▼ Zielgruppen ▼

Humboldt-Universität zu Berlin - Deutsch

Wireless LAN an der HU

Zugang zum WLAN

Vorwort

Für diverse Abk. und fachspezifische Begriffe wurde versucht, im Glossar Erklärungen, bzw. Erläuterungen zu hinterlegen.

0) Inhalt

I) Voraussetzungen


II) Organisatorisches
III) Roaming - Zugang für Gäste


IV) Abdeckung
V) Infrastruktur & Technik
VI) Kontakt

 


I) Voraussetzungen

1. Account oder Zertifikat:

1.1 Accounts:

Voraussetzung für den Zugang zum HU-WLAN ist ein Account (Benutzerkennzeichen + Kennwort). Dieser Account muss an einer der folgenden Einrichtungen registriert und gültig sein:

  • CMS (Computer- und Medienservice)
  • Inst. f. Informatik
  • Inst. f. Mathematik
  • Inst. f. Physik

Die Vergabe von Accounts am CMS erfolgt durch die Benutzerberatung. Die Möglichkeiten sind im Netz unter http://www.cms.hu-berlin.de/dl/beratung/anmeld_html beschrieben.
 
Bei der Verwendung von Accounts, die nicht am CMS registriert sind, muss die Zugehörigkeit zur Einrichtung gekennzeichnet werden. Dabei ist der Account um eine vordefinierte Zeichenkette - einen sogenannten Realm - zu erweitern. In der nachfolgenden Tabelle sind die gültigen Realms aufgeführt:

Account registriert bei Realm
Inst. f. Informatik @informatik.hu-berlin.de
Inst. f. Mathematik @mathematik.hu-berlin.de
Inst f. Physik @physik.hu-berlin.de

Zum Beispiel muss bei der Verwendung des Accounts mueller, der am Institut für Physik registriert ist, die Zeichenkette @physik.hu-berlin.de angehangen werden. Der komplette Account bei der Anmeldung am WLAN muss also in diesem Beispiel mueller@physik.hu-berlin.de lauten. Einzelheiten sind den Konfigurationsanleitungen zu entnehmen.

 

Eine Zugangsmöglichkeit für Gäste wird weiter unten beschrieben.

 

1.2 Zertifikate:

Die Anmeldung am WLAN mit einem persönlichen Zertifikat ist ebenfalls möglich. Das Zertifikat muss von der WLAN-CA (CA = Certification Authority) ausgestellt sein. Zertifikate, die von anderen CAs ausgestellt wurden, werden nicht akzeptiert und können somit nicht zur Anmeldung am HU-WLAN verwendet werden.
Voraussetzung für den Erhalt eines WLAN-Zertifikats, ist ein Account am CMS.
Unter der URL https://amor.cms.hu-berlin.de/account/wlan.cgi kann ein Key mit Zertifikat erzeugt und heruntergeladen werden. Folgendes ist zu beachten:

  • Das Zertifikat besitzt eine Gültigkeit von 36 Monaten. Sie erhalten vor Ablauf der Frist eine Mail mit einem Hinweis darauf.
  • Sollten Sie bereits ein persönliches Zertifikat der WLAN-CA besitzen und fordern über die oben genannte URL ein neues an, so wird das bisherige Zertifikat ungültig.
  • Bei Sperrung des Accounts (Kennwort nicht geändert o.ä.) wird auch das Zertifikat ungültig. Nach Entsperrung des Accounts müssen Sie dann einen neuen Key mit Zertifikat anfordern.
 

2. WLAN-Karte:

Im HU-WLAN werden die Standards IEEE 802.11b/g (11 / 54 MBit/s auf 2,4 GHz) und IEEE 802.11a (54 MBit auf 5 GHz) unterstützt. Außerdem wird an einigen Standorten IEEE 802.11n (<300 MBit/s (2x3:2 & 3x3:2 MIMO) auf 2,4 und 5 GHz) angeboten. Teilweise werden auch Access-Points (Enterasys WS AP 3710i) eingesetzt, die Geschwindigkeiten bis 195 MBit/s unter Verwendung von 3x3:3 MIMO auf der 2,4 GHz-Frequenz (20 MHz Kanalbreite) unterstützen. Außerdem bieten diese Geräte bis zu 405 MBit/s bei 5 GHz bei einer Kanalbreite von 40 MHz.

