This commit is contained in:
Jan Philipp Timme 2018-10-09 15:59:10 +02:00
parent 711c0c8bcc
commit 10eceedf28

View File

@ -467,17 +467,21 @@ Damit der OpenVPN-Server immer Zugriff auf eine aktuelle CRL hat, wird ein Cronj
\chapter{Konzeption des VPN-Servers} \label{cpt:concept_vpn_server}
In diesem Kapitel wird gezeigt, wie der Server für den VPN-Dienst installiert und konfiguriert wird. Wie in Abschnitt~\ref{sct:requirements} bereits geklärt, wird laut Anforderung \ref{req:serveros} Debian~9 als Betriebssystem verwendet.
Die Konfiguration des Betriebssystems erfolgt dabei nach den Vorgaben des IT-Teams, damit der Dienst möglichst ohne zusätzliche Arbeiten als Produktivsystem übernommen werden kann.
Die Konfiguration des Betriebssystems erfolgt dabei nach den Vorgaben des IT-Teams, damit der Dienst ohne zusätzliche Arbeiten als Produktivsystem übernommen werden kann.
Mit OpenVPN ist es möglich einen VPN-Tunnel einzurichten, der entweder über eine Netzwerkbrücke (Layer~2) oder durch Routing (Layer~3) an das lokale Netzwerk angebunden werden kann.
Für den Anwendungsfall dieser Arbeit ist nur die Erreichbarkeit des Netzes der Abteilung Informatik über IPv4 und IPv6 relevant, sodass der Betrieb mit Routing auf Layer~3 ausreicht.
\paragraph{Netzwerkkonfiguration}
Da der Server einen Dienst anbieten soll, der aus dem Internet heraus erreichbar sein soll, wird er in der DMZ platziert.
In diesem Zuge wurden gleich mehrere IP-Adressen durch das IT-Team vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen.
So erhält der physische Server zunächst die IP-Adressen \texttt{141.71.38.70} und \texttt{2001:638:614:1780::131}.
Diese Adressen werden für administrative Aufgaben auf dem Server benutzt, zum Beispiel um eine SSH-Sitzung aufzubauen.
Zusätzlich dazu wurden die IP-Adressen \texttt{141.71.38.7} und \texttt{2001:638:614:1780::7} vergeben, über die der OpenVPN-Dienst später über das Internet erreicht werden soll.
In diesem Zuge wurden gleich mehrere IPv4- und IPv6-Adressen durch das IT-Team vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen.
Über ein Paar aus je einer IPv4- und IPv6-Adresse kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung aufzubauen.
Über ein weiteres Paar von IP-Adressen wird der eigentliche OpenVPN-Dienst zur Verfügung gestellt.
IP-Adressen für Maschine und für Dienst getrennt
Für die VPN-Clients
Routing: Neues IPv6-Netz durch FW-INFORM an Dienst-Adresse geroutet
IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen