SSID: eduroam

Dieses Funknetz ermöglicht den sicheren Zugang zu Diensten für Studierende, MitarbeiterInnen und Gäste. Die Anmeldung mit einem gültigen Benutzernamen und Passwort erfolgt über eine verschlüsselte Verbindung bereits direkt am Zugriffsknoten (Access Point) bevor der Zugang zum Netzwerk erlaubt wird. Diese Technik beruht auf dem Standard IEEE 802.1x.

Die Anmeldeinformationen und der Austausch von kryptografischen Schlüsselinformationen erfolgt über das Protokoll EAP in verschiedenen Varianten. Dazu ist auf dem Endgerät immer etwas Software (ein sogenannter Supplicant) nötig, der dieses Protokoll in genau dieser Variante mit dem Zugriffsknoten (Access Point) spricht.

Aus technischen Gründen kommt für Angehörige der TUHH die Variante EAP-TTLS zum Einsatz. Viele Betriebssysteme unterstützen diese Variante, ohne dass die Installation zusätzlicher Software nötig wäre.

Gäste können im Rahmen des eduroam Projektes denselben Supplicant verwenden wie in ihrer Heimat-Einrichtung. Sie landen nach dem Verbinden im Gast- / Veranstaltungsnetz.

siehe https://monitor.eduroam.org/map_service_loc.php

Verbindung herstellen

Für alle Betriebssysteme sind einige Konfigurationsarbeiten nötig, bevor eine Verbindung mit diesem Funknetz hergestellt werden kann.

Folgen Sie diesem Link und öffnen Sie die jeweilige Anleitung für Ihr Gerät, um das eduroam Netzwerk auf Ihrem Endgerät einzurichten.

Wenn der Supplicant richtig konfiguriert wurde, wählen Sie das Funknetz eduroam aus der Liste der verfügbaren Funknetze aus.
Sobald ihre Anmeldedaten überprüft worden sind, erhält ihr Endgerät automatisch eine IP-Adresse und Sie können ab dann das Netzwerk verwenden.

Sollten Sie nach dem Fingerprint des T-TeleSec GlobalRoot Class 2 Wurzelzertifikats gefragt werden, so prüfen Sie diesen bitte gegen:
SHA1 Fingerprint: 59:0D:2D:7D:88:4F:40:2E:61:7E:A5:62:32:17:65:CF:17:D8:94:E9
SHA256 Fingerprint: 91:E2:F5:78:8D:58:10:EB:A7:BA:58:73:7D:E1:54:8A:8E:CA:CD:01:45:98:BC:0B:14:3E:04:1B:17:05:25:52
Hier finden Sie weitere Informationen zum Wurzelzertifikat

Wenn Sie beim Verbingsaufbau aufgefordert werden den Fingerprint des Servers zu überprüfen, dem die Ihren Benutzernamen und Passwort geben, gleichen Sie diesen bitte mit denen der hier aufgeführten TUHH Server ab!
Äußere Identität anonymous@tu-harburg.de auf Radius 1:


      MD5 Fingerprint=B6:72:AF:13:AC:DD:11:E5:01:F1:19:7E:EC:91:EA:F9

      SHA Fingerprint=5E:A4:73:EF:5B:7A:13:CD:C9:14:A4:04:7C:4A:67:5E:A4:61:C5:E4

      SHA1 Fingerprint=7B:ED:B2:B7:61:F0:45:E3:61:8D:45:35:F1:ED:B7:F3:66:8A:C8:F9

      SHA224 Fingerprint=91:CE:32:2E:A0:60:6B:DC:84:CB:D7:56:F6:B0:E7:71:00:5C:F4:27:BB:11:AA:AD:0B:AC:35:30

      SHA256 Fingerprint=2B:83:F0:5F:55:EC:9A:1B:C4:66:AD:9D:B4:D4:74:E1:76:68:23:0E:25:FC:1C:A5:5A:9B:48:46:87:4B:4E:73

      SHA384 Fingerprint=F1:66:8B:E2:47:20:92:F2:0D:2F:DE:AE:2E:5D:75:B1:E4:2F:F4:A1:51:0B:69:47:FD:6D:2B:28:A0:C8:00:1D:1E:28:6C:08:42:9C:5D:8F:3B:15:85:08:46:B6:DF:1D

      SHA512 Fingerprint=10:D6:1A:8A:B2:D1:0D:A0:AA:91:E4:B3:8F:4B:99:7B:73:DA:AC:AB:EE:39:46:04:A5:BC:07:BF:60:E0:F8:6F:6F:F7:EF:1F:DE:64:73:1A:0F:99:57:5F:E4:2A:DC:8A:E6:B4:8A:E8:B8:DD:30:7B:14:F3:3E:D5:F7:83:84:23

Äußere Identität anonymous@tu-harburg.de auf Radius 2:


