Sie sind hier: Produkte » Sonstige Dienste » BelWü-Roaming » Netzbetreiber

Informationen für Netzbetreiber

Grundvoraussetzungen

Alle Roamingpartner verpflichten sich in voller Gegenseitigkeit, den Nutzern den Netzzugang in den Partnernetzen möglichst einfach zu gestatten. Als grundlegende Technik wird VPN und nicht Web (zu unsicher) oder 802.1x (z. Zt. nicht ausreichend verbreitet) verwendet. Dabei erlaubt ein wesentlicher Anteil (idealerweise 100 %) der vom jeweiligen Rechenzentrum betriebenen Zugänge (Accesspoints bzw. öffentliche Netzwerkdosen) das Roaming. Alle Accesspoints, welche die den Nutzern auf unserer Übersicht mitgeteilte Roaming-SSID verwenden, müssen das Roaming ermöglichen.
Als Roaming-SSID wird "belwue" empfohlen, sofern noch keine entsprechende SSID in Gebrauch ist.
Für die Tunnelendpunktgeräte werden Adressen aus dem BelWü-CASG-Netz 193.197.62.0/24 empfohlen (CASG = Controlled Address Space for Gateways). Dies erlaubt potentiell das Roaming an DFN-Einrichtungen, die CASG unterstützen. Um den unkontrollierten Zugang zu den Netzen zu verhindern, sind alle Roaming Zugänge (WLAN und öffentliche Netzwerkdosen) innerhalb des BelWü nur über eine Authentisierung zugänglich. Mittels Zugriffsregeln (AccessControlLists, ACLs) wird eine Authentisierung beim Netzzugang erzwungen. Die Roamingpartner erweitern die eigenen ACLs entsprechend, so dass die Tunnelendpunkte (Authentifizierungsserver bzw. VPN-Server) aller Roamingpartner alternativ zugänglich sind. Ein Teilnehmer kann sich also auch in fremden Netzen direkt am Heimatserver mit seinem Heimataccount authentisieren. Wenn die Authentisierung über einen VPN-Server realisiert wird, so wird ein IP-Tunnel an die Heimateinrichtung ermöglicht. Es wird also insbesondere kein Account an der Gasthochschule benötigt. Eine Neukonfiguration des Gastrechners sollte - wo immer technisch möglich - nicht erforderlich sein. Werden in den WLAN-Netzen private IP-Adressen verwendet, so muss NAT für die Zieladressen der Roamingpartner eingerichtet werden. Ist dies aus bestimmten Gründen technisch nicht realisierbar, kann eine SSID "belwue" mittels VLAN auf einen offiziellen Adressbereich gemappt werden. Manche Roamingpartner begrenzen die Bandbreite pro Nutzer (über den VPN-Konzentrator), um eine Überlastung von WLAN-Accesspoints zu vermeiden.

Dokumentationen

Eine Übersicht aller Roamingpartner ist hier für die Nutzer verfügbar. Hier werden die WLAN-SSIDs sowie eventuelle Besonderheiten für den Netzzugang aufgelistet.
Zudem wird ein Link auf die Beschreibungen der Gastzugänge der Roamingpartner bereitgestellt, aus denen insbesondere die Standorte hervorgehen. Der Dokumentationsteil für die Netzbetreiber listet auf unserer Admin-Seite alle Besonderheiten auf (IP-Adressen, etc.), die notwendig sind, um das gegenseitige Roaming netztechnisch zu ermöglichen. Die technischen Ansprechpartner sollten vermerkt werden.
Die Tunnelendpunkte sind in einer einfacheren Übersicht zusammengefasst (incl. des DFN-CASG).
Die technischen Ansprechpartner werden in die Mailliste ag-access@belwue.de aufgenommen. Über diese Mailliste werden neue Roamingpartner bekannt gegeben.
Die Aufnahme von neuen Roamingpartner in die Dokumenation auf www.belwue.de erfolgt per E-Mail an webmaster@belwue.de. Hierfür muss die Beschreibung der Gastzugänge existieren, außerdem müssen die oben unter Grundvoraussetzungen beschriebenen Punkte erfüllt sein.

Adressen der Tunnelendpunkte und Ansprechpartner von vollständigen Roamingteilnehmern

Um am Roaming teilnehmen zu können, müssen die Tunnelendpunkte aller BelWü-Roamingpartner in den jeweiligen ACLs gemäß der folgenden Tabelle freigeschaltet werden.

