Autosave
This commit is contained in:
parent
f49ce784b6
commit
0af763f591
@ -515,10 +515,35 @@ Jeglicher weiterer Datenverkehr aus dem VPN-Netz heraus ist gestattet.
|
|||||||
|
|
||||||
|
|
||||||
\section{Konfiguration von OpenVPN}
|
\section{Konfiguration von OpenVPN}
|
||||||
Nachdem in den vorangegangenen Teilen der Arbeit alle für die Erstellung der OpenVPN-Konfiguration notwendigen Informationen ermittelt wurden, wird hier gezeigt und erklärt, wie sich die Client- und Serverkonfigurationen für OpenVPN ergeben.
|
Nach der Einrichtung des Servers wird in diesem Schritt die Konfiguration des OpenVPN-Servers im Detail erläutert.
|
||||||
Dabei werden alle vorgenommenen Entscheidungen beleuchtet.
|
|
||||||
|
|
||||||
\paragraph{Erreichbarkeit des Dienstes}
|
\paragraph{Erreichbarkeit des Dienstes}
|
||||||
|
Laut Anforderung~\ref{req:dualstack} aus Abschnitt~\ref{sct:requirements} soll der VPN-Dienst über IPv4 und IPv6 aus dem Internet erreichbar sein.
|
||||||
|
Als Ausgangspunkt dafür wird der DNS-Name des VPN-Dienst verwendet, der auf die IPv4- und IPv6-Dienstadresse zeigt.
|
||||||
|
|
||||||
|
\textbf{Server}
|
||||||
|
In der Serverkonfiguration reichen die ersten drei Zeilen aus, um über IPv4 und IPv6 auf UDP-Port~1194 den VPN-Dienst anzubieten:
|
||||||
|
\begin{lstlisting}
|
||||||
|
port 1194
|
||||||
|
proto udp
|
||||||
|
proto udp6
|
||||||
|
multihome
|
||||||
|
\end{lstlisting}
|
||||||
|
OpenVPN beantwortet damit Anfragen für alle auf dem Server konfigurierten IP-Adressen.
|
||||||
|
Da auf dem Server neben den Dienstadressen auch die Maschinenadressen existieren, wird OpenVPN mit \texttt{multihome} angewiesen, eingehende Pakete mit der IP-Adresse zu beantworten, an die diese Pakete gerichtet waren.
|
||||||
|
|
||||||
|
\textbf{Client}
|
||||||
|
In der Clientkonfiguration wird OpenVPN mit \texttt{nobind} angewiesen, den Clientsocket nicht an eine lokale Adresse zu binden. Die Angaben \texttt{port} und \texttt{proto} legen fest, wie der VPN-Server zu erreichen ist.
|
||||||
|
Über \texttt{remote} wird dann der zu verwendende VPN-Server explizit genannt.
|
||||||
|
Die Erreichbarkeit über IPv4 und IPv6 ergibt sich aus den im DNS eingetragenen IP-Adressen.
|
||||||
|
\begin{lstlisting}
|
||||||
|
nobind
|
||||||
|
port 1194
|
||||||
|
proto udp
|
||||||
|
remote vpn-test.inform.hs-hannover.de 1194
|
||||||
|
\end{lstlisting}
|
||||||
|
|
||||||
|
|
||||||
Horcht auf IPv4 und IPv6, Client kann über DNS beide Adressen auflösen und je nach Verfügbarkeit der Protokolle die Sitzung aufbauen.
|
Horcht auf IPv4 und IPv6, Client kann über DNS beide Adressen auflösen und je nach Verfügbarkeit der Protokolle die Sitzung aufbauen.
|
||||||
Wir machen UDP, weil TCP in Kombination mit TCP im Tunnel Probleme bezüglich der ECN machen kann\cite[][Option \texttt{--proto}]{man:openvpn}
|
Wir machen UDP, weil TCP in Kombination mit TCP im Tunnel Probleme bezüglich der ECN machen kann\cite[][Option \texttt{--proto}]{man:openvpn}
|
||||||
Ein tieferer Blick auf die TCP-in-TCP-Situation kann bei Interesse in \cite[][]{analysis:tcpintcp} nachgelesen werden.
|
Ein tieferer Blick auf die TCP-in-TCP-Situation kann bei Interesse in \cite[][]{analysis:tcpintcp} nachgelesen werden.
|
||||||
|
Loading…
Reference in New Issue
Block a user