
SSID: eduroam
Dieses Funknetz ermöglicht den sicheren Zugang zu Diensten für Studierende, MitarbeiterInnen und Gäste. Die Anmeldung mit einem gültigen Benutzernamen und Passwort erfolgt über eine verschlüsselte Verbindung bereits direkt am Zugriffsknoten (Access Point) bevor der Zugang zum Netzwerk erlaubt wird. Diese Technik beruht auf dem Standard IEEE 802.1x.Die Anmeldeinformationen und der Austausch von kryptografischen Schlüsselinformationen erfolgt über das Protokoll EAP in verschiedenen Varianten. Dazu ist auf dem Endgerät immer etwas Software (ein sogenannter Supplicant) nötig, der dieses Protokoll in genau dieser Variante mit dem Zugriffsknoten (Access Point) spricht.
Aus technischen Gründen kommt für Angehörige der TUHH die Variante EAP-TTLS zum Einsatz. Viele Betriebssysteme unterstützen diese Variante, ohne dass die Installation zusätzlicher Software nötig wäre.
Gäste können im Rahmen des eduroam Projektes denselben Supplicant verwenden wie in ihrer Heimat-Einrichtung. Sie landen nach dem Verbinden im Gast- / Veranstaltungsnetz.
siehe https://monitor.eduroam.org/map_service_loc.php
Verbindung herstellen
Für alle Betriebssysteme sind einige Konfigurationsarbeiten nötig, bevor eine Verbindung mit diesem Funknetz hergestellt werden kann.
Wenn der Supplicant richtig konfiguriert wurde, wählen Sie das Funknetz eduroam aus der Liste der
verfügbaren Funknetze aus.
Sobald ihre Anmeldedaten überprüft worden sind, erhält ihr Endgerät automatisch eine IP-Adresse und Sie können ab dann
das Netzwerk verwenden.
Hinweise
SHA1 Fingerprint: 59:0D:2D:7D:88:4F:40:2E:61:7E:A5:62:32:17:65:CF:17:D8:94:E9
SHA256 Fingerprint: 91:E2:F5:78:8D:58:10:EB:A7:BA:58:73:7D:E1:54:8A:8E:CA:CD:01:45:98:BC:0B:14:3E:04:1B:17:05:25:52
Hier finden Sie weitere Informationen zum Wurzelzertifikat
Wenn Sie beim Verbingsaufbau aufgefordert werden den Fingerprint des Servers zu überprüfen, dem die Ihren Benutzernamen und Passwort geben, gleichen Sie diesen bitte mit denen der hier aufgeführten TUHH Server ab:
MD5 Fingerprint=E7:EE:9C:A3:A5:D7:76:9C:2C:B3:74:D9:2B:D3:7C:87
SHA1 Fingerprint=E4:51:C7:FB:8A:2D:46:F3:E6:F9:C3:70:A1:E2:5E:93:29:03:DB:DC
SHA224 Fingerprint=57:C3:73:8E:78:CF:E6:45:5D:D0:DD:34:59:C8:1B:03:FA:BF:5B:72:10:80:52:4E:41:EA:24:05
SHA256 Fingerprint=8E:63:40:50:74:79:42:25:ED:ED:65:8B:57:D1:04:13:A2:A9:A8:C2:1F:38:7E:D6:B7:A1:2E:1B:54:0A:8C:A7
SHA384 Fingerprint=91:47:50:A7:64:73:5F:5D:C1:DF:D0:8D:E6:0B:45:8C:76:BE:85:A4:77:B2:04:67:D7:D0:1B:55:68:8B:47:4C:27:D8:6A:6E:50:3D:23:A9:5A:BB:61:96:7B:4D:84:49
SHA512 Fingerprint=27:37:AC:55:0B:08:A0:D3:92:46:3B:16:A4:B6:5C:21:7C:AC:73:E8:57:44:D2:36:4A:DD:1D:42:00:18:08:D4:78:3C:E5:A2:A8:06:0D:3B:4F:42:37:91:B5:47:45:84:07:A1:8F:55:95:33:5C:DC:58:ED:87:4C:EA:EC:AC:B3
Das RZ empfiehlt dem eduroam-Netz nicht zu vertrauen und eine lokale Firewall zu verwenden. Dies ist den mehreren Hundert verschiedensten WLAN-Geräten geschuldet, die sich mit dem Netzwerk verbinden. Unter Windows-Geräten sollte daher für die eduroam-SSID der Typ "Öffentliches Netzwerk" ausgewählt sein. Wir empfehlen den Einsatz der Windows-Firewall, da diese im Zusammenspiel mit z.B. dem VPN-Client keine Probleme bereitet.
Windows 10:
Windows 7:
Einschränkungen
Hochschulangehörige befinden sich nach der Anmeldung im TUHH Intranet. Aus Gründen der Sicherheit gibt es beim Zugriff auf Dienste folgende Einschränkungen:- Der Zugriff auf das Internet mit einem Webbrowser über http (TCP Port 80), http (TCP Port 8080), http (TCP Port 8090) und https (TCP Port 443) ist möglich.
- Der Zugriff auf den Mail-Server der TUHH ist für das Versenden und Abrufen von Emails möglich.
- Der Zugriff auf den File-Server der TUHH ist möglich, damit z.B. das eigene Heimlaufwerk angesprochen werden kann.
