\section{Einleitung} \begin{frame}{Situation von IPv4 und IPv6} Allgemein: \begin{itemize} \item Öffentliche IPv4-Adressen sind fast vollständig erschöpft \begin{itemize} \item Internetanbieter setzen stellenweise auf Carrier-grade NAT \end{itemize} \item Immer mehr Internetanschlüsse werden auch mit IPv6 versorgt \end{itemize} In der Abteilung Informatik: \begin{itemize} \item IPv6 wird seit wenigen Jahren erprobt \item Seit Anfang 2018 über natives IPv6-Routing versorgt \end{itemize} \ \newline $\rightarrow$ Ein IPv6-fähiger VPN-Dienst soll den existierenden IPv4-VPN-Dienst ablösen. \end{frame} \begin{frame}{Definition: \textit{Virtual Private Network} (VPN)} \begin{itemize} \item \textit{Virtual}: Es existiert nur logisch, nicht physisch \item \textit{Private}: Nur die VPN-Teilnehmer wissen davon \item \textit{Network}: VPN-Teilnehmer werden direkt über das Netzwerk verbunden \end{itemize} \begin{block}{\textbf{Beispiel} Pen-\&-Paper-Rollenspiel} Spielteilnehmer tauschen Informationen über Zettel aus, als säßen sie gemeinsam an einem Tisch. \\ Die Zettel werden aber im Umschlag per Post zwischen den Teilnehmern transportiert. \end{block} \end{frame} \begin{frame}{Wie funktioniert ein VPN?} \begin{figure}[ht] \centering \includegraphics[trim=75 610 135 75,clip,width=\textwidth]{img/VPN-Skizze.pdf} \caption{Beispielszenario: VPN-Verbindung zwischen Alice und Bob} \end{figure} \end{frame} \section{Arbeitsauftrag} \begin{frame}{Arbeitsauftrag} Ein IPv6-fähiger VPN-Dienst soll den existierenden IPv4-VPN-Dienst ablösen. \begin{itemize} \item IPv6 und IPv4 sollen \end{itemize} \end{frame} \begin{frame}{Anforderungen} \begin{itemize} \item Dual-Stack-Betrieb: IPv6 und IPv4 sollen \end{itemize} \end{frame} \begin{frame}{Anforderungen (1/2)} \begin{itemize} \item \textbf{Dual-Stack-Betrieb}: Erreichbar über IPv6 und IPv4, Unterstützung von IPv6 und IPv4 innerhalb des VPNs % Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein und auch innerhalb des VPN diese beiden Protokolle anbieten. \item \textbf{VPN-interner Datenverkehr}: Interne Abteilungsnetze sollen über VPN erreichbar sein, VPN-Clients dürfen nicht mit anderen VPN-Clients kommunizieren % Nur die internen Netzbereiche der Abteilung Informatik sollen für Benutzer über das VPN erreichbar sein. % Das betrifft alle Sicherheitszonen außer dem Internet. % Neue Verbindungen aus allen Sicherheitszonen in das VPN-Netz sind verboten. % VPN-Clients dürfen nicht im VPN untereinander kommunizieren. % VPN-Clients dürfen durch das VPN nicht auf NFS-Dienste zugreifen. \item \textbf{VPN-externer Datenverkehr}: Authentisierte, vertrauliche Kommunikation zwischen VPN-Clients und -Server % Die Kommunikation zwischen VPN-Client und VPN-Server soll authentisiert und vertraulich stattfinden. \item \textbf{Benutzer}: Beschäftigte und Studierende der Abteilung Informatik, Kapazität für 50-500 Benutzern % Der VPN-Dienst soll nur von autorisierten Beschäftigten und Studierenden aus der Abteilung Informatik benutzt werden können. % Die Benutzer des VPN-Dienstes sollen durch die Administratoren des VPN-Dienstes einfach verwaltet werden können. % Der Dienst soll 50-500 VPN-Benutzer bedienen können. \end{itemize} \end{frame} \begin{frame}{Anforderungen (2/2)} \begin{itemize} \item \textbf{Betrieb des VPN-Servers}: Debian~9 (oder höher) wird als Serverbetriebssystem vorgegeben % Die Serverkomponente des VPN-Dienstes soll auf einer aktuellen Version von Debian (9 oder höher) betrieben werden. \item \textbf{Betrieb der VPN-Clients}: Moderne Versionen von Linux, MacOS und Windows sollen unterstützt werden % Die VPN-Clientsoftware soll für aktuelle Versionen gängiger Betriebssysteme zur Verfügung stehen. % Darunter fallen Microsoft Windows 10 (Version~1709 oder höher), Apple MAC OS (ab Version~10.13) und Linux-Distributionen (ab Kernel Version~3.10). \item \textbf{Betriebsprotokoll}: VPN-Dienst soll DSGVO-konform protokollieren % In Bezug auf die \textit{Datenschutzgrundverordnung} (DSGVO) soll der VPN-Dienst im Regelbetrieb keine personenbezogenen Daten protokollieren. \item \textbf{Finanzieller Rahmen}: 0€ stehen zur Verfügung % Für die Umsetzung des VPN-Dienstes muss auf kostenfreie Software und die bestehende Infrastruktur (Server, Netze, \dots) der Abteilung Informatik zurückgegriffen werden, da keine finanziellen Mittel für den Erwerb einer VPN-Lösung zur Verfügung stehen. \end{itemize} \end{frame} \begin{frame}{Überblick: Netzwerk der Abteilung Informatik} \begin{figure}[ht] \centering \includegraphics[width=\textwidth]{img/Netzwerktopologie_simpelv2_with_addresses.pdf} \caption{Topologie des Abteilungsnetzes (vereinfachte Skizze)} \end{figure} \end{frame} \section{Konzept} \begin{frame} Irgendwas über das Konzept \end{frame} \begin{frame}{VPN-Konzept} \begin{figure}[ht] \centering \includegraphics[width=\textwidth]{img/VPN-Service-Concept.pdf} \caption{Installationskonzept für den VPN-Dienst} \end{figure} \end{frame} \section{VPN-Software} \begin{frame}{OpenVPN} \end{frame} \begin{frame}{IPsec mit StrongSwan} \end{frame} \begin{frame}{Wireguard} \end{frame} \section{Installation und Konfiguration} \begin{frame}{VPN-Installationsplan} \begin{figure}[ht] \centering \includegraphics[width=\textwidth]{img/OpenVPN-Deployment.pdf} \caption{Installation des IPv6-VPN mit OpenVPN und EasyRSA} \label{fig:vpn_service_concept} \end{figure} \end{frame} \section{Fazit/Ausblick} \begin{frame}{EOF} Haben Sie Fragen? \end{frame} % Probably not used, not sure yet. \begin{comment} \begin{frame}{Literaturverzeichnis} % Literaturverzeichnis % Schlüssel als Buchstaben \bibliographystyle{alpha} \bibliography{Literaturverweise} % Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil! \addcontentsline{toc}{chapter}{Literaturverweise} \end{frame} \end{comment} % The end.