Dyport

Inhaltsverzeichnis

    1. Webportal
    2. MAC Authentication Bypass (MAB)
    3. Ermitteln der MAC Adresse eines Rechners
    4. Registrieren einer MAC Adresse für Dyport
    5. 802.1X
    6. Gastnetz

Webportal

Für Dyport gibt es ein Webportal:

  • DYPORT https://dyport.zih.tu-dresden.de
    • Reiter "Übersicht"
      Listet Rechner, die über den eingeloggten ZIH-Usernamen registriert wurden.
    • Reiter "Gerät hinzufügen"
      Über das Popup-Feld "VLAN:" können die unter  Punkt 03. angezeigten Ressourcen ausgewählt werden. 
      In das Feld "MAC-Adresse:" ist die Hardware-MAC-Adresse des zu registrierenden Gerätes einzutragen.
      "Ablaufdatum" und "Kommentar" können selbst gewählt werden.
    • Reiter "Ressourcen"
      Liste aller nutzbaren Ressourcen (VLANs und VPN) des eingeloggten Usernamens
      Die Information welches VLAN in welchem Gebäude verfügbar ist, erhalten Sie im Zweifelsfall bei ihrem Netzadministrator. 
    • Reiter "Hilfe"
      Hilfe zu Dyport für Benutzer und Admins

MAC Authentication Bypass (MAB)

Anhand der MAC-Adresse des Rechners wird die Netzzuordnung während dem Aktivieren der Netzverbindung ausgeführt. Die MAC-Adresse muss dazu im Dyportportal bekannt sein. Jede MAC kann nur einmal eingetragen werden. Eine Änderung der Netzzuordnung ist im Dyport-Portal möglich. 
Ist das angeforderte VLAN an dem Standort nicht verfügbar, wird vom Dyport-System ein ggf. vorhandenes Rückfallnetz gewählt. Dabei werden Gebäude, Einrichtung, Netztyp und Anschluss beachtet.
Unbekannte Geräte erhalten ein Gastnetz, wenn sich die Anschlüssen an öffentlich nicht zugänglichen Stellen befinden. An öffentlich zugänglichen Stellen soll für nicht registrierte Geräte eine Netzverbindung nicht möglich werden.

Ermitteln der MAC Adresse eines Rechners

  • Windows:
    Öffnen eines cmd-Fensters
    Eingabe von "ipconfig /all"
    unter "Ethernet-Adapter Ethernet:"
    findet man

       Physische Adresse . . . . . . . . : aa-bb-cc-dd-ee-ff

  • Linux:
    in einem X-Terminal Eingabe von
    dmesg | grep eth0
    ggf. steht da "enpXXXXX: renamed from eth0", dann im Folgenden nach enpXXXXX suchen statt nach eth0 (ansonsten nach eth0):
    ifconfig -a
     eth0             Link encap:Ethernet  HWaddr aa:bb:cc:dd:ee:ff
    oder
     enpXXXXX   Link encap:Ethernet  HWaddr aa:bb:cc:dd:ee:ff

  • MacOSX:
    "Systemeinstellungen" (System Preferences)  --> "Netzwerk"(Network) --> 
    in der linken Spalte das Ethernet-Device anklicken, dann rechts auf "Erweitert"(Advanced) --> unter dem Reiter "Hardware" findet man die
    MAC Address: aa:bb:cc:dd:ee:ff

Registrieren einer MAC Adresse für Dyport

  • Einloggen auf der Webseite https://dyport.zih.tu-dresden.de
  • Klicken Sie auf den Reiter "Gerät hinzufügen"
  • Wählen Sie bei "VLAN:" die Ressource aus, der die MAC Adresse zugewiesen werden soll (fragen Sie ggf. Ihren IT-Administrator, welche das ist)
  • Geben Sie bei "MAC-Adresse:" die ermittelte MAC Adresse des Ethernet Ports Ihres Gerätes ein (zum Ermitteln der MAC Adresse siehe oben)
  • Wählen Sie ggf. ein "Ablaufdatum:" aus und geben Sie unter "Kommentar:" Hinweise zur Beschreibung des Gerätes ein.
  • Klicken Sie auf "Absenden:"
    Nach ca. einer halben Stunde ist Ihr Gerät via MAC Adresse im Dyport registriert und es erhält dann den korrekten Netzzugang

802.1X

Mit 802.1X erfolgt eine sichere Authentifizierung am Netzwerk. Dabei muss der gewünschte VLAN-Name und eine gültige Authentifizierung mit z.B. Nutzername/Passwort vom PC mit einem Supplicanten übertragen werden. Hier die notwendigen Informationen für den Supplicant:

  • Legitimierung: Getunneltes TLS (TTLS)
  • äußere Identität: zih-login@vlan-name
  • Zertifikat: Link
  • innere Legitimierung: PAP
  • innere Identität: zih-login@vlan-name

Unter Linux sind dafür komfortable Netzwerkmanager verfügbar.
Der in Windows enthaltene Supplicant hat keine Bedienoberfläche um zwischen verschiedenen Netzen zu wechseln. 
Das für VPN empfohlene Anyconnect kann um das NAM-Modul erweitert werden, um einen Supplicanten mit komfortabler Bedienoberfläche zu erhalten. Eine Änderung der Netzzuordnung ist jederzeit in der Bedienoberfläche des Anyconnect-NAM möglich. Ist das angeforderte VLAN an dem Standort nicht verfügbar, wird keine alternative Netzwerkverbindung hergestellt. Für eine Verbindung zu einem verfügbaren Netz muss ein vorhandenes VLAN ausgewählt werden. Um die Rückfallautomatik vom MAB zu nutzen, ist ein Profil ohne Netzauthentifizierung in der Bedienoberfläche des Supplicanten und ein Eintrag im Dyport-Portal erforderlich.

Gastnetz

Das "Gastnetz" ist das Netz, in das ein nicht im dyport registrierter Rechner an Ethernet-Ports in geschlossenen Räumen fällt (fallback). Der Gastrechner erhält eine private IP-Adresse, die zur Erreichung des Internets auf eine geroutete IP-Adresse übersetzt wird (NAT = Network Address Translation). Weiterhin ist der Zugriff auf das Internet eingeschränkt. Im Folgenden sind die Freischaltungen für das Gastnetz aufgelistet:

Service Ports Ziele
icmp echo, unreachable any
named,dns udp/53, tcp/53 141.30.1.1, 141.76.14.1
web tcp: 80,443,8080,8443 any
mail tcp: 465,993,995,imap4,pop3,587 any
ftp tcp/21 any
ssh tcp/22 any
VPN ESP, udp: 443,500,4500,10000 any
ntp udp/123 141.76.10.160, 141.76.32.160

Alle anderen Verbindungen sind nicht erlaubt.

Zu dieser Seite

Christine Kuhlmey
Letzte Änderung: 19.03.2025