VPN Technik

Voraussetzungen

Voraussetzung für die Einrichtung eines "Virtual Private Network" (VPN) ist ein gültiges ZIH-Login. Zur technischen Realisierung des "virtuellen privaten Netzes" wird ein spezielles Client-Programm benötigt,
das für die Angehörigen der TU Dresden kostenfrei zur Verfügung gestellt wird.

Technische Beschreibung

Mit Hilfe der VPN-Technologie wird für einen externen Nutzer (z. B. Internetzugang über DSL) über das Internet eine (virtuelle) Verbindung zum (privaten) Datennetz der TU Dresden hergestellt. Nach entsprechender Authentifizierung ist dieser Nutzer dann aus netztechnischer Sicht Bestandteil des Datennetzes der TU Dresden und kann somit auch die Dienste der TU Dresden nutzen.

Als Tunnelprotokoll wird IPSec bzw. L2TP/IPSec mit den Verschlüsselungsalgorithmen 3DES bzw. AES eingesetzt. Dies ermöglicht eine sichere Verbindung zwischen dem Endgerät des Nutzers und dem VPN-Gateway des ZIH. Als VPN-Gateway kommt eine Adaptive Security Appliance (ASA) 5520 der Firma Cisco zum Einsatz. Per Voreinstellung wird immer eine offizielle IP-Adresse zugewiesen.

Für Institute und Einrichtungen der TU Dresden bietet das ZIH die Möglichkeit, einen eigenen VPN-Zugang zu erhalten. Die Institute erhalten dafür spezielle VPN-Netze und können die Nutzer selbständig über ein entsprechendes Webinterface verwalten. Als Software wird Cisco AnyConnect Secure Mobility Client verwendet, das den Tunnel über https bzw. DTLS aufbaut.

Firewall (Schutz der Endsysteme im VPN)

Bei Nutzung des VPN ist das Endgerät durch eine zentrale Firewall des ZIH geschützt, die aktuelle Firewall-Policy finden Sie hier.

Routing (Datentransfer)

Es wird immer der gesamte Datenverkehr über das VPN-Gateway geleitet ("geroutet"). Auch die privaten Netze mit den Adressen 10.x.x.x, 172.16.x.x und 192.168.x.x werden direkt geroutet, außer es wird im Client die Option Allow Local LAN Access aktiviert. Dadurch wird der Zugriff auf lokale Netze bei einer aufgebauten VPN-Verbindung möglich.