SSID: eduroam

Dieses Funknetz ermöglicht den sicheren Zugang zu Diensten für Studierende, MitarbeiterInnen und Gäste. Die Anmeldung mit einem gültigen Benutzernamen und Passwort erfolgt über eine verschlüsselte Verbindung bereits direkt am Zugriffsknoten (Access Point) bevor der Zugang zum Netzwerk erlaubt wird. Diese Technik beruht auf dem Standard IEEE 802.1x.

Die Anmeldeinformationen und der Austausch von kryptografischen Schlüsselinformationen erfolgt über das Protokoll EAP in verschiedenen Varianten. Dazu ist auf dem Endgerät immer etwas Software (ein sogenannter Supplicant) nötig, der dieses Protokoll in genau dieser Variante mit dem Zugriffsknoten (Access Point) spricht.

Aus technischen Gründen kommt für Angehörige der TUHH die Variante EAP-TTLS zum Einsatz. Viele Betriebssysteme unterstützen diese Variante, ohne dass die Installation zusätzlicher Software nötig wäre. Die Windows-Betriebssysteme der Firma Microsoft unterstützen leider diesen offenen Standard nicht, so dass bei Windows zusätzliche Software installiert werden muss.

Gäste können im Rahmen des eduroam Projektes denselben Supplicant verwenden wie in ihrer Heimat-Einrichtung.

Verbindung herstellen

Für alle Betriebssysteme sind einige Konfigurationsarbeiten nötig, bevor eine Verbindung mit diesem Funknetz hergestellt werden kann. Detaillierte Informationen finden Sie auf der linken Seite unter Ihrem jeweiligen Betriebssystem.

Wenn der Supplicant richtig konfiguriert wurde, wählen Sie das Funknetz eduroam aus der Liste der verfügbaren Funknetze aus. Wenn alles richtig gemacht wurde, dann öffnet sich auf allen Betriebssystemen ein Dialogfenster, in dem Sie zur Eingabe ihres Benutzernamens und Passwortes aufgefordert werden.

Sobald ihre Anmeldedaten überprüft worden sind, erhält ihr Endgerät automatisch eine IP-Adresse und Sie können ab dann das Netzwerk verwenden.

Wenn Sie beim Verbingsaufbau aufgefordert werden den Fingerprint des Servers zu überprüfen, dem die Ihren Benutzernamen und Passwort geben, gleichen Sie diesen bitte mit denen der hier aufgeführten TUHH Server ab!
Radius 1:
MD5 Fingerprint=B6:72:AF:13:AC:DD:11:E5:01:F1:19:7E:EC:91:EA:F9
SHA Fingerprint=5E:A4:73:EF:5B:7A:13:CD:C9:14:A4:04:7C:4A:67:5E:A4:61:C5:E4
SHA1 Fingerprint=7B:ED:B2:B7:61:F0:45:E3:61:8D:45:35:F1:ED:B7:F3:66:8A:C8:F9
SHA224 Fingerprint=91:CE:32:2E:A0:60:6B:DC:84:CB:D7:56:F6:B0:E7:71:00:5C:F4:27:BB:11:AA:AD:0B:AC:35:30
SHA256 Fingerprint=2B:83:F0:5F:55:EC:9A:1B:C4:66:AD:9D:B4:D4:74:E1:76:68:23:0E:25:FC:1C:A5:5A:9B:48:46:87:4B:4E:73
SHA384 Fingerprint=F1:66:8B:E2:47:20:92:F2:0D:2F:DE:AE:2E:5D:75:B1:E4:2F:F4:A1:51:0B:69:47:FD:6D:2B:28:A0:C8:00:1D:1E:28:6C:08:42:9C:5D:8F:3B:15:85:08:46:B6:DF:1D
SHA512 Fingerprint=10:D6:1A:8A:B2:D1:0D:A0:AA:91:E4:B3:8F:4B:99:7B:73:DA:AC:AB:EE:39:46:04:A5:BC:07:BF:60:E0:F8:6F:6F:F7:EF:1F:DE:64:73:1A:0F:99:57:5F:E4:2A:DC:8A:E6:B4:8A:E8:B8:DD:30:7B:14:F3:3E:D5:F7:83:84:23

