Service VPN - Virtual Private Network

Mehr-Faktor-Authentifizierung für die Anmeldung am VPN

Seit dem 15. Dezember 2023 benötigen Sie für die Anmeldung am zentralen Dienst VPN zusätzlich zu Benutzernamen und Kennwort ein zeitbasiertes Einmalkennwort (TOTP – Time-based one-time password). Dieses wird durch einen Einmalpasswort-Generator, einen sogenannten Token, erstellt. Alle weiteren Infos zur Mehr-Faktor-Authentifizierung, Anleitungen und Videotutorials zur Tokenerstellung finden Sie auf der verlinkten Seite
Service-Katalog & Anleitungen Mehr-Faktor-Authentifizierung

Verschlüsselt und sicher von unterwegs auf das Uni-Netz zugreifen.

Mit der VPN-Technik können Sie von jedem Ort der Welt eine verschlüsselte Verbindung (Remote Access) mit dem internen Netzbereich der Universität aufbauen. Insbesondere von unterwegs, etwa bei der Verwendung unverschlüsselter WLAN-Hotspots, oder aus dem Homeoffice können Sie so eine verschlüsselte, sichere Verbindung aufbauen. VPN ermöglicht außerdem Zugang zu universitätsinternen IT-Diensten, die nach außen aus Sicherheitsgründen gesperrt sind.

Nachdem Sie mit Ihrem Gerät eine Verbindung zum Internet aufgebaut haben, können Sie den VPN-Client starten und erhalten nach dem Login eine verschlüsselte Verbindung in das Universitätsnetz.

Zielgruppe

  • Mitglieder und Angehörige (mit Uni-ID oder Projektnummer)

Nutzen

  • Sichere, verschlüsselte Verbindung auch von unterwegs (etwa bei der Nutzung unverschlüsselter WLAN-Hotspots)
  • Zugriff auf universitätsinterne Dienste auf Reisen oder aus dem Homeoffice

Zugang und Voraussetzungen

Das Universitätsrechenzentrum unterstützt den VPN-Client Cisco AnyConnect, den Studierende, Promovierende und Beschäftigte kostenfrei herunterladen können. Zum Einloggen wird eine Uni-ID bzw. eine Projektnummer der Universität benötigt.

Nach Download und Installation von AnyConnect geben Sie im Client die folgende VPN-Serveradresse an:

vpn-ac.urz.uni-heidelberg.de

und klicken Sie auf „Verbinden“. Loggen Sie sich dann nach Aufforderung mit Ihrer Uni-ID bzw. Projektnummer ein. Bei Problemen finden Sie weitere Erläuterungen in der Installationsanleitung zu AnyConnect.

 

Häufig gestellte Fragen

Tabellenfilter

Tabelle

Seit kurzem erscheint beim VPN-Login ein weiteres Eingabefeld mit dem Text "Bitte zweiten Faktor eingeben (OTP) / Please enter second factor (OTP)."
Was bedeutet das?
Hier handelt es sich um die benötigte zusätzliche Angabe eines „zeitbasierten Einmalkennwortes“ ((T)OTP) für eine Zwei- bzw. Mehr-Faktor Authentifizierung (2FA/MFA).
Ich habe MFA noch nicht eingerichtet, man kommt aber nur mit VPN auf die MFA-Seite. Was kann ich tun?
Wenden Sie sich an den IT-Service.
Sollte ich VPN immer verwenden, wenn ich von außerhalb tätig bin?
Bei Tätigkeiten für die Universität von außerhalb sollte nach Möglichkeit VPN aktiviert werden.
Angesichts der Zunahme von Angriffsversuchen auf interne Dienste wurden in der jüngeren Vergangenheit und werden künftig mehr dieser Dienste nur noch „innerhalb der Universität“ angeboten werden, sind dann also von außerhalb nur noch mit VPN-Verbindung nutzbar.
Die automatische Installation über die vpn-ac-Seite funktioniert nicht. Was kann ich tun?
Problem beim Login?: Hier wird inzwischen ebenfalls ein One-Time-Password (2FA/MFA/Token) benötigt.
Problem beim Download?: Bitte wenden Sie sich unter Angabe Ihres Betriebssystems an den IT-Service. Sie erhalten einen Download-Link zugeschickt.
Wie kann ich Zugriff auf einen Netzwerkdrucker oder andere Geräte im lokalen Netz (LAN) erhalten?
Wenn Sie im LAN (lokalen Netz, über das Ihr Rechner direkt angebunden ist) auf Netzwerk-Drucker oder andere Geräte zugreifen wollen, können Sie das im VPN-Client unter „[Zahnrad-Symbol] Erweitertes Fenster... > Einstellungen > ein Häkchen bei „LAN-Zugriff erlauben, wenn VPN verwendet wird“ setzen.
Ich möchte von zuhause auf meinen Rechner im Büro zugreifen. Wie mache ich das?

