For the english text please see below on this page.

Warum VPN?

VPN-Verbindungen sind kritische Zugangspunkte zum internen Netzwerk. Ein alleiniges Passwort reicht heute nicht mehr aus, um diese Schlüsselstelle zu sichern. 

Die Mehr-Faktor-Authentifizierung (MFA) sichert die Anmeldung doppelt ab – für die HHU und für alle Nutzenden. Selbst wenn ein Passwort kompromittiert wird, bleibt der Zugang ohne einen zweiten Faktor für Angreifer blockiert.

Piktogramm-ähnlich. links Computerbildschirm, darin ein Feld mit verborgenem Passwort, darüber grüner Haken. rechts davon ein Smartphone, grüner Haken darauf. zwisch und hervorgehoben von den beiden Geräten ein gelbes Schloss. darüber, an der rechten oberen Ecke des Computerbildschirms das OpenVPN Connect Logo

Glossar

VPN (Virtuelles Privates Netzwerk)

Stellt eine geschützte Verbindung zur HHU her – so, als wären Sie mit Ihrem Computer auf dem Campus, obwohl Sie zu Hause sind.

MFA (Mehr-Faktor-Authentifizierung)
Ein zusätzlicher Schutz beim Einloggen. Neben Benutzername und Passwort brauchen Sie z.B. ein Handy oder einen USB-Stick (z.B. YubiKey)

TOTP (Time-based One-Time Password / Zeitbasiertes Einmalpasswort)
Ein Code, der 30 Sekunden lang gültig ist und über eine App auf dem Handy wie z.B. der Google Authenticator, Passwörter App (iOS) generiert wird.

YubiKey (Hardware-Token)
Ein kleiner USB-Stick, auf dem ein Passkey gespeichert ist.  Sie stecken ihn ein, berühren die metallische Kontaktfläche und der Computer weiß, dass Sie es sind.

Wie richten Sie VPN mit MFA ein? Folgende Fragen sollten Sie mit "Ja" beantworten können 

Nutzen Sie mehr Faktoren als nur Ihr Passwort für den Login?

(Haken) Ja - Dann machen Sie mit Schritt 2 zur Einrichtung von OpenVPN Connect weiter. 

(Fehler) Nein - Sie benutzen bisher nur Ihr Passwort? Dann folgen Sie folgenden Schritten:

keycap: 1 Authenticator App (wie den Google Authenticator) installieren und ein zeitbasiertes Einmalpasswort (TOTP) einrichten: iOS und Android – Einmal-Passwörter für MFA einrichten / Set up TOTP token for MFA

Wir haben die Authentifizierung mit dem Google Authenticator, der Passwörter App (iOS) und Ente Auth (Windows) getestet. Sie können natürlich auch eine andere, bereits von Ihnen genutzte Authenticator App nutzen. Wichtig: installieren Sie die App bevor Sie den zweiten Faktor einrichten.

keycap: 2 Weitere Faktoren einrichten, bspw. in Form eines YubiKey:

Richten Sie weitere zweite Faktoren (Token) ein, damit Sie sich nicht aussperren (bspw. wenn Sie ein neues Handy haben und die Authenticator App auf dem Alten eingerichtet war).  

Sie können dazu einen Hardware-Token nutzen, den Sie an das genutzte Gerät stecken, oder Sie richten ein Passkey in Ihrem jeweiligen Betriebssystem ein, welches gerätegebunden ist (bspw. den TouchID Ihres Laptops oder Tablets auf dem Sie den HHU-VPN nutzen oder FaceID auf dem iPhone ist bspw. dann sinnvoll, wenn Sie mit dem Handy eine VPN Verbindung herstellen wollen).

(Frage)  Sind Sie Mitarbeiter:in an der HHU? Dann erhalten Sie als Starthilfe einen Yubikey (solange der Vorrat reicht). Mehr Informationen zur Reservierung und Einrichtung gibt es hier: MFA mit Hardware-Token einrichten

Steht Ihnen kein Hardware-Token zur Verfügung, können Sie, wie oben bereits erwähnt, auch einen Passkey in Ihrem Betriebssystem nutzen. Beachten Sie bitte, dass der Passkey dadurch gerätegebunden ist (Login auf dem Laptop mit einem Passkey, der auf dem Handy eingerichtet wurde, funktioniert nicht).

Nutzen Sie bereits OpenVPN Connect?

(Haken) Ja - sicher? So sieht das Symbol von OpenVPN Connect aus OpenVPN Logo.

(Fehler) Nein - Sie nutzen noch Tunnelblick (macOS), OpenVPN GUI oder den Networkmanager oder haben noch gar keinen Client? Dann folgen Sie der unten stehenden Anleitung für Ihr Endgerät.

keycap: 1 Wichtig: Deinstallieren Sie zuerst den alten Client und installieren Sie nun den OpenVPN Connect Client:

Haben Sie die richtige Konfigurationsdatei installiert?

