Überblick

Aufbauend auf dem RUB-VPN Dienst, der es allen RUB-Mitgliedern ermöglicht eine verschlüsselte Datenverbindung zu Ressourcen im Campusnetz herzustellen, bieten wir Instituten und Arbeitsgruppen den GruppenVPN Dienst an, mit dem eine Möglichkeit geschaffen wird, Mitarbeitendengruppen auf Netzwerkebene logisch zusammenzufassen um bspw. Firewall-Regeln einfacher und übersichtlicher zu gestalten.

Dort wo die Zugriffsbeschränkung auf Ressourcen nicht anders realisiert werden kann, können Institute den Zugriff auf Netzwerkebene steuern. Bislang konnten nur gesamte VPN-Subnetze oder persönliche IP-Adressen der Mitarbeitenden zugelassen werden, um ortfsflexibles Arbeiten zu ermöglichen. Dieses Verfahren ist administrativ sehr aufwendig und fehleranfällig. Der GruppenVPN soll dieses Problem adressieren.

Anmerkung: Der GruppenVPN stellt keine Erhöhung der Sicherheit für die zugreifbaren Ressourcen dar, sondern erleichtert nur die Administration im Zusammenhang mit ortsflexiblen Arbeiten.

Technische Umsetzung

Die Authentifizierung liefert das zentrale LDAP-Verzeichnis. Die Zuordnung von Benutzenden zu Gruppen erfolgt über LDAP-Gruppen mit dem Muster vpngroup_gruppenname. Weitere Bedingung neben der allgemeinen VPN Berechtigung ist ein aktivierter zweiter Faktor (TOTP). Der jeweils aktuell gültige TOTP-Code wird bei der Authentifizierung als Passwort verwendet. Die Zuordnung von Gruppen zu IP-Subnetzen erfolgt statisch auf dem VPN-Server, wobei innerhalb einer Gruppe die IP-Adressen dynamisch zugeteilt werden.

Ist ein Nutzender des GruppenVPN mehreren LDAP-Gruppen (mit dem o.g. Muster) zugeordnet, so wird die Zuordnung durch das Anhängen einer Extension an die LoginID gesteuert. Das fehlen der Extension führt zu einer zufälligen Auswahl einer zugeordneten Gruppe, was i.d.R. nicht den gewünschten Effekt hat.

So nutzen Sie den GruppenVPN

Um eine Verbindung mit dem GruppenVPN herzustellen werden benötigt:

  • Mitgliedschaft in der entsprechenden LDAP-Gruppe
  • eine spezielle Konfigurationsdatei
  • eine gültige LoginID
  • ein aktivierter zweiter Faktor

Ein Administrator trägt im Vorfeld die Mitglieder seiner Arbeitsgruppe über die LDAP-Gruppenverwaltung in die von ihm gepflegte LDAP-Gruppe ein.
Die aktuelle Konfiguration (derzeit Version 4) befindet sich unter https://noc.rub.de/download/openvpn/groupvpn.ovpn
Die Anmeldung am VPN erfolgt mit Benutzername und Passwort, wobei folgendes zu beachten ist:

  • Nutzende, die Mitglieder nur einer Gruppe sind, verwenden als Benutzername ihre persönliche LoginID
  • Nutzende, die mehreren Gruppen angehören, steuern die Auswahl der gewünschten Verbindung durch ein Anhängen des Gruppennamens hinter die LoginID, getrennt durch einen Punkt: LoginID.gruppenname
  • Anstatt des Passworts wird der TOTP-Code eingegeben. Aktivierung des zweiten Faktors erfolgt im RUB Identity Management

Die Zugehörigkeit zu Gruppen kann in den Account-Informationen eingesehen werden: RUB Identity Management

Kontakt

Sie möchten wissen, ob dieser Dienst zu Ihren Anforderungen passt?

Schreiben Sie uns eine E-Mail an
noc@rub.de