Dyport

Table of contents

    1. Basics
    2. MAC Authentication Bypass (MAB)
    3. Ermitteln der MAC Adresse eines Rechners
    4. Registrieren einer MAC Adresse für Dyport
    5. 802.1X
    6. Gastnetz

Basics

"Dyport" definiert die dynamische Portzuweisung an Datennetzports in den Büros der Mitarbeiter der TU Dresden. Hierbei kann dem Datennetzport in Abhängigkeit vom angeschlossenen Gerät (MAC Authentication Bypass) bzw. den auf einem Gerät eingegebenen User-Credentials/User-Zertifikat (802.1X - vorrangig von Administratoren genutzt)  ein definiertes VLAN zugewiesen werden.
Im Normalfall übernimmt der IT-Administrator der Organisationseinheit die Verwaltung der Dyport-Zugänge für die Mitarbeiter. Es gibt aber auch Organisationseinheiten, bei denen Mitarbeiter ihre IT Hardware (Laptop, PC) selbst im Dyport registrieren können.

Dyport ist in allen mit VoIP versorgten Gebäudeteilen verfügbar.

Die Anschlüsse (Datennetzports) sind mehrheitlich als Datendoppeldosen ausgeführt. Dort ist der linke Anschluss immer aktiviert. Die rechten Anschlüsse sind nur teilweise nutzbar.
An einem Datennetzport ist der Anschluss eines Rechners oder eines VoIP-Telefones mit Rechner dahinter möglich. Ein Rechner darf nur mit einer MAC-Adresse senden. Werden mehr als eine MAC-Adresse an einem Anschluss erkannt, so wird dieser automatisch für eine Stunde deaktiviert.
Sollen Virtuelle Maschinen auf dem Rechner genutzt werden, müssen diese mit NAT (nicht Bridge) betrieben werden. Eigene Switches sind an den Anschlüssen nicht zulässig.

Die folgenden Webportale sind im Zusammenhang mit Dyport relevant
(einloggen mit den ZIH-Credentials):

  • MINIGROUPS https://minigroups.zih.tu-dresden.de
    • Reiter "Hier bin ich Gruppenmitglied"
      Listet die Nutzergruppen des eingeloggten ZIH-Usernamens auf - sowohl aus IDM als auch in Minigroups erstellte.
    • Reiter "Von mir verwaltete Gruppen" und "Garantien für andere Mitglieder"
      Für Nicht-IT-Administratoren derzeit nicht relevant, die Zugehörigkeit zu Minigroups-Gruppen wird durch den zuständigen IT-Administrator verwaltet.
    • Reiter "Von mir nutzbare Ressourcen"
      Liste aller nutzbaren Ressourcen (VLANs und VPN) des eingeloggten Usernamens
      Die Information welches VLAN in welchem Gebäude verfügbar ist, erhalten Sie im Zweifelsfall bei ihrem Netzadministrator. 
  • DYPORT https://dyport.zih.tu-dresden.de
    • Reiter "Übersicht"
      Listet Rechner, die über den eingeloggten ZIH-Usernamen registriert wurden.
    • Reiter "Gerät hinzufügen"
      Über das Popup-Feld "VLAN:" können die unter MINIGROUPS Punkt 03. angezeigten Ressourcen ausgewählt werden. 
      In das Feld "MAC-Adresse:" ist die Hardware-MAC-Adresse des zu registrierenden Gerätes einzutragen.
      "Ablaufdatum" und "Kommentar" können selbst gewählt werden.

MAC Authentication Bypass (MAB)

Anhand der MAC-Adresse des Rechners wird die Netzzuordnung während dem Aktivieren der Netzverbindung ausgeführt. Die MAC-Adresse muss dazu im Dyportportal bekannt sein. Jede MAC kann nur einmal eingetragen werden. Eine Änderung der Netzzuordnung ist im Dyport-Portal möglich. 
Ist das angeforderte VLAN an dem Standort nicht verfügbar, wird vom Dyport-System ein ggf. vorhandenes Rückfallnetz gewählt. Dabei werden Gebäude, Einrichtung, Netztyp und Anschluss beachtet.
Unbekannte Geräte erhalten ein Gastnetz, wenn sich die Anschlüssen an öffentlich nicht zugänglichen Stellen befinden. An öffentlich zugänglichen Stellen soll für nicht registrierte Geräte eine Netzverbindung nicht möglich werden.

