Inhalt
sprungmarken_marker_14136
FAQ zum VPN-Zugang des KIT
Wenn die Hinweise in unserer FAQ Ihnen nicht weiterhelfen, lesen Sie bitte unsere Seite zur Fehlerbehebung.
Welche VPN-Clients kann ich verwenden, um eine VPN-Verbindung zum KIT herzustellen?
Das SCC bietet als VPN-Dienst OpenVPN an. Nicht unterstützt werden: PPTP, L2TP und natives bzw. Cisco IPSec.
OpenVPN Allgemein
1.) Ich kann mich nicht in im OpenVPN anmelden. Benutzername / Passwort werden nicht akzeptiert (Fehlermeldung "AUTH: Received control message: AUTH_FAILED.")
Bitte stellen Sie sicher, dass Sie sich mit Ihrem KIT-Account anmelden. Mitarbeiter und Studierende sind automatisch für VPN freigeschaltet. Falls Sie Ihren KIT-Account bzw. Ihr KIT-Passwort nicht kennen, wenden Sie sich bitte an den SCC Service Desk.
Falls Sie externer Mitarbeiter sind und einen Gäste- und Partner-Account haben, wenden Sie sich bitte an Ihren IT-Beauftragten bzw. Ansprechperson und lassen Sie Ihren Account für VPN freischalten.
Falls Sie einen VPN-Zugang zu einem Institutsnetz benötigen, muss Ihr KIT-Account von dem IT-Beauftragten für das Institut freigeschaltet werden. Sie benötigen die Konfigurationsdatei kit-vpn2vlan.ovpn. Sie müssen als Benutzername kit-account@realm eingeben. Den realm erfahren Sie vom IT-Beauftragten des Instituts.
Bitte stellen Sie sicher, dass Sie die korrekte Konfigurationsdatei verwenden. Für VPN2VLAN (Zugang ins Institutsnetz - Benutzername kit-account@vlan-name) und den Zugang zu SAP (Benutzername kit-account@sap) brauchen Sie die Datei kit-vpn2vlan.ovpn. Sie finden diese in den Anleitungen für die Betriebssysteme. Weitere Konfigurationsdateien wie z.B. für Split-VPN finden Sie auf der Seite mit den Spezialkonfigurationen.
Wenn Sie sicher sind, dass alles korrekt ist, aber es trotzdem nicht funktioniert: in diesem Fall müssen Sie sich auf https://my.scc.kit.edu ein neues Passwort setzen. Denn wahrscheinlich ist Ihr Passwort nicht in allen Systemen synchron, was passieren kann, wenn Sie Ihr Passwort nicht über my.scc.kit.edu, sondern beispielsweise unter Windows über Strg+Alt+Entf geändert haben.
2.) Die Anmeldung schlägt fehl mit der Meldung "AUTH: Received control message: AUTH_FAILED,Data channel cipher negotiation failed (no shared cipher)"
Ihre OpenVPN-Client-Version ist zu alt. Seit dem 11. Dezember 2020 werden nur noch OpenVPN-Client-Versionen ab 2.4.0 unterstützt. Version 2.4.0 wurde im Dezember 2016 veröffentlicht. Handlungsempfehlungen pro Betriebssystem finden Sie auf unserer Seite Abkündigung älterer OpenVPN-Client-Versionen.
3.) Ich habe Vodafone/Unitymedia/KabelBW/KabelDeutschland als Internet Provider und die VPN-Verbindung funktioniert nicht. Der Tunnel wird aufgebaut, aber es scheint dann kein Traffic durch den Tunnel zu gehen.
Dies erfordert, dass Sie auf der Seite mit den Spezialkonfigurationen eine für Sie passende Konfiguration herunterladen und nutzen. Zuvor rufen Sie die Seite http://wieistmeineip.scc.kit.edu auf und prüfen Sie, ob Sie IPv6 haben:
Wenn Sie IPv6 haben, laden Sie die Konfigurationsdatei #3 (IPv6, UDP). Wenn Sie kein IPv6 haben oder die IPv6-Konfiguration keine Verbesserung bringt, laden Sie die Konfigurationsdatei #6 (IPv4, UDP, Lower MTU).
4.) Ich habe einen Hybrid-Anschluss der Deutschen Telekom und die VPN-Verbindung funktioniert nicht. Der Tunnel wird aufgebaut, aber es scheint dann kein Traffic durch den Tunnel zu gehen.
Laden Sie auf der Seite mit den Spezialkonfigurationen die Konfigurationsdatei #6 (IPv4, Lower MTU) herunter und nutzen diese.
