FAQ
-
Allgemein
-
Wozu VPN?
Mittels VPN (virtual private network) kann Ihr eigener Computer Teil des Netzwerks der Humboldt-Universität werden. Sie können dann auf Dienste zugreifen, die sonst nur innerhalb der Uni benutzbar sind. Das sind z.B.:
- Zugriff auf Windows-Laufwerke von außerhalb der HU
- das Internet mittels WLAN (SSID: HU-eduroam-Setup in der HU) an den Berliner Unis
-
Wer kann kann unser VPN benutzen?
Alle Angehörigen der HU. Sie benötigen einen gültigen Account der HU in einer dieser Einrichtungen:
- Computer- und Medienservice (CMS, diesen Account bekommen Sie hier)
- Institut für Informatik
- Institut für Physik
- Institut für Mathematik
-
An wen wende ich mich bei Problemen?
Schreiben Sie eine Mail an die CMS-Benutzerberatung. Die Mailadresse lautet cms-benutzerberatung(AT)cms.hu-berlin.de.
Hinweis:
E-Mails an oben genannte E-Mailadressen werden mit einem elektronischen Ticketsystems bearbeitet. Bitte beachten Sie den datenschutzrechtlichen Hinweis: https://otrs.hu-berlin.de/hinweis.html.
With sending an email you agree that your data is processed by an electronic ticketing system (OTRS). Please note the information: https://otrs.hu-berlin.de/hinweis.html. -
Muss ich meine Firewall anpassen?
Normalerweise nicht. Die systemeigenen Firewalls in Windows-Betriebssystemen behindern den Aufbau eines VPN-Tunnels nicht, wenn sie in ihrer ursprünglichen Konfiguration belassen wurden.
Wenn Sie Firewall-Software eines Drittanbieters verwenden, kann die Freigabe der entsprechenden UDP- oder TCP-Ports notwendig sein. Siehe vorherige Frage.
DSL- oder andere Routertechnik, die Firewall-Funktionalität beinhalten, sollten in ihrer Grundkonfiguration keinen Einfluß auf die VPN-Verbindungsaufnahme haben. Ggf. sollte das jedoch kontrolliert werden.
-
Was ist Split-Tunneling?
Beim Split-Tunneling werden nur die Datenpakete mit festgelegten Zielen durch den VPN-Tunnel geschickt. Bei der Benutzung eines VPN-Gateways an der HU also bspw. nur die Datenpakete, die Ziele im HU-Netz erreichen sollen. Alle anderen Pakete nehmen den direkten Weg zu ihrem Ziel und werden nicht durch den Tunnel geleitet.
Die Verwendung von Split-Tunneling ist vor allem für bandbreitenintensive Anwendungen gedacht, die von externen Dienstleistern angeboten werden, bei denen die Nutzung des VPN-Tunnels nicht notwendig ist. Also zum Beispiel Videokonfenrenzsysteme auf externen Servern (Zoom). Dadurch kann eine schnellere Übertragung erreicht werden, die zu einer besseren Videoqualität führen kann. Ebenso wird das VPN-Gateway entlastet.
Die Verwendung von Split-Tunneling hat auch konkrete Nachteile. Wenn externe Dienstleister ihr Angebot an eine IP-Adresse der HU binden (bspw. Beck Online), kann das Angebot mit Split-Tunneling nicht genutzt werden. Dann ist die Benutzung von VPN im Full-Tunneling Mode vorzuziehen. -
Wie teste ich Split-Tunneling an der HU?
Lassen Sie sich Ihre IP-Adresse in einem Browser anzeigen. Nutzen Sie dazu die Seiten:
Die Seite 1 sollte anzeigen, dass Sie eine IP-Adresse der HU benutzen.
Sofern die Seite 2 eine andere IP-Adresse anzeigt als Seite 1, dann verwenden Sie Split-Tunneling. Zeigt Seite 2 die gleiche, so verwenden Sie Full-Tunneling.
-
Wozu VPN?
-
Fortinet SSL-VPN
-
Wie kann ich Split Tunneling mit Fortinet SSL-VPN nutzen?
Hängen Sie bei der Anmeldung die Zeichenkette @split_tunnel an Ihren Benutzernamen. Beispiel: meier@split_tunnel.
Sie benötigen einen HU-Account. Mit Accounts aus andern Instituten (Mathematik, Informatik, Physik) ist die Verwendung des Split-Tunneling nicht möglich.