Generelle Empfehlung ist, die Datenablage so zu gestalten, dass Sie auch vom Telearbeitsplatz aus auf die Daten zugreifen können.

Grundsätzlich muss auf dem Bürorechner in Absprache mit dem IT-Beauftragten ein entsprechender Dienst (RDP, VNC, SSH) auf einem passenden Port aktiviert werden und die lokale Firewall angepasst sein. Die Energiespareinstellungen des Betriebssystems müssen so konfiguriert sein, dass der Rechner nicht herunterfährt oder einschläft; alternativ kann eventuell auch Wake-on-LAN genutzt werden.
Auf dem Rechner sollten Updates und Schutzvorrichtungen aktuell sein; alle Passwörter von erlaubten Usern auf dem Rechner sollten stark sein, z.B. den Passwortregeln des URZ genügen. Merken Sie sich den Namen oder die IP-Adresse Ihres Rechners, den Port, auf dem der Dienst aktiv ist sowie Nutzerkennung und Passwort für den Zugriff auf Ihren Büro-Rechner.
Von zuhause starten Sie dann zuerst VPN und dann die Client-Software, mit der Sie auf den Rechner zugreifen wollen.
Detailliertere Hinweise insbesondere auch zu Windows/RDP sind im Sharepoint-Bereich für IT-Beauftragte hinterlegt.

