Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Ãœberarbeitung
Nächste Überarbeitung
Vorhergehende Ãœberarbeitung
netz:vpn:institutsvpn [2014/11/19 09:35]
pilawa [Weitere Informationen]
netz:vpn:institutsvpn [2022/04/22 18:34] (aktuell)
minbecir
Zeile 1: Zeile 1:
 ====== VPN für Institute ====== ====== VPN für Institute ======
 Das Angebot "​Instituts-VPN"​ stellt auf Basis des vorhandenen allgemeinen VPN-Angebots einzelnen Instituten jeweils einen eigenen VPN-Adress-Pool bereit. Entsprechend der Option "​Remote Access"​ im KDD (zu finden im Bereich/​Modul "​Personen"​) werden bestimmten, auswählbaren Benutzerkennungen einer Person genau diese Das Angebot "​Instituts-VPN"​ stellt auf Basis des vorhandenen allgemeinen VPN-Angebots einzelnen Instituten jeweils einen eigenen VPN-Adress-Pool bereit. Entsprechend der Option "​Remote Access"​ im KDD (zu finden im Bereich/​Modul "​Personen"​) werden bestimmten, auswählbaren Benutzerkennungen einer Person genau diese
-reservierten IPs per VPN vergeben. Die Einstellungen werden über Nacht in die Systeme provisioniert, ​so dass Einstellungen und Änderungen am nächsten Morgen nutzbar sind. Sie erhalten dann im VPN eine von zusätzlichen ​IP Adressen ​aus einem exklusiv ​für Ihr Institut reservierten Adressbereich. ​Diese IP-Adressen ​können Sie in der Firewall ​vor Ihrem Instituts-Netz ​so freischalten lassen, dass Sie auf institutsinterne Ressourcen zugreifen können. Welcher Art diese Firewall-Freischaltungen sind, richtet sich nach Ihren Anforderungen.+reservierten IPs per VPN vergeben. Die Einstellungen werden über Nacht in die Systeme provisioniert, ​sodass ​Einstellungen und Änderungen am nächsten Morgen nutzbar sind. Sie erhalten dann im VPN eine IP-Adresse ​aus einem für Ihr Institut reservierten Adressbereich. ​Diesen ​IP-Adressbereich ​können Sie in der Firewall ​durch Ihren DV-Koordinator für Ihr Instituts-Netz freischalten lassen, ​so dass Sie auf institutsinterne Ressourcen zugreifen können. Welcher Art diese Firewall-Freischaltungen sind, richtet sich nach Ihren Anforderungen.
 Das Angebot richtet sich an Institute, die von außen durch eine Firewall geschützt sind. Für die VPN-Adressen des Instituts können in dieser Firewall dann Freischaltungen eingepflegt werden, die die Sicherheit des Instituts in keinster Weise aufweichen. Das Angebot richtet sich an Institute, die von außen durch eine Firewall geschützt sind. Für die VPN-Adressen des Instituts können in dieser Firewall dann Freischaltungen eingepflegt werden, die die Sicherheit des Instituts in keinster Weise aufweichen.
  
Zeile 19: Zeile 19:
 ===== Technische Umsetzung ===== ===== Technische Umsetzung =====
  
-Wir vergeben an jedes Institut ​einen Pool von 8 VPN- IP-Adressen und richten zur Nutzung dieses Adresspools für Ihr Institut ​ein spezielles Verbindungsprofil auf unseren VPN-Servern ein. Durch Anschalten ​des Features **Remote Zugriff** für die Nutzerkennung eines Kollegen wird bei der Anmeldung dieser Nutzerkennung am VPN-Gateway eine Information übermittelt,​ die für genau diese Nutzerkennung das Profil und damit den Adresspool für Ihr Institut auswählt. Dadurch brauchen weder Sie noch Ihre Kollegen Änderungen an Ihren VPN-Clients bzw. deren Konfiguration vorzunehmen. Sie installieren und konfigurieren den Client wie zur Nutzung des allgemeinen VPN-Angebots.+Wir vergeben an jede Einrichtung ​einen Pool von 8 Ã¶ffentlichen ​IP-Adressen ​im VPN und richten zur Nutzung dieses Adresspools für Ihre Einrichtung ​ein spezielles Verbindungsprofil auf unseren VPN-Servern ein. Durch Zuordnung ​des entsprechenden Netzes zur Nutzerkennung eines Kollegen ​(im KDD unter "​Personen zu Netz"​) ​wird bei der Anmeldung dieser Nutzerkennung am VPN-Gateway eine Information übermittelt,​ die für genau diese Nutzerkennung das Profil und damit den Adresspool für Ihr Institut auswählt. Dadurch brauchen weder Sie noch Ihre Kollegen Änderungen an Ihren VPN-Clients bzw. deren Konfiguration vorzunehmen. Sie installieren und konfigurieren den Client wie zur Nutzung des allgemeinen VPN-Angebots.
  
