Wie Sie VPN einrichten, erfahren Sie in dieser Videoanleitung.

Des Weiteren haben wir auch eine Schritt für Schritt Anleitung erstellt:

Um ein VPN erstmalig einzurichten, drücken Sie die Windows-Taste auf Ihrer Tastatur - das Windows Startmenü wird angezeigt.

Tippen Sie dann (ohne irgendwo zu klicken) VPN.

Klicken Sie auf Virtuelle private Netzwerke (VPNs) ändern:

Das Fenster Netzwerk und Internet erscheint. Wählen Sie VPN-Verbindung hinzufügen.

Im nächsten Fenster sind die folgenden Eintragungen zu machen bzw. auszuwählen:

VPN-Anbieter: Windows (integriert)

Verbindungsname: beliebig, z.B. VPN Uni Mainz

Servername: vpn.uni-mainz.de

VPN-Typ: Automatisch

Anmeldeinformationstyp: Benutzername und Kennwort

Benutzername: Ihr Benutzername ( JGU-Account) gefolgt von @uni-mainz.de:
testerin@uni-mainz.de  (Achtung: Das ist nicht in jedem Fall die E-Mail-Adresse!)

Passwort: Ihr Passwort zum JGU-Account.

Wenn Sie bei Benutzername und Kennwort nichts eintragen, werden Sie beim Herstellen der Verbindung danach gefragt. Falls Sie Ihre Anmeldedaten speichern möchten, setzen Sie das entsprechende Häkchen. Klicken Sie abschließend auf Speichern. Damit ist die Verbindung dauerhaft eingerichtet, aber noch nicht aktiv. Um sie zu aktivieren, klicken Sie im noch geöffneten Fenster auf Verbinden.

Beim ersten Verbindungsaufbau sehen Sie die Meldung "Der Server kann nicht überprüft werden, da hierzu nicht ausreichend Informationen vorliegen. ..."

Nach einem Klick auf Serverdetails anzeigen wird der "Fingerabdruck" des VPN-Servers angezeigt:

Sie sollten prüfen, ob die Ihnen angezeigte Zeichenfolge für den Fingerabdruck des Servers wirklich mit der folgenden identisch ist:

4e 52 f5 fb 06 52 06 11 59 be c8 2a a4 c6 ca f8 1c ee 31 59 

Klicken Sie dann auf Verbinden, um die Verbindung zu aktivieren.

Um die VPN-Verbindung später wieder zu trennen, klicken Sie in der Taskleiste ganz rechts unten auf das Symbol Ihrer Netzwerkverbindung. In der Liste der verfügbaren Netzwerkverbindungen, die dann angezeigt wird, wählen Sie die VPN-Verbindung aus und klicken auf Trennen. Ganz analog stellen Sie die Verbindung beim nächsten Mal über Verbinden wieder her.

IP-Nummer, Domain Name und verwandte Begriffe

Um mit Ihrem Rechner am Internet zu arbeiten, benötigt er eine eigene Anschlussnummer und Namen. Sie können dies bequem per IP-Antrag von Ihrem Arbeitsplatz aus einrichten.

Wenn Sie über unsere Zugangsserver arbeiten, erhält Ihr Gerät automatisch eine IP-Adresse und Sie müssen somit den IP-Antrag auch nicht ausfüllen.

Mit dem IP-Antrag bestellen Sie eine dauerhafte IP-Adresse zu einem IP-Namen und die automatische Bereitstellung der IP-Betriebsparameter in unseren DHCP-Servern. Ihr Gerät muss sich am Netz anmelden. Es nennt dabei seine physikalische Adresse und erhält automatisch die IP-Parameter.

Zukünftig werden die Anschüsse am Netz die Einhaltung der registrierten Zuordnung von physikalischer Adresse und IP-Adresse prüfen und durchsetzen. Fremde DHCP-Server und einige missbräuchliche Nutzungsversuche werden damit unterbunden. In einigen Gebäuden ist dies bereits aktiviert.

Folgende Netzwerkparameter benötigen Sie ebenfalls (als Beispiel dient der (fiktive) Rechner namens meinpc in der Chemie.

