Netzwerk FAQs

Jeder vernetzte Rechner benötigt innerhalb seines Netzwerks eine eindeutige, einmalig vergebene Adresse. Für die weltweite Vernetzung hat sich das Internet mit dem Netzwerk-Protokoll TCP/IP durchgesetzt. Daher muss die sog. IP-Adresse weltweit eindeutig sein.  Für jeden Rechner gilt: er muss per "ping" erreichbar sein (zumindest innerhalb der TU, siehe Class-B-Netze der TU).
IP (Internet Protocol) gibt es in 2 Ausprägungen: IP Version 4 und IP Version 6

IP Version 4 (oft abgekürzt als IPv4 oder IP4 oder schlicht IP) ist das etablierte, seit Jahrzehnten eingesetzte Protokoll. Eine IP-Adresse (genauer: eine IPv4-Adresse) ist eine durch 3 Punkte getrennte dezimale Ziffernfolge. Beispiel: 130.149.0.251
Der 4 Zahlen der IP-Adresse müssen zwischen 0 und 255 liegen.
Die kleinste mögliche IP-Adresse ist also 0.0.0.0 und 255.255.255.255 ist die größte.

Für Spezialzwecke gibt es auch private IPv4-Adressen, die nicht weltweit eindeutig sind. Diese können nur mit speziellen Geräten (NAT-Routern) am Internet teilnehmen. Beispiel: 192.168.100.200
Die privaten IP-Adressen sind genauso wie die öffentlichen, sie stammen lediglich aus einem speziellen Teilbereich des gesamten IPv4-Adressraums:

• 10.0.0.0 bis 10.255.255.255 (10.0.0.0/8 - ein Class-A-Netz)
• 172.16.0.0 bis 172.31.255.255 (172.26.0.0/12 - 16 Class-B-Netze)
• 192.168.0.0 bis 192.168.255.255 (192.168.0.0/16 - 256 Class-C-Netze)

Darüber hinaus gibt es noch weitere IP-Adress-Bereiche mit Spezial-Funktionen wie z. B. 169.254.0.0/16.

Durch den überwältigenden Erfolg des Internet und durch Verschnitt gehen die IPv4-Adressen zur Neige und reichen langfristig nicht mehr aus.

Um der Adress-Knappheit entgegenzuwirken und um einige Details zu verbessern, wurde IP Version 6 (abgekürzt IPv6) spezifiziert.
Eine IPv6-Adresse ist eine durch 7 Doppelpunkte getrennte hexadezimale Zeichenfolge. Ein Abkürzungsverfahren erlaubt es, u.U. Doppelpunkte einzusparen. Beispiel: 2001:0638:0809:0000:0000:0000:0000:AC7F bzw. 2001:0638:0809::AC7F
Die 8 Hex-Zahlen der IPv6-Adresse müssen zwischen 0000 und FFFF liegen. (Eine einzelne Hex-Zahl kann aus den Ziffern 0-9 oder den Buchstaben A-F bestehen.)

Die TUB besitzt und nutzt bei IPv4 zwei Class-B-Netze mit den öffentlichen Adressbereichen:

• 130.149.0.0 bis 130.149.255.255 (130.149.0.0/16, 65000 mögliche IPs)
• 141.23.0.0 bis 141.23.255.255 (141.23.0.0/16, 65000 mögliche IPs)

Die ersten beiden Nummern der öffentlichen IP-Adresse fangen also immer mit 130.149 bzw. 141.23 an.

Firewall-Regeln, die sich auf "das TU-Netz" beziehen, müssen beide Adressbereiche abdecken.
Eine Firewall-Regelsatz "alle IP-Adressen außer TUB-Adressen ausschließen" sähe also so aus:

Die TUB besitzt den öffentlichen IPv6-Adressbereich:

• 2001:0638:0809:0000:0000:0000:0000:0000 bis 2001:0638:0809:FFFF:FFFF:FFFF:FFFF:FFFF
  (2001:0638:0809::/48, mehr als 1 Quadrillion mögliche IPv6-Adressen)

Eine TUB-IPv6-Adresse fängt also immer mit 2001:0638:0809 an.