Direkt nach dem Login werden mehrfach Neuverbindungen gemeldet. Was ist das?
Zur technischen Optimierung werden bis zu drei Verbindungen hergestellt, zwischen denen manchmal hin- und hergeschaltet wird. Dafür sind im Regelfall Eigenheiten der Strecke von Ihrem Aufenthaltsort bis zum Server im URZ verantwortlich. Wenn diese Meldungen nicht nach einigen Minuten aufhören, prüfen Sie bitte, ob Sie vielleicht gleichzeitig LAN und WLAN aktiv haben. Bei anhaltenden Problemen teilen Sie dies bitte dem IT-Service mit.
Ich habe Verbindungsabbrüche. Kann ich daran etwas ändern?
Bitte aktivieren Sie über das Zahnrad-Symbol die Option "VPN-Verbindung automatisch wiederherstellen". Sollten Probleme über die ersten Minuten nach dem Login anhalten, informieren Sie bitte den IT-Service.
Ich habe ohne VPN eine viel bessere Verbindungsbandbreite als mit. Ist der VPN-Server überlastet?
Der VPN-Server stellt allen Nutzer:innen eine begrenzte Bandbreite zur Verfügung, die nach unseren Tests auch für datenintensivere Zwecke wie Videokonferenzen ausreichend ist. Die aktuelle Nutzerzahl und die Auslastung der Anbindung liegt derzeit (Stand: 15.12.2023) noch weit unter den maximal möglichen Werten.
Es sollen nur die Daten von und zur Universität über die VPN-Verbindung geschickt werden, alles andere soll meine eigene Internetverbindung benutzen. Wie mache ich das?
Diese Anforderung heisst auch "split-tunnel". 
Sie können diese Variante durch einen erweiterten Benutzernamen selbst auswählen: Verwenden Sie als Benutzernamen
<Uni-ID>@split.uni-heidelberg.de 
und Ihr normales Passwort.
Ich will eine Videokonferenz machen, Bild oder Sprache sind aber nicht gut. Liegt das am VPN?
Bei Problemen können Sie gerne versuchen, ob das ohne VPN besser wird. Zumeist liegen die Probleme an anderer Stelle (anderer Browser, Browser-Neustart, Serverseite).
Gibt es einen VPN-Client für Systeme mit 32 Bit?
Cisco hat die Unterstützung des AnyConnect Client für Systeme mit 32 Bit im Jahr 2016 eingestellt. Windows- und MAC-OS-Systeme mit nur 32 Bit sind hoffnungslos veraltet und sollten nicht mehr „im Internet“ eingesetzt werden. Bei Linux-basierten Systemen hilft eventuell die Verwendung des freien Client "openconnect" aus den Paketquellen Ihres Betriebssystems.
Unterstützt das URZ den freien VPN-Client openconnect?
Generell empfehlen wir, den zum Server passenden "Cisco Secure Client" ("AnyConnect") zu verwenden. Aus Ressourcengründen können wir nur diesen einen Betriebssystem-übergreifenden Client unterstützen.
Gerne können Sie auch hierzu eine Anfrage an den IT-Service stellen; wir bitten allerdings um Verständnis, wenn eine solche Anfrage nicht schnell oder ausführlich genug beantwortet werden kann.
Openconnect mit NetworkManager hat bislang klaglos funktioniert, aber seit Einführung von 2FA/MFA gibt es da Probleme...

Bei neueren Versionen von NetworkManager funktioniert das, z.B. in Debian12.

Wenn in Ihrer Distribution die GUI noch nicht richtig funktioniert, können Sie die VPN-Verbindung auch in der Kommandozeile herstellen:
 openconnect --protocol=anyconnect --useragent='AnyConnect'  vpn-ac.uni-heidelberg.de
(In manchen Fällen hilft auch "sudo openconnect...".)

Warum kann ich das Passwort im "Cisco Secure Client" nicht abspeichern?

Der Anbieter der Software will eine Sicherheitslösung anbieten, 
und da verbietet sich sich Speicherung des Passwortes im Nutzer-Betriebssystem.

Falls Sie sich jedoch einen eigenen "automatischen Login" einrichten,
fügen Sie bitte in die "Anmelde-Scheife" eine Pause mit ein;
ansonsten erzeugen solche Scripte bei Problemen (oder wenn der Account abläuft) 
sehr viele fehlerhafte Login-Versuche in unseren Logs, 
ohne dass der Nutzer es bemerkt, und ohne dass wir das rückmelden können.

Anleitungen

AnyConnect für VPN installieren

Anleitung zur Installation des Cisco Secure Client - AnyConnect für die VPN-Nutzung auf PCs und mobilen Geräten.

Anmeldung Cisco Secure Client - AnyConnect - VPN

Die Anleitung beschreibt, wie Sie sich beim Cisco Secure Client - AnyConnect - VPN mit Mehr-Faktor-Authentifizierung anmelden.

Wake-on-LAN

Diese Anleitung beschreibt, wie Sie mit „Wake-on-LAN“ als Mitarbeiter:in Ihren Rechner über das Netzwerk zu einer festlegbaren Uhrzeit automatisch starten lassen können.

Alle Anleitungen

weiterführende Informationen

SharePoint: Netzwerk-Informationen für IT-Beauftragte

Interner SharePoint-Bereich Netzwerk-Informationen für IT-Beauftragte
(Gemeldete Uni-ID des IT-Beauftragten wird benötigt).