Ist Ihnen ein Begriff unklar, klicken Sie auf den Link, dort gibt es eine sehr kurze Beschreibung.

Completion Domain

Mit dieser Zeichenfolge werden Namen erweitert. Baut man z.B. eine Verbindung nach "marie" auf und ist selbst in der Domain "rewi", so sucht er zuerst nach einem Rechner marie.rewi.uni-mainz.de. Hat man als Completion Domain jedoch zusätzlich "zdv.uni-mainz.de" eingetragen, dann wird der Rechner als nächstes eine Verbindung nach "marie.zdv.uni-mainz.de" öffnen wollen.

IP-Adresse

Jeder teilnehmende Gerätanschluss am Netzwerk braucht solch eine eigene Nummer. Sie wird für die Uni-Mainz.de vom ZDV vergeben und besteht aus 4 Zahlen, getrennt von 3 Punkten. Jede Zahl kann Werte von 0-255 annehmen, wobei 0 und 255 zum Broadcast verwendet werden.

Subnet-Mask

Sagt, in welche "Tortenstücke" die Adressen eingeteilt sind. Aufgrund dieser Einteilung werden die Daten über die Router verteilt. An der Uni-Mainz ist das im Normalfall ein Tortenstück, in dem 510 Rechner Platz haben.

Broadcast

Die Adresse, an die sich ein Rechner wendet, wenn er alle Rechner im gleichen Subnetz ansprechen will. Ein Broadcast an alle wäre die Adresse 255.255.255.255.

Netzwerk (Netz)

Das in Subnet-Mask angesprochene Tortenstück, jetzt aber ein konkretes Stück und nicht die Größe des Stückes.

Nameserver

Ein Internet-Telefonbuchdienst, den jeder Rechner ständig benutzt, um Verbindungen aufzubauen. Dazu benötigt jeder Rechner die IP-Adresse. Vom Benutzer wird ihm (über WWW-Adressen oder Mail-Adressen) jeweils nur der Name des Zielrechners genannt. Der Nameserver antwortet darauf mit der IP-Adresse des Zielrechners und der Verbindungsaufbau (das Holen der WWW-Seite, das Abschicken der Mail) kann weitergehen.

Gateway (Router)

Ein Router ist ein Vermittlungsrechner, der intelligent den Weg für die Netzwerkdatenpakete auswählt. Ein Gateway ist streng genommen etwas anderes als ein Router, aber im Zusammenhang mit TCP/IP sind beide Begriffe synonym.

Will man mit seinem Rechner Verbindungen in die weite Welt hinaus aufbauen, und nicht nur in seinem eigenen Netz ("Tortenstück") bleiben, dann muss man dem eigenen Rechner dieses Gateway (Router) bekannt machen.

Gemeinhin ist das die höchste Adresse im Tortenstück, also für das Netz 134.93.178.0 die Adresse 134.93.179.254 (denn 134.93.179.255 ist ja der Broadcast). Auch dies wird bei Bezug der IP-Parameter aus dem Netz automatisch eingestellt.

Allgemeine Hinweise

Eine allgemeingültige Anleitung kann aufgrund der Fülle von Android-Versionen und Hersteller-Anpassungen an dieser Stelle nicht gegeben werden. Unter Umständen unterscheiden sich daher individuelle Einstellungsmöglichkeiten von der hier beschriebenen Anleitung.

Mobile Geräte, die Android als Betriebssystem verwenden, richten eine eduroam-Verbindung standardmäßig ohne ein bestimmtes Zertifikat ein.

Konfiguration von eduroam

1. Öffnen Sie die WLAN-Einstellungen unter Einstellungen → Drahtlos und Netzwerk → WLAN-Einstellungen und wählen Sie eduroam aus.

2. Konfigurieren Sie die Verbindung mit folgenden Einstellungen:

EAP-Methode: PEAP

Phase 2-Authentifizierung: MSCHAPV2

CA-Zertifikat: Systemzertifikat / Standard

Domain: radius.zdv.uni-mainz.de

Identität: benutzername@uni-mainz.de
Benutzername = Benutzername Ihres JGU-Accounts. Achten Sie darauf, wirklich Ihren Benutzernamen vor dem @ einzusetzen, und nicht z.B. einen Mail-Alias, der davon abweicht!