Radius 2:
SHA Fingerprint=9F:CC:38:1D:AB:70:26:84:3B:61:12:E8:77:EF:7C:4C:09:5D:DC:6E
SHA1 Fingerprint=36:4F:D3:DC:E1:A2:04:9F:12:82:DF:7E:6B:56:F0:A9:FA:81:52:2D
SHA224 Fingerprint=76:73:F3:FE:C4:90:D2:90:4C:6F:37:1D:10:42:2B:A2:75:F9:DF:25:16:D4:DE:82:C7:19:87:B2
SHA256 Fingerprint=6C:18:5E:D0:74:A6:B4:67:C4:77:71:51:EF:79:E2:CD:A3:4B:E1:D8:C7:CB:CA:5F:98:80:0F:71:30:AA:3E:F1
SHA384 Fingerprint=70:D8:F2:53:EA:C7:0D:A3:6F:58:33:F6:E5:4A:CF:2B:3B:C0:7A:53:56:CB:A5:C7:0A:B3:D4:67:C4:5E:06:56:E0:A2:AC:A0:AC:09:DC:D1:C0:BB:FD:BB:8B:D3:30:C3
SHA512 Fingerprint=15:26:49:7C:5A:58:A4:63:66:B6:C4:E9:BF:C7:21:2B:11:14:17:05:17:42:7F:3F:65:C5:83:A6:57:C3:E9:33:90:97:A1:D9:FC:08:81:87:01:82:81:09:C3:9F:A1:28:14:E0:2B:6C:7B:D6:FF:12:24:7B:7E:C9:99:F8:1B:2E

Das RZ empfiehlt dem eduroam-Netz nicht zu vertrauen und eine lokale Firewall zu verwenden. Dies ist den mehreren Hundert verschiedensten WLAN-Geräten geschuldet, die sich mit dem Netzwerk verbinden. Unter Windows-Geräten sollte daher für die eduroam-SSID der Typ "Öffentliches Netzwerk" ausgewählt sein. Wir empfehlen den Einsatz der Windows-Firewall, da diese im Zusammenspiel mit z.B. dem VPN-Client keine Probleme bereitet.
Windows 7: Sicherheit eduroam 01 Sicherheit eduroam 02 Sicherheit eduroam 03
Windows 10: Sicherheit eduroam 04 Sicherheit eduroam 05

Einschränkungen

Hochschulangehörige befinden sich nach der Anmeldung im TUHH Intranet. Aus Gründen der Sicherheit gibt es beim Zugriff auf Dienste folgende Einschränkungen:
  • Der Zugriff auf das Internet mit einem Webbrowser über http (TCP Port 80), http (TCP Port 8080) und https (TCP Port 443) ist möglich. Der Zugriff über http wird transparent über einen Web-Proxy geführt.
  • Der Zugriff auf den Mail-Server der TUHH ist für das Versenden und Abrufen von Emails möglich.
  • Der Zugriff auf den File-Server der TUHH ist möglich, damit z.B. das eigene Heimlaufwerk angesprochen werden kann.
  • Der Zugriff auf fremde Mail-Server zum Abrufen von Email über imap(s) (TCP Ports 143, 993), pop3(s) (TCP Port 110, 995)
  • Der Zugriff auf fremde Mail-Server zum Senden von Email über eine authentifizierte Verbindung mit SMTP over SSL (TCP port 465) oder Submission (TCP port 587)
  • Der Zugriff für Secure Shell (ssh TCP Port 22) und Remote Desktop (RDP TCP Port 3389) ist frei geschaltet.
  • News-Server news.cis.dfn.de
  • Der Zugriff für den VPN Service der TUHH ist ebenfalls frei geschaltet.
  • Der Zugriff auf den Druck Service im Rechenzentrum über lpd (tcp port 515) ist möglich.
  • Die Bibliotheksrecherche ist via Z39.50 (TCP-Port 210) erlaubt.
  • Zugriff für Jabber/XMPP (TCP-Port 5222, 5280)
  • Zugriff für Apple Push Notification Service (TCP-Port 5223)
  • Zugriff für Android Market/Google Talk (TCP-Port 5228)
  • Zugriff für STAR-CCM+ (Strömungssimulation) Lizenzserver Power-On-Demand (TCP Port 1999/2099)
  • Zugriff auf OpenVPN-Server im TUHH-Netz (TCP/UDP Port 1194) und weltweit (nur TCP Port 1194)
  • Zugriff auf fremde VPN-Dienste auf Basis von IPsec (IKE UDP/TCP Port 500, ESP, NAT-T UDP Port 4500)
  • Zugriff auf PGP-Keyserver mittels HKP (TCP Port 11371)
  • Networked Transport of RTCM via Internet Protokol (Ntrip) über TCP Port 2101
  • Signal Messenger über TCP Port 4433
  • Alle anderen Dienste sind gesperrt.
Sofern MitarbeiterInnen unbeschränkten Zugriff auf das Internet benötigen, weichen Sie bitte auf das Funknetz VPN/WEB aus und nutzen Sie unseren VPN-Dienst oder starten Sie den AnyConnect direkt im eduroam.