3. Software:

3.1 Anmeldeverfahren am WLAN

Auf dem Gerät, welches mit dem WLAN verbunden werden soll, muss sich eine Software zur Anmeldung des Benutzers am WLAN (Authentifizierung) befinden. Dabei gibt es drei grundsätzliche Möglichkeiten, wie die Authentifizierung erfolgen kann:

  • 1. WWW-Browser (Internet Explorer, Mozilla Firefox, Safari) - siehe I-3.1.1
  • 2. VPN-Clientsoftware - siehe I-3.1.2
  • 3. EAP-Clientsoftware (IEEE 802.1X) - siehe I-3.1.3

Nachfolgend werden die 3 Methoden kurz näher skizziert.  

3.1.1 Anmeldung mit Web-Browser

Dies ist eine sehr einfache Variante, die ohne vorherige Softwareinstallation genutzt werden kann. Die Benutzeranmeldung erfolgt an einem SSL-Gateway. Dieses wird in seiner einfachsten Betriebsform durch den WWW-Browser des Benutzers als Proxy verwendet und gestattet so, jedem Client mit einem javafähigen Web-Browser, das Ansteuern von WWW-Seiten im HU-Netz.

3.1.2 VPN-Clientsoftware

Zur Anmeldung im VPN-WLAN ist ein VPN-Client Voraussetzung. VPN steht für "Virtual Private Network" und erlaubt die authentifizierte und verschlüsselte Übertragung von Daten zwischen einem Computer und einem VPN-Gateway. Es werden am CMS zwei verschiedene Varianten angeboten: OpenVPN und SSL-VPN+IPsec (Network Connect).

3.1.3 EAP-Clientsoftware

EAP steht für Extensible Authentication Protocol und ist ein standardisiertes Verfahren, welches die Anmeldung eines Clients an einer aktiven Netzwerkkomponente (z.B. einem WLAN-Accesspoint) ermöglicht.
Der WLAN-Client (z.B. der Laptop des Nutzers) muss dafür mit einer entsprechenden Software ausgestattet sein. Einige Betriebssysteme verfügen bereits über diese Software, für andere Systeme gibt es freie Clients. Ebenso gibt es Clientsoftware, die in den Treibern der Hersteller von WLAN-Karten integriert ist.
Die unterstützten EAP-Methoden im HU-WLAN sind EAP-TLS (zertifikatsbasierte Authentifizierung) und EAP-TTLS mit PAP (Anmeldung mit Benutzername und Passwort).  

3.2 Welche Zugangssoftware?

Es sollte das WLAN eduroam benutzt werden. Für die gängigsten Betriebssysteme gibt es Anleitungen zur Konfiguration.

 

 

4. Zugangsdaten:

An der HU werden 2 Funknetze mit verschiedenen Kennungen (SSID) betrieben. Die Abdeckung ist aber gleich, da alle Access-Points die selben SSIDs anbieten.

4.1 HU-VPN

Das erste WLAN der HU wird mit der SSID "HU-VPN" betrieben. Dieses WLAN-Netz ist offen und kann von allen WLAN-fähigen Geräten gefunden werden.

Nach dem Einbuchen in das WLAN "HU-VPN" erhält man eine IP-Adresse aus dem Bereich 172.24.x.y.
Verbindungen aus diesem WLAN sind nur mit einem VPN-Client möglich - siehe I-3.1.


4.2 eduroam

Das zweite WLAN, das an der HU angeboten wird, arbeitet mit der SSID "eduroam". Voraussetzungs ist ein 1X-Client, der EAP-TLS oder EAP-TTLS mit PAP unterstützt (siehe I-3.1.3). Es wird eine Verschlüsselung nach WPA2 angeboten.
Das Zuweisen der IP-Parameter erfolgt erst nach erfolgreicher Anmeldung.
 