(Haken) Ja. Dann können Sie die HHU-VPN Verbindung wie unten beschrieben starten.

(Fehler) Nein? Dann Gehen Sie auf https://mfa.vpn.hhu.de/ und laden Sie sich die Datei mit der Endung ".ovpn" herunter. Folgen Sie den Anleitungen für die weiteren Schritte.

VPN-Verbindung starten

Starten Sie OpenVPN Connect, indem Sie auf das Symbol Logo von OpenVPN Connect klicken

Klicken Sie auf den Regler links neben node1.vpn.hhu.de [HHU-VPN]

Es öffnet sich ein Browserfenster:

Geben Sie Ihre Unikennung und Ihr Passwort ein

Danach werden Sie nach dem zweiten Faktor gefragt:

z.B. TOTP-Code aus deiner App eingeben oder

den YubiKey betätigen


Wenn alles geklappt hat, wird "Login Success" angezeigt – Fertig!

English version

Why VPN?

VPN connections are critical access points to the internal network. A password alone is no longer sufficient to secure this key point.

Multi-factor authentication (MFA) doubly secures the login – for the university and for all users. Even if a password is compromised, access remains blocked for the attacker without a second factor.

Glossary

VPN (Virtual Private Network)

Establishes a protected connection to the university – as if you were on campus with your computer, even though you are at home.

MFA (multi-factor authentication)

Additional protection when logging in. In addition to username and password, you need a cell phone or a USB stick (e.g. YubiKey)

TOTP (Time-based one-time password)

Code that is valid for 30 seconds and is generated via an app on the cell phone, e.g. Google Authenticator or Passwords app (iOS).

YubiKey (hardware token)

A small USB stick on which a passkey is stored.  You insert it, touch the metal contact surfaces and the computer knows it's you.

How? You should be able to answer the following questions with "Yes" 

Have you already set up a second factor?

(Haken) Yes - Then proceed with step 2 (set up OpenVPN Connect to establish a VPN tunnel) 

(Fehler) No - You only use your password? Then follow these steps:

keycap: 1 Install Authenticator App and set up a time based one time password (TOTP): iOS und Android – Einmal-Passwörter für MFA einrichten / Set up TOTP token for MFA

We tested authentication with the Google Authenticator, the Passwords app (iOS) and Ente Auth (Windows). You can also use another authenticator app you are already currently working with. IMPORTANT: Install the app before you set up the second factor!

keycap: 2 Set up further factors, e.g. a YubiKey: 

Set up a second factor (Token) to prevent, that you are locked out (e.g. if you get a new cell phone and the authenticator app was on the old one).

You can use a hardware token that you plug into the device you are using, or you can set up a passkey in your respective operating system that is device-bound (e.g. the TouchID of your laptop or tablet with which you use the HHU-VPN or FaceID on the iPhone is useful if you want to establish a VPN connection with your cell phone).

(Frage)  Are you an HHU employee? Then you will receive a Yubikey to help you get started (while stocks last). More information on reservation and setup can be found here: MFA mit Hardware-Token einrichten

If you do not have a hardware token, you can also use a passkey in your operating system as mentioned above. Please note that the passkey is therefore device-bound (logging in on a laptop with a passkey that was set up on a cell phone does not work).

Are you currently using OpenVPN Connect?

(Haken) Yes - sure? The symbol for OpenVPN Connect looks like this:

(Fehler) No - Are you still using Tunnelblick (macOS), OpenVPN GUI or the Network Manager or do you not yet have a client? Then follow the instructions:

keycap: 1 Important: Deinstall the old VPN client first and then install OpenVPN Connect:

Have you installed the correct configuration file?

(Haken) Yes. You can then start the HHU VPN connection as described below.

(Fehler) No?Then go to https://mfa.vpn.hhu.de/ and download the "HHU-VPN" file with the ".ovpn" end. Follow the instructions for the further steps.

Start a VPN connection

Start OpenVPN Connect by clicking on the Logo von OpenVPN Connect icon.

Click on the slider to the left of node1.vpn.hhu.de [HHU-VPN].

A browser window will open:

Enter your university username and your password

You will then be asked for the second factor:

e.g. enter TOTP code from your app or

operate the YubiKey


If everything went well “Login success” is displayed – Done!

5 Kommentare

  1. Halupczok, Immanuel sagt:

    März 24, 2025

    Der Befehl

    openvpn3 config-acl --show --lock-down true --grant root --config HHU-ZIM-VPN-MFA

    ist falsch; es muss


    openvpn3 config-acl --show --lock-down true --grant root --config HHU-VPN

    heißen.
    Und: Nützlich ist auch zu wissen, wie man die vpn-Verbindung wieder beendet:

    openvpn3 session-manage --config HHU-VPN --disconnect


  2. Sippel, Hans Peter sagt:

    Apr. 30, 2025

    Hallo,

    vielleicht sollte etwas deutlicher dargestellt werden, dass die Configdatei 'HHU-VPN.ovpn' für den Windows Client von 'mfa.vpn.hhu.de' geladen werden muss.

