Übersicht
Im Anleitungsbereich finden Sie alle Handzettel, Benutzerhandbücher und Dokumentationen zum Dienst.
IP-Präfix
Nutzer der Dienste eduroam/VPN kommen aus den folgenden IP-Bereichen. Netzadministratoren, die eigene Firewalls pflegen, können diese Bereiche nach Bedarf freischalten.
Dienst-Gruppe | Präfix |
---|---|
EDUROAM_STUD |
141.58.32.0/19 141.58.208.0/20 2001:7c0:2049:1d5::/64 |
REMOTE |
141.58.12.0/24 141.58.16.0/20 141.58.32.0/19 141.58.64.0/21 141.58.92.0/22 141.58.208.0/20 141.58.224.0/21 141.58.224.0/22 141.58.228.0/22 141.70.160.0/20 2001:7c0:2049:1d4::/64 2001:7c0:2049:1d5::/64 2001:7c0:205f::/52 2001:7c0:205f:8000::/52 2001:7c0:205f:8001::/64 2001:7c0:205f:8002::/64 2001:7c7:2449:1d6::/64 |
VPN_EMPL |
141.58.92.0/22 141.58.228.0/22 2001:7c0:205f::/52 2001:7c0:205f:8002::/64 |
EDUROAM_EMPL |
141.58.16.0/20 2001:7c0:2049:1d4::/64 |
VPN_STUD |
141.58.92.0/22 141.58.224.0/22 2001:7c0:205f::/52 2001:7c0:205f:8001::/64 |
Konfiguration des Zeitservers (NTP)
Unter Windows 10:
- Öffnen Sie unter Windows "Datum & Uhrzeit ändern".
- Klicken Sie unter den verwandten Einstellungen auf "Zusätzliche Datums-, Uhrzeit- und Ländereinstellungen"
- Klicken Sie unter "Datum und Uhrzeit" auf "Datum und Uhrzeit festlegen"
- Im Reiter "Internetzeit" klicken Sie auf den Button "Einstellungen ändern..."
- Tragen Sie in das Feld einen der beiden NTP-Server ein:
time1.uni-stuttgart.de
odertime2.uni-stuttgart.de
odertime3.uni-stuttgart.de
Bitte beachten Sie: Der Reiter "Internetzeit" wird nicht für Rechner angezeigt, die Mitglied einer Windows-Domäne sind. Die Zeiteinstellung von Arbeitsrechnern mit Windows-Betriebssystem wird automatisch mit dem Zeitserver der Einrichtung / des Instituts synchronisiert.
- Öffnen Sie über das Apfel-Menü "Systemeinstellungen"
- Klicken Sie in den Systemeinstellungen auf "Datum & Uhrzeit"
- Die Systemeinstellungen für Datum & Uhrzeit öffnen sich. Tragen Sie unter "Datum und Uhrzeit automatisch einstellen" die NTP-Server der Universität Stuttgart durch Komma getrennt ein:
time1.uni-stuttgart.de
,time2.uni-stuttgart.de
,time3.uni-stuttgart.de
Die auf dem Campus erreichbaren Zeitserver heisen time1.uni-stuttgart.de, time2.uni-stuttgart.de und time3.uni-stuttgart.de. Bitte entnehmen Sie die Konfiguration des NTP-Clients ihrer Distribution dessen Dokumentation.
DNS und IP-Adressplanung
Das TIK betreibt verschiedene Nameserver-Resolver. Die Server werden auf dem Endsystem in der Regel über DHCP bzw. über IPv6 Router Advertisements automatisch konfiguriert. Sollte ein System ausnahmsweise ohne DHCP bzw. mit IPv6 SLAAC (stateless address autoconfiguration) mit statischen Adressen betrieben werden, sind die folgenden IP-Adressen zu verwenden.
Für Anmerkungen und Rückfragen wenden Sie sich bitte an den DNS-Support.
- Als Primären Server benutzen Sie bitte immer
IPv6 Adresse 2001:7c0:2053::
oder
IPv4 Adresse 129.69.252.252 - Als Sekundären Server benutzen Sie bitte den Ihnen geografisch am nächsten befindlichen Server
NWZ 2 (Pfaffenwaldring 57)
IPv6 Adresse 2001:7c0:2053:12::53
IPv4 Adresse 129.69.252.212
Rechenzentrum (Allmandring 30a)
IPv6 Adresse 2001:7c0:2053:11::53
IPv4 Adresse 129.69.252.232
Industriestraße 28
IPv6 Adresse 2001:7c0:2053:13::53
IPv4 Adresse 129.69.252.202
Bitte beachten Sie:
Sofern Sie Ihre IP (wie in der Regel üblich) automatisch beziehen, sollten Sie diese Adressen nur dann eintragen, wenn dies unbedingt nötig ist. Im Normalfall funktioniert dies zusammen mit der IP-Adressvergabe und ein manuelles Eintragen könnte in anderen Netzwerken unter Umständen zu Problemen führen!
Der DNS-Recursor-Dienst ist ab sofort über folgende Protokolle erreichbar:
- DNS UDP (Port 53)
- DNS TCP (Port 53)
- DNS over TLS (Port TCP/853) kurz DoT
- DNS over HTTPS (Port TCP/443) kurz DoH
DoT und DoH sind nur innerhalb des Campus erreichbar und sollten daher vor allem in mobilen Endgeräten außer in begündeten Ausnahmefällen nicht beliebig eingetragen werden. Mobile Plattformen können naturgemäß auch außerhalb der Campus zum Einsatz kommen und verhalten sich dann ggf. nicht mehr datensparsam.