Beachten Sie, dass ICMPv6 in keiner Firewall verboten werden darf.

IPv6 befindet sich an der TUB in einer kleinen, gering priorisierten Testphase. Teilnahmebedingungen auf Anfrage.

Die IPv6-Arbeitsgruppe trägt zur Zeit die verschiedenen technischen und organisatorischen Eckpunkte zusammen, die für eine spätere Einführung Voraussetzung sind. Vorab kann man schon festhalten:

• IPv6 bietet fortschrittliche Techniken, die das Arbeiten an manchen Stellen vereinfachen
• IPv6 ist an der TUB nicht notwendig, es stehen genügend IPv4-Adressen zur Verfügung
• IPv6 ist (trotz der Historie von nunmehr über 20 Jahren) eine neue, nur wenig bisher großflächig eingesetzte Technologie
• Der Traffic beim DE-CIX ist nur zu einem Bruchteil V6-Traffic - das spiegelt den Stellenwert (in Europa) wider
• IPv6 bietet diverse neue technische Herausforderungen, die von den Herstellern und uns noch nicht vollständig beherrscht werden
• Einige Problemfelder: v6-ACLs komplett in Hardware? -> Zusammenspiel: Sup, FWSM, OSPF, BGP, ASA; DAD-Attacken; FW-Regeln für /64-Netze; DNS-Entries bei gewürfelten v6-Adressen; unterschiedliche Interfaces für local/global-Kommunikation; static DHCPv6; ...

Als (noch) nicht unterstützte Technologie behalten wir uns vor, IPv6-Verkehr (inkl. Tunneln) zu blocken.
Wenn Sie IPv6 für Forschung oder Lehre zwingend benötigen, setzen Sie sich bitte mit Ihrem Netzbetreuer in Verbindung. Dieser sollte sich dann mit uns bzgl. Art und Umfang des Projekts in Verbindung setzen, wir prüfen dann ob sich dieses im Rahmen unserer Kapazitäten realisieren lässt.

Die Anmeldung, Änderung und Löschung von IP-Adressen und DNS-Einträgen werden vom Netzbetreuer Ihrer Einheit vorgenommen. Da IP-Adressen nicht unbegrenzt zur Verfügung stehen, können den Antragstellern die Adressen nur im Rahmen der Erforderlichkeit zugeteilt werden. Wir prüfen gelegentlich, ob die Subnetzgröße angemessen ist. 

Unter dem Menüpunkt "IT-Anträge/IP-Adresse" im TUB-Portal steht NetzwerkbetreuerInnen einer Einrichtung die Anwendung "IP-Adresse" zur  Verfügung. Mit dieser Anwendung können Sie die IP-Adressen und Subnetze Ihrer Einrichtung online verwalten. Dazu benötigen Sie die Rolle "dns-verwalter".

Die primären Eigenschaften sind:

• Verwaltung der eigenen Rechner in den eigenen Subnetzen und Subdomains
• alle Änderungen werden sofort wirksam
• IP-Adresse kann (sollte aber nicht) selbst festgelegt werden

Die Koppelung des neuen Web-Interfaces an die neue DNS-Appliance ist noch nicht komplett abgeschlossen; daher bestehen momentan noch einige Unschönheiten, Z. B. kann eine bereits eingetragene IP nicht geändert werden, sondern nur gelöscht und neu angelegt. Außerdem kann es passieren, dass eine DHCP-Änderung bis zu 30 Minuten nach Eintragung braucht, um wirksam zu werden.

Weitere Informationen zur Anwendung IP-Adresse

Der Domain Name Service (DNS) übersetzt IP-Adressen in für Menschen leichter merkbare Namen und umgekehrt. So wird beispielsweise aus www.heise.de 193.99.144.85 und vice versa. Der DNS ist hierarchisch aufgebaut. Die einzelnen Komponenten sind durch Punkt getrennt.
Jede Organisation mit einem eigenen Adressraum betreibt einen oder mehrere eigene DNS-Server.