Ermitteln der MAC Adresse eines Rechners

  • Windows:
    Öffnen eines cmd-Fensters
    Eingabe von "ipconfig /all"
    unter "Ethernet-Adapter Ethernet:"
    findet man

       Physische Adresse . . . . . . . . : aa-bb-cc-dd-ee-ff

  • Linux:
    in einem X-Terminal Eingabe von
    dmesg | grep eth0
    ggf. steht da "enpXXXXX: renamed from eth0", dann im Folgenden nach enpXXXXX suchen statt nach eth0 (ansonsten nach eth0):
    ifconfig -a
     eth0             Link encap:Ethernet  HWaddr aa:bb:cc:dd:ee:ff
    oder
     enpXXXXX   Link encap:Ethernet  HWaddr aa:bb:cc:dd:ee:ff

  • MacOSX:
    "Systemeinstellungen" (System Preferences)  --> "Netzwerk"(Network) --> 
    in der linken Spalte das Ethernet-Device anklicken, dann rechts auf "Erweitert"(Advanced) --> unter dem Reiter "Hardware" findet man die
    MAC Address: aa:bb:cc:dd:ee:ff

Registrieren einer MAC Adresse für Dyport

  • Einloggen auf der Webseite https://dyport.zih.tu-dresden.de - nutzen Sie Ihre ZIH-Credentials (Username und Passwort)
  • Klicken Sie auf den Reiter "Gerät hinzufügen"
  • Wählen Sie bei "VLAN:" die Ressource aus, der die MAC Adresse zugewiesen werden soll (fragen Sie ggf. Ihren IT-Administrator, welche das ist)
  • Geben Sie bei "MAC-Adresse:" die ermittelte MAC Adresse des Ethernet Ports Ihres Gerätes ein (zum Ermitteln der MAC Adresse siehe oben)
  • Wählen Sie ggf. ein "Ablaufdatum:" aus und geben Sie unter "Kommentar:" Hinweise zur Beschreibung des Gerätes ein.
  • Klicken Sie auf "Absenden:"
    Nach ca. einer halben Stunde ist Ihr Gerät via MAC Adresse im Dyport registriert und es erhält dann den korrekten Netzzugang

802.1X

Mit 802.1X erfolgt eine sichere Authentifizierung am Netzwerk. Dabei muss der gewünschte VLAN-Name und eine gültige Authentifizierung mit z.B. Nutzername/Passwort vom PC mit einem Supplicanten übertragen werden. Hier die notwendigen Informationen für den Supplicant:

  • Legitimierung: Getunneltes TLS (TTLS)
  • äußere Identität: zih-login@vlan-name
  • Zertifikat: Link
  • innere Legitimierung: PAP
  • innere Identität: zih-login@vlan-name

Unter Linux sind dafür komfortable Netzwerkmanager verfügbar. Der in Windows enthaltene Supplicant hat keine nutzbare Bedienoberfläche. Hier kann das für VPN empfohlene Anyconnect um das NAM-Modul erweitert werden, um eine komfortable Bedienoberfläche zu erhalten. 

Eine Änderung der Netzzuordnung ist jederzeit in der Bedienoberfläche des Supplicanten möglich. Ist das angeforderte VLAN an dem Standort nicht verfügbar, wird keine alternative Netzwerkverbindung hergestellt. Für eine Verbindung zu einem verfügbaren Netz muss ein vorhandenes VLAN ausgewählt werden. Um die Rückfallautomatik vom MAB zu nutzen, ist ein Profil ohne Netzauthentifizierung in der Bedienoberfläche des Supplicanten und ein Eintrag im Dyport-Portal erforderlich.

Gastnetz

Das "Gastnetz" ist das Netz, in das ein nicht im dyport registrierter Rechner an Ethernet-Ports in geschlossenen Räumen fällt (fallback). Der Gastrechner erhält eine private IP-Adresse, die zur Erreichung des Internets auf eine geroutete IP-Adresse übersetzt wird (NAT = Network Address Translation). Weiterhin ist der Zugriff auf das Internet eingeschränkt. Im Folgenden sind die Freischaltungen für das Gastnetz aufgelistet:

Service Ports Ziele
icmp echo, unreachable any
named,dns udp/53, tcp/53 141.30.1.1, 141.76.14.1
web tcp: 80,443,8080,8443 any
mail tcp: 465,993,995,imap4,pop3,587 any
ftp tcp/21 any
ssh tcp/22 any
VPN ESP, udp: 443,500,4500,10000 any
ntp udp/123 141.76.10.160, 141.76.32.160

Alle anderen Verbindungen sind nicht erlaubt.

About this page

Christine Kuhlmey
Last modified: Jan 08, 2024