Inhalt
sprungmarken_marker_14136
FAQ zum VPN-Zugang des KIT
Wenn die Hinweise in unserer FAQ Ihnen nicht weiterhelfen, lesen Sie bitte unsere Seite zur Fehlerbehebung.
Welche VPN-Clients kann ich verwenden, um eine VPN-Verbindung zum KIT herzustellen?
Das SCC bietet als VPN-Dienst OpenVPN an. Nicht unterstützt werden: PPTP, L2TP und natives bzw. Cisco IPSec.
OpenVPN Allgemein
1.) Ich kann mich nicht in im OpenVPN anmelden. Benutzername / Passwort werden nicht akzeptiert (Fehlermeldung "AUTH: Received control message: AUTH_FAILED.")
Bitte stellen Sie sicher, dass Sie sich mit Ihrem KIT-Account anmelden. Mitarbeiter und Studierende sind automatisch für VPN freigeschaltet. Falls Sie Ihren KIT-Account bzw. Ihr KIT-Passwort nicht kennen, wenden Sie sich bitte an den SCC Service Desk.
Falls Sie externer Mitarbeiter sind und einen Gäste- und Partner-Account haben, wenden Sie sich bitte an Ihren IT-Beauftragten bzw. Ansprechperson und lassen Sie Ihren Account für VPN freischalten.
Falls Sie einen VPN-Zugang zu einem Institutsnetz benötigen, muss Ihr KIT-Account von dem IT-Beauftragten für das Institut freigeschaltet werden. Sie benötigen die Konfigurationsdatei kit-vpn2vlan. Sie müssen als Benutzername kit-account@realm eingeben. Den realm erfahren Sie vom IT-Beauftragten des Instituts.
Bitte stellen Sie sicher, dass Sie die korrekte Konfigurationsdatei verwenden. Für VPN2VLAN (Zugang ins Institutsnetz - Benutzername kit-account@vlan-name) und den Zugang zu SAP (Benutzername kit-account@sap) brauchen Sie die Datei kit-vpn2vlan. Sie finden diese in den Anleitungen für die Betriebssysteme. Weitere Konfigurationsdateien finden Sie auf der Seite mit den Spezialkonfigurationen.
2.) Die VPN-Verbindung wird zwar hergestellt, aber die VPN-Verbindung funktioniert nicht. Es scheint kein Traffic durch den Tunnel zu gehen. Ich habe mit VPN keinen Zugriff auf das KIT Intranet und auch nicht mehr auf das Internet. Alles oder vieles wird nicht mehr oder sehr langsam geladen (bekanntes Problem bei Vodafone/Unitymedia/KabelBW/KabelDeutschland als Internet Provider und Hybrid-Anschlüssen der Deutschen Telekom).
Dies liegt höchstwahrscheinlich an PMTUD-Problemen mit Ihrem Provider. Dies erfordert, dass Sie auf der Seite mit den Spezialkonfigurationen eine Konfigurationsdatei für MTU-Probleme herunterladen - kit-v4-lower-mtu bzw. für VPN2VLAN kit-vpn2vlan-v4-lower-mtu (beim OpenVPN-Client Viscosity ist sind alle Konfigurationsdateien im Paket verfügbar).
3.) Die OpenVPN-Verbindung wird nicht hergestellt, d. h. es gibt einen Timeout beim Verbindungsaufbau oder es erscheint die Fehlermeldung "TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)".
Sofern Ihre Internet-Verbindung steht, wird die Verbindung entweder von einer lokalen Firewall auf Ihrem Rechner blockiert (diese testweise ausschalten) oder Sie befinden sich in einem Netzwerk, das den Verbindungsaufbau zum VPN-Server nicht erlaubt. In den Standardkonfigurationsdateien sind verschiedene Verbindungsmöglichkeiten konfiguriert. Diese können aber in Viscosity unter macOS und Linux Network Manager nicht verwendet werden. Probieren Sie hier die Konfigurationsdatei kit-v4-tcp-443 bzw. für VPN2VLAN kit-vpn2vlan-v4-tcp-443. Eine mögliche Lösung wie man OpenVPN-Verbot in Ägypten umgeht: https://www.addictivetips.com/vpn/bypass-egypt-openvpn-ban/ .
4.) Ich erhalte die Fehlermeldung "Unrecognized option or missing parameter(s)".
Die Version Ihres OpenVPN-Clients ist für die geforderten Sicherheitseinstellungen zu alt. Windows, macOS: laden Sie sich die aktuelle Version des OpenVPN-Clients herunter. Unter Linux sollten Sie ein Distributions-Upgrade in Erwägung ziehen oder von hier eine aktuellere Version installieren: OpenVPN Software Repositories
5.) Ich habe IPv6 auf meinem Computer deaktiviert und die VPN-Verbindung funktioniert nicht vollständig .
Damit Sie eine VPN-Verbindung zum KIT aufbauen können, muss IPv6 auf Ihrem System aktiviert sein (unabhängig davon, ob Ihr Internetprovider Ihnen IPv6 anbietet oder nicht). Zumindest darf es nicht global deaktiviert sein. Außerdem muss es auf dem tun/tap Interface, über das die VPN-Verbindung läuft, zwingend aktiviert sein. Ansonsten wird IPv6 im Tunnel nicht funktionieren und IPv6-only-Dienste im KIT werden nicht erreicht.