- Der Zugriff auf fremde Mail-Server zum Abrufen von Email über imap(s) (TCP Ports 143, 993), pop3(s) (TCP Port 110, 995)
- Der Zugriff auf fremde Mail-Server zum Senden von Email über eine authentifizierte Verbindung mit SMTP over SSL (TCP port 465) oder Submission (TCP port 587)
- Der Zugriff für Secure Shell (ssh TCP Port 22) und Remote Desktop (RDP TCP Port 3389) ist frei geschaltet.
- News-Server news.cis.dfn.de
- Der Zugriff für den VPN Service der TUHH ist ebenfalls frei geschaltet.
- Der Zugriff auf den Druck Service im Rechenzentrum über lpd (tcp port 515) ist möglich.
- Die Bibliotheksrecherche ist via Z39.50 (TCP Port 210) erlaubt.
- Zugriff für Jabber/XMPP (TCP Port 5222, 5280)
- Zugriff für Apple Push Notification Service (TCP Port 5223)
- Zugriff für Android Market/Google Talk (TCP Port 5228)
- Zugriff für STAR-CCM+ (Strömungssimulation) Lizenzserver Power-On-Demand (TCP Port 1999/2099)
- Zugriff auf OpenVPN-Server im TUHH-Netz (TCP/UDP Port 1194) und weltweit (nur TCP Port 1194)
- Zugriff auf fremde VPN-Dienste auf Basis von IPsec (IKE UDP/TCP Port 500, ESP, NAT-T UDP Port 4500)
- Zugriff auf PGP-Keyserver mittels HKP (TCP Port 11371)
- Networked Transport of RTCM via Internet Protokol (Ntrip) über TCP Port 2101
- Signal Messenger über TCP Port 4433
- Whatsapp und Threema Voice/Video-Calls (TCP Port 4244, 5242 und UDP Port 3478 (STUN), 45395 (RTP)), keine Garantie zur Sprachqualität
- Message Queue Telemetry Transport (MQTT) unverschlüsselt (TCP Port 1883) und verschlüsselt mit SSL/TLS (TCP Port 8883)
- Advanced Message Queuing Protocol (AMQP) (TCP Port 5672)
- Audio Dienste zum DFN Konferenzsystem (TCP und UDP Ports 40000-49999 (RTP))
- Alle anderen Dienste sind gesperrt.
Gäste, die sich im Zuge von DFNRoaming oder eduroam anmelden, bekommen Zugang zum Veranstaltungsnetz.
Details für die Konfiguration des Supplicant
Für alle Betriebssysteme, insbesondere auch für Smartphones, bei denen wir keine Anleitung bereitstellen, können Sie selbst versuchen eine Verbindung herzustellen. Falls es gelingt melden Sie sich bei uns, damit wir eine entsprechende Dokumentation bereitstellen können.- Netzwerkname: eduroam
- Netzwerkauthentifizierung: WPA2
- Datenverschlüsselung: AES
- Netzwerktyp: Infrastruktur
- Authentifizierung: EAP-TTLS (EAP mit getunneltem TLS)
- CA-Zertifikat: Wurzelzertifikat T-TeleSec GlobalRoot Class 2
- Server-Zertifikat ausgestellt für radius-wlan.rz.tuhh.de
d.h. die Radius-Server des RZ präsentieren ein Zertifikat der TUHH CA mit diesem CN. - Äussere Identität: anonymous@tuhh.de, damit wird festgelegt, dass die TU Hamburg für die Authentifizierung zuständig ist (sogenannter Realm)
- Innere Identität: Benutzername und Passwort via PAP übermitteln, d.h. als Benutzernamen/Passwort geben Sie Ihren RZ Accountnamen und Ihr Kerbereos-Passwort ein
- Vergabe der IP-Adressen: automatisch/dynamisch/DHCP
Allgemeine Informationen zur Fehlersuche
- Nach der Verbindung erhalten Sie eine dynamisch zugewiesene IP-Adresse (via DHCP) aus einem der Adressbereiche:
- Netzblock 134.28.176.0/20 d.h. die Adressen beginnen mit 134.28.176.X ... 134.28.191.X. Die Netzwerkmaske ist 255.255.240.0 und das Standardgateway ist 134.28.176.1.
- Netzblock 134.28.160.0/21 d.h. die Adressen beginnen mit 134.28.160.X ... 134.28.167.X. Die Netzwerkmaske ist 255.255.248.0 und das Standardgateway ist 134.28.160.1.
- Das Standardgateway sollte sich per ping 134.28.176.1 bzw. ping 134.28.160.1 erreichen lassen.
- Die Namensauflösung (DNS) sollte funktionieren. Im Browser-Fenster sollte sich
https://www.tuhh.de immer öffnen lassen.
Die TUHH vergibt automatisch die DNS Server 134.28.202.14 und 134.28.205.14.
Fragen/Support
Bitte stellen Sie sicher, dass sich Ihr Gerät auf dem neuesten Stand befindet, Sie nicht mehr als ein Antiviren Programm verwenden und keine "Unblocker" installiert sind.
(Unblocker sind Programme, die Inhalte freischalten, die in einem Land gesperrt sind, aber in anderen nicht.)
Bei Fragen oder Problemen schauen Sie bitte zuerst auf unsere
Hilfeseiten. (Hier klicken für VPN Hilfe)
Für Fragen, Anregungen, Erfahrungsberichte oder mit
weitergehenden Problemen wenden Sie sich bitte an unser User Service Center (Helpdesk).
Wir antworten zeitnah auf E-Mails an servicedesk@tuhh.de.
Die WLAN-Beratung findet bei Sergej Keller oder Niklas Krüger auf Nachfrage online statt. Wir antworten auf E-Mails an servicedesk@tuhh.de.