Beachten Sie: Die Verwendung von Split-Tunneling hat auch konkrete Nachteile. Wenn externe Dienstleister ihr Angebot an eine IP-Adresse der HU binden (bspw. Beck Online), kann das Angebot mit Split-Tunneling nicht genutzt werden. Dann ist die Benutzung von VPN im Full-Tunneling Mode vorzuziehen. -
SSH-Sessions zu meinen Servern im HU-Netz frieren nach einiger Zeit ohne Eingaben ein.
Die Ursache für das Verhalten liegt auf der Firewall. Diese "vergisst" die SSH-Session, wenn eine gewisse Zeit keine Daten über die SSH-Verbindung übertragen wurden (Session Timeout). Abhilfe schafft, regelmäßig ein Keep Alive Paket zu senden. Das geht bspw. mit der Option -o ServerAliveInterval=60 oder über einen Eintrag in ~/.ssh/config mit der Zeile ServerAliveInterval 60.
-
Wie kann ich Split Tunneling mit Fortinet SSL-VPN nutzen?
-
OpenVPN / Tunnelblick
-
Tunnelblick startet alle paar Sekunden die Session neu...?
- Schicken Sie das Logfile an den Support und bitten um Hilfe. Garnieren Sie das Ganze möglichst mit hilfreichen Details (Fehlermeldung bzw. -beschreibung, Benutzername, Betriebssystem(version), Zeitpunkt der Versuche etc.).
- Selbsthilfe:Schauen Sie ins Logifile. Im Falle der folgenden Fehlermeldung (aufgetreten bei einem macOS 10.6.8, Tunnelblick 3.2.3): Tunnelblick process-network-changes: NetBIOSName changed; sending USR1 to OpenVPN (process ID X) to restart the connection starten Sie Tunnelblick, klicken Sie auf das Tunnelblick-Symbol und wählen Sie VPN-Details. Wählen Sie in der linken Spalte die Konfiguration der HU (hu-berlin) und aktivieren Sie rechts den Button Einstellungen. Deaktivieren Sie die Option Netzwerkeinstellungen überwachen.
-
Ich habe Probleme mit "Deployed"-Version bei Installation von Tunnelblick (OpenVPN). Was kann ich tun?
Die alte "deployed"-Version von Tunnelblick muss deinstalliert werden, bevor eine aktuelle Version installiert werden kann. Sollte Sie bereits partiell deinstalliert worden sein, muss Sie vorher erneut installiert werden.
- Installieren Sie erneut eine alte deployte Version, falls Tunnelblick bereits partiell deinstalliert wurde (wird als Tunnelblick_3.2.3_CMS.dmg gespeichert).
- Laden Sie den Tunnelblick-Uninstaller herunter und führen ihn aus. Tunnelblick muss vorher beendet werden (siehe auch).
- Installieren Sie die aktuelle Version von Tunnelblick
-
Die Fehlermeldung "Achtung! Diese Kopie von Tunnelblick wurde verändert" erscheint nach der Wiederherstellung eines Backups von Time Machine oder einer Rechnerreinigung mit MacKeeper. Was heißt das?
Die digitale Signatur von Tunnelblick bzw. die Tunnelblickinstallation wurde offenbar so verändert, dass danach macOS die folgende Fehlermeldung ausgibt, wenn man Tunnelblick ausführen will.
"Achtung! Diese Kopie von Tunnelblick wurde verändert (die digitale Signatur ist ungültig).
Bitte fragen Sie bei dem Anbieter dieser Tunnelblick Kopie nach, bevor Sie sie benutzen."
Um diesen Fehler zu beheben, durchlaufen Sie bitte die folgenden fünf Schritte:
1. Laden Sie sich die neuste Version des "Tunnelblick Uninstallers" von der Tunnelblick-Webseite herunter.
2. Schließen Sie Tunnelblick, falls es noch offen ist.
3. Führen Sie den "Tunnelblick Uninstaller" aus und vergewissern Sie sich, dass Tunnelblick nicht mehr im Programmeordner auftaucht.
4. Laden Sie unseren Tunnelblick Installer erneut von der CMS-Webseite herunter.
5. Installieren Sie Tunnelblick erneut. -
Bei Tunnelblick erscheint nach Upgrade/Neuinstallation keine Passwortabfrage beim Aufbau des Tunnels, es wird aber "Warten auf Kennwort" angezeigt. Was tun?
- Klicken Sie auf das Tunnelblick-Logo und anschließend auf "VPN-Details".