 

II) Organisatorisches

Das HU-WLAN ist ein institutsübergreifendes WLAN, in dem an allen Standorten die gleichen Nutzungsbedingungen vorhanden sind. Eine standortabhängige Rekonfiguration von Clients oder Software ist somit überflüssig.
Betreiber des HU-WLAN ist der Computer- und Medienservice. Die WLAN-Benutzer sind zur Einhaltung der Computerbetriebsordnung der HU einschließlich der Ergänzung Betriebs- und Benutzerordnung für Wireless LANs an der HU verpflichtet. Verstöße gegen eine dieser Ordnungen haben den Ausschluss aus dem WLAN-Betrieb zur Folge.



III) Roaming - Zugang für Gäste


 
 

1. Eduroam-Verbund

Die HU beteiligt am internationalen WLAN-Roaming-Verbund Eduroam (EDUcation ROAMing) nach dem Standard IEEE 802.1X. In Deutschland ist der DFN-Verein der Organisator des Roamings.
Allgemeines Ziel dieses Verfahrens ist es, den Mitgliedern der teilnehmenden Einrichtung einen einheitlichen WLAN-Zugang in Fremdeinrichtungen zu ermöglichen. Motto: open your laptop and be online.
Die Anmeldung der Benutzer am WLAN der Gastgebereinrichtung erfolgt dabei über die Heimateinrichtung auf der Basis von IEEE 802.1X. Voraussetzung zur Anmeldung am WLAN ist EAP-Clientsoftware auf dem WLAN-Gerät des Benutzers - siehe I-3.1.3.
Informationen zum deutschen Eduroam-Verbund und deren Teilnehmer sind unter der URL http://www.eduroam.de/ zu finden. Die internationale WWW-Seite ist unter http://www.eduroam.org/ erreichbar.
 
Die auf dem WWW-Server des CMS bereitgestellten Konfigurationsanleitungen für den Zugang zum WLAN eduroam sind - sofern nicht anders auf den Seiten selbst vermerkt - für die Benutzung HU-fremder Eduroam-WLANs ausgelegt. Siehe http://www.cms.hu-berlin.de/dl/netze/wlan/config/eduroam/.


 

1.1 WLAN-Zugang für Gäste an der HU

Für Gäste an der HU, deren Heimateinrichtung am Eduroam (aka DFN-Roaming) teilnimmt, gibt es die Möglichkeit, das WLAN der HU für den Internet-Zugang zu nutzen. Der Zugang muss über das WLAN mit der SSID eduroam erfolgen. Die weitere WLAN-Konfiguration muss wie an der Heimateinrichtung vorgenommen werden. Das betrifft insbesondere die Authentifizierungsverfahren (EAP-Methoden) - wobei hier Hilfe zur Konfiguration ggf. nur von Heimeinrichtung gegeben werden kann.
Zu beachten ist, dass beim Versenden von E-Mails ein offizieller Mailserver der HU verwendet werden muss (z.B. mailhost.cms.hu-berlin.de), da ein direktes Ansprechen externer Mailserver aus dem HU-Netz nicht möglich ist.

1.2 WLAN-Zugang für HU-Angehörige in fremden Einrichtungen

Nutzer mit HU-Account (CMS, Physik, Informatik, Mathematik) haben die Möglichkeit, die Funknetze von Einrichtungen zu benutzen, die am am Eduroam-Verbund teilnehmen.
Die EAP-Methoden, die hierbei zur Anmeldung am WLAN verwendet werden können, sind EAP-TTLS + PAP und EAP-TLS. Eine Anmeldung in einer Fremdeinrichtung kann also sowohl mit einem persönlichen WLAN-Zertifikat der HU oder mit Benutzername und Passwort erfolgen.