Einrichtung IP Adresse Typ Ansprechpartner Anmerkung
Uni Freiburg 193.197.62.221/32 Cisco VPN Server Alexander Schmidt, Lars Rösch private IP Adressen / NAT
Uni Heidelberg 129.206.100.80/30 Cisco VPN Server team-zugang (at) urz.uni-heidelberg.de  
Uni Hohenheim 144.41.19.22/32
144.41.19.23/32
144.41.19.24/32 144.41.19.8/32

144.41.19.9/32

144.41.19.10/32  
Cisco VPN Server Joseph Michl private IP Adressen / NAT; Bandbreitenbegrenzung auf 500 KBit/s
Uni Karlsruhe 193.197.62.0/27 Cisco VPN Server Willi Fries  
Uni Konstanz 134.34.3.8/30
134.34.3.12/31
Cisco VPN Server vpn@uni-konstanz.de private IP Adressen / NAT
Uni Mannheim 134.155.8.0/30 Cisco VPN Server Joachim Nerz, Gerd Rohde Bandbreitenbegrenzung auf 768/128 KBit/s
Uni Stuttgart   129.69.90.128/26   ASAOpenVPN Server wlan-support@rus.uni-stuttgart.de       tcp und udp Ports: 1194 und 1195
Uni Tübingen 193.197.62.64/30 Cisco VPN Server Rudi Seiz, Marko Nill private IP Adressen / NAT
Uni Ulm 193.197.62.56/29
Cisco VPN Server
Cisco WebVPN Server
Karl Gaissmaier  
Hochschule Esslingen 193.197.62.100/32
193.197.62.101/32
  Open VPN Server Silvio Oehme private IP Adressen / NAT (Doku)
HS Heilbronn 141.7.75.248/30 Cisco VPN Server Jörg Storch, Stephan Bergfeld  
HS Heilbronn / Reinhold-Würth-Hochschule Künzelsau 141.7.75.248/30 Cisco VPN Server Jörg Storch, Stephan Bergfeld
FH Nürtingen-Geislingen, Standort Geislingen 193.196.135.199/32 Cisco VPN Server Markus Opferkuch, Wolfgang Lang private IP Adressen / NAT
DHBW Lörrach  
129.143.29.10/32
129.143.29.22/32
 
OpenVPN Peter Schwindt Bandbreitenbegrenzung auf 756 KBit/s
PH Freiburg 193.197.136.41/32   193.197.62.153/32 Cisco VPN Server   ASA   Elmar Graf private IP Adressen / NAT
DHBW Stuttgart193.197.62.35/32OpenVPNBernd Zillerprivate IP Adressen / NAT
DHBW Stuttgart Campus Horb193.197.62.178/32ASAUlrich Schneiderprivate IP Adressen / NAT
HFT Stuttgart193.197.62.98/32CISCO VPN ConcentratorAndreas Rüdigerkein Broadcast der SSID belwue
PH Ludwigsburg193.197.62.158/32ASA auch per webVPN erreichbarReinhold Nisikein Broadcast der SSID
Hochschule Biberach193.197.62.94/32Cisco VPN ServerHuber/Fordererprivate IP-Adressen / NAT
Duale Hochschule BW Villingen-Schwenningen193.197.62.148/32Checkpoint VPNThomas Speckprivate IP-Adressen / NAT
Hochschule Reutlingen193.197.62.162/32Cisco VPN ServerMichael Thalmann
Duale Hochschule BW Heidenheim193.197.62.150/32Cisco ASABoris Bahrs


Um die Accessliste der Tunnelendpunkte klein zu halten (und damit den Updateaufwand zu minimieren), wird empfohlen, die Tunnelendpunktgeräte (z. B. VPN-Server) in das CASG-Netz 193.197.62.0/24 zu legen. Daher muss neben den obigen Adressen, die sich nicht in 193.197.62.0/24 befinden, das Netz 193.197.62.0/24 in den jeweiligen ACLs freigeschaltet werden.
Adressen aus 193.197.62.0/24 für Tunnelendpunktgeräte sind über die BelWü-Koordination (ip (at) belwue.de) zu beziehen.

Adressen von Tunnelendpunkten außerhalb BelWü

Den Roamingteilnehmern wird empfohlen, auch Tunnelendpunkte außerhalb BelWü gemäß der folgenden Tabelle freizuschalten.

Netz bzw. Dienst Adressen Teilnehmer
DFNRoaming CASG-Netz 193.174.167.0/24 gemäß der DFN-Roaming-FAQ Hier kann man nach DFN CASG-Teilnehmern suchen
SWITCHmobile verschiedene einzelne Adressen gemäß http://www.switch.ch/cgi-bin/mobile/acl SWITCHmobile Teilnehmer

 

Adressen der Tunnelendpunkte und Ansprechpartner von potentiellen oder unvollständigen Roamingteilnehmern

Folgende BelWü-Einrichtungen betreiben zwar einen Tunnelendpunkt, können aber andere Einrichtungen nicht oder nur in einem Teil ihres WLAN-Abdeckungsbereiches freischalten. Allen Roamingpartnern ist selbstverständlich freigestellt, diese Einrichtungen, auch ohne entsprechende Gegenleistung, in den eigenen ACLs freizuschalten. Derzeit keine Einträge