      SHA Fingerprint=9F:CC:38:1D:AB:70:26:84:3B:61:12:E8:77:EF:7C:4C:09:5D:DC:6E

      SHA1 Fingerprint=36:4F:D3:DC:E1:A2:04:9F:12:82:DF:7E:6B:56:F0:A9:FA:81:52:2D

      SHA224 Fingerprint=76:73:F3:FE:C4:90:D2:90:4C:6F:37:1D:10:42:2B:A2:75:F9:DF:25:16:D4:DE:82:C7:19:87:B2

      SHA256 Fingerprint=6C:18:5E:D0:74:A6:B4:67:C4:77:71:51:EF:79:E2:CD:A3:4B:E1:D8:C7:CB:CA:5F:98:80:0F:71:30:AA:3E:F1

      SHA384 Fingerprint=70:D8:F2:53:EA:C7:0D:A3:6F:58:33:F6:E5:4A:CF:2B:3B:C0:7A:53:56:CB:A5:C7:0A:B3:D4:67:C4:5E:06:56:E0:A2:AC:A0:AC:09:DC:D1:C0:BB:FD:BB:8B:D3:30:C3

      SHA512 Fingerprint=15:26:49:7C:5A:58:A4:63:66:B6:C4:E9:BF:C7:21:2B:11:14:17:05:17:42:7F:3F:65:C5:83:A6:57:C3:E9:33:90:97:A1:D9:FC:08:81:87:01:82:81:09:C3:9F:A1:28:14:E0:2B:6C:7B:D6:FF:12:24:7B:7E:C9:99:F8:1B:2E

Äußere Identität anonymous@tuhh.de auf allen Radius Servern:


      MD5 Fingerprint=E7:EE:9C:A3:A5:D7:76:9C:2C:B3:74:D9:2B:D3:7C:87

      SHA1 Fingerprint=E4:51:C7:FB:8A:2D:46:F3:E6:F9:C3:70:A1:E2:5E:93:29:03:DB:DC

      SHA224 Fingerprint=57:C3:73:8E:78:CF:E6:45:5D:D0:DD:34:59:C8:1B:03:FA:BF:5B:72:10:80:52:4E:41:EA:24:05

      SHA256 Fingerprint=8E:63:40:50:74:79:42:25:ED:ED:65:8B:57:D1:04:13:A2:A9:A8:C2:1F:38:7E:D6:B7:A1:2E:1B:54:0A:8C:A7

      SHA384 Fingerprint=91:47:50:A7:64:73:5F:5D:C1:DF:D0:8D:E6:0B:45:8C:76:BE:85:A4:77:B2:04:67:D7:D0:1B:55:68:8B:47:4C:27:D8:6A:6E:50:3D:23:A9:5A:BB:61:96:7B:4D:84:49

      SHA512 Fingerprint=27:37:AC:55:0B:08:A0:D3:92:46:3B:16:A4:B6:5C:21:7C:AC:73:E8:57:44:D2:36:4A:DD:1D:42:00:18:08:D4:78:3C:E5:A2:A8:06:0D:3B:4F:42:37:91:B5:47:45:84:07:A1:8F:55:95:33:5C:DC:58:ED:87:4C:EA:EC:AC:B3

Das RZ empfiehlt dem eduroam-Netz nicht zu vertrauen und eine lokale Firewall zu verwenden. Dies ist den mehreren Hundert verschiedensten WLAN-Geräten geschuldet, die sich mit dem Netzwerk verbinden. Unter Windows-Geräten sollte daher für die eduroam-SSID der Typ "Öffentliches Netzwerk" ausgewählt sein. Wir empfehlen den Einsatz der Windows-Firewall, da diese im Zusammenspiel mit z.B. dem VPN-Client keine Probleme bereitet.

Windows 7:

Windows 10:

Einschränkungen

Hochschulangehörige befinden sich nach der Anmeldung im TUHH Intranet. Aus Gründen der Sicherheit gibt es beim Zugriff auf Dienste folgende Einschränkungen:

