemen lesen Sie auch unsere FAQ und Seite zur Fehlerbehebung.

Nutzung von Split-VPN

Der VPN-Zugang erfährt derzeit eine intensive Nutzung aus den Heimnetzen von Beschäftigten und Studierenden des KIT. Wer in einer solch sicheren Umgebung arbeitet, dem empfehlen wir, die Split-Konfiguration für sein Betriebssystem herunterzuladen.


Hierzu gehen Sie bitte auf die Seite mit den Spezialkonfigurationen und laden sich beim KIT-Standard-VPN die
Konfiguration #2 Split IPv4-Connect (l3, udp) für Ihr Betriebssystem und Port 1194 herunter.

Vorteil: nur der Verkehr zum KIT geht durch den VPN-Tunnel. Der restliche Verkehr geht über die normale Internetanbindung. Diese ist dadurch performanter und die Ressourcen des KIT werden geschont.

Nachteil: Verlage, die keine Authentifizierung unterstützen, können so nicht direkt erreicht werden, da Sie nicht als KIT-Nutzer erkannt werden. 

Split-VPN bitte nur in sicheren Umgebungen nutzen.

 

Installationsanleitungen und Konfigurationsdateien für die verschiedenen Betriebssysteme

 

Varianten des VPN-Zugangs

  1. VPN-Standard-Zugang (Konfigurationsdatei kit.ovpn) - für die meisten Benutzer passend
    • Benutzername: <KIT-Account>
    • Passwort: <KIT-Passwort>
       
  2. VPN-Spezialzugang (VPN2VLAN) (Konfigurationsdatei kit-vpn2vlan.ovpn)
    • Benutzername:  <KIT-Account>@<Realm> (<Realm> ist der Name des Ziel-VLANs)
    • Passwort: <KIT-Passwort>
                        oder bei für den Zugang aktivierter Zwei-Faktor-Authentifizierung:
                        <KIT-Passwort><komma><Token>

VPN-Standard-Zugang des KIT

Der VPN-Standard-Zugang erlaubt den Zugriff auf KIT-Intranet für alle KIT-Angehörige.

Konfigurationsdatei

Sie benötigen die Konfigurationsdatei kit.ovpn. Sie finden diese am Anfang der Anleitung für Ihr Betriebssystem.

Benutzername

Login nur mit KIT-Account (ab1234 für Mitarbeiter bzw. uxxxx für Studenten).

Mitarbeiter: Bitte verwenden Sie Ihren KIT-Anmeldenamen, den Sie auf dem KIT-Mitarbeiter-Portal nachsehen können. Er hat die Form ab1234. Die Anmeldung im Portal ist auch mit KIT-E-Mail-Adresse möglich.

Studenten: Ihr Anmeldename hat die Form uxxxx.

VPN-Spezialzugang (VPN2VLAN)

Ein Spezialzugang für VPN ins VLAN (VPN2VLAN) muss vom IT-Beauftragten über das Musterticket  Antrag auf VPN2VLAN-Zugang beantragt werden .

Falls Sie einen bereits eingerichteten Spezialzugang nutzen wollen, müssen Sie lediglich an Ihren KIT-Benutzernamen @realm hinten anhängen. Falls der Zugang auch mit Split-Tunneling verfügbar ist (muss zusätzlich beantragt werden), lautet der Realm <vlan-name>-split.

Konfigurationsdatei

Sie brauchen eine spezielle Konfigurationsdatei, die bei den Anleitungen für die Betriebssysteme zusätzlich zu der Standardkonfiguration verlinkt ist. Dies ist die Datei kit-vpn2vlan.ovpn.

Benutzername

Benutzername für die Anmeldung im VPN2VLAN-Zugang: <kit-account>@<realm>

Falls ein Zugang mit Split-Tunneling verfügbar ist, lautet der Benutzername: <kit-account>@<realm>-split

Passwort

<KIT-Passwort>

oder bei für den Zugang aktivierter Zwei-Faktor-Authentifizierung:
<KIT-Passwort><komma><Token>
Sie geben zuerst Ihr KIT-Passwort ein und dann das Zeichen Komma. Danach tippen Sie den aktuellen Token-Code ein bzw. lösen den Yubikey aus. Bitte speichern Sie das Passwort nicht, da Sie dieses aufgrund des Tokens jedesmal neu eingeben müssen.

Spezialkonfigurationen für Standard-VPN und VPN2VLAN

Im Normalfall ist der Standard-VPN-Zugang völlig ausreichend. Für besondere Anforderungen haben wir aber noch weitere VPN-Zugänge eingerichtet. Dafür brauchen Sie spezielle Konfigurationsdateien, die Sie auf der Seite Spezialkonfigurationen finden.

Split-Tunneling

Beim Split-Tunneling wird nur der Traffic zum KIT durch den VPN-Tunnel geleitet. Hierfür bieten wir auch eine spezielle Konfigurationsdatei auf o.g. Seite an.

Bei Verwendung von Split-Tunneling wird vom VPN-Server keine Default Route gepusht. Es kann aber sein, dass der Client diese trotzdem selbständig setzt. Dies sollte man überprüfen. Zum Beispiel muss unter Linux im Network Manager sicher gestellt werden, dass konfiguriert ist: IPv4 Settings und IPv6 Settings → Routes... dort den Haken setzen bei "Use this connection only for resources on its network".

Mit mehreren Geräten gleichzeitig im VPN

Um mehrere Verbindungen gleichzeitig zum OpenVPN-Server aufbauen zu können, muss der Benutzername um eine eindeutige Kennung erweitert werden, um eine Unterscheidung der Clients zu ermöglichen. Die Kennung (z.B. den Rechner-Namen) muss man mit / getrennt hinter den eigentlichen Benutzernamen schreiben und vor ein eventuelles @.

Beispiel: Sie können sich gleichzeitig mit user/rechner1 und user/rechner2 bzw. user/rechner1@vlan-name und user/rechner2@vlan-name anmelden. Die Kennungen können Sie frei wählen.

Mehrere VPN-Verbindungen gleichzeitig auf einem Rechner

Es ist mit OpenVPN möglich, mehrere VPN-Verbindungen gleichzeitig auf dem Rechner aktiv zu haben. Unter Windows ist hierzu nötig, dass Sie einen zweiten TAP-Adapter installieren. Dafür müssen Sie folgendes ausführen: C:\Program Files\TAP-Windows\bin\addtap.bat

Die Kombination von zwei VPN2VLAN-Zugängen ist problemlos möglich. Die Kombination des Standard-KIT-VPN-Zugang mit einem VPN2VLAN-Zugang ist leider nicht problemlos möglich.