    In der oben verlinkten Anleitung zur Installation und Konfiguration ist der Server ohne MFA 'vpn.hhu.de' angegeben. Da ist schnell die gleichnamige Datei heruntergeladen und installiert und die Mehrfaktorauthentifizierung damit umgangen! 

    Grüße

  3. Braun, Rüdiger Winfried sagt:

    Mai 01, 2025

    Zumindist, wenn DISTRO=jammy sollte der mit echo "deb…" beginnende Befehl wie folgt lauten

    echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/openvpn.asc] https://packages.openvpn.net/openvpn3/debian $DISTRO main" | sudo tee /etc/apt/sources.list.d/openvpn-packages.list

    bei mir scheitert die Installation sonst an fehlender i386-Unterstützung.

    Die Bemerkungen meiner beiden Vorredner würde ich so umsetzen, dass ich 


    openvpn3 config-import --config ~/Downloads/HHU-VPN.ovpn --name HHU-ZIM-VPN-MFA --persistent

    verwende, um die MFA-Konfiguration von der bestehenden zu unterscheiden.  Dann ist der vom Immi Halupczok monierte Befehl wieder richtig und der Tunnel wird aufgebaut mit

    openvpn3 session-start --config HHU-ZIM-VPN-MFA

    Damit ist dann auch klar, wie man notfalls eine Verbindung ohne MFA einrichtet.


  4. Schiefer, Sebastian sagt:

    Aug. 12, 2025

    Die Anleitung ist ein wenig löchrig

    1)

    Ich hatte unter Linux Mint 22 wilma das gleich Problem wie Rüdiger Braun. 

    $DISTRO  war bei mir 'wilma'. Für Linux Mint kann man  inxi -Sx

    eingeben, das gibt einem die Ubuntu base auf der Mint aufgebaut ist:

    
~$ inxi -Sx
System:
  Host: sebis-MS-7C35 Kernel: 6.8.0-62-generic arch: x86_64 bits: 64
    compiler: gcc v: 13.3.0
  Desktop: Cinnamon v: 6.2.9 Distro: Linux Mint 22 Wilma
    base: Ubuntu 24.04 noble

    'noble' ist das was man unter Linux Mint 22 für DISTRO dann eintragen muss, damit der befehl zum hinzufügen des package repos gültig bleibt: 

    DISTRO="noble"

    2)

     Die Anmerkung unter Schritt 1, dass die Einrichtung eines zweiten Faktors nur auf dem HHU Campus möglich ist, ist falsch. Ich habe den zweiten Faktor von Zuhause aus eingerichtet, über den normalen vpn vpn.hhu.de.

    Ich habe mir dadurch dass ich es zuerst durch den normalen vpn Zugang versucht habe einen 2 Stunden Trip gespart :)

    3)

     Die Anleitung gibt an, dass man 'die Datei mit der Endung ".ovpn" ' runterladen soll. Auf der Seite gibt es aber zwei Dateien mit der .ovpn Endung, einmal HHU-VPN und einmal HHU-VPN-Intern. Mir ist nicht klar, wie die beiden sich unterscheiden. Vielleicht könnte man hier ergänzen, welche von beiden man herunterladen soll. Idealerweise sogar noch worin die beiden sich unterscheiden.

    ich habe für hhu.vpn.de die ohne intern heruntergeladen und es hat geklappt. Ich vermute mal, für den mfa vpn funktioniert es genauso.

    4)

    Vielleicht eher eine QoL Anmerkung, aber die vpn Profile unter vpn.hhu.de sowie unter mfa.vpn.hhu.de heissen beide 'HHU-VPN' und 'HHU-VPN-Intern'

    Da es zwei vpn Dienste gibt ist es vermutlich nicht sinnvoll, dass beide Dateien gleich heissen. Vor allem, wenn man das alte Profil beibehalten und umbenennen soll. Warum nicht die mfa-Datei direkt als "HHU-VPN-MFA" anbieten und die ganze Sache vereinheitlichen?

  5. Rose, Lukas sagt:

    Aug. 13, 2025

    Schiefer, Sebastian : Vielen Dank für die Hinweise. Das VPN ohne MFA ist nicht mehr für alle Personengruppen der HHU verfügbar, und wurde daher hier nicht erwähnt. Eine Möglichkeit zur Verwaltung der MFA-Token komplett ohne VPN wird derzeit evaluiert.

    In der deutschen Version der Anleitung fehlt tatsächlich der Verweis auf die HHU-VPN-Konfiguration, diese ist in der englischen Anleitung und auch auf der verlinkten Seite Austausch Konfigurations-Datei für HHU-VPN vorhanden. Die Datei mit dem Zusatz -Intern leitet nur campusinterne Dienste durch das VPN, die normale Konfigurationsdatei den gesamten Internetverkehr, das ist z.B. zur Nutzung vieler Fach- und Literaturdatenbanken erforderlich.