Die IP-Adressen der TUB-Nameserver erhält Ihr Rechner automatisch per DHCP. Das heißt, Sie müssen nichts einstellen, weil er diese IPs vom DHCP-Server zugeteilt bekommt (genau wie seine eigene IP), sofern sich Ihr Rechner an die Vorgabe für das TU-Netz hält.

Für bestimmte Server ist es vorteilhaft, statt DHCP-Bezug feste Einträge vorzunehmen. Für diesen Fall hier die Daten: primärer Nameserver 130.149.7.7 (ns.tu-berlin.de)

Das System unter dieser IP ist redundant ausgelegt. Zur noch weiter erhöhten Ausfallsicherheit können Sie zusätzlich (nicht stattdessen) folgenden zweiten Nameserver eintragen, der sich außerhalb der TUB befindet, und daher selbst bei einem Ausfall des primären Servers antworten kann: 192.129.31.50 (res-1.dfn.de)

An die Betreiber von eigenen Firewalls:
Bitte vergewissern Sie sich, dass die IP 130.149.7.7 in Ihrer Firewall für DNS freigeschaltet ist.

An die Betreiber eigener DNS-Server:
Vergewissern Sie sich, dass Sie als Nameserver für alle nicht von Ihnen verwalteten Zonen die 130.149.7.7 eingetragen haben. Gehen Sie nicht davon aus, dass Ihr Nameserver unseren Server rekursiv abfragen darf.

Eine Domain ist ein Stück Text, das einen Eintrag im hierarchisch aufgebauten DNS beschreibt. Deutschland hat die Top-Level-Domain DE und die TUB hat davon den Teil TU-Berlin.DE, ist also eine Subdomain von DE, wenn man DE als "Startpunkt" der Betrachtung wählt.

Mit TU-Berlin.DE endet an der TUB jeder Rechnername, daher bezeichnen wir dies als "(Haupt-)Domain" und die darunter liegende hierarchische Ebene als "Subdomain". Das ist nötig, weil die TUB-Rechner aufgrund ihrer großen Zahl (über 20000) nicht einfach name.TU-Berlin.DE heißen können; stattdessen werden sie unterteilt in name.subdomain.TU-Berlin.DE. Jede Einrichtung mit organisatorischem Charakter kann einen eigenen Subdomain-Namen erhalten. Dieser Name ist eng verknüpft mit dem OrgNamen und wird namensgleich zu diesem eingerichtet. Es gilt - nicht nur für Webauftritte:

1. Zwei bis 20 Zeichen, keine Personennamen
2. Zeichenvorrat: a-z, 0-9, Bindestrich; erstes Zeichen ein Buchstabe
3. Der Kostenstellenverantwortliche bzw. FIO versichert, dass der gewünschte Name frei von Rechten Dritter ist. Dabei sind bei universitärer Nutzung nur Namensrechte und keine Markenrechte relevant (laut Prof. Dr. Hoeren, Lehrstuhl Rechtsinformatik, Uni Münster, auf der DFN-Tagung "Praktische Rechtsfragen" am 14.02.2008).
   Namensrechte können z. B. folgendermassen recherchiert werden:

• Beauftragung eines Rechtsanwalts mit einer Recherche (Rechtsgutachten)
• Suche nach dem gewünschten Namen bei einer großen Suchmaschine und Überprüfung der ersten ca. 30 Treffer

Zusätzlich zu dieser Subdomain können bei Notwendigkeit weitere Subdomains beantragt werden:

• Langname (wenn der Orgname eine Abürzung ist: ausgeschriebene Form des Orgnamens, z. B. Orgname info, möglicher Langname: informatik)
• Übersetzung (nur bei Fachgebieten mit stark international ausgerichteter Tätigkeit die englische Übersetzung, z. B. Orgname info, mögliche Übersetzung computer-science)
• Internet-/Projektnamen (Namen für konkret durchgeführte Projekte, verschwinden 6 Monate nach Beendigung des Projekts)

Es existieren zur Zeit viele Dutzend Subdomains mit Namen wie:

• math.TU-Berlin.DE (Institut für Mathematik)
• siwawi.TU-Berlin.DE (Fachbereich Siedlungswasserwirtschaft)
• zuv.TU-Berlin.DE (zentrale Universitätsverwaltung)

Eine weitere hierarchische Unterteilung (Subsubdomains) bieten wir im Moment noch nicht an. Existierende Umsetzungen sind Sonderfälle.

