VPN-Profile: Unterschied zwischen den Versionen

Aus helpdesk
Wechseln zu: Navigation, Suche
Zeile 3: Zeile 3:
 
der Verwirrung um dieses Thema etwas Einhalt zu gebieten.
 
der Verwirrung um dieses Thema etwas Einhalt zu gebieten.
  
Die drei Profile:
+
Es gibt drei Profile:
 
+
  
 
== Das Standard-Profil ==
 
== Das Standard-Profil ==
  
Angewählt im AnyConnect durch 'FeU-Hagen-SSL'
+
'''Angewählt im AnyConnect durch 'FeU-Hagen-SSL''''
  
 
Hier gilt ein sog. "Voll-Tunnel". Wenn dieses Profil ausgewählt wird,
 
Hier gilt ein sog. "Voll-Tunnel". Wenn dieses Profil ausgewählt wird,
Zeile 38: Zeile 37:
 
== Das SPLIT-Profil ==
 
== Das SPLIT-Profil ==
  
Angewählt im AnyConnect durch 'FeU-Hagen-SSL-VPN-SPLIT'
+
'''Angewählt im AnyConnect durch 'FeU-Hagen-SSL-VPN-SPLIT''''
  
 
Hier wird ein anderes Ziel verfolgt: Der VPN-Tunnel wird "gesplittet"
 
Hier wird ein anderes Ziel verfolgt: Der VPN-Tunnel wird "gesplittet"
Zeile 51: Zeile 50:
 
lokalen Heim-Netzwerk sind auch während der VPN-Verbindung verfügbar.
 
lokalen Heim-Netzwerk sind auch während der VPN-Verbindung verfügbar.
  
Achtung:(Für Techniker und Administratoren) In der Vergangenheit wurden
+
Achtung(für Techniker und Administratoren): In der Vergangenheit wurden
 
in der FernUniversität vermehrt Netzwerke der mit sog. "privaten" IP-
 
in der FernUniversität vermehrt Netzwerke der mit sog. "privaten" IP-
 
Adressen aufgebaut. Diese beginnen eben nicht mit unserem bekannten
 
Adressen aufgebaut. Diese beginnen eben nicht mit unserem bekannten
Zeile 59: Zeile 58:
 
Diese sind via VPN im SPLIT-Tunnel-Betieb NICHT erreichbar !!!
 
Diese sind via VPN im SPLIT-Tunnel-Betieb NICHT erreichbar !!!
  
3.) Das LLA-Profil:
+
==Das LLA-Profil==
===================
+
 
(Angewählt im AnyConnect durch 'FeU-Hagen-SSL-VPNLLA')
+
'''Angewählt im AnyConnect durch 'FeU-Hagen-SSL-VPNLLA''''
  
 
Hier wurde explizit auf die Problematik der Bibliotheksbnutzer
 
Hier wurde explizit auf die Problematik der Bibliotheksbnutzer
Zeile 79: Zeile 78:
 
Ausgenommene IP-Adressen sind konkret:
 
Ausgenommene IP-Adressen sind konkret:
  
192.168.0.0 /16
+
192.168.0.0 /16
172.16.0.0  /12
+
172.16.0.0  /12
10.0.0.0    /8
+
10.0.0.0    /8
  
 
Zugriff auf interne Server auf dem Campus in diesem Adressbereich ist
 
Zugriff auf interne Server auf dem Campus in diesem Adressbereich ist
Zeile 87: Zeile 86:
  
  
======================================================================
+
Die seit März aktivierte Unterscheidung zwischen Beschäftigten und
 
+
Studierenden hat zunächst nur Auswirkungen auf die virtuell zugewiesenen
Die seit März aktivierte Unterscheidung zwischen Beschäftigte und
+
IP-Adressen. Sowohl als Studierende, als auch Beschäftigte, können alle
Studierende hat zunächst nur Auswirkungen auf die virtuell zugewiesenen
+
IP-Adressen. Sowohl als Studierend, als auch Beschäftigt, können alle
+
 
drei Profile ausgewählt werden, und das oben beschriebene Routing gilt
 
drei Profile ausgewählt werden, und das oben beschriebene Routing gilt
 
entsprechend.
 
entsprechend.
 +
 +
==Das SBL4DomainUsers-Profil==
  
 
Das für Beschäftigte zusätzlich anwählbare Profil "SBL4DomainUsers"
 
Das für Beschäftigte zusätzlich anwählbare Profil "SBL4DomainUsers"
gilt ausschließlich für ausgeliehene Nienst-Notebooks: Diese sind
+
gilt ausschließlich für ausgeliehene Dienst-Notebooks: Diese sind
 