5.) Die VPN-Verbindung wird zwar hergestellt, aber die VPN-Verbindung funktioniert nicht. Ich habe mit VPN keinen Zugriff auf das KIT Intranet und auch nicht mehr auf das Internet. Alles oder vieles wird nicht mehr oder sehr langsam geladen.
Dies liegt höchstwahrscheinlich an PMTUD-Problemen mit Ihrem Provider. Dies erfordert, dass Sie auf der Seite mit den Spezialkonfigurationen eine für Sie passende Konfiguration herunterladen.
Zuvor rufen Sie die Seite http://wieistmeineip.scc.kit.edu auf und prüfen Sie, welchen Internet Service Provider (ISP) Sie nutzen, und ob Sie IPv6 haben:
KABELBW, KABELDEUTSCHLAND, VODAFONE, VODANET oder LIBERTYGLOBAL: Wenn Sie IPv6 haben, laden Sie die Konfigurationsdatei #3 (IPv6, UDP). Wenn Sie kein IPv6 haben oder wenn die IPv6-Konfiguration keine Verbesserung bringt, laden Sie die Konfigurationsdatei #6 (IPv4, UDP, Lower MTU). Um die Verbindung ins restliche Internet (nicht KIT) nicht durch das VPN zu beinträchtigen, können Sie auch die Split-Konfiguration wählen.
DTAG: vermutlich nutzen Sie einen Hybrid-Anschluss der Deutschen Telekom. Laden Sie die Konfigurationsdatei #6 herunter (IPv4, UDP, Lower MTU).
Anderer ISP: versuchen Sie die Konfigurationsdateien #3 (IPv6, UDP) und #6 (IPv4, UDP, Lower MTU) und teilen uns das Ergebnis per E-Mail (siehe Ende VPN-Fehlerbehebung) mit.
6.) Die OpenVPN-Verbindung wird nicht hergestellt, d. h. es gibt einen Timeout beim Verbindungsaufbau.
Die Verbindung wird entweder von einer lokalen Firewall auf Ihrem Rechner blockiert (diese testweise ausschalten) oder Sie befinden sich in einem Netzwerk, bei dem UDP Port 1194 blockiert ist. Zweiteres können Sie umgehen, indem Sie in der OpenVPN-Konfigurationsdatei Port 1194 durch Port 443 ersetzen. Sie können die Konfigurationsdatei mit Port 443 auch auf der Seite mit den Spezialkonfigurationen herunterladen. Wenn die Konfiguration #1 mit Port 443 auch nicht funktioniert, laden Sie die IPv4 TCP-Konfiguration mit Port 443 herunter (#5).
7.) Beim Verbindungsaufbau gibt es die Fehlermeldung "TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)".
Ihre Internetverbindung steht nicht oder Sie befinden sich in einem Netzwerk, bei dem OpenVPN standard port UDP 1194 blockiert wird. Sie können in diesem Fall eine alternative Konfiguration unter Spezialkonfigurationen herunterladen. Am besten probieren Sie die Konfiguration #5 IPv4-Connect TCP (l3, tcp) Port 443. Eine mögliche Lösung wie man OpenVPN-Verbot im Ägypten umgeht: https://www.addictivetips.com/vpn/bypass-egypt-openvpn-ban/ .
8.) Ich erhalte die Fehlermeldung "Unrecognized option or missing parameter(s)".
Die Version Ihres OpenVPN-Clients ist für die geforderten Sicherheitseinstellungen zu alt. Sie benötigen eine Version >= 2.3.3. Windows, Mac OS X: laden Sie sich die aktuelle Version des OpenVPN-Clients herunter. Unter Linux sollten Sie ein Distributions-Upgrade in Erwägung ziehen oder von hier eine aktuellere Version installieren: OpenVPN Software Repositories
9.) Ich habe IPv6 auf meinem Computer deaktiviert und kann keine VPN-Verbindung herstellen. .
Damit Sie eine VPN-Verbindung zum KIT aufbauen können, muss IPv6 auf Ihrem System aktiviert sein (unabhängig davon, ob Ihr Internetprovider Ihnen IPv6 anbietet oder nicht). Zumindest darf es nicht global deaktiviert sein. Außerdem muss es auf dem tun/tap Interface, über das die VPN-Verbindung läuft, zwingend aktiviert sein. Details finden Sie bei den entsprechenden Fehlermeldungen in den Abschnitten zu den einzelnen Betriebssystemen.
10.) Ich kann die VPN-Verbindung für den Zugang zu SAP nicht herstellen.
Für den VPN-Zugang zu SAP brauchen Sie die Konfigurationsdatei kit-vpn2vlan.ovpn. Sie finden diese am Anfang der Anleitungen für die Betriebssysteme. Der Benutzername für die Anmeldung lautet kit-account@sap oder kit-account@sap-von-aussen. Als Passwort geben Sie direkt hintereinander Ihr KIT-Passwort, das Zeichen Komma und den aktuellen Token-Code ein.