Im besten Fall heißt das WLAN an der gastgebenden Fremdeinrichtung eduroam. Dann können die bereits konfigurierten Einstellungen für das HU-WLAN eduroam einfach benutzt werden. Also Notbook aufklappen und loslegen.
Wird ein anderer WLAN-Name (SSID) in der gastgebenden Fremdeinrichtung benutzt, so ist dafür im eigenen System eine zusätzliche Konfiguration anzulegen. Diese ist gleich der Konfiguration für den Zugang zum WLAN eduroam an der HU, nur dass eben nicht die SSID eduroam Verwendung findet.

Unabhängig vom WLAN-Namen der Gastgebereinrichtung ist zu beachten, dass - bei Anmeldung mittels Benutzername und Passwort - die äußere Identität korrekt angegeben wird. Diese lautet anonymous@cms.hu-berlin.de. Statt @cms kann je nach Accountherkunft auch @informatik, @mathematik oder @physik verwendet werden. Die Angabe von @cms wäre aber im Zweifelsfall nicht unrichtig.
Die Konfigurationsanleitungen für den Zugang zum WLAN eduroam auf dem WWW-Server des CMS sind entsprechend gehalten.

2. DFN-Roaming nach CASG

Die HU beteiligt sich am CASG des DFN-Vereins. CASG steht für Controlled Address Space for Gateways. Vereinfacht beschrieben: Es gibt einen gemeinsamen Adressraum, der auf den Firewalls der teilnehmenden Einrichtungen freigeschaltet wird.

Nutzer, die eine Verbindung zum WLAN "HU-VPN" haben, können sich per VPN-Tunnel (IPsec, HTTPS) zu ihrer Heimateinrichtung verbinden, wenn diese am CASG des DFN-Vereins teilnimmt. In Berlin sind u. a. FU und TU im CASG-Verbund. Damit können z. B. Angehörige und Studierende dieser Unis aus dem "HU-VPN"-WLAN eine VPN-Verbindung zu ihrer eigenen Universität herstellen.
Umgekehrt geht das auch: Inhaber eines Accounts an der HU (CMS, Informatik, Mathematik, Physik) können aus dem WLAN einer CASG-Einrichtung einen Tunnel zu den VPN-Gateways des CMS aufbauen.

Einrichtungen, die am CASG-Roaming teilnehmen, sind auf der Seite http://www.dfn.de/de/dienstleistungen/dfnroaming/roamingstandorte/ vermerkt.
Im Gegensatz zum Eduroam-Verbund sind an dem CASG-Roamingverfahren wesentlich weniger Einrichtungen beteiligt, so dass - wenn möglich - die Benutzung von Eduroam empfohlen wird (siehe vorheriger Abschnitt).


IV) WLAN-Abdeckung

Unter http://www.cms.hu-berlin.de/dl/netze/wlan/stats/ gibt es eine schematische Übersicht der Standorte, die mit WLAN-Technik ausgerüstet sind. Die Aufführung bedeutet nicht, dass an jedem beliebigen Punkt das WLAN gleich gut verfügbar ist. Dies ist u.a. abhängig von der tatsächlichen Ausleuchtung, von äußeren Einflüssen und von der Anzahl der Nutzer einzelner Funkzellen.


 

V) Infrastruktur & Technik

Das WLAN der HU wird mit Geräten von Enterasys und Siemens betrieben. Dabei kommen unterschiedliche Modelle zum Einsatz. Einmal Thin-Geräte des Typs RBT 4102 EU (IEEE 802.11a/b/g) und von Siemens (neu: Enterasys) Access-Points der Typen 3605, 3610 und 3620 (IEEE 802.11a/b/g/n mit 3x3:2 und 3x2:2 MIMO) und 3710i (3x3:3 MIMO). Alle Access-Points werden durch 4 Controller vom Typ C5110 gemanagt.
 


 

VI) Ansprechpartner

Einrichtung Telefon E-Mail
Benutzerberatung 2093 70000 Oper(AT)cms.hu-berlin.de
WLAN-Team   wlan(AT)cms.hu-berlin.de