Wireless LAN im Institut nutzen

Wir betreiben für die TU Braunschweig eine Wireless LAN Infrastruktur mit mehreren hundert Access-Points, die weiterhin ausgebaut wird. Mit der SSID eduroam werden moderne Verschlüsselungsverfahren eingesetzt, und über den Protokollstandard 802.1X werden auf Basis von Benutzerkennung und Passwort die Zugriffsberechtigten authentifiziert und autorisiert. Über die gleiche Funknetzkennung mit der wir einen geregelten Zugriff auf Netzressourcen bereitstellen, können Sie und Ihre Anwender über das etablierte eduroam-Projekt weltweit an allen teilnehmenden Forschungseinrichtungen das Internet benutzen. Selbstverständlich müssen Sie hierzu keine Konfigurationsänderungen an Ihrem Rechner vornehmen.

Als DV-Koordinator Ihrer Einrichtung suchen Sie nach Möglichkeiten, wie Sie Ihren Benutzern das Arbeiten im Instituts-Netz möglichst komfortabel gestalten können. Mobiles Arbeiten mit Unterstützung durch Wireless LAN im Institutsnetz ist dabei eine der am häufigsten angefragten Lösungen im Bereich Wireless LAN.

Seit August 2008 haben wir dazu ein Angebot für Sie. Ob am Arbeitsplatz, in der Bibliothek oder im Hörsaal: Die IP-Adressen Ihres Institutes können auch im Wireless LAN genutzt werden. Netzwerk-Resourcen in Ihrem Institutsnetz werden mobil verfügbar. Mitglieder eines Instituts erhalten die Möglichkeit mit Ihrem Laptop ohne Änderungen an der Konfiguration so zu arbeiten, als wäre ihr Gerät über ein LAN-Kabel mit einer Netzwerkbuchse im Büro verbunden. Die Nutzung von institutsspezifischen Diensten (Fileserver, u.a.) ist mit diesem Angebot flexibel an allen Standorten der TU Braunschweig möglich. Als Teil des Instituts-Netzes gilt für die mobilen Geräte die gleiche Firewall die ggf. das Institut von außen schützt.

Abb. 1: Ohne Instituts-WLAN Abb. 2: Mit Instituts-WLAN

Instituts-WLAN beantragen (DV-Koordinatoren)

Als Koordinator beantragen Sie die Nutzung von Instituts-WLAN einfach durch ein E-Mail an noc@tu-bs.de. Da wir die Infrastruktur für Sie betreiben, liegt Ihr Vorteil im Wesentlichen in der Einfachheit der Administration. Über das Personen-Interface KDD schalten Sie nach Bereitstellung des Angebots Ihre Anwender einzeln für den drahtlosen Zugriff auf den Institutsnetzbereich frei. Die Einrichtung erfolgt in mehreren Schritten:

  1. Sie melden bei uns vorzugsweise per Mail an noc@tu-bs.de Ihr Interesse am Instituts-WLAN Angebot an.
  2. Wir prüfen die notwendigen technischen Voraussetzungen und ggf. notwendigen Anpassungen an der Netzkonfiguration in Ihrem Institut und an unseren Routern.
  3. Sollten Änderungen an ihrer Netzwerkkonfiguration nötig sein um die technischen Voraussetzungen zu schaffen, wird mit Ihnen gemeinsam ein Zeitplan für die Durchführung der Änderungen erarbeitet, und die notwendigen vorbereitenden Arbeiten auf Ihrer und unserer Seite abgesprochen.
  4. Wenn alle vorbereitenden Arbeiten abgeschlossen sind, wird der Dienst Instituts-WLAN für Ihr Institut bereitgestellt. Im KDD haben Sie dann die Möglichkeit Ihrerseits Ihre Kollegen für diesen Dienst freizuschalten (Option Remote Zugriff in der Rubrik Personen).

In fast allen Netzbereichen ist die Nutzung dieses Angebotes möglich. Eine wesentliche Voraussetzung ist jedoch, dass im Instituts-Netz ein DHCP-Server durch Sie oder uns betrieben wird. In der Regel ist dies bereits der Fall, wenn Sie unser DHCP-Angebot nutzen.

Haben Sie Bedenken, dass die Funkabdeckung durch unsere Access-Points nicht ausreicht? Sprechen Sie uns an, wir möchten gerne mit Ihnen gemeinsam Lösungen zur Verbesserung der Funknetzabdeckung finden.

Instituts-WLAN Nutzen (DV-Koordinatoren)

Als DV-Koordinator schalten Sie bequem die Benutzerkennungen Ihrer Benutzer im KDD für diese Nutzung frei. Sie können dabei auf Basis der Benutzerkennungen entscheiden, welche Personen diesen Dienst nutzen dürfen und welche Personen in Ihrer Einrichtung weiterhin per WLAN in allgemeine Netze geschaltet werden.