OpenVPN Windows
1.) Ich erhalte die Fehlermeldung "There are no TAP-Windows adapters on this system."
Eigentlich wird der TAP-Adapter bei der Installation mit installiert. Sie können OpenVPN neu installieren. Alternativ können Sie es manuell installieren. Dafür tippen Sie im Windows-Suchfeld "cmd" ein und klicken Sie mit der rechten Maustaste auf den oberen Eintrag in der Liste "Eingabeaufforderung" und wählen Sie im Kontextmenü "Als Administrator ausführen". In dem sich öffnenden Fenster tippen (oder kopieren) Sie bitte folgendes Befehl (Batch-File) ein, wodurch ein TAP-Interface angelegt wird: C:\"Program Files"\TAP-Windows\bin\addtap.bat
2.) Ich erhalte die Fehlermeldung "All TAP-Windows adapters on this system are currently in use."
Reaktivieren Sie den TAP-Adapter, genaue Anleitung siehe hier:
https://vpn.ac/knowledgebase/64/OpenVPN-Error-All-TAP-Windows-adapters-on-this-system-are-currently-in-use.html
3.) Ich erhalte die Fehlermeldung "ERROR: netsh command failed: returned error code 1".
Diese Fehlermeldung kann mehrere Ursachen haben:
IPv6 ist auf dem Tunnel Adapter deaktiviert oder auf Ihrem Windows generell. Damit funktioniert unser OpenVPN Setup (IPv6 im Tunnel) nicht. IPv6 muss mindestens auf dem Tunnel-Interface aktiviert sein.
Hier finden Sie Informationen dazu (auch zu re-enable IPv6):
https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows
Es könnte auch daran liegen, dass Microsoft Teredo/6to4 installiert/aktiviert ist. Dies erscheint vermutlich auch auf der Seite http://wieistmeineip.scc.kit.edu
Der Microsoft Teredo-Dienst stört bei der Konfiguration der IPv6-Adresse beim Verbindungsaufbau. Sie können den Teredo-Dienst deaktivieren, indem Sie die Befehle
netsh interface teredo set state disabled
netsh interface ipv6 6to4 set state disabled
ausführen. (Details bspw. in http://lonesysadmin.net/2011/04/25/how-to-disable-teredo-ipv6-tunneling-in-microsoft-windows/)
Eine Deinstallation und Neuinstallation löst in einigen Fällen dieses Problem ebenfalls.
4.) Ich erhalte am Ende des Verbindungsaufbaus die Meldung: "Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )". Vorher erscheinen einige Male die Meldungen "TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down" und "Route: Waiting for TUN/TAP interface to come up"
Testweise Firewall deaktivieren
Deinstallation und Neuinstallation des Clients
Reset Network TCP/IP Stack: https://community.openvpn.net/openvpn/wiki/reset-network-tcp-ip-stack
5.) Wie kann ich Konfigurationsdateien aus OpenVPN löschen?
Eine in OpenVPN importierte Konfigurationsdatei kann man folgendermaßen löschen: unter C:\Users\OpenVPN\config gibt es für jede importierte Datei einen Ordner. Um die Konfiguration zu löschen, muss man den Ordner löschen.
OpenVPN Mac OS X
Mit dem VPN-Client Tunnelblick können bei hergestellter VPN-Verbindung einige interne Seiten erreicht werden, es gibt aber Probleme beim Zugriff auf den Fileserver, Druckserver, Lizenzserver oder auf https://team.kit.edu. Die Namensauflösung (DNS) funktioniert nicht für alle Namen.
Stellen Sie sicher, dass Sie - wie in der Anleitung für Tunnelblick beschrieben - den Haken bei "Änderungen erlauben, um die Netzwerkeinstellungen manuell zu verändern" gesetzt haben.
OpenVPN Linux
1.) Unter Linux mit dem Network Manager wird die OpenVPN-Verbindung scheinbar hergestellt (IP-Adresse wird zugewiesen), aber auf das KIT-Intranet kann nicht zugegriffen werden.
Dieses Problem kann mehrere Ursachen haben:
Das OpenVPN-Plugin für NetworkManager (network-manager-openvpn) wird in der Version >= 1.2.10 benötigt. Unter Debian gibt es in Version 1.2.6 einen Patch, mit dem es auch funktioniert (diese Version ist in Debian 9 enthalten). Bei Ubuntu scheint dieser Patch nicht vorhanden zu sein, so dass mindestens Ubuntu 17.10 benötigt wird. Alternativ können Sie die Kommandozeile benutzen, dies ist in der Linux-Anleitung beschrieben.