Externe Domains (die nicht auf TU-Berlin.DE enden) werden nicht von NOC verwaltet. Bestehende Eintragungen sind Sonderfälle.

Sie können TUB-externe Domains bei externen Dienstleistern beantragen und über die vom Anbieter bereit gestellten Mittel selbst verwalten; beachten Sie jedoch:

1. Solche Domains entsprechen nicht dem Corporate Design der TUB, wie von der Kanzlerin beschlossen und von den Fakultäten mitgetragen.
   Sie sind daher in aller Regel unzulässig.
   Ausnahmen wären z. B. Kooperationen mit anderen Hochschulen oder andere übergreifende Projekte, bei denen die TUB nicht federführend ist oder z. B. lediglich den Austragungsort bereit stellt. Dann gilt aber, dass diese Webseiten das Corporate Design der TUB nicht tragen dürfen.
2. Sie sind für die Aktualität der Einträge selbst verantwortlich. NOC kann nicht helfen.
3. Die Domain wird auf eine natürliche Person eingetragen (nicht auf ein Institut o. dgl.). Diese bekommt auch die Rechnung (welche natürlich die TUB übernehmen kann) und ist verantwortliche Partei im Falle eines Rechtsstreits.
4. Die natürliche Person versichert, dass der gewünschte Name frei von Rechten Dritter ist. Dabei sind bei universitärer Nutzung nur Namensrechte und keine Markenrechte relevant (laut Prof. Dr. Hoeren, Lehrstuhl Rechtsinformatik, Uni Münster, auf der DFN-Tagung "Praktische Rechtsfragen" am 14.02.2008).
   Namensrechte können z. B. folgendermassen recherchiert werden:

• Beauftragung eines Rechtsanwalts mit einer Recherche (Rechtsgutachten)
• Suche nach dem gewünschten Namen bei einer großen Suchmaschine und Überprüfung der ersten Treffer (Größenordnung: 30)

Abweichend von Absatz 1 kann NOC im begründeten Einzelfall die Registrierung einer externen Domain übernehmen. NOC bestimmt dann den Provider und übernimmt (nur) die technische Abwicklung, aber stellt nicht den inhaltlich Verantwortlichen und zahlt auch keine Rechnung (Kosten: 36 EUR/Jahr + 36 EUR Einrichtung (Stand 2009)).

Subdomains sind die technische Umsetzung von OrgNamen, Internet-/Projekt-Namen. Sie können nur vom berechtigten Rolleninhaber beantragt werden.
Webauftritte müssen der Regelung für die Vergabe von Webdomains [1] (siehe aktuelle Mitteilung der Kanzlerin vom 15.05.2007) genügen.
Hinweis: hier geht es nicht um Domain-Name-Service (DNS-Einträge) für einen einzelnen Rechner und nicht um Windows-Domänen.

Ein vollständiges Name-/IP-Adressen-Paar an der TUB sieht also z. B. so aus:

licman1.tubit.TU-Berlin.DE  =  130.149.4.120

Es ist je nach Aufgabe des Rechners technisch oft nicht nötig, Rechnern Namen zu geben; es erleichtert aber dem Netzbetreuer und NOC die Verwaltungsarbeit und Fehlersuche. Daher bekommt jeder Rechner an der TUB einen Namen in einer Subdomain.

Windows verwendet ein eigenes Namens- und Domänenkonzept, das nur in Teilen mit dem "echten" DNS übereinstimmt. Für Sie bedeutet dies, dass Sie den DNS-Namen, den Sie sich im IP-Antrag ausgesucht haben, nicht zwangsweise als Rechnernamen in Windows verwenden müssen. Sie sollten es dennoch tun, um Verwirrung zu vermeiden und die Fehlersuche zu erleichtern.

