VPN


Voraussetzungen

     

  1. Ein Login im HNI muß vorhanden sein.
  2. Das Login muß beim Rechnerbetrieb des HNI für den VPN-Zugang freigeschaltet werden. (Mail an rb@hni.uni-paderborn.de) oder persönlich beim Rechnerbetrieb).
  3. Sie benötigen ein persönliches Netzwerk-Zertifikat. (Falls Sie das WLAN "eduroam" benutzen, haben Sie bereits ein gültiges Zertifikat erstellt und installiert, das Sie auch für den VPN-Zugang nutzen können).
  4. Das HNI verwendet OpenVPN zur VPN-Verbindung. Dazu muss eine OpenVPN Client-Software installiert werden.
  5. Um Netzlaufwerke durch das VPN zu verbinden muß ein Passwort für die Windows-Domäne des HNI gesetzt werden. Das kann mit einem Passwortmanager auf einem Terminalserver durchgeführt werden (ist in den Anleitungen beschrieben) oder persönlich beim Rechnerbetrieb.
  6.  


Konfigurationsanleitung

HNI-VPN auf einem externen / privaten Rechner konfigurieren

1. Schritt: VPN beim HNI-Rechnerbetrieb freischalten lassen

Der Zugang zum HNI-Netz durch das VPN wird durch eine Berechtigungsgruppe geregelt. Nur Mitglieder dieser Gruppe können eine VPN-Verbindug aufbauen. Es gibt zwei Möglichkeiten, in diese Gruppe aufgenommen zu werden:

  1. per formloser Mail an den Rechnerbetrieb
  2. persönlich, beim HNI-Rechnerbetrieb

 

2. Schritt: Ein Netzwerkzertifikat Erstellen

Achtung! Das Universitäts-VPN und das WLAN "eduroam" benutzen das gleiche Authentisierungsverfahren. Wenn Sie bereits ein Zertifikat für eines der beiden Netzwerke nutzen, brauchen Sie kein neues Zertifikat!

Nur, falls Sie noch kein eduroam- oder VPN-Zertifikat haben:

  • An IMT-Benutzerverwaltung unter Benutzerdaten selbst verwalten anmelden.
  • Button WLAN anklicken.
  • Wenn es die Zeile "Seriennummer Netzwerkzertifikat" gibt und in der zweiten Spalte eine Zertifikatskennung steht, haben Sie bereits ein gültiges Netzwerkzertifikat, das Sie verwenden können. → Weiter bei Schritt 3
  • Wenn Sie noch kein Netzwerkzertifikat haben, dann in der Zeile "Neues Netzwerkzertifikat erzeugen", rechts auf "Netzwerkzerifikat erstellen" klicken.
  • Nach dem Klick auf "Netzwerkzerifikat erstellen" werden Sie aufgefordert, ein Passwort für das Zertifikat zu vergeben. Sie sollten ein Passwort nach den üblichen Kriterien eingeben und auf "Zertifikat jetzt per E-Mail zusenden" klicken. Das Passwort sollten Sie sich unbedingt merken (oder notieren und sicher verwahren), damit sie das Zertifikat später auch für andere Dienste oder nach einer Neuinstallation Ihres Rechners weiter nutzen können.
  • Sie erhalten eine E-Mail mit einer kurzen Beschreibung, worum es sich bei dem Netzwerkzertifikat handelt. Im Anhang der Mail finden Sie das eigentliche Zertifikat mit der Dateiendung .p12.

 

3. Schritt: Das Netzwerkzertifikat installieren

OpenVPN basiert auf SSL Verschlüsselung und Zertifikaten. Damit sich ein privater Rechner über OpneVPN mit dem Netz des HNI Verbinden kann, muß auf dem privaten Rechner das zuvor erzeugte Zertifikat und das Wurzel-Zertifikat der Zertifizierungsstelle (CA = Certification Authority) installiert werden.

  • Wenn Sie bereits das eduroam WLAN oder das Univeristäts-VPN nutzen, dann haben Sie die Zertifikate bereits installiert. → weiter zum nächsten Schritt.
  • Die Installation der Zertifikate für das VPN identisch ist mit der Zertifikatsinstallation für das eduroam-WLAN. Daher verweisen wir an dieser Stelle auf die Anleitung des IMT zum Einrichten von Eduroam.