-Die 8 IP-Adressen Ihres VPN-Pools werden dynamisch zugeordnet. ​Es können ​also zu jeder Zeit Mitarbeiter gleichzeitig per VPN angemeldet seinSollten Sie sich absolut (und belegbar) sicher seindass Sie mit einem solchen Adresskontingent für VPN in der Regel nicht auskommenkönnen Sie mehr Adressen ​beantragen.+Die 8 IP-Adressen Ihres VPN-Pools werden dynamisch zugeordnet. ​In der Regel können ​dadurch zunächst nur gleichzeitige ​VPN-Verbindungen aufgebaut werdenSofern dies nicht ausreichtteilen ​Sie uns als DV-Koordinator bitte mit, dass es einen erhöhten Bedarf gibt. Dann werden wir zusätzlich eine Lösung konfigurieren,​ die mithilfe von NAT/PAT die Anzahl ​der gleichzeitig möglichen Verbindungen von 254 auf 262 gleichzeitige Verbindungen erweitertohne dass auf den Clients etwas geändert werden muss. Bei dieser Lösung wird ein Netz von 255 privaten ​Adressen ​auf die letzte der 8 öffentlichen IPs gelegt
  
 +**Sie müssen uns die Notwendigkeit für diese Erweiterung mitteilen.** Notwendig ist diese Erweiterung dann, wenn Sie regelmäßig damit rechnen, dass mehr als 8 Personen gleichzeitig das VPN nutzen. Außerdem weisen wir darauf hin, dass bei dieser Lösung im Falle von Nutzerverstößen oder kompromittierten Rechnern eine Zurückverfolgung auf Basis der IP-Adresse nicht immer möglich ist. Wir bitten außerdem darum, dass Sie Ihre Kollegen darauf hinweisen, in der Regel das Profil "​Tunnel-TU-Traffic"​ einzusetzen und nur dann "​Tunnel-All-Traffic"​ zu wählen, falls Sie Dienste außerhalb der TU nutzen müssen, die jedoch nur für den IP-Adressbereich der TU freigegeben sind.
 ===== VPN-Nutzung beantragen ===== ===== VPN-Nutzung beantragen =====
  
Zeile 32: Zeile 33:
  
 <​newcolumn>​ <​newcolumn>​
-In der Regel sollten Sie die Option [**VPN beantragen**] im Blatt **Datennetz** im //KDD// eingeblendet sehen. Sollte diese Schaltfläche bei Ihnen noch nicht eingeblendet werden, ist es möglich, dass bei Ihnen aus historischen Gründen noch nicht alle Voraussetzungen zur Nutzung von VPN in der Konfiguration Ihres Netzes erfüllt sind, bzw. die Organisations-Struktur Ihres Instituts bzw. Ihrer Einrichtung besondere Absprachen notwendig macht. In diesen Fällen schreiben Sie bitte einfach eine E-Mail an noc@tu-bs.de oder benutzen das Formular unter //​[[https://​www.tu-braunschweig.de/​it/​service-interaktiv/​kontakt-netze]]//​. Wir werden dann sicher gemeinsam eine Lösung finden.+In der Regel sollten Sie die Option [**VPN beantragen**] im Blatt **Datennetz** im //KDD// eingeblendet sehen. Sollte diese Schaltfläche bei Ihnen noch nicht eingeblendet werden, ist es möglich, dass bei Ihnen aus historischen Gründen noch nicht alle Voraussetzungen zur Nutzung von VPN in der Konfiguration Ihres Netzes erfüllt sind, bzw. die Organisations-Struktur Ihres Instituts bzw. Ihrer Einrichtung besondere Absprachen notwendig macht. In diesen Fällen schreiben Sie bitte einfach eine E-Mail an noc@tu-bs.de oder benutzen das Formular unter //​[[https://​www.tu-braunschweig.de/​it/​self-service/​kontakt-netze]]//​. Wir werden dann sicher gemeinsam eine Lösung finden. 
 + 
 +</​columns>​ 
 +===== Instituts-VPN für Mitarbeiter freischalten ===== 
 + 
 +Siehe [[netz:​wlan:​institutswlan#​instituts-wlan_oder_instituts-vpn_nutzen_dv-koordinatoren| hier.]] 
  
 ===== Weitere Informationen ===== ===== Weitere Informationen =====
  
 VPN-Client-Download:​ //​[[http://​www.tu-braunschweig.de/​it/​downloads/​software]]//​ VPN-Client-Download:​ //​[[http://​www.tu-braunschweig.de/​it/​downloads/​software]]//​
 +
 VPN-Anleitungen:​ //​[[https://​doku.rz.tu-bs.de/​doku.php?​id=netz:​vpn]]//​ VPN-Anleitungen:​ //​[[https://​doku.rz.tu-bs.de/​doku.php?​id=netz:​vpn]]//​
-</​columns>​+ 
 + 
netz/vpn/institutsvpn.1416386151.txt.gz · Zuletzt geändert: 2014/11/19 09:35 von pilawa
Gauß-IT-Zentrum