VPN-Profile

Aus helpdesk
Wechseln zu: Navigation, Suche

Aufgrund der aufgekommenden Diskussionen in Bezug auf Split-Tunneling, LLA (Local Lan Access) usw. folgt hier noch einmal eine Erklärung, um der Verwirrung um dieses Thema etwas Einhalt zu gebieten.

Es gibt folgende Profile:

Das Standard-Profil

Angewählt im AnyConnect durch 'FeU-Hagen-SSL'

Hier gilt ein sog. "Voll-Tunnel". Wenn dieses Profil ausgewählt wird, sendet das Endgerät ALLE Verbindungen durch den aufgebauten VPN-Tunnel zur FernUniversität. Dies bedeutet einerseits, dass bei aktiviertem VPN-Tunnel beim Zugriff nach "draußen" ins Internet ebenfalls durch das VPN zur FernUniversität und dann ins Internet gelangen.

Beim Surfen etwa werden z.B. Web-Inhalte aus dem Internet dann auch über das Netz der FernUniversität und durch den VPN-Tunnel "geholt". Das VPN wird also mit jedem Zugriff "belastet". Andererseits gilt beim Zugriff auf das Internet: Der aufgerufene Server erkennt, dass die Verbindung von der FernUniversität kommt. Dies ist wichtig, wenn z.B. externe Datenbanken Online-Bibliotheken aufgerufen werden. Diese sind oft lizenzpflichtig. Wenn z.B. ein Lizenzabkommen mit der FernUniversität besteht, dürfen nur Angehörige der FernUniversität auf diese Online-Dienste zugreifen. Für alle anderen aus dem Internet ist der Zugang gesperrt. Dies erkennt der Server anhand der Herkunft der Verbindung. Bei aktivem VPN-Tunnel wird der eigene PC als Angehöriger der FernUniversität erkannt.

Das Profil hat jedoch noch einen anderen Nachteil: Wer zuhause ein eigenes kleines Netzwerk betreibt, etwa mit einem eigenen Netzwerkdrucker, oder einem lokalen Netzwerk-Speichersystem (NAS), kann diese Komponenten bei aktiviertem VPN-Tunnel nicht mehr erreichen, da der PC auch diese lokalen Geräte über den VPN-Tunnel ansprechen will.


Das SPLIT-Profil

Angewählt im AnyConnect durch 'FeU-Hagen-SSL-VPN-SPLIT'

Hier wird ein anderes Ziel verfolgt: Der VPN-Tunnel wird "gesplittet" (geteilt). Alle Verbindungen zur FernUniversität werden durch den aktivierten VPN-Tunnel geführt, aber auch nur diese. Für den Zugriff auf besondere interne FernUni-Dienste ist dies unter Umständen erforderlich. Dagegen werden jedoch alle anderen Verbindungen, etwa ins Internet, auf "direktem" Wege, also trotz aktiviertem VPN-Tunnel nicht über diesen und somit nicht über die FernUniversität geleitet.

Vorteile: Das VPN-System wird weniger belastet. Und die Komponenten am lokalen Heim-Netzwerk sind auch während der VPN-Verbindung verfügbar.

Achtung(für Techniker und Administratoren): In der Vergangenheit wurden in der FernUniversität vermehrt Netzwerke der mit sog. "privaten" IP- Adressen aufgebaut. Diese beginnen eben nicht mit unserem bekannten Netzwerk-Prefix "132.176...", sondern mit z.B. "192.168..." Hier hinter verbergen sich oft Datenbankserver, SAP-Dienste und andere besonders geschützte FernUni-interne Komponenten. Diese sind via VPN im SPLIT-Tunnel-Betieb NICHT erreichbar !!!

Das LLA-Profil

Angewählt im AnyConnect durch 'FeU-Hagen-SSL-VPNLLA'

Hier wurde explizit auf die Problematik der Bibliotheksbnutzer eingegangen: Recherche in lizenzpflichtigen Online-Datenbanken, und das Ergebnis auf dem lokalen Netzwerkdrucker ausdrucken. Dies ist mit den obigen Profilen nicht darstellbar.

LLA steht für Local-LAN-Access: Es ist im Prinzip fast wie im oben beschriebenen Voll-Tunnel: Alle Verbindungen, intern wie extern, werden durch den Tunnel geleitet; jedoch sind einige wenige ausgenommen. Dies sind eben gerade die im Heim-Bereich verwendeten Netzwerke, so dass auch bei gleichzeitig aktiviertem VPN-Tunnel und somit berechtigtem Zugriff auf die externe Online-Recherche der Drucker im eigenen lokalen Heimnetz zuhause dennoch erreicht werden kann.

Für Techniker und Administratoren: Ausgenommene IP-Adressen sind konkret:

192.168.0.0 /16
172.16.0.0  /12
10.0.0.0    /8

Zugriff auf interne Server auf dem Campus in diesem Adressbereich ist mit LLA nicht möglich!


Die seit März aktivierte Unterscheidung zwischen Beschäftigten und Studierenden hat zunächst nur Auswirkungen auf die virtuell zugewiesenen IP-Adressen. Sowohl als Studierende, als auch Beschäftigte, können alle drei Profile ausgewählt werden, und das oben beschriebene Routing gilt entsprechend.

Das SBL4DomainUsers-Profil

Das für Beschäftigte zusätzlich anwählbare Profil "SBL4DomainUsers" gilt ausschließlich für ausgeliehene Dienst-Notebooks: Diese sind Bestandteil der Microsoft-Windows-Domäne "BUEROKOMMUNIKATION", und für diese ist es erforderlich, dass eine VPN-Verbindung schon besteht, bevor die Windows-Anmeldemaske erscheint, so dass eine Domänenanmeldung stattfinden kann. (SBL 4 DomainUsers = 'Start before Logon' für Domänen-Benutzer)


Derzeitige Ausnahmen und Änderungen aufgrund der CORONA-Krise

Da gerade jetzt sehr viele Kolleginen und Kollegen im Home-Office arbeiten und natürlich via VPN arbeiten müssen, ist das VPN- System derzeit stark belastet. Aus Performance-Gründen wurde daher empfohlen, das SPLIT-Profil zu verwenden. Dies wurde jedoch seitens der Nutzerschaft (z-T. aus Unwissenheit) größtenteils nicht beachtet. Das VPN-Systrem geriet an seine Belastungsgrenze und die Stabilität konnte nicht mehr garantiert werden.

Seit dem 25. März wurde nun eine Änderung durchgeführt, die zur Entlastung des VPN beiträgt.

Für Beschäftigte (nicht Studierende) , die das Standard-Profil nutzen (Feu-Hagen-SSL), gilt ein besonderes Tunnel-Splitting:

FernUni-Verbindungen führen durch den Tunnel, auch 192.168.... Alle anderen Verbindungen nicht.

Allerdings sei denjenigen Bibliotheksnutzern, die dieses (Standard-)Profil bislang genutzt haben, (weil es ja funktiniert hat), nun empfohlen, das LLA-Profil zu verwenden, weil im Standardprofil der Zugriff auf externe lizenzpflichtige Dataenbanken nun u.U. nicht mehr funktioniert.

Fazit für die UB: Den Studierenden wie Beschäftigten kann zur Online- Recherche durchaus das LLA-Profil empfohlen werden. Für IPSec (MAC- Anwender) sei FU-VPN-BIB oder FU-VPN-BIB-NAT empfohlen. Hier gilt ebenfalls das LLA.