Wenn Ihr Network Manager neu genug ist: Bitte überprüfen Sie in den Einstellungen des Network Manager, ob der Haken bei IPv4 Settings → Routes → "Use this connection only for resources on its network" gesetzt ist. Falls er gesetzt ist, entfernen Sie diesen. Bei der Standard-VPN-Verbindung, bei der alles über den Tunnel gehen soll, darf der Haken nicht gesetzt sein, damit die Default Route gesetzt wird.
2.) Unter Linux habe ich Probleme, OpenVPN über den Network Manager zu starten.
Bitte lesen Sie die Hinweise zu NetworkManager in der Anleitung für Linux.
Sie können den OpenVPN Client auch auf der Kommandozeile starten:
sudo openvpn --config konfigurationsdatei
(z. B. sudo openvpn --config kit.ovpn)
3.) Beim Starten des OpenVPN-Clients auf der Kommandozeile wird mit einer Fehlermeldung abgebrochen.
Wenn die Fehlermeldung in der vorletzten Zeile lautet: "ERROR: Cannot ioctl TUNSETIFF tap: Operation not permitted (errno=1)", dann ist das Problem, dass Sie den Client nicht mit Admin-Rechten gestartet haben.
Sie können z. B. sudo verwenden, um den Client als root zu starten: sudo openvpn --config kit.ovpn
4.) Ich erhalte die Fehlermeldung "ip -6 addr add failed: external program exited with error status: 2"
IPv6 ist auf Ihrem System deaktiviert, zumindest für das tun- bzw. tap Interface. Mit dem Befehl "sysctl net.ipv6.conf | grep disable_ipv6" können Sie überprüfen, ob IPv6 aktiviert ist.
5.) Bei hergestellter VPN-Verbindung unter Linux können einige interne Seiten erreicht werden, es gibt aber Probleme beim Zugriff auf den Fileserver, Druckserver, Lizenzserver oder auf https://team.kit.edu. Die Namensauflösung (DNS) funktioniert nicht für alle Namen.
Lesen Sie bitte in der Linux-Anleitung die Hinweise im Abschnitt "Verwendung der KIT-Resolver für die DNS-Auflösung".
Sonstige Fragen zu VPN
1.) Ich kann über VPN nicht drucken bzw. den Dienst xyz im KIT nicht erreichen.
Stellen Sie sicher, dass die VPN-Verbindung hergestellt ist. Rufen Sie dazu die Seite: http://wieistmeineip.scc.kit.edu auf. Wenn der Tunnel korrekt aufgebaut wurde, müsste die angezeigte IPv4-Adresse die Form 141.52.x.y oder 129.13.x.y und die angezeigte IPv6-Adresse die Form 2a00:1398:300:x::y haben. Falls die VPN Verbindung hergestellt ist, wenden Sie sich an den Betreuer des Druck-Dienstes bzw. des entsprechenden Dienstes. Bzgl. Drucken beachten Sie bitte auch die Seite Drucken von außerhalb des KIT-Netzes.
2.) Wie komme ich über VPN an mein Home-Laufwerk?
Stellen Sie sicher, dass die VPN-Verbindung hergestellt ist. Dann geben Sie im Windows Explorer (bzw. an der passenden Stelle in Ihrem Betriebssystem) den entsprechenden Pfad ein:
Mitarbeiter: Informationen finden Sie unter KIT-Datenablage (persönliches Verzeichnis)
Studierende: Informationen finden Sie unter KIT-Datenablage (für Studierende)
Bei der Abfrage nach Benutzername und Passwort geben Sie bitte Ihren KIT-Account (z.B KIT\ab1234) mit dem zugehörigen Passwort an.
3.) Wenn ich im VPN angemeldet bin, kann ich keine E-Mails über einen externen E-Mail Provider versenden.
Innerhalb des KIT-Netzes (also auch im VPN) kann man sich aus Sicherheitsgründen nur zu den KIT-Mail-Servern auf Port 25 (smtp) verbinden. Sie können aber andere E-Mail-Server auf Port 465 oder Port 587 kontaktieren. Ansonsten können Sie auch Split-VPN benutzen: dann geht nur der Traffic, der als Ziel das KIT hat, durch den Tunnel. Dazu müssen Sie die entsprechende Spezialkonfiguration nutzen.
4.) Ich bin Studierender einer anderen Hochschule und möchte eine VPN-Verbindung zu meiner Hochschule aufbauen.
Sie können sich über die SSID eduroam anmelden, falls Ihre Hochschule am eduroam teilnimmt. Danach können Sie eine VPN-Verbindung zu Ihrer Hochschule aufbauen.
Meine Frage wird hier nicht beantwortet.
Lesen Sie bitte unsere Seite zur Fehlerbehebung.