- Wählen Sie im linken Bereich das Profil "hu-berlin" aus und klicken Sie auf das Zahnradsymbol. Klicken Sie im geöffneten Popup-Menü auf "Zugangsdaten der Konfiguration aus dem Schlüsselbund löschen". Tunnelblick sollte nun wieder erwartungsgemäß funktionieren.
-
Tunnelblick hängt sich beim Verbindungsbaufbau minutenlang auf und gibt folgenden Fehler aus: "Beim Prüfen der Sicherheit der Konfiguration hu-berlin ist ein Fehler (Status -1) aufgetreten. Bitte beenden Sie Tunnelblick und starten es dann erneut. Falls der Fehler weiterhin besteht, installieren Sie bitte Tunnelblick neu." Was tun?
- Diese Fehlermeldung deutet auf Fehler mit den Zugriffsrechten im Dateisystem hin.
- Zunächst sollten Sie wie in der Fehlermeldung vorgeschlagen Tunnelblick neu installieren. Benutzen Sie dabei zum Deinstallieren den aktuellen Tunnelblick Uninstaller von der Tunnelblick Webseite. (https://tunnelblick.net/downloads.html#releases)
- Sollte eine Neuinstallation nicht zum Erfolg führen, versuchen Sie mit Hilfe des
Festplattendienstprogramms von Mac OS X die Zugriffsrechte zu reparieren. Diese Option steht seit Mac OS X 10.11 nur noch über das Terminal zur Verfügung:
1. Starten Sie das Terminal (Programme->Dienstprogramme-> Terminal)
2. geben Sie dort folgenden Befehl ein:
sudo diskutil repairPermissions /dev/disk1
3. Sie werden zur Eingabe ihres Benutzerpasswortes aufgefordert.
4. Danach wird das Terminal den Befehl bearbeiten. Dies kann je nach Computer auch mehrere Stunden dauern. - Im Anschluss sollte Tunnelblick wieder funktionieren. Gegebenenfalls starten Sie den Computer einmal neu.
-
OpenVPN GUI meldet: "Verbindung zu hu-berlin ist fehlgeschlagen." - Was tun?
Schauen Sie in die Logmeldungen von OpenVPN GUI. Wenn dort der Eintrag "All TAP-Win32 adapters on this system are currently in use." auftaucht, gehen Sie wie folgt vor:
- Öffnen Sie die "Systemsteuerung" und dort das "Netzwerk- und Freigabecenter".
- Wählen Sie oben links "Netzwerkverbindungen verwalten" aus.
- In der Übersicht sollte eine Verbindung mit "TAP-Win32 Adapter" auftauchen. Diese dürfte deaktiviert sein.
- Aktivieren Sie diese Verbindung durch einen Rechtsklick darauf und im sich öffnenden Kontextmenü durch einen Klick auf "Aktivieren". Danach sollte Ihr Problem behoben sein.
-
Wie kann ich Split-Tunneling mit OpenVPN nutzen?
Auf der WWW-Seite des CMS zum Thema OpenVPN gibt es Konfigurationsfiles, die entsprechende Einstellungen beinhalten. Laden Sie dieses File herunten und importieren Sie es in den OpenVPN-Client. Entfernen Sie die Kommentarzeichen (;) bei den Optionen
- route-nopull
- route 141.20.0.0 255.255.0.0
- route 141.20.7.185 255.255.255.255 net_gateway
Fügen Sie ggf. eine Route für private Netze ein, wenn Sie Zugriff zu diesen Netzen brauchen (route 172.16.0.0 255.240.0.0).
Beachten Sie: Die Verwendung von Split-Tunneling hat auch konkrete Nachteile. Wenn externe Dienstleister ihr Angebot an eine IP-Adresse der HU binden (bspw. Beck Online), kann das Angebot mit Split-Tunneling nicht genutzt werden. Dann ist ggf. die Benutzung von OpenVPN in Full-Tunneling Mode vorzuziehen. -
Was tun, wenn unter Windows die Verbindung aufgebaut aber kein Traffic angezeigt wird?
Bitte laden Sie die alternative Konfiguration für OpenVPN herunter: https://pages.cms.hu-berlin.de/noc/openvpn3_installer/win-hu-berlin_alternative.ovpn
Diese in OpenVPN-Connect importieren. -
Die OpenVPN-Verbindung wird aufgebaut, danach bauen sich z.B. Webseiten aber nur sehr langsam auf oder liefern Fehler zurück. Was kann ich tun?