 

4. Schritt: Client-Software installieren und konfigurieren

OpenVPN benötigt eine eigene Client-Software. Das HNI benutzt das gleiche Verfahren wie das IMT. Daher verweisen wir auch hier auf die Installtionsanleitung des IMT.

Achtung! Das HNI verwendet zwar grundsätzlich die gleiche Technik wie die Universität Paderborn, aber die Netzwerkadressen unterscheiden sich! Daher wird für das HNI-OpenVPN eine andere Konfigurationsdatei benötigt als in der Anleitung des IMT genannt.

  • HNI-Konfigurationsdatei herunterladen (manche Browser zeigen die Konfigurationsdatei an, anstatt sie herunterzuladen. Dann hilft ein Rechtsklick auf dem Link → "Ziel speichern unter..."):

  • Client-Software nach der Anleitung des IMT installieren, aber die HNI-Konfigurationsdatei verwenden statt der Konfigurationsdatei des IMT.

 

5. Schritt: Passwort für die HNI-Domäne setzen (nur nötig, wenn noch kein Domänenpasswort eingetragen wurde).

Prinzipiell kann jetzt eine Verbindung ins HNI-Netzwerk augebaut werden. Meistens möchte man diese Verbindung dazu nutzen, Netzlaufwerke zu verbinden um auf Daten im HNI zuzugreifen. Dabei gibt es wieder ein paar Dinge zu beachten:

Private bzw. externe Rechner gehören üblicherweise nicht zur Windows-Domäne des HNI. Die Authentisierung im HNI ist aber (aus vielerlei Gründen) genau darauf ausgelegt. Damit sich auch Benutzer von externen Rechnern mit Netzlaufwerken verbinden können, muß deren Passwort in der Windows-Domäne ausdrücklich gesetzt sein. Das ist nur einmal nötig (oder später, wenn das Passwort bewusst geändert werden soll).

Man kann das Domänen-Passwort entweder beim Eintragen des VPN-Passworts beim Rechnerbetrieb gleich mit setzen, oder man kann es auch selbst, durch die gerade erstellte VPN-Verbindung, eintragen. Und das geht so:

  • Voraussetzung: Rechner läuft, ein Netzwerk ist verbunden, die VPN-Verbindung ist aufgebaut.
  • Start → Ausführen anklicken, mstsc eingeben und OK anklicken
    (mstsc steht für MiroSoft Terminal Server Client und erlaubt es, sich auf einem entfernten Microsoft-Server anzumelden und dort Programme auszuführen).
  • Das Fenster für die Remotedesktopverbindung öffnet sich.
  • Als Server hni-ts.hni.uni-paderborn.de eintragen und auf Verbinden klicken.
  • Der Anmeldebildschirm des HNI-Terminal-Servers erscheint.
  • Als Login UNI-PADERBORN.DE\[IMT-Loginname]eingeben. Wichtig ist, daß "UNI-PADERBORN.DE\" vor dem Login-Namen groß geschrieben wird!
  • Als Passwort, das normale HNI/IMT-Passwort eingeben.
  • Der Desktop des HNI-Terminalservers erscheint.
  • Auf Dem Desktop liegt ein blaues Symbol für den HNIPasswortManager V2. Darauf doppelklicken und nach den Anweisungen das Passwort für die Windows-Domäne eingeben. Ich empfehle, an der Stelle, das gleiche Passwort zu verwenden, das auch als IMT-Passwort benutzt wird (um Verwechslungen vorzubeugen).
  • Start → Log off    um den Terminalserver zu verlassen und zu dem eigenen Desktop zurückzukehren.