Subdomains haben technisch nichts mit Subnetzen zu tun.

Ein Netz ist eine Gruppe von zusammenhängenden IP-Adressen. Ein Subnetz ist ein zusammenhängender Teil davon.

Die TUB besitzt zwei Class-B-Netze, in denen maximal 2x 65000 Rechner denkbar wären. Aus vielerlei Gründen werden diese 2 Gesamt-Netze jeweils in Teile (Subnetze) geteilt. (Ein Zusammenfügen der 2 Netze zu einem 130.000-IP-Netz ist nicht möglich - und auch nicht sinnvoll.)
Alle TUB-Subnetze des ersten Netzes haben als 1. und 2. Zahl 130.149, danach folgen 2 weitere. Nur in Verbindung mit der Subnetz-Maske (255.255.x.y) ergibt sich eindeutig, wie groß das Netz-Teilstück ist. Nennen Sie daher bitte immer beides. (Es ist nicht davon auszugehen, dass Ihr Subnetz ein Class-C-Netz ist. Daher reicht es nicht, die 3. Ziffer der IP-Adresse zu nennen.)
Beispiel: Wenn ihre IP-Adresse 130.149.107.32 ist, dann genügt es nicht zu sagen "Ich habe das 107er-Subnetz", denn Sie haben nur ein Teilstück des 130.149.107er-Subnetzes, welches wiederum ein Teilstück des einen TUB-Gesamt-Netzes 130.149 ist. Sie könnten höchstens sagen: "Ich habe ein 107er-Subnetz", aber diese Angabe ist eben unvollständig. Stattdessen nennen Sie bitte IP: 130.149.107.32  Subnetz-Maske: 255.255.255.192    (Sie können auch die CIDR-Notation verwenden, wenn Sie wissen, was das ist.) Daraus können wir erkennen, dass das Subnetz in diesem Beispiel von 130.149.107.0 bis 130.149.107.63 reicht.

Inwiefern wir den IPv6-Adressraum der TUB unterteilen werden, sobald IPv6 offiziell genutzt wird, ist noch nicht festgelegt.

Subnetze haben technisch nichts mit Subdomains zu tun.

Historisch begründet, führen wir für jeden Rechner eine verantwortliche Person. In modernen Subnetzen (d. h. keine Hausnetze) wurde diese Vorgehensweise durch Netzbetreuer abgelöst; diese Person(en) sind für alle Rechner ihrer Kostenstelle im Subnetz verantwortlich und zuständig. Voraussetzung dafür sind:

• ein eigenes Subnetz (kein Hausnetz)
• provisionierter Account
• Person offiziell bestimmt zum/r Netzbetreuer(in) durch das TU-Portal TUBIS

Wer der Netzbetreuer einer bestimmten Kostenstelle ist, kann im TU-Portal, "Liste der Rollenverwalter und IT-Betreuer", eingesehen werden. Dort ist aber nicht ersichtlich, welche(s) Subnetz(e) zu dieser Kostenstelle gehören.

Für Hausnetze gilt: der Netzbetreuer betreut hier NICHT das ganze Netz, sondern verwaltet nur die zu seiner organisatorischen Einheit gehörenden Rechner. Auf alle anderen Rechner im Hausnetz hat er keinen Einfluss.
Berechtigt ist nur die vom Kostenstellenverantwortlichen ernannte Person, ein provisionierter Mitarbeiter der TUB.

Der Netzbetreuer wird von NOC kontaktiert, wenn die Rechner unter seiner Verwaltung Probleme verursachen (z. B. Missbrauch) und diese Person darf Neu- und Änderungs-Anträge stellen. Stellt sie den Antrag nicht selbst, muss sie zumindest nachweisbar Kenntnis davon haben. Dies kann dadurch geschehen, dass ein (nichtberechtigter) Antragsteller die EMail an noc@tubit.tu-berlin.de per CC: (Kopie) zugleich an den (berechtigten) Netzbetreuer sendet.