Wählen Sie hierzu im KDD das Modul Personen aus. Sofern für Ihr Institut der Dienst Institut-WLAN und/oder Instituts-VPN konfiguriert ist, finden Sie in der Tabelle mit den Personen die Ihrer Einrichtung/Institut angehören die Spalte mit der Bezeichnung Remote-Zugriff. Die Unterscheidung, ob zu einer oder mehrerer Benutzerkennungen einer Person der Remote Zugriff geschaltet ist, wird über einen roten Ball (keine der Benutzerkennungen ist für den Remotezugriff geschaltet) oder einen grünen Ball (mindestens für eine Benutzerkennung wurde ein anderes Netzwerk ausgewählt) angezeigt.

Wenn Sie für eine der aufgelisteten Personen eine Benutzerkennung für den Remote-Zugriff und damit für das Instituts-WLAN freischalten wollen, klicken Sie auf den zugehörigen roten Ball. In der folgenden Auflistung werden Ihnen die der Person zugeordneten Benutzerkennungen aufgelistet. (Bei DV-Koordinatoren sind dies in der Regel mehrere: personenbezogene Benutzerkennung, Funktionsaccounts, i-Nummern etc. Für den normalen Benutzer ist es zumeist nur eine Benutzerkennung.) Rechts daneben befindet sich in der Spalte Remotenetzwerk ein drop-down Menü zu jeder Benutzerkennung. Dort können Sie zwischen „Öffentlich“ und dem/den Netz/Netzen Ihrer Einrichtung auswählen. Bestätigen Sie die neue Zuordnung, indem sie auf Speichern klicken. Die so getroffenen Einstellungen werden über Nacht in die Systeme provisioniert, so dass die Änderung ab dem nächsten Morgen genutzt werden kann.

Instituts-WLAN Nutzen (Benutzer)

Die Möglichkeit das Instituts-WLAN zu benutzen, wird über den DV-Koordinator der jeweiligen Einrichtung eingerichtet. Seitens der Benutzer ist keine weitere Interaktion nötig. Es müssen lediglich die verwendeten Geräte eduroam-konform mit der entsprechend für den Remote-Zugriff freigeschalteten Benutzerkennung konfiguriert sein. Dies gelingt am besten über unser Konfigurationsportal. Siehe auch die Beschreibung unter WLAN einrichten über SecureW2 JoinNow (Plattformunabhängig).

Instituts-WLAN und opt-out Lösung (DV-Koordinatoren, Benutzer)

Die Flexibilität in der Nutzung hat jedoch auch ihren Preis: Schalten Sie als DV-Koordinator eine Benutzerkennung für das Instituts-WLAN frei, so verbinden sich alle mit dieser Benutzerkennung konfigurierten Geräte über das WLAN mit dem Netz Ihres Instituts/Einrichtung. Sie als DV-Koordinator sehen sich daher einer neuen Flut von Geräten in dem von Ihnen verwalteten Netz gegenüber: Nicht nur das dienstlich bereitgestellte Laptop verlangt nach einer IP, sondern auch eine Vielzahl anderer Geräte wie Tablets, Smartphones, Wearables etc.

Auch wenn man bei all diesen Geräten aufgrund der IT-Ordnung eine dienstliche Nutzung unterstellt, steht die Frage im Raum, ob alle diese Geräte unbedingt Zugriff auf das interne Netz Ihres Instituts/Ihrer Einrichtung benötigen. Oft ist nur ein einfacher Internetzugang notwendig und nicht der Zugriff auf interne Ressourcen.

Durch das Konfigurieren des Remote-Zugriff im KDD haben weder DV-Koordinatoren noch Benutzer bislang die Option gehabt, bestimmte Geräte von dieser Konfiguration auszunehmen. Die Möglichkeit optional einige Geräte vom Remote-Zugriff auszunehmen ist sinnvoll und wurde mehrfach angefragt. Wir haben daher eine Lösung entwickelt, wie bei der Authentifizierung am eduroam WLAN durch eine Ergänzung bei der Benutzerkennung gesteuert werden kann, ob ein Gerät entsprechend der Vorgaben des DV-Koordinators behandelt und in das für die Benutzerkennung konfigurierte Instituts-WLAN geschaltet werden soll wenn der DV-Koordinator dies im KDD so konfiguriert hat oder ob ein Gerät auf jeden Fall nicht in das Instituts-WLAN geschaltet wird. Man kann dieses für das Instituts-WLAN adaptierte Verfahren als opt-out-Lösung bezeichnen.