 

6. Schritt: Netzlaufwerke durch das VPN verbinden.

Jetzt kann eine VPN-Verbindung aufgebaut werden und das Passwort zur Authentisierung von externen Rechnern ist eingetragen. Fehlt nur noch das Verbinden von Netzlaufwerk(en):

  • Voraussetzung: Rechner läuft, ein Netzwerk ist verbunden, die VPN-Verbindung ist aufgebaut.
  • Windows-Explorer öffnen (entweder Start --> Arbeitsplatz anklicken oder Arbeitsplatz auf dem Desktop doppelklicken oder WindowsTaste-E drücken)
  • In der Menüleiste unter Extras auf Netzlaufwerk verbinden klicken.
  • Einen Laufwerksbuchstaben auswählen (z.B. P: wie pro_studi
  • Bei Ordner, die Freigabe in der Form: \\[Servername]\[Freigabename] eingeben.
    Servername könnte z.B. hni-fs1.hni.uni-paderborn.de sein. Freigabename könnte z.B. pro_studi sein. Um bei dem Beispiel zu bleiben, müsste in dem Feld Ordner dann \\hni-fs1.hni.uni-paderborn.de\pro_studi stehen.
  • Wenn es erwünscht ist, das Häkchen bei Verbindung bei Anmeldung wiederherstellen setzen. Damit kann man die Verbindung schnell wieder aufbauen, wenn der Rechner ausgeschaltet und/oder die VPN-Verbindung getrennt war.
  • Wichtig! Jetzt auf Verbindung unter anderem Benutzernamen herstellen klicken.
  • Es öffnet sich das Fenster für Verbinden als...
  • Bei Benutzername HNIRB\[IMT/HNI-Loginname] eingeben. Wichtig ist hier wieder, daß HNIRB\ vor dem Loginnamen groß geschrieben wird.
  • Als Passwort, das Passwort eingeben, das man vorher mit mstsc auf dem hni-ts-Server eingetragen hat. (Wenn Sie meiner Empfehlung gefolgt sind, ist es das gleiche, wie das normale IMT-Passwort).
  • Nach erfolgreicher Eingabe der Anmeldedaten befindet man sich wieder im Netzlaufwerk verbinden Fenster und kann auf Fertigstellen klicken.

Einstellungen und Parameter in Kurzform

Einstellungen in Kurzform

  • Login für VPN freischalten lassen
    Um sich mit dem HNI-VPN verbinden zu können muss eine entsprechende Berechtigung eingetragen werden. Das kann man persönlich beim Rechnerbetrieb machen oder per formloser mail an den Rechnerbetrieb.
  • Ein WLAN-Zertifikat (für eduroam-WLAN) erstellen
    Wenn man bereits ein Zertifikat für das eduroam-WLAN hat, kann man das gleich Zertifikat auch für den VPN-Zugang benutzen. Falls man noch kein Zertifikat hat, kann man es in der Benutzerverwaltung des IMT erzeugen.
  • WLAN-Zertifikat installieren
    Ist in der Anleitung des IMT beschrieben.
  • OpenVPN Client Software installieren
    Ist in einer Anleitung des IMT beschrieben. Für das HNI wird aber eine andere Konfigurationsdatei benötigt. Die Konfigurationsdatei des HNI gibt es hier (mit Rechtsklick → Ziel speichern unter...) für Windows, MacOS-X oder Linux oder für iOS.
  • Netzlaufwerke - Domännenpasswort
    Zum Verbinden mit Netzlaufwerken im HNI muß ein Passwort für die Windows-Domäne des HNI gesetzt sein. Dieses Passwort kann mit dem Passwortmanager auf dem Terminalserver hni-ts.hni.uni-paderborn.de eingetragen werden oder persönlich beim Rechnerbetrieb.
  • Netzlaufwerke - Authentisierung
    Zum Verbinden mit Netzlaufwerken im HNI muß das Login in folgender Form angegeben werden:
    HNIRB\[Loginname]  oder  HNI.UNI-PADERBORN.DE\[Loginname]
    Wichtig ist, daß der Domänenname groß geschrieben wird und mit Backslash getrennt vor dem Loginnamen steht.
  • Netzlaufwerke - Freigabenamen
    Beim Verbinden von Netzlaufwerken ist darauf zu achten, daß der Servername als Fully Qualfied Domain Name (FQDN) angegeben wird. Also z.B. \\hni-fs1.hni.uni-paderborn.de\pro_studi
    (\\hni-fs1\pro_studi funktioniert bei einer VPN-Verbindung nicht, da ein externer Rechner nicht erkennen kann, daß ein Server im HNI gemeint ist).