Bestandteil der Microsoft-Windows-Domäne "BUEROKOMMUNIKATION", und für
 
Bestandteil der Microsoft-Windows-Domäne "BUEROKOMMUNIKATION", und für
 
diese ist es erforderlich, dass eine VPN-Verbindung schon besteht,
 
diese ist es erforderlich, dass eine VPN-Verbindung schon besteht,
 
bevor die Windows-Anmeldemaske erscheint, so dass eine Domänenanmeldung
 
bevor die Windows-Anmeldemaske erscheint, so dass eine Domänenanmeldung
stattfinden kann.  
+
stattfinden kann. (SBL 4 DomainUsers = 'Start before Logon' für Domänen-Benutzer)
(SBL 4 DomainUsers = 'Start before Logon' für Domänen-Benutzer)
+
 
+
 
+
======================================================================
+
  
Derzeitige Ausnahmen und Änderungen aufgrund der CORONA-Krise:
 
  
=====================================================================
+
==Derzeitige Ausnahmen und Änderungen aufgrund der CORONA-Krise==
  
 
Da gerade jetzt sehr viele Kolleginen und Kollegen im Home-Office
 
Da gerade jetzt sehr viele Kolleginen und Kollegen im Home-Office
Zeile 114: Zeile 108:
 
System derzeit stark belastet. Aus Performance-Gründen wurde daher
 
System derzeit stark belastet. Aus Performance-Gründen wurde daher
 
empfohlen, das SPLIT-Profil zu verwenden. Dies wurde jedoch seitens der
 
empfohlen, das SPLIT-Profil zu verwenden. Dies wurde jedoch seitens der
Nutzerschaft (z-T. aus unwissenheit) größtenteils nicht beachtet.
+
Nutzerschaft (z-T. aus Unwissenheit) größtenteils nicht beachtet.
 
Das VPN-Systrem geriet an seine Belastungsgrenze und die Stabilität
 
Das VPN-Systrem geriet an seine Belastungsgrenze und die Stabilität
 
konnte nicht mehr garantiert werden.
 
konnte nicht mehr garantiert werden.
Zeile 127: Zeile 121:
 
Alle anderen Verbindungen nicht.  
 
Alle anderen Verbindungen nicht.  
  
Allerdings sei denjenigen Bibliotheksnutzern, die dieses (Standard-
+
Allerdings sei denjenigen Bibliotheksnutzern, die dieses (Standard-)Profil bislang genutzt haben, (weil es ja funktiniert hat), nun
)Profil bislang genutzt haben, (weil es ja funktiniert hat), nun
+
 
empfohlen, das LLA-Profil zu verwenden, weil im Standardprofil der
 
empfohlen, das LLA-Profil zu verwenden, weil im Standardprofil der
 
Zugriff auf externe lizenzpflichtige Dataenbanken  nun u.U. nicht mehr
 
Zugriff auf externe lizenzpflichtige Dataenbanken  nun u.U. nicht mehr

Version vom 2. April 2020, 08:17 Uhr

Aufgrund der aufgekommenden Diskussionen in Bezug auf Split-Tunneling, LLA (Local Lan Access) usw. folgt hier noch einmal eine Erklärung, um der Verwirrung um dieses Thema etwas Einhalt zu gebieten.

Es gibt drei Profile:

Das Standard-Profil

Angewählt im AnyConnect durch 'FeU-Hagen-SSL'

Hier gilt ein sog. "Voll-Tunnel". Wenn dieses Profil ausgewählt wird, sendet das Endgerät ALLE Verbindungen durch den aufgebauten VPN-Tunnel zur FernUniversität. Dies bedeutet einerseits, dass bei aktiviertem VPN-Tunnel beim Zugriff nach "draußen" ins Internet ebenfalls durch das VPN zur FernUniversität und dann ins Internet gelangen.

Beim Surfen etwa werden z.B. Web-Inhalte aus dem Internet dann auch über das Netz der FernUniversität und durch den VPN-Tunnel "geholt". Das VPN wird also mit jedem Zugriff "belastet". Andererseits gilt beim Zugriff auf das Internet: Der aufgerufene Server erkennt, dass die Verbindung von der FernUniversität kommt. Dies ist wichtig, wenn z.B. externe Datenbanken Online-Bibliotheken aufgerufen werden. Diese sind oft lizenzpflichtig. Wenn z.B. ein Lizenzabkommen mit der FernUniversität besteht, dürfen nur Angehörige der FernUniversität auf diese Online-Dienste zugreifen. Für alle anderen aus dem Internet ist der Zugang gesperrt. Dies erkennt der Server anhand der Herkunft der Verbindung. Bei aktivem VPN-Tunnel wird der eigene PC als Angehöriger der FernUniversität erkannt.

Das Profil hat jedoch noch einen anderen Nachteil: Wer zuhause ein eigenes kleines Netzwerk betreibt, etwa mit einem eigenen Netzwerkdrucker, oder einem lokalen Netzwerk-Speichersystem (NAS), kann diese Komponenten bei aktiviertem VPN-Tunnel nicht mehr erreichen, da der PC auch diese lokalen Geräte über den VPN-Tunnel ansprechen will.