Der Zugriff auf das Internet mit einem Webbrowser über http (TCP Port 80), http (TCP Port 8080) und https (TCP Port 443) ist möglich.
Der Zugriff auf den Mail-Server der TUHH ist für das Versenden und Abrufen von Emails möglich.
Der Zugriff auf den File-Server der TUHH ist möglich, damit z.B. das eigene Heimlaufwerk angesprochen werden kann.
Der Zugriff auf fremde Mail-Server zum Abrufen von Email über imap(s) (TCP Ports 143, 993), pop3(s) (TCP Port 110, 995)
Der Zugriff auf fremde Mail-Server zum Senden von Email über eine authentifizierte Verbindung mit SMTP over SSL (TCP port 465) oder Submission (TCP port 587)
Der Zugriff für Secure Shell (ssh TCP Port 22) und Remote Desktop (RDP TCP Port 3389) ist frei geschaltet.
News-Server news.cis.dfn.de
Der Zugriff für den VPN Service der TUHH ist ebenfalls frei geschaltet.
Der Zugriff auf den Druck Service im Rechenzentrum über lpd (tcp port 515) ist möglich.
Die Bibliotheksrecherche ist via Z39.50 (TCP Port 210) erlaubt.
Zugriff für Jabber/XMPP (TCP Port 5222, 5280)
Zugriff für Apple Push Notification Service (TCP Port 5223)
Zugriff für Android Market/Google Talk (TCP Port 5228)
Zugriff für STAR-CCM+ (Strömungssimulation) Lizenzserver Power-On-Demand (TCP Port 1999/2099)
Zugriff auf OpenVPN-Server im TUHH-Netz (TCP/UDP Port 1194) und weltweit (nur TCP Port 1194)
Zugriff auf fremde VPN-Dienste auf Basis von IPsec (IKE UDP/TCP Port 500, ESP, NAT-T UDP Port 4500)
Zugriff auf PGP-Keyserver mittels HKP (TCP Port 11371)
Networked Transport of RTCM via Internet Protokol (Ntrip) über TCP Port 2101
Signal Messenger über TCP Port 4433
Whatsapp und Threema Voice/Video-Calls (TCP Port 4244, 5242 und UDP Port 3478 (STUN), 45395 (RTP)), keine Garantie zur Sprachqualität
Message Queue Telemetry Transport (MQTT) unverschlüsselt (TCP Port 1883) und verschlüsselt mit SSL/TLS (TCP Port 8883)
Advanced Message Queuing Protocol (AMQP) (TCP Port 5672)
Audio Dienste zum DFN Konferenzsystem (TCP und UDP Ports 40000-49999 (RTP))
Alle anderen Dienste sind gesperrt.

Sofern MitarbeiterInnen unbeschränkten Zugriff auf das Internet benötigen, weichen Sie bitte auf das Funknetz VPN/WEB aus und nutzen Sie unseren VPN-Dienst oder starten Sie den AnyConnect direkt im eduroam.

Gäste, die sich im Zuge von DFNRoaming oder eduroam anmelden, bekommen Zugang zum Veranstaltungsnetz.

Details für die Konfiguration des Supplicant

Für alle Betriebssysteme, insbesondere auch für Smartphones, bei denen wir keine Anleitung bereitstellen, können Sie selbst versuchen eine Verbindung herzustellen. Falls es gelingt melden Sie sich bei uns, damit wir eine entsprechende Dokumentation bereitstellen können.

Netzwerkname: eduroam
Netzwerkauthentifizierung: WPA2
Datenverschlüsselung: AES
Netzwerktyp: Infrastruktur
Authentifizierung: EAP-TTLS (EAP mit getunneltem TLS)
CA-Zertifikat: Wurzelzertifikat T-TeleSec GlobalRoot Class 2
Server-Zertifikat ausgestellt für radius-wlan.rz.tuhh.de
d.h. die Radius-Server des RZ präsentieren ein Zertifikat der TUHH CA mit diesem CN.
Äussere Identität: anonymous@tuhh.de, damit wird festgelegt, dass die TU Hamburg für die Authentifizierung zuständig ist (sogenannter Realm)
Innere Identität: Benutzername und Passwort via PAP übermitteln, d.h. als Benutzernamen/Passwort geben Sie Ihren RZ Accountnamen und Ihr Kerbereos-Passwort ein
Vergabe der IP-Adressen: automatisch/dynamisch/DHCP

Allgemeine Informationen zur Fehlersuche

Nach der Verbindung erhalten Sie eine dynamisch zugewiesene IP-Adresse (via DHCP) aus dem Netzblock 134.28.176.0/20 d.h. die Adressen beginnen mit 134.28.176.X ... 134.28.191.X. Die Netzwerkmaske ist 255.255.240.0.
Das Standardgateway ist 134.28.176.1 und sollte per ping 134.28.176.1 erreichbar sein.
Die Namensauflösung (DNS) sollte funktionieren. Im Browser-Fenster sollte sich https://www.tuhh.de immer öffnen lassen.
Die TUHH vergibt automatisch die DNS Server 134.28.202.14 und 134.28.205.14.

Fragen/Support

Bitte stellen Sie sicher, dass sich Ihr Gerät auf dem neuesten Stand befindet, Sie nicht mehr als ein Antiviren Programm verwenden und keine "Unblocker" installiert sind.
(Unblocker sind Programme, die Inhalte freischalten, die in einem Land gesperrt sind, aber in anderen nicht.)

Bei Fragen oder Problemen schauen Sie bitte zuerst auf unsere Hilfeseiten. (Hier klicken für VPN Hilfe)
Für Fragen, Anregungen, Erfahrungsberichte oder mit weitergehenden Problemen wenden Sie sich bitte an unser User Service Center (Helpdesk).

Die WLAN-Beratung findet statt bei Niklas Krüger und Lukas Borutta in E2.047 (SBC 3) immer

Montags 11:30 - 13:30 Uhr
Mittwochs 11:30 - 14:00 Uhr
Freitags 11:30 - 13:00 Uhr