Details finden Sie bei den entsprechenden Fehlermeldungen in den Abschnitten zu den einzelnen Betriebssystemen.
6.) Ich kann die VPN-Verbindung für den Zugang zu SAP nicht herstellen.
Für den VPN-Zugang zu SAP brauchen Sie die Konfigurationsdatei kit-vpn2vlan.ovpn. Sie finden diese am Anfang der Anleitungen für die Betriebssysteme. Der Benutzername für die Anmeldung lautet kit-account@sap oder kit-account@sap-von-aussen. Als Passwort geben Sie direkt hintereinander Ihr KIT-Passwort, das Zeichen Komma und den aktuellen Token-Code ein.
OpenVPN Windows
1.) Ich erhalte die Fehlermeldung "There are no TAP-Windows adapters on this system."
Eigentlich wird der TAP-Adapter bei der Installation mit installiert. Sie können OpenVPN neu installieren. Alternativ können Sie es manuell installieren. Dafür tippen Sie im Windows-Suchfeld "cmd" ein und klicken Sie mit der rechten Maustaste auf den oberen Eintrag in der Liste "Eingabeaufforderung" und wählen Sie im Kontextmenü "Als Administrator ausführen". In dem sich öffnenden Fenster tippen (oder kopieren) Sie bitte folgendes Befehl (Batch-File) ein, wodurch ein TAP-Interface angelegt wird: C:\"Program Files"\TAP-Windows\bin\addtap.bat
2.) Ich erhalte die Fehlermeldung "All TAP-Windows adapters on this system are currently in use."
Reaktivieren Sie den TAP-Adapter, genaue Anleitung siehe hier:
https://vpn.ac/knowledgebase/64/OpenVPN-Error-All-TAP-Windows-adapters-on-this-system-are-currently-in-use.html
3.) Ich erhalte die Fehlermeldung "ERROR: route addition failed using service"
Wenn dieser Fehler nach einer Zeile "add_route_ipv6 ..." auftritt, haben Sie auf dem TUN Adapter oder auf Ihrem Windows generell IPv6 deaktiviert. Damit funktioniert unser OpenVPN Setup (IPv6 im Tunnel) nicht. IPv6 muss mindestens auf dem Tunnel-Interface aktiviert sein.
Hier finden Sie Informationen dazu (auch zu re-enable IPv6):
https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows
4.) Ich erhalte die Fehlermeldung "ERROR: netsh command failed: returned error code 1" o
Diese Fehlermeldung kann mehrere Ursachen haben:
IPv6 ist auf dem Tunnel Adapter deaktiviert oder auf Ihrem Windows generell. Damit funktioniert unser OpenVPN Setup (IPv6 im Tunnel) nicht. IPv6 muss mindestens auf dem Tunnel-Interface aktiviert sein.
Hier finden Sie Informationen dazu (auch zu re-enable IPv6):
https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows
Es könnte auch daran liegen, dass Microsoft Teredo/6to4 installiert/aktiviert ist. Dies erscheint vermutlich auch auf der Seite http://wieistmeineip.scc.kit.edu
Der Microsoft Teredo-Dienst stört bei der Konfiguration der IPv6-Adresse beim Verbindungsaufbau. Sie können den Teredo-Dienst deaktivieren, indem Sie die Befehle
netsh interface teredo set state disabled
netsh interface ipv6 6to4 set state disabled
ausführen. (Details bspw. in http://lonesysadmin.net/2011/04/25/how-to-disable-teredo-ipv6-tunneling-in-microsoft-windows/)
Eine Deinstallation und Neuinstallation löst in einigen Fällen dieses Problem ebenfalls.
5.) Ich erhalte am Ende des Verbindungsaufbaus die Meldung: "Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )". Vorher erscheinen einige Male die Meldungen "TEST ROUTES: 0/0 succeeded len=-1 ret=0 a=0 u/d=down" und "Route: Waiting for TUN/TAP interface to come up"
Testweise Firewall deaktivieren
Deinstallation und Neuinstallation des Clients
Reset Network TCP/IP Stack: https://community.openvpn.net/openvpn/wiki/reset-network-tcp-ip-stack
6.) Wie kann ich Konfigurationsdateien aus OpenVPN löschen?
Eine in OpenVPN importierte Konfigurationsdatei kann man folgendermaßen löschen: unter C:\Users\<Nutzername>\OpenVPN\config gibt es für jede importierte Datei einen Ordner. Um die Konfiguration zu löschen, muss man den Ordner löschen.
OpenVPN Mac OS X
Mit dem VPN-Client Tunnelblick können bei hergestellter VPN-Verbindung einige interne Seiten erreicht werden, es gibt aber Probleme beim Zugriff auf den Fileserver, Druckserver, Lizenzserver oder auf https://team.kit.edu. Die Namensauflösung (DNS) funktioniert nicht für alle Namen.