Anonyme Identität: freilassen

Passwort: Passwort Ihres JGU-Accounts

Klicken Sie auf Speichern/Verbinden.

1. Zertifikat überprüfen

Für eine sichere Verwendung von eduroam muss ein Zertifikat verwendet werden.
Bei den meisten Linux-Distributionen ist dieses Zertifikat schon vorinstalliert. Überprüfen Sie, ob dies bei Ihrer Installation der Fall ist.
Das Zertifikat befindet sich in /etc/ssl/certs/ und heißt HARICA_TLS_RSA_Root_CA_2021.pem.
Wenn das Zertifikat auf Ihrem Rechner bereits installiert ist, gehen Sie zu Schritt 2.

1.1. Zertifikat nachinstallieren

Das Zertifikat der aktuellen Zertifizierungsstelle kann unter https://repo.harica.gr/rep_dyn.php heruntergeladen werden!
Das benötigte Zertifikat heißt: HARICA TLS RSA Root CA 2021
(Normalerweise bereits vorhanden unter /etc/ssl/certs/HARICA_TLS_RSA_Root_CA_2021.pem)

Speichern Sie das Zertifikat und merken Sie sich den Speicherort. Das Zertifikat wird jedes Mal benötigt, wenn man sich mit eduroam verbindet. Damit es nicht versehentlich gelöscht wird, wird empfohlen, das Zertifikat an einem anderen Ort als dem Download-Ordner zu speichern.

2. Löschen bestehender eduroam-Profile

Um sicherzustellen, dass es bei der Einrichtung nicht zu Problemen kommt, müssen eventuell bestehende eduroam-Profile gelöscht werden.

3. Neue Verbindung einrichten

Öffnen Sie Ihre Netzwerkeinstellungen und wählen Sie eduroam aus.

Es öffnet sich ein Fenster mit den Verbindungseinstellungen.

Nehmen Sie folgende Einstellungen vor:

Sicherheit des Funknetzwerks: WPA & WPA2 Enterprise

Authentifizierung: Geschütztes EAP (PEAP)

Anonyme Identität kann freigelassen werden.

CA-Zertifikat: Hier muss das Zertifikat aus dem ersten Schritt ausgewählt werden.
Wenn das Zertifikat bei Ihnen schon installiert war, wählen Sie
/etc/ssl/certs/HARICA_TLS_RSA_Root_CA_2021.pem aus.
Andernfalls wählen Sie das Zertifikat, welches Sie heruntergeladen haben.

PEAP-Version: Automatisch

Innere Authentifizierung: MSCHAPv2

Username: Benutzername@uni-mainz.de

Passwort: Passwort

Klicken Sie auf Verbinden.

Die Verbindung sollte nun hergestellt werden.

Winulum entfernen

Um den Apple iPod mit eduroam zu betreiben muss eine ggf. bestehende Winulum-Verbindung gelöscht werden, da sonst die eduroam-Verbindung nicht eingerichtet werden kann.

xSchließen

<

This text will be overwritten by jQuery

>

Unter Einstellungen, Wi-Fi-Netzwerke auf den Pfeil rechts neben winulum drücken, Dieses Netzwerk ignorieren drücken und nochmals bestätigen.

Einstellung eduroam

Dann den Home-Button auf Ihren iPod/iPhone drücken, dort Einstellungen anklicken:

xSchließen

<

This text will be overwritten by jQuery

>

Wi-Fi drücken (darf nicht verbunden sein), dann das Netzwerk eduroam auswählen:

Es wird nach Benutzername und Kennwort gefragt. Hier geben Sie Ihren Benutzernamen ( JGU-Account) gefolgt von @uni-mainz.de und das zugehörige Kennwort ein. Danach drücken Sie unten rechts Verbinden.