Wir verwenden die in TUBIS hinterlegten Adress-Informationen zur Kontakt-Aufnahme. Fehlen uns diese Informationen, können wir den Netzbetreuer nicht kontakten. Die zum Betrieb und Netzsicherheit notwendigen Maßnahmen werden in jedem Fall ausgeführt.

1. Bei 20000 Rechnern auch 20000 Verantwortliche zu haben, liegt in niemandes Interesse. Es gäbe ein Chaos aus Verantwortlichkeiten, Weisungen, unberechtigten Anträgen, Urlauben, Vertretungen etc.
2. Die wenigsten Nutzer wollen (und sollen) sich um Verwaltungsdetails kümmern.
3. Rechner stehen nicht für sich allein, sondern bilden Gruppen in Subnetzen. Muss z. B. ein Netz umnummeriert werden, müsste jeder Verantwortliche einzeln kontaktiert werden.
4. Wir können und wollen nicht über sich widersprechende Wünsche innerhalb einer organisatorischen Einheit entscheiden. Wir benötigen einen Ansprechpartner, der uns gegenüber auftritt und alle Interna bereits im Vorfeld geklärt hat.
   

Personen, die im Rollenverwaltungssystem TUBIS über die Rolle Netzbetreuer (bzw. dns_verwalter) verfügen, sind per definitionem berechtigt.

Eine Firewall ist eine Software, die Daten unter Umständen noch etwas genauer filtern kann als ein Paketfilter.
Ein Paketfilter ist eine Software, die im Datenweg zwischen Sender und Empfänger von Datenpaketen sitzt, und zwar

1. auf dem Rechner des Senders  und/oder
2. auf den Routern zwischen Sendernetz und Empfängernetz  und/oder
3. auf dem Rechner des Empfängers

und den Transfer anhand von Regelsätzen durchlassen oder blockieren kann.

Die ZECM bietet für jedes Subnetz eine auf unseren Routern angesiedelte Firewall an (siehe Punkt 2 in der obigen Liste). Prinzipbedingt kann diese den Verkehr zwischen Rechnern innerhalb des gleichen Subnetzes nicht beeinflussen.

Bitte beachten Sie:
Die Firewall-Regeln eines Subnetzes spiegeln die Nutzungs-Richtlinien wider, so wie vom Netzbetreuer dieses Netzes festgelegt. Eine Umgehung dieser Regeln durch Tunnel-Technologien (VPN, Skype, Teredo, ...) stellt eine Verletzung der Nutzungsbedingungen dar!
Wenn Sie ein bestimmtes Dienst-Merkmal (freigeschalteter Port, Netzwerkprotokoll etc.) benötigen, wenden Sie sich bitte an Ihren Netzbetreuer; dieser kann die Firewall-Freischaltung bei uns beantragen.

Die Netzinfrastruktur und die Rechner der TUB dienen Forschung und Lehre. Fällt ein Rechner durch missbräuchliche Aktivitäten auf, wird er gesperrt und der adm. Gerätebetreuer (bei Hausnetzen) bzw. der Netzbetreuer (bei einrichtungs-eigenen Subnetzen) per EMail benachrichtigt.

Die EMail enthält den Grund der Sperrung und fordert zur Stellungnahme auf.

Die Sperrung dient der Gefahrenabwehr bzw. der Durchsetzung der Diensthoheit des Präsidenten im Rahmen der bestehenden Dienst-Verträge und gesetzlichen Regelungen. Daher erfolgt KEINE Vorab-Information vor der Sperrung.
Mögliche Gründe zur Sperrung können sein:

• gefährdendes Rechnerverhalten, ausgelöst durch Schadsoftware (Viren, Trojaner, SPAM-Bots etc.)
• exzessives "Testen" anderer Rechner (flood-ping, Port-Scans etc.)
• Straftatbestände (Kinderpornografie, Volksverhetzung etc.)
• von Forschung und Lehre eindeutig nicht abgedeckte Aktivitäten (Film-, MP3-Tausch, Tor-Exit-Nodes, IP-Proxies etc.)