Das SPLIT-Profil

Angewählt im AnyConnect durch 'FeU-Hagen-SSL-VPN-SPLIT'

Hier wird ein anderes Ziel verfolgt: Der VPN-Tunnel wird "gesplittet" (geteilt). Alle Verbindungen zur FernUniversität werden durch den aktivierten VPN-Tunnel geführt, aber auch nur diese. Für den Zugriff auf besondere interne FernUni-Dienste ist dies unter Umständen erforderlich. Dagegen werden jedoch alle anderen Verbindungen, etwa ins Internet, auf "direktem" Wege, also trotz aktiviertem VPN-Tunnel nicht über diesen und somit nicht über die FernUniversität geleitet.

Vorteile: Das VPN-System wird weniger belastet. Und die Komponenten am lokalen Heim-Netzwerk sind auch während der VPN-Verbindung verfügbar.

Achtung(für Techniker und Administratoren): In der Vergangenheit wurden in der FernUniversität vermehrt Netzwerke der mit sog. "privaten" IP- Adressen aufgebaut. Diese beginnen eben nicht mit unserem bekannten Netzwerk-Prefix "132.176...", sondern mit z.B. "192.168..." Hier hinter verbergen sich oft Datenbankserver, SAP-Dienste und andere besonders geschützte FernUni-interne Komponenten. Diese sind via VPN im SPLIT-Tunnel-Betieb NICHT erreichbar !!!

Das LLA-Profil

Angewählt im AnyConnect durch 'FeU-Hagen-SSL-VPNLLA'

Hier wurde explizit auf die Problematik der Bibliotheksbnutzer eingegangen: Recherche in lizenzpflichtigen Online-Datenbanken, und das Ergebnis auf dem lokalen Netzwerkdrucker ausdrucken. Dies ist mit den obigen Profilen nicht darstellbar.

LLA steht für Local-LAN-Access: Es ist im Prinzip fast wie im oben beschriebenen Voll-Tunnel: Alle Verbindungen, intern wie extern, werden durch den Tunnel geleitet; jedoch sind einige wenige ausgenommen. Dies sind eben gerade die im Heim-Bereich verwendeten Netzwerke, so dass auch bei gleichzeitig aktiviertem VPN-Tunnel und somit berechtigtem Zugriff auf die externe Online-Recherche der Drucker im eigenen lokalen Heimnetz zuhause dennoch erreicht werden kann.

Für Techniker und Administratoren: Ausgenommene IP-Adressen sind konkret:

192.168.0.0 /16
172.16.0.0  /12
10.0.0.0    /8

Zugriff auf interne Server auf dem Campus in diesem Adressbereich ist mit LLA nicht möglich!


Die seit März aktivierte Unterscheidung zwischen Beschäftigten und Studierenden hat zunächst nur Auswirkungen auf die virtuell zugewiesenen IP-Adressen. Sowohl als Studierende, als auch Beschäftigte, können alle drei Profile ausgewählt werden, und das oben beschriebene Routing gilt entsprechend.

Das SBL4DomainUsers-Profil

Das für Beschäftigte zusätzlich anwählbare Profil "SBL4DomainUsers" gilt ausschließlich für ausgeliehene Dienst-Notebooks: Diese sind Bestandteil der Microsoft-Windows-Domäne "BUEROKOMMUNIKATION", und für diese ist es erforderlich, dass eine VPN-Verbindung schon besteht, bevor die Windows-Anmeldemaske erscheint, so dass eine Domänenanmeldung stattfinden kann. (SBL 4 DomainUsers = 'Start before Logon' für Domänen-Benutzer)


Derzeitige Ausnahmen und Änderungen aufgrund der CORONA-Krise

Da gerade jetzt sehr viele Kolleginen und Kollegen im Home-Office arbeiten und natürlich via VPN arbeiten müssen, ist das VPN- System derzeit stark belastet. Aus Performance-Gründen wurde daher empfohlen, das SPLIT-Profil zu verwenden. Dies wurde jedoch seitens der Nutzerschaft (z-T. aus Unwissenheit) größtenteils nicht beachtet. Das VPN-Systrem geriet an seine Belastungsgrenze und die Stabilität konnte nicht mehr garantiert werden.

Seit dem 25. März wurde nun eine Änderung durchgeführt, die zur Entlastung des VPN beiträgt.

Für Beschäftigte (nicht Studierende) , die das Standard-Profil nutzen (Feu-Hagen-SSL), gilt ein besonderes Tunnel-Splitting:

FernUni-Verbindungen führen durch den Tunnel, auch 192.168.... Alle anderen Verbindungen nicht.

Allerdings sei denjenigen Bibliotheksnutzern, die dieses (Standard-)Profil bislang genutzt haben, (weil es ja funktiniert hat), nun empfohlen, das LLA-Profil zu verwenden, weil im Standardprofil der Zugriff auf externe lizenzpflichtige Dataenbanken nun u.U. nicht mehr funktioniert.

Fazit für die UB: Den Studierenden wie Beschäftigten kann zur Online- Recherche durchaus das LLA-Profil empfohlen werden. Für IPSec (MAC- Anwender) sei FU-VPN-BIB oder FGU-VPN-BIB-NAT empfohlen. Hier gilt ebenfalls das LLA.