Achten Sie darauf, wirklich Ihren Benutzernamen vor dem @ einzusetzen, und nicht z.B. einen Mail-Alias, der davon abweicht!

Das Funknetzwerk eduroam wird auch an anderen Hochschulen angeboten. Um eduroam auch an anderen Hochschulen nutzen zu können, müssen Sie wie hier gezeigt bei der Eingabe Ihrer JGU-Accountdaten @uni-mainz.de an Ihren Benutzernamen anhängen. (Es sieht zwar so ähnlich aus, aber das ist nicht die E-Mail-Adresse!) Ohne diesen Zusatz werden Sie im Netz einer fremden eduroam-Hochschule als lokaler Nutzer betrachtet - und da vermutlich kein Nutzer mit Ihrer Kombination aus Benutzername und Passwort existiert, wird eine Verbindung dann abgelehnt.

Zertifikat übernehmen

Im Folgenden wird das Zertifikat eingeblendet. Überprüfen Sie unter Mehr Details das Zertifikat.

Das richtige Zertifikat ist für den Server radius.zdv.uni-mainz.de ausgestellt und enthält die folgenden Informationen zur Verifizierung, von denen Sie aber nur einen Teil angezeigt bekommen:

CN = radius.zdv.uni-mainz.de
O = Johannes Gutenberg-Universitaet Mainz
L = Mainz
S = Rheinland-Pfalz
C = DE

Mit Fingerabdruck: 2b d4 ec 07 e3 76 46 87 30 09 d5 00 55 93 55 39 b4 52 b0 1b

Wenn das richtige Zertifikat angezeigt wird, klicken Sie auf Annehmen. Warten Sie nun, bis die Verbindung hergestellt ist. Es erscheint die Übersichtseite der Wi-Fi-Netzwerke. Fertig.

Wenn man weiß, dass in der Gegend Diebe unterwegs sind, lässt man seine Haustür nach Möglichkeit nicht sperrangelweit offen stehen.

Oder doch?

Im öffentlichen Internet sind 'Diebe' ('Hacker') unterwegs.
Jeden Tag, jede Stunde, jede Minute, jede Sekunde.
Für manche von uns ist das vielleicht schockierend, wenn sie es das erste Mal hören.
Aber es ist - leider - eine Tatsache.

Was kann man da tun?

Die erste Antwort: Die Haustür zumindest nicht sperrangelweit offen lassen.

Hacker suchen oft einfach nach veralteten Installationen mit bekannten Sicherheitslücken.

Gem. Beschluss des Senats der Universität gilt für selbstinstallierte Software im Web-Bereich folgendes Verfahren:

VERFÜGBARE UPDATES FÜR SELBSTINSTALLIERTE SOFTWARE MÜSSEN SPÄTESTENS 3 TAGE NACH DEREN ERSCHEINEN INSTALLIERT SEIN. Ansonsten sind wir gem. Senatsbeschluss gehalten, Ihren Web-Bereich zu sperren, um Sicherheit und Effizienz des Web-Hostings der Universität gewährleisten zu können. Eine Aufhebung der Sperre erfolgt umgehend, sobald Sie die Aktualisierung vorgenommen haben.
Bei selbstinstallierten Software-Paketen ist sicherzustellen, dass diese langfristig gewartet werden.

Wir empfehlen die Nutzung eines zentral gehosteten Systems.
Im Folgenden finden Sie das Vorgehen zur Aktualisierung eines selbstinstallierten WordPress-Systems auf einem VirtualHost der Universität Mainz. Nebenbei: wenn Sie die zentrale WordPress-Installation des ZDV nutzen, entfällt dieser Aufwand für Sie vollständig (darum kümmert sich dann das ZDV).

Sicherungsmaßnahmen

Gibt es im Installationsverzeichnis eine Datei mit dem Namen .htaccess? Falls nicht, legen Sie diese an. Fügen Sie in diese Datei folgenden Code ein:

<Files "wp-login.php">
Order Deny,Allow
Deny from All
Allow from .uni-mainz.de
</Files>

Erläuterung: Dies ist die effektivste mögliche Absicherung gegen Botnetz-Attacken von außen. Login ins Backend ist damit nur noch über das Netz der Universität möglich. Alle Redakteure können sich jedoch weiterhin von überall auf der Welt einloggen, wenn sie eine VPN-Verbindung oder einen Terminalserver nutzen.