Um bei aktiviertem Remote-Zugriff einzelne Geräte quasi per „opt-out“ statt gezwungener Maßen in das Instituts-Netz wieder in die allgemeinen Netze zu schalten, muss lediglich bei der auf dem betreffenden Gerät konfigurierten Benutzerkennung die Zeichenfolge #public ergänzt werden. Dies kann schon bei der initialen Konfiguration oder einer erneuten Konfiguration des Gerätes über das SecureW2 JoinNow Portal geschehen. Ferner kann auch die bestehende Konfiguration manuell geändert werden. Dies sollten Sie aber nur dann in Erwägung ziehen, wenn Sie genaue technische Kenntnisse haben. Denn in der Konfiguration der Geräte stellt sich die Änderung – geräteabhängig – unterschiedlich dar. Beachten Sie, dass bei der händischen Änderung der Konfiguration die Angabe nicht so verändert werden darf, dass sowohl die resultierende Konfiguration nicht mehr im Roaming an anderen Einrichtungen funktioniert als auch die Konfiguration weiterhin sicher ist. Als Grundregel für Änderungen gilt daher:

Wollen Sie aktiv ein Gerät aus dem Institus-WLAN in die allgemeinen Netzes schalten, so ergänzen Sie in der Konfiguration hinter Ihrer Benutzerkennung #public. Beispiel: Aus der Benutzerkennung maxmuste wird maxmuste#public Sofern aus der Gerätekonfiguration ersichtlich, bleibt stets der äußere Tunnel/die äußere Identität unverändert: anonymous@tu-braunschweig.de oder anonymous@tu-bs.de
Beispiel SecureW2 JoinNow Installer
Windows SecureW2 JoinNow Installer
Empfehlung: Wenn Sie den SecureW2 JoinNow Installer verwendet haben, nutzen Sie ihn bitte erneut, um die Konfiguration anzupassen. Dies gilt für alle Betriebssysteme, die mit dem SeucreW2 JoinNow konfiguriert werden können.
Android SecureW2 JoinNow Installer
Eingabe im Installer: Ergebnis in Gerätekonfiguration:
Beispiel SecureW2 Enterprise (Einrichtungen, die den Enterprise-Installer über SCCM verteilen)

FAQ

Hier finden Sie gelegentlich gestellte Fragen und die dazugehörigen Antworten zu unserem Angebot Instituts-WLAN:

  • F: Wenn wir das Instituts-WLAN nutzen wollen, benötigen wir dann noch SecureW2?
  • A: Ja, weiterhin benötigen Sie einen 802.1X-Supplikanten wie beispielsweise SecureW2 auf Ihrem Rechner. Dieser wird weiterhin benötigt, um den Benutzer an der Infrastruktur zu authentifizieren. Der Benutzer bekommt dann jedoch nicht eine Adresse aus dem „allgemeinen Pool von Adressen“, sondern eine IP aus Ihrem Institut.
  • F:Mein DV-Koordinator hat mir gesagt, dass mein Insitut jetzt diesen Instituts-WLAN Dienst nutzt. Aber was muss ich jetzt an meinem Notebook einstellen? Ich nutze bisher die über das Gauß- IT-Zentrum bereitgestellte Software und Eduroam.
  • A:Sie müssen nichts an Ihren Einstellungen ändern. Die notwendigen Änderungen wurden rein serverseitig durchgeführt.
  • F: Ich war an der University of South Australia. Zwar konnte ich das Internet nutzen, jedoch konnte ich nicht auf das Institutsnetz zugreifen. Das müsste doch möglich sein?
  • A: Nein. Wenn Sie sich außerhalb des Campus der TU Braunschweig an einer Partnereinrichtung mit der SSID eduroam verbinden, nutzen Sie das Netz der gastgebenden Einrichtung und eben die IP-Adressen die dort genutzt werden können. Der Dienst Instituts-WLAN ist für Sie spezifisch für den Standort Braunschweig.
  • F: Mein DV-Koordinator hat mir gesagt, ich darf nur das Notebook im Instituts-WLAN benutzen. Nun habe ich aber – dienstlich notwendig – ein Smartphone. Klar, ich kann auch über LTE auf E-Mail und Groupware zugreifen, um meine Termine zu managen. Aber wir haben doch fast überall eduroam. Darf ich das nun nicht mehr nutzen?
  • A: Wenn Ihr DV-Koordinator ihre Benutzerkennung für das Instituts-WLAN freischaltet und Ihnen gleichzeitig aufgibt, nur bestimmte Geräte in das Insitituts-WLAN zu bringen, hat das seinen Grund. Neben Sicherheitsüberlegungen spielt sicher auch eine Rolle, dass sich Ihr DV-Koordinator/Admin im Institut in einem heterogenen Umfeld mit schier unendlich vielen verschiedenen Geräten nicht um alle Geräte kümmern kann, wenn er seine Arbeit ordentlich machen möchte. Daher helfen Sie ihm bitte und nutzen Sie die „opt-out“-Lösung, Stichwort „#public“ weiter oben auf dieser Seite.
netz/wlan/institutswlan.txt · Zuletzt geändert: 2017/06/21 09:15 von flohaake
Gau-IT-Zentrum