Sofern Sie Instituts-DNS-Administrator sind und unseren DNS-Dienst auch für Ihre Institutsdomain nutzen wollen bzw. eine Projektdomain benötigen, sprechen Sie uns bitte über die o.g. Kontakt-Email-Adresse an.
Das TIK bietet einen DNS-Secondarydienst mit Self-Service IPAM-Plattform an, über das Instituts-DNS-Administratoren (siehe Rolle "Netz-/DNS-/IP-Administrator" im SIAM) sowohl ihre Institutsdomains, wie auch ihre Projektdomains eigenständig verwalten und über die TIK-Server veröffentlichen können.
Unsere DNS-Secondary-Server sind:
- dns0.uni-stuttgart.de
- dns1.uni-stuttgart.edu
Unser IP-Adress-Management-Portal (IPAM) für DNS- und DHCP-Self-Service erreichen Sie unter https://ipam.tik.uni-stuttgart.de/. Um sich dort anmelden zu können, müssen Sie als Netz-/DNS-/IP-Administrator für Ihr Institut freigeschaltet und in unsere Plattform-Datenbank eingetragen sein. Der Login funktioniert dann über Ihren ac-Account.
Der DNS-Secondary-Dienst ist nicht daran geknüpft, die DNS-Zonen auch über unser IPAM-Portal pflegen zu müssen.
Auf Wunsch richten wir Ihnen auch gerne für Ihre über das TIK-Portal geführten Zonen DNSSEC ein, das für Sie völlig transparent die Inhalte der Zone gegen Veränderungen auf dem Transportweg sichert.
Für Anmerkungen und Rückfragen wenden Sie sich bitte an den DNS-Support.
Institute, die einen unzureichenden IP-Subnetzbereich zugeteilt bekommen haben oder sich nicht (mehr) sicher sind, wie sie ihre IPs innerhalb des Subnetzes vergeben sollen, dürfen sich gerne durch das TIK beraten lassen.
Bitte vereinbaren Sie hierzu einen Beratungstermin per E-Mail.
Firewall
Als zusätzlichen Schutz für Rechnersysteme der Institute kann durch das TIK ergänzend zum Paketfilter am Perimeterrouter der Uni, der durch das CERT betrieben wird, auch noch auf dem Gebietsrouter für das Institutsnetz ein weiterer Paketfilter eingerichtet werden.
Sofern Ihr Institut mit dem TIK keine entsprechende Vereinbarung getroffen hat, wird sämtlicher Netzwerkverkehr aus dem Campus an das Institut ohne Einschränkung weitergeleitet und vom Institut entgegengenommen.
Ein Paketfilter auf dem Gebietsrouter ermöglicht eine wirksame Kontrolle aller Verbindungen selbst aus dem Campusnetz, sofern dies gewünscht oder benötigt wird. Zugriffsregeln können pro Subnetz auf Wunsch eingerichtet werden. Zugriffsregeln sind sowohl für IPv4 als auch für IPv6 möglich. Abschottung zwischen Campus und Institutsnetz muss am TIK per E-Mail bei rusfw-support@tik.uni-stuttgart.de beantragt werden. Freischaltungen am Border, um Rechner aus dem Internet heraus erreichbar zu machen, müssen am CERT per E-Mail beantragt werden.
Wir empfehlen generell, jedes Subnetz zu sichern. Selbstverständlich ersetzt kein Paketfilter eine wirksame Antivirus-Konfiguration oder sorgfältige Systempflege mit Updates!
Bitte beachten Sie, dass ein Paketfilter nur auf Protokollebene (UDP, TCP / Port / Quelladresse<->Zieladresse) eingerichtet werden kann und keine inhaltlichen Filtermöglichkeiten unterstützt werden.
Das TIK bietet verschiedene Voreinstellungen für Institutsfirewalls.
- Antispoofing: Diese Einstellung verhindert, dass gefälschte IP Pakete in das Kernetz der Universität übertragen werden. Dies stellt die Integrität und Vertraulichkeit des Netzwerksverkehrs innerhalb der Universität sicher und ist somit die Minimalkonfiguration
- Client Netz: Diese Einstellung ist für normale Zugangsnetze gedacht. Es bietet Zugang zum Uninetz, dem Internet und allen grundlegenden Diensten des TIKs. Eingehende TCP-Verbindungen und nicht freigeschalteter UDP Verkehr werden dabei geblockt. Dies Verhindert unter anderem, dass nicht gewünschte Dienste und Server dem Rest des Uninetzes zugänglich sind.
- Hochsicherheitseinstellung: Grundsätzlich wird hier jede Verbindung abgelehnt und muss entsprechend freigeschaltet werden. Das erlaubt die höchstmögliche Kontrolle des Datenverkehrs von und zu dem Institutsnetz. Diese Einstellungen sind typischerweise für Servernetze gedacht.
Hinweise
Um den Freischaltungsprozess zu beschleunigen ist es hilfreich, dass Sie bei Anfragen die genauen Verbindungsdaten angeben. Diese senden Sie uns per E-Mail Sie bestehen aus:
- Quelladresse
- Zieladresse in Ihrem Institutsnetz
- verwendetes Protokoll (z.B IP, TCP, UDP)
- Quellport(s) (in den meisten Fällen 'alle')
- Zielport(s) (z. B. Port 80 für HTTP)