Gäste, die sich im Zuge von DFNRoaming oder eduroam anmelden, bekommen Zugang zum Veranstaltungsnetz.

Details für die Konfiguration des Supplicant

Für alle Betriebssysteme, insbesondere auch für Smartphones, bei denen wir keine Anleitung bereitstellen, können Sie selbst versuchen eine Verbindung herzustellen. Falls es gelingt melden Sie sich bei uns, damit wir eine entsprechende Dokumentation bereitstellen können.
  • Netzwerkname: eduroam
  • Netzwerkauthentifizierung: WPA2
  • Datenverschlüsselung: AES
  • Netzwerktyp: Infrastruktur
  • Authentifizierung: EAP-TTLS (EAP mit getunneltem TLS)
  • CA-Zertifikat: Wurzelzertifikat Deutsche Telekom Root CA 2
  • Server-Zertifikat ausgestellt für *.rz.tu-harburg.de oder radius1.rz.tu-harburg.de, radius2.rz.tu-harburg.de, radius3.rz.tu-harburg.de
    d.h. die Radius-Server des RZ präsentieren ein Zertifikat der TUHH CA mit diesem CN.
  • Äussere Identität: anonymous@tu-harburg.de, damit wird festgelegt, dass die TU Hamburg-Harburg für die Authentifizierung zuständig ist (sogenannter Realm)
  • Innere Identität: Benutzername und Passwort via PAP übermitteln, d.h. als Benutzernamen/Passwort geben Sie Ihren RZ Accountnamen und Ihr Kerbereos-Passwort ein
  • Vergabe der IP-Adressen: automatisch/dynamisch/DHCP

Allgemeine Informationen zur Fehlersuche

  • Nach der Verbindung erhalten Sie eine dynamisch zugewiesene IP-Adresse (via DHCP) aus dem Netzblock 134.28.176.0/20 d.h. die Adressen beginnen mit 134.28.176.X ... 134.28.191.X. Die Netzwerkmaske ist 255.255.240.0.
  • Das Standardgateway ist 134.28.176.1 und sollte per ping 134.28.176.1 erreichbar sein.
  • Die Namensauflösung (DNS) sollte funktionieren. Im Browser-Fenster sollte sich https://www.tuhh.de immer öffnen lassen.
    Die TUHH vergibt automatisch die DNS Server 134.28.202.14 und 134.28.205.14.

Fragen/Support

Bei Fragen oder Problemen schauen Sie bitte zuerst auf unsere Hilfeseiten. Für Fragen, Anregungen, Erfahrungsberichte oder mit weitergehenden Problemen wenden Sie sich bitte an unser User Service Center (Helpdesk).

Ab dem 29.09. findet die WLAN-Beratung in Gebäude J (Bibliothek) bei Niklas Krüger statt:

  • Freitag 29.09. 14:45 - 16:15 Uhr
  • Montag 02.10. 14:45 - 16:15 Uhr
  • Donnerstag 05.10. 14:45 - 16:15 Uhr
  • Dienstag 10.10. 14:45 - 16:15 Uhr
  • Freitag 13.10. 14:45 - 16:15 Uhr
  • Mittwoch 18.10. 11:30 - 13:00 Uhr
  • Donnerstag 19.10. 11:30 - 13:00 Uhr