Das ZIH betreibt für über 200 VPN-Ressourcen aktuell drei verschiedene VPN-Dienste zum Fernzugriff auf das interne Netzwerk der Universität (Remote Access VPN):
Eine VPN-Ressource besteht aus einem Namen und einem oder mehreren zugeordneten IP-Netzwerken. Bei der Anmeldung mittels Cisco Secure Client muss der Name der gewünschten VPN-Ressource als Teil des Benutzernamens (<ZIH-Login>@<VPN-Ressource>) angegeben werden.
Die drei VPN-Dienste werden im Laufe des Jahres 2025 auf eduVPN als einzigen VPN-Dienst reduziert. Die zahlreichen VPN-Ressourcen im Cisco VPN werden migriert, der klassische OpenVPN-Dienst besitzt keine VPN-Ressourcen im engeren Sinn und wird einfach nur abgeschaltet werden.
Eine Migration einer VPN-Ressource läuft wie folgt ab:
Etwaige statische IP-Adressreservierungen über das Dyport-Portal funktionieren unverändert auch mit dem eduVPN-Dienst weiter. Nutzende erhalten dieselben IP-Adressen mit dem Cisco Secure Client oder einem eduVPN/OpenVPN-Client.
Beachtet werden sollte jedoch, dass die gleichzeitige Verbindung mit derselben VPN-Ressource mit demselben ZIH-Login mit mehreren Clients unbedingt unterlassen werden sollte, da es sonst zu IP-Adresskonflikten kommt. Ein solches Szenario wurde aber auch bisher mit dem Cisco VPN nicht unterstützt.
Die Migration der VPN-Ressourcen erfolgt in größeren Tranchen. Die erste Tranche umfasst die hauseigenen VPN-Ressourcen des ZIH, das allgemeine VPN mit dem Namen tu-dresden.de und das tu-admin-vpn. Diese beiden VPN-Ressourcen wurden gewählt, da damit prinzipiell alle Angehörigen und IT-Administrator:innen den neuen VPN-Dienst und Client unmittelbar benutzen und testen können. Der erste Schritt der Migration für diese VPN-Ressourcen ist bereits im Dezember 2024 erfolgt. Wir beabsichtigen, alle weiteren VPN-Ressourcen auf zwei Tranchen aufzuteilen, behalten uns aber vor, sofern notwendig, zusätzliche Tranchen zu bilden. Für Tranche 2 sind prinzipiell zunächst alle übrigen VPN-Ressourcen qualifiziert. Tranche 3 ist aktuell für VPN-Ressourcen vorgesehen, welche aus bestimmten Gründen noch nicht sofort auf eduVPN umziehen können, weil beispielsweise eine bestimmte Funktion wie SBL zwingend benötigt wird (siehe dazu Roadmap unten). Sollte dies bei einer Ihrer VPN-Ressourcen der Fall sein, teilen Sie uns den Grund und die VPN-Ressource bitte über ein Ticket an den Service Desk mit.
Vor Beginn der Migration werden die bei uns hinterlegten Ansprechpartner der VPN-Ressourcen eine E-Mail erhalten.
Betroffene VPN-Ressourcen: tu-dresden.de / tud-admin-vpn und ZIH-interne
12/2024: Aktivierung der VPN-Ressourcen im eduVPN
12/2024 - 04/2025: Parallelbetrieb der VPN-Ressourcen
05/2025: Deaktivierung der VPN-Ressourcen im Cisco VPN
05/2025: Abschaltung OpenVPN
Betroffenen VPN-Ressourcen: Alle verbliebenen VPN-Ressourcen, die nur Benutzer haben, die eduVPN nutzen können (wenn Probleme gemeldet werden, wird die Ressource in Tranche 3 verschoben).
10/2025: Aktivierung der der VPN-Ressourcen im eduVPN
10/2025 - 02/2026: Parallelbetrieb der VPN-Ressourcen
02/2026: Deaktivierung der VPN-Ressourcen im Cisco VPN
Betroffenen VPN-Ressourcen: VPN-Ressourcen, die ungelöste Probleme haben, die die Nutzung von eduVPN für einige Benutzer verhindern. Die konkrete Liste ist in einem separaten FAQ-Artikel (erfordert Login) zu finden.
10/2025: Aktivierung der der VPN-Ressourcen im eduVPN
10/2025 - 05/2026: Parallelbetrieb der VPN-Ressourcen
05/2026: Deaktivierung der VPN-Ressourcen im Cisco VPN
In unseren FAQs finden Sie eine Reihe an FAQ-Artikeln unter dem Stichwort eduVPN, welche die generelle Einrichtung und Benutzung des eduVPN-Clients erläutern.
Für allgemeine Fragen und Erfahrungsaustausch untereinander haben wir für Sie den dedizierten Matrix-Kanal #vpn-support:tu-dresden.de eingerichtet. Konkrete Service-Anfragen richten Sie jedoch bitte wie gehabt per Ticket an den Service Desk.
VPNs sind ein häufiges und besonders lohnenswertes Ziel von Angriffen.
Daher hat der CDIO Strategie-Rat auf Empfehlung der Informationssicherheit die flächendeckende Ausweitung von Zwei-Faktor-Authentifizierung (2FA) auf die VPN-Dienste beschlossen. Nach Abwägung verschiedener Optionen wurde sich für eine Migration auf eduVPN entschieden.
eduVPN ist ein Open Source Projekt der akademischen Community und wird gefördert durch das europäische Forschungsnetzwerk GÉANT. Zahlreiche andere Hochschulen und akademische Einrichtungen betreiben bereits erfolgreich ihr gesamtes VPN auf Basis von eduVPN.
eduVPN greift technisch auf die bewährten VPN-Implementierungen OpenVPN und/oder WireGuard zurück, indem es diese um ein benutzerfreundliches Schlüssel-/Zertifikatsmanagement ergänzt.
Eine Verbindung mit dem VPN vor der Windows-Anmeldung ist derzeit nicht möglich.
Wir arbeiten bereits an einer Lösung.
Bitte melden Sie sich, falls ihre Struktureinheit zwingend auf diese Funktion angewiesen ist, damit wir dies bei der Planung und Migration berücksichtigen können.
Eine Verwendung des eduVPN-Dienstes mit Standard-OpenVPN-Client-Programmen anstatt der dedizierten eduVPN-Clients ist zwar möglich (siehe hierzu FAQ), erfordert aktuell jedoch ein tägliches manuelles Herunterladen einer neuen VPN-Profil-Datei. Wir arbeiten an einer nativen Shibboleth-Authentifizierung, welche ebenfalls mit vielen OpenVPN-Standard-Clients (unter Windows beispielsweise OpenVPN GUI oder OpenVPN Connect) funktioniert, ohne täglich ein neues Profil herunterladen zu müssen.
Der eduVPN-Client bekommt automatisch die verfügbaren Protokolle mitgeteilt. Derzeit unterstützen wir jedoch serverseitig nur OpenVPN als Protokoll. Unterstützung von WireGuard ist jedoch geplant.