VPN-Zugang: Zugang in das Netz der TU Graz aus externen Netzen

Der VPN-Zugang ermöglicht den sicheren Datentransfer über ein unsicheres Netz (wie zum Beispiel das Internet) durch einen Tunnel. Ein Tunnel verbindet zwei getrennte Netzwerke oder zwei Rechner. Der Rechner mit dem VPN-Client wird logischer Teil des Netzes, in das er sich einwählt (Beispiel: IP-Adresse aus dem Netz der TU Graz: 129.27.*). VPN kann dazu benutzt werden, gesichert über WLAN im Netz der TU Graz zu surfen, oder aber auch um von zuhause gewissermaßen ein Teil des Netzes der TU Graz zu werden (z. B. um spezielle Services wie FTP oder bestimmte Softwarelizenzserver anzusprechen).

Der VPN-Server der TU Graz unterstützt sowohl IPsec- als auch SSL-VPN („AnyConnect“) für IPv4, wobei wir dazu raten eher AnyConnect einzusetzen, da dabei Standard-Ports verwendet werden, die i. Allg. immer frei sind und hier automatische Reconnects bei Unterbrechungen im Client eingebaut sind, was beim Cisco-IPsec-Client i. Allg. nicht der Fall ist, außerdem gibt es AnyConnect für mehr Plattformen und Probleme mit HSDPA-Verbindungen sollten auch nicht auftreten. IPv6-Verbindungen laufen aktuell nicht durch diesen Tunnel, d. h. da ist man auch nicht durch unsere Firewall/unser IPS geschützt!

Für Studierende im VCG (Netz der Studierendenheime) gelten andere Einstellungen bei der Konfiguration. Diese können auf der Homepage des VCG gefunden werden.


AnyConnect (SSL-VPN)

Unter https://vpn.tugraz.at/ kann man sich den AnyConnect-Client herunterladen (Achtung: Anmeldung mit Netzzugangskennwort!) und damit auch mit aktuellen Android-Versionen eine VPN-Verbindung aufbauen, der Linux-Client „OpenConnect“ sollte ebenfalls funktionieren.

top

Was muss ich tun, um IPsec-VPN nutzen zu können?

Sie benötigen einen Cisco-kompatiblen VPN-Client. Die notwendigen Ports/Protokolle der VPN-Endpunkte der TU Graz (s. u.) müssen aus Ihrem Netz erreichbar sein, diese unterscheiden sich je nach verwendeter Einstellung:

  • native IPsec:
    IKE (UDP 500) und ESP (IP 50)
  • UDP enc:
    Ports 500, 4500 und 10000
  • TCP enc:
    nur Port 10000 (daher für Firewalls besser geeignet)

top

Woher bekomme ich den IPsec-VPN-Client?

Aus lizenzrechtlichen Gründen können wir den Cisco-IPsec-VPN-Client nicht einfach zum Download anbieten, Sie können diesen Client für Windows und Linux aber (innerhalb des TUGnets) vom FTP-Server herunter laden.

Unter Apple iOS (iPhone/iPod/iPad) und unter Mac OSX (ab 10.6) ist bereits ein Cisco-kompatibler Client vorinstalliert. Als Alternativen zum Cisco-Client gibt es für Linux z. B. VPNC und für Handhelds, PDAs und Smartphones AnthaVPN/movianVPN, weiters Shrew Soft VPN für Windows. Deren Konfiguration und Bezugsquellen werden im nächsten Punkt mitbehandelt.

top

Einstellungen

Host: vpn.tugraz.at (Cisco-ASA, 129.27.200.1)
Gruppenname: default
Gruppenpasswort (Shared Secret): default
Username: TUGRAZonline-Username (wie immer in Kleinbuchstaben)
Passwort: Netzzugangskennwort

top

IPsec-Konfigurationsbeispiele

top

Probleme mit IPsec

VPN-Einwahl funktioniert, man kann aber keine Daten übertragen

Sie verwenden vermutlich Windows 7 und eine WWAN-Verbindung (HSDPA). Der Cisco-VPN-Client ist mit HSDPA inkompatibel.
Lösung: Verwenden Sie bitte den AnyConnect-Client.

Probleme mit Lizenz-Server

Versuchen Sie es mit dem AnyConnect-Client.

top

Web-VPN

Eine Web-VPN-Lösung („clientless“ VPN im Browser) wird zur Verfügung gestellt, falls es dafür echten Bedarf gibt, da wir dafür erst Lizenzen erwerben müssten - melden Sie uns daher bitte Dienste, die wir per Web-VPN zugänglich machen sollen!