Stellen Sie sicher, dass Sie - wie in der Anleitung für Tunnelblick beschrieben - den Haken bei "Änderungen erlauben, um die Netzwerkeinstellungen manuell zu verändern" gesetzt haben.
OpenVPN Linux
1.) Unter Linux mit dem Network Manager wird die OpenVPN-Verbindung scheinbar hergestellt (IP-Adresse wird zugewiesen), aber auf das KIT-Intranet kann nicht zugegriffen werden.
Bitte überprüfen Sie in den Einstellungen des Network Manager, ob der Haken bei IPv4 Settings → Routes → "Use this connection only for resources on its network" gesetzt ist. Falls er gesetzt ist, entfernen Sie diesen. Bei der Standard-VPN-Verbindung, bei der alles über den Tunnel gehen soll, darf der Haken nicht gesetzt sein, damit die Default Route gesetzt wird.
2.) Unter Linux habe ich Probleme, OpenVPN über den Network Manager zu starten.
Bitte lesen Sie die Hinweise zu NetworkManager in der Anleitung für Linux.
Sie können den OpenVPN Client auch auf der Kommandozeile starten:
sudo openvpn --config konfigurationsdatei
(z. B. sudo openvpn --config kit.ovpn)
3.) Beim Starten des OpenVPN-Clients auf der Kommandozeile wird mit einer Fehlermeldung abgebrochen.
Wenn die Fehlermeldung in der vorletzten Zeile lautet: "ERROR: Cannot ioctl TUNSETIFF tap: Operation not permitted (errno=1)", dann ist das Problem, dass Sie den Client nicht mit Admin-Rechten gestartet haben.
Sie können z. B. sudo verwenden, um den Client als root zu starten: sudo openvpn --config kit.ovpn
4.) Ich erhalte die Fehlermeldung "ip -6 addr add failed: external program exited with error status: 2"
IPv6 ist auf Ihrem System deaktiviert, zumindest für das tun- bzw. tap Interface. Mit dem Befehl "sysctl net.ipv6.conf | grep disable_ipv6" können Sie überprüfen, ob IPv6 aktiviert ist.
5.) Bei hergestellter VPN-Verbindung unter Linux können einige interne Seiten erreicht werden, es gibt aber Probleme beim Zugriff auf den Fileserver. Die Namensauflösung (DNS) funktioniert nicht für alle Namen.
Lesen Sie bitte in der Linux-Anleitung die Hinweise im Abschnitt "Verwendung der KIT-Resolver für die DNS-Auflösung".
Sonstige Fragen zu VPN
1.) Ich kann über VPN nicht drucken bzw. den Dienst xyz im KIT nicht erreichen.
Stellen Sie sicher, dass die VPN-Verbindung hergestellt ist. Rufen Sie dazu die Seite: http://wieistmeineip.scc.kit.edu auf. Wenn der Tunnel korrekt aufgebaut wurde, müsste die angezeigte IPv4-Adresse die Form 141.52.x.y oder 129.13.x.y und die angezeigte IPv6-Adresse die Form 2a00:1398:300:x::y haben. Falls die VPN Verbindung hergestellt ist, wenden Sie sich an den Betreuer des Druck-Dienstes bzw. des entsprechenden Dienstes. Bzgl. Drucken beachten Sie bitte auch die Seite Drucken von außerhalb des KIT-Netzes.
2.) Wie komme ich über VPN an mein Home-Laufwerk?
Stellen Sie sicher, dass die VPN-Verbindung hergestellt ist. Dann geben Sie im Windows Explorer (bzw. an der passenden Stelle in Ihrem Betriebssystem) den entsprechenden Pfad ein:
Mitarbeiter: Informationen finden Sie unter KIT-Datenablage (persönliches Verzeichnis)
Studierende: Informationen finden Sie unter KIT-Datenablage (für Studierende)
Bei der Abfrage nach Benutzername und Passwort geben Sie bitte Ihren KIT-Account (z.B KIT\ab1234) mit dem zugehörigen Passwort an.
3.) Wenn ich im VPN angemeldet bin, kann ich keine E-Mails über einen externen E-Mail Provider versenden.
Innerhalb des KIT-Netzes (also auch im VPN) kann man sich aus Sicherheitsgründen nur zu den KIT-Mail-Servern auf Port 25 (smtp) verbinden. Sie können aber andere E-Mail-Server auf Port 465 oder Port 587 kontaktieren. Ansonsten können Sie auch Split-VPN benutzen: dann geht nur der Traffic, der als Ziel das KIT hat, durch den Tunnel. Nutzen Sie dazu die Konfiguration kit-split.
4.) Ich bin Studierender einer anderen Hochschule und möchte eine VPN-Verbindung zu meiner Hochschule aufbauen.
Sie können sich über die SSID eduroam anmelden, falls Ihre Hochschule am eduroam teilnimmt. Danach können Sie eine VPN-Verbindung zu Ihrer Hochschule aufbauen.
Meine Frage wird hier nicht beantwortet.
Lesen Sie bitte unsere Seite zur Fehlerbehebung.