Weitere Hinweise für eine sicherere Konfiguration von WordPress finden Sie in diesem Artikel hier - einfach umsetzbar ist darin z.B. 'Step 2 – Setting up a secure configuration file' und 'Step 3 – Setting up a secure administration', sowie in diesem Artikel von Mike Kuketz.

Einen sehr guten Überblick über die besten Sicherungsmaßnahmen für WordPress finden Sie außerdem auf: http://wpsecure.net/secure-wordpress-advanced/

WordPress aktualisieren

WordPress-Updates erscheinen in unregelmäßigen Abständen. Eine Übersicht über vergangene und zukünftige Versionen finden Sie z.B. hier.

Bitte beachten: Eine automatisierte Aktualisierung von WordPress über das Web-Dashboard bzw. über FTP ist auf den VirtualHosts des ZDV aus Sicherheitsgründen nicht möglich.

Sie benötigen daher Schreibzugriff für das Installationsverzeichnis auf dem jeweiligen VirtualHost. Verbinden Sie sich mit diesem Verzeichnis wie hier beschrieben.

Optional: Machen Sie vor dem Update ein Backup Ihrer WordPress-Datenbank, z.B. mit einem kostenlosen Tool wie HeidiSQL. Informationen zur Datenbank-Verbindung finden Sie in der Regel in der Datei wp-config.php im Installationsverzeichnis auf dem VirtualHost...

1. Laden Sie ein aktuelles WordPress herunter. Sie bekommen es als ZIP-Paket z.B. bei wordpress.org hier.
2. Entpacken Sie diese Zip-Datei mit einem Tool Ihrer Wahl (unter Windows 7 z.B. einfach durch Mausklick rechts auf die Datei -> Alle extrahieren.) Im Folgenden nennen wir dies den entpackten Download.
3. Löschen Sie die Verzeichnisse /wp-admin und /wp-includes im Installationsverzeichnis von WordPress auf dem VirtualHost. Ganz richtig: Diese beiden Verzeichnisse löschen. Vollständig.
4. Kopieren Sie die gleichnamigen Verzeichnisse aus dem entpackten Download an die gleiche Stelle auf dem VirtualHost, wo Sie deren Vorgänger gerade gelöscht haben.
5. Kopieren Sie das Verzeichnis /wp-content aus dem entpackten Download in das Installationsverzeichnis auf dem VirtualHost, so dass es den alten Ordner /wp-content überschreibt. Wichtig: Dieser Ordner darf nicht gelöscht, sondern nur mit den aktuellen Dateien aus dem entpackten Download überschrieben werden.
6. Kopieren Sie alle Dateien aus dem Basisverzeichnis (oberste Ebene: readme.html, license.txt usw. ...) des entpackten Downloads direkt in das Installationsverzeichnis von WordPress auf dem VirtualHost. Dabei werden ebenfalls die meisten Dateien überschrieben, d.h. durch die aktuelle Version ersetzt.
7. Loggen Sie sich danach mit dem Admin-Account in das WordPress-Dashboard ein wie immer. Wenn Sie aufgefordert werden, Ihr Blog auf Knopfdruck zu aktualisieren, tun Sie dies.
   Überprüfen Sie, ob die installierten Plugins noch funktionieren.

Plugins aktualisieren

ACHTUNG: Plugins enthalten häufig größere Sicherheitslücken als die eigentliche WP-Installation und sollten daher IMMER mit aktualisiert werden!

Das Vorgehen für die Plugin-Aktualisierung ist ähnlich: Laden Sie die aktuelle Version des Plugins herunter, entpacken Sie es und speichern Sie den entpackten Plugin-Ordner im Verzeichnis \wp-content\plugins des Installationsverzeichnisses - wobei alte Versionen durch die neue Version überschrieben werden.