Das Problem dürfte an einer fehlerhaften Aushandlung der maximalen Paketgröße (MTU) liegen. Das Einfügen des Parameters "mssfix 1300" in die Konfiguration sollte das Problem beheben.
In den neuesten Konfigurationsdateien und verteilten Konfigurationsroutinen ist die Zeile bereits auskommentiert enthalten. Entfernen Sie einfach das Semikolon am Zeilenanfang. -
Welche Einstellungen sind auf meiner Firewall notwendig, um eine VPN-Verbindung aufzubauen?
Bei OpenVPN läuft die Kommunikation zum Gateway an der HU über UDP-Port 1194.
-
Tunnelblick startet alle paar Sekunden die Session neu...?
-
Kann ich auf meine Windows-Netzlaufwerke am Institut via VPN zugreifen?
Ja, unabhängig von der verwendeten VPN-Variante.
- Windows:
- per Kommandozeile
Ein DOS-Fenster mittels Start -> (Ausführen ->) cmd -> OK öffnen. In diesem mit folgendem Kommando die Zuweisung vornehmen:- Mitarbeiter*innen der HU:
(haben verschiedene Servernamen, Freigabenamen und Domainen)
net use LW: \\Servername\Freigabename /user:Domain\Benutzername - Studierende der HU:
- net use H: \\amor.cms.hu-berlin.de\homes /user:STUDENT\HU-Account
- Mitarbeiter*innen der HU:
- per Explorer
Computer -> Netzlaufwerk verbinden -> Laufwerkbuchstabe auswählen -> Ordner: \Servername\Freigabename -> Fertig stellen -> Benutzername: Domain\Benutzername/ -> Kennwort: Ihr persönliches Kennwort -> OK - Hinweise:
- Die Kommdozeile registriert die Eingabe eines Passwortes ohne eine visuelle Ausgabe anzuzeigen!
- Mittels net use ? oder net use /help gibt es Informationen zur Verwendung des Befehls.
- Den Server- und Freigabenamen kann man mittels des Befehls net use in Erfahrung bringen, wenn man am Institut an der Domäne angemeldet ist.
- Windows-Benutzername und Domain werden auf einem Rechner, der an einer Windows-Domain angemeldet ist, beim Aufruf von Systemsteuerung -> Benutzerkonten angezeigt.
- Soll der Zugriff auf das entfernte Laufwerk des Öfteren erfolgen, kann die Kommandozeile in eine Batch-Datei z.B. auf dem Desktop abgelegt werden (Dateiendung /.bat/).
- per Kommandozeile
- Linux (getestet mit Ubuntu):
- per Kommandozeile
- Sambafilesystem installieren: sudo apt-get install smbfs.
- Mount-Point anlegen: sudo mkdir -p /mnt/Username. Username ist der eigene Nutzername im Ubuntu.
- Rechte des Mountpoint ändern: sudo chown Username /mnt/Username und sudo chgrp Username /mnt/Username
- Verzeichnis mounten: sudo mount -t cifs -o username=Windows-Benutzername,workgroup=Windows-Domain,sec=ntlmv2 //Servername/Freigabename /mnt/Username
- per nautilus (Gnome Dateimanager, getestet unter Ubuntu):
- in Adresszeile eingeben: smb://Windows-Domain;Windows-Benutzername@Servername/Freigabename
- die Windows-Domain muss dabei in GROSSBUCHSTABEN geschrieben werden. Sonst kann es zu Problemen bei der Authentifizierung kommen
- per Kommandozeile
- MacOS (getestet mit MacOS 10.5.6 - Leopard):
Der Zugriff auf die Freigabe(Share) erfolgt z.B. in dem man unter Safari in der Adresszeile folgendes eingibt:Danach erfolgt die Abfrage von Benutzernamen + Passwort. Hierbei ist zu beachten, dass bei dem Benutzernamen die Domäne mitanzugeben ist, z.B. Domäne\Benutzername
smb://Servername/Freigabename
- Windows:
-
Ich erhalte über VPN keinen Zugang zu bestimmten Online-Ressourcen. Was kann ich tun?
Die VPN-Adressen sind zum Teil für Zugriffe auf Online-Kataloge durch einige Anbieter gesperrt. Die Ursachen sind wohl lizenzrechtlicher Natur. Genauere Auskünfte, welche Angebote das betrifft, kann die Universitätsbibliothek geben. Nachfragen sind an die Mailaddresse info (at) ub.hu-berlin.de zu richten.