Home | Impressum | Sitemap | KIT
ATIS Logo

Kontakt
Abteilung Technische Infrastruktur

Am Fasanengarten 5
Geb. 50.34 / Raum 007

D-76131 Karlsruhe

Tel.: 0721 608 - 44321
Fax: 0721 608 - 46699

atisSal1∂lists kit edu

Wegbeschreibung

_______________________

 

Fakultät für Informatik

_______________________

 

Wartungs- und Störungsmeldungen

 


Zugang aus einem externen Datennetz

 

Hat der „externe“ Nutzer über einen fremden ISP bereits einen Internetzugriff, kann er eine Verbindung zum VPN-Server der ATIS (oder des SCC) aufbauen.

  • Verbindung zum VPN-System des SCC bedeutet, er erhält eine IP-Adresse aus dem Bereich 129.13.x.y und hat damit Zugriff auf Universitätsressourcen, aber er kann keine speziellen Verbindungen (z.B. Laufwerkmapping) auf Ressourcen in der Fakultät herstellen.

  • Verbindung zum VPN-System der ATIS bedeutet, er erhält eine feste IP-Adresse aus dem Bereich 141.3.institut.XYZ und hat damit Zugriff auf Universitätsressourcen und er kann speziellen Verbindungen (z.B. Laufwerkmapping) auf Ressourcen in der Fakultät herstellen.

    • Bei der Verbindung über den VPN-Server der ATIS hat der Nutzer noch an seinem Rechner die Möglichkeit zu entscheiden, ob sein gesamter Internetverkehr über diese Verbindung geht oder nur der auf die KIT-Ressourcen bezogene Datentransfer (Split-Konfiguration <atis-Account@vpn-split>).

      Die erstgenannte Möglichkeit hat den Vorteil, dass der Nutzer (bzw. sein Rechner) immer durch die Informatik-Firewall gegenüber Attacken geschützt ist.

Zugang aus dem WKIT

 

Hat ein Nutzer mit seinem Rechner eine Verbindung zu einem Funkzugangspunkt der WKIT-Datennetzinfrastruktur hergestellt, erhält er zunächst eine sog. private IP-Adresse (siehe www.isi.edu/in-notes/rfc1918.txt) mit der er aber noch keine Verbindung in das Internet aufbauen kann. Diese private IP-Adresse dient nur dazu, mit weiteren WKIT-internen Systemen zu kommunizieren.

Hat der Nutzer einen WKIT-Account (= SCC-VPN-Account) den man beim Microbit des RZ erhält (siehe www.microbit.uni-karlsruhe.de/ Links „Dokumentation“, „Accountverwaltung“), bestehen zwei Möglichkeiten:

  • Startet er einfach seinen Webbrowser, wird er automatisch auf eine Webseite des SCC weitergeleitet, von der sowohl VPN-Software heruntergeladen werden kann, aber hier kann sich der Nutzer auch direkt authentifizieren und erhält damit „einfachen“ Webzugang (http/s). Dieser kann u.a. genutzt werden um webbasierte Mailsysteme zu nutzen (Webmail). Die Nutzung anderer Ressourcen mit anderen Protokollen (ftp, usw.) ist dagegen nicht möglich.

  • Die Nutzung anderer Ressourcen mit anderen Protokollen erfordert die Installation einer VPN-Software und/oder die Konfiguration des Klientensystems, um ein bereitgestelltes VPN-Gateway als „Vermittlungssystem“ zu nutzen.

    • Beim SCC handelt es sich bei dem eingesetzten VPN-Gateway um einen sog. Cisco-Concentrator von der Fa. Cisco. Die zugehörige VPN-Software (Cisco-/Juniper-Client) kann von der oben angesprochenen SCC-Webseite heruntergeladen werden.

    • Hat der Nutzer einen ATIS-VPN-Account kann er alternativ den VPN-Server der Fakultät nutzen, der einen OpenVPN-Klienten erfordert. (siehe Anleitung beim SCC zu OpenVPN-Installation http://www.scc.kit.edu/dienste/openvpn.php unten ).

    • Die jeweiligen VPN-Server ordnen dann dem Nutzer, bzw. seinem Rechner eine öffentlich gültige IP-Adresse zu und ermöglichen so einen „vollwertigen“ Internetzugang.


Nutzungsszenario: Verbindung mit Serverlaufwerken herstellen

 

Ein typisches Nutzungsszenario ist der Fall, dass von ausserhalb auf Daten, die auf einem Serversystem innerhalb der Fakultät abgelegt sind, zugegriffen werden soll. Dazu wurden schon frühzeitig entsprechende Protokolle wie z.B. NFS (Unix) entwickelt.

Die entsprechenden Protokolle NFS (Unix) bzw. Port 135,136,137,139 (Windows) sind aber aufgrund der ansonsten massiven Sicherheitsrisiken auf der zentralen sowie den institutsbezogenen Firewall-Systemen abgeschaltet. Daher müssen gewisse Bedingungen erfüllt sein, um sich von extern ein Laufwerk eines Servers zu „mappen“, um auf die dort abgelegten Daten zuzugreifen.

  • Der externe Nutzer hat einen Account für das ATIS-VPN-System. Dann reicht es aus eine VPN-Verbindung zu dem ATIS-VPN-System (z.B. über DSL) herzustellen und anschliessend kann man dann wie gewohnt das sog. Laufwerkmapping herstellen.

  • Oder es wird im Institut ein selbstverwaltetes SSH-System (SSH=Secure Shell) aufgesetzt. Dann kann sich ein externer Nutzer an diesem System authentisieren und kann damit eine Tunnelverbindung in das Institut herstellen. Über diese Tunnelverbindung kann dann eine Verbindung zu einem Serverlaufwerk hergestellt werden. Dies erfordert jedoch die Installation und Konfiguration eines SSH-Klienten auf dem Rechner des Nutzers. (Der Einsatz von SSH über ein selbstverwaltetes SSH-System ist generell für externe Nutzer ohne VPN-Account möglich.)

    SSH-Konfiguration um ein Windows-Laufwerkmapping über einen SSH-Tunnel durchzuführen siehe z.B. http://www.ece.osu.edu/computing/ssh_win.html Punkt "Tunneling SMB and Windows Shares through SSH".