Es ist nicht möglich, die Installation über die Webseite vorzunehmen (vom Dashboard aus)!

Jedwede Installation funktioniert nur über wordpress.org und manuelles Auspacken und Kopieren der Dateien zum Beispiel mit dem Windows-Dateiexplorer, und nicht per http!

Fehlerbehebung (error log)

Sollten während der Installation oder auch später Fehler passieren, bedenken Sie, daß Sie keinen Zugriff auf die Logdateien haben und Sie daher nicht effektiv Fehler beheben können.

Zu guter Letzt

Prüfen Sie demnächst in regelmäßigen Abständen, ob es wieder ein WordPress-Update gibt...

Vielen Dank für Ihre Aufmerksamkeit.

Sie haben eine eigene WordPress-Installation auf einem VirtualHost des ZDV?

> Hier zeigen wir Ihnen, wie Sie diese Installation aktualisieren können.

Wir empfehlen bei der Nutzung des Wireless-LAN die Verwendung einer lokalen Firewall.

Moderne Betriebssysteme haben eine integrierte Firewall, die einen ausreichenden Schutz bietet. Es ist daher nicht notwendig, zusätzliche Firewall-Software zu installieren. Wenn Sie eine Firewall verwenden, müssen Sie sie so einstellen, dass ICMP-Ping zugelassen wird - sonst wird der PC in kurzen Abständen aus dem Netz geworfen. Eine Anleitung dazu finden Sie beispielhaft für Windows auf der Seite "ICMP-Ping in der Windows-Firewall erlauben".

Sollten Sie ein älteres Betriebssystem haben, empfehlen wir aus Sicherheitsgründen den Wechsel auf ein neueres Betriebssystem und die Verwendung des verschlüsselten Netzwerks uni-mainz oder eduroam.

Wenn Sie sich weitergehend über Firewalls und Computersicherheit informieren möchten, finden Sie weitere Informationen auf den Seiten des → BSI.

Eine Verbindung mit dem WLAN der Universität Mainz ist flächendeckend auf dem Campus verfügbar. Die Herstellung der Verbindung ist normalerweise unkompliziert. Im Folgenden wird die Einrichtung unter Windows 7 gezeigt.

Für andere Betriebssysteme gehen Sie analog den Anleitungen für eduroam (links in der Navigation) vor und ersetzen einfach den Namen des Netzwerks (SSID) mit uni-mainz.

Klicken Sie in der Taskleiste (ganz rechts unten) auf das Netzwerksymbol. Die verfügbaren Drahtlosnetzwerke werden angezeigt. Klicken Sie auf Uni-Mainz, dann auf Verbinden.

Sie werden jetzt nach Benutzername und Passwort Ihres JGU-Accounts gefragt.

Nachdem Sie die Daten eingegeben und auf OK geklickt haben, erscheint beim ersten Einrichten der Verbindung ein Sicherheitshinweis. Klicken Sie auf Details.

Das richtige Zertifikat ist für den Server radius.zdv.uni-mainz.de ausgestellt
und enthält die folgenden Informationen zur Verifizierung, von denen Sie
aber (wiederum abhängig vom Betriebssystem oder Gerät) nur einen Teil
angezeigt bekommen:

CN = radius.zdv.uni-mainz.de
O = Johannes Gutenberg-Universitaet Mainz
L = Mainz
S = Rheinland-Pfalz
C = DE

Mit Fingerabdruck: 2b d4 ec 07 e3 76 46 87 30 09 d5 00 55 93 55 39 b4 52 b0 1b

Wenn die angezeigten Daten mit den hier angegebenen übereinstimmen, können Sie das Zertifikat akzeptieren.

Wenn Sie auf Verbinden klicken, wird die Verbindung hergestellt (und der Server radius.zdv.uni-mainz.de als vertrauenswürdig erklärt).

Anleitungen für Nicht-Windows-Betriebssysteme finden Sie jeweils unter den betriebssystemspezifischen Sammlungen:

	Mobilgeräte mit Android oder Apple iOS
	Rechner mit macOS-Betriebssystem
	Rechner mit Unix-Betriebssystem