From 2bf621c01d9be09640ead87657a4f515e26e70cb Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Sat, 13 Oct 2018 17:39:57 +0200 Subject: [PATCH] Autosave --- MA-Anhang.tex | 7 +++++++ MA-Inhalt.tex | 38 +++++++++++++++++++++++++++----------- MA-Master.tex | 6 +++--- 3 files changed, 37 insertions(+), 14 deletions(-) diff --git a/MA-Anhang.tex b/MA-Anhang.tex index 7b04c96..32cba80 100644 --- a/MA-Anhang.tex +++ b/MA-Anhang.tex @@ -8,5 +8,12 @@ \label{fig:topology_provided_full} \end{figure*} + +\section*{OpenVPN Clientkonfiguration} +\lstinputlisting[]{./openvpn-config/client.conf} + +\section*{OpenVPN Serverkonfiguration} +\lstinputlisting[]{./openvpn-config/server.conf} + % Input the existing documentation of the CA which may also be compiled seperately (soon(tm)) %\input{./CA-DOC-Inhalt.tex} diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index a994f86..63d5dee 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -16,10 +16,12 @@ Mitarbeitern und Studenten der Abteilung Informatik steht ein VPN-Dienst zur Ver Bisher ist dieser Dienst nur über IPv4 erreichbar und ermöglicht den Zugang in das Abteilungsnetz ausschließlich über IPv4. \newpage Im Rahmen dieser Masterarbeit soll ein neuer, IPv6-fähiger VPN-Dienst konzipiert werden, der die Idee des bisherigen IPv4-VPN-Dienst aufgreift. -Dafür wird zunächst die Netzarchitektur der Abteilung Informatik inklusive dem Firewallkonzept vorgestellt. +Dafür wird zunächst die zukünftige Umgebung des VPN-Dienstes, die Netzarchitektur der Abteilung Informatik, inklusive ihrem Firewallkonzept vorgestellt. Anschließend werden alle Rahmenbedingungen und Anforderungen erfasst, die bei der Konzeption des neuen VPN-Dienst berücksichtigt werden sollen. -In der darauf folgenden Konzeptphase werden zunächst grundlegende, lösungsunabhängige Entscheidungen getroffen, auf Basis derer dann eine technischen Lösung ausgewählt wird. -\todo{Danach geht es weiter mit der Planung der konkreten Lösung, der Installation und der Dokumentation.} +Anhand der daraus abgeleiteten Bedingungen werden mögliche Software-Kandidaten vorgestellt und aus ihnen eine Auswahl getroffen. +Anschließend wird ein Konzept zur Verwaltung der VPN-Benutzer erschaffen und die Konfiguration des VPN-Servers anhand der Anforderungen festgelegt. + +Die im Rahmen dieser Arbeit erzeugten Dokumente sind dem Anhang beigefügt. \chapter{Netzarchitektur der Abteilung Informatik} \label{cpt:netarchitecture} @@ -514,8 +516,10 @@ Die Veröffentlichung von Konfigurationsdateien und Anleitungen für VPN-Benutze \paragraph{Aktualisierung der CRL} Damit der OpenVPN-Server immer Zugriff auf eine aktuelle CRL hat, wird ein Cronjob via \texttt{crontab -e} unter dem Benutzer \texttt{root} eingerichtet, der über die EasyRSA-Skripte eine neue CRL erzeugt und diese anschließend mit den zuvor erläuterten Dateirechten in \texttt{/public} platziert. +Details zur Benutzung der CA sind in dem Dokument \enquote{Dokumentation der Zertifizierungsstelle für den IPv6-VPN-Dienst} im Anhang dieser Arbeit zu finden. -\chapter{Konzeption des VPN-Servers} \label{cpt:concept_vpn_server} + +\chapter{Konfiguration des VPN-Servers} \label{cpt:concept_vpn_server} In diesem Kapitel wird gezeigt, wie der Server für den VPN-Dienst installiert und konfiguriert wird. Wie in Abschnitt~\ref{sct:requirements} bereits geklärt, wird laut Anforderung \ref{req:serveros} Debian~9 als Betriebssystem verwendet. Die Konfiguration des Betriebssystems erfolgt dabei nach den Vorgaben des IT-Teams, damit der Dienst ohne zusätzliche Arbeiten als Produktivsystem übernommen werden kann. @@ -563,6 +567,8 @@ Datenverkehr, der aus dem VPN-Netz wieder in das VPN-Netz geroutet wird, soll ve Datenverkehr aus dem VPN-Netz über TCP oder UDP auf Port~2049 (NFS) wird verworfen. Jeglicher weiterer Datenverkehr aus dem VPN-Netz heraus ist gestattet. +Alle Details zu Installation und Betrieb des VPN-Servers sind in dem Dokument \enquote{IPv6-VPN Serverdokumentation} im Anhang dieser Arbeit zu finden. + \section{Konfiguration von OpenVPN} Nach Einrichtung des Servers wird in diesem Schritt die Konfiguration des OpenVPN-Servers im Detail erläutert. @@ -597,6 +603,7 @@ Bei Interesse kann eine detaillierte Analyse der Probleme der TCP-in-TCP-Situati \paragraph{IP-Adressen im VPN-Tunnel} Die vom IT-Team vergebenen IP-Adressbereiche für VPN-Clients werden durch den OpenVPN-Server an die Clients vergeben. +Für das vergebene IPv4-Netz wurde berücksichtigt, dass bis zu 500 VPN-Clients mit IP-Adressen versorgt werden können, indem ein \texttt{/16}-Block vergeben wurde. In der Konfiguration des Clients sind keine Anweisungen notwendig. Die \textbf{Serverkonfiguration} enthält diese Anweisungen: \begin{lstlisting} @@ -786,17 +793,26 @@ Eine solche Liste ist nützlich um die Auslastung des Servers zu überwachen. status inform/status.log \end{lstlisting} +Damit ist die Erzeugung der OpenVPN-Konfiguration für Client und Server abgeschlossen. +Die resultierenden Konfigurationdateien befinden sich im Anhang dieser Arbeit. + \chapter{Fazit} -Wie ist es gelaufen, gab es Probleme? Wie macht sich OpenVPN als Lösung? -Gibt es vielleicht Szenarien, in denen sich IPsec doch lohnt? -Ja - eventuell. Sehr große Enterprise-Umgebungen, in denen die personellen Ressourcen für die korrekte Konfiguration vorhanden sind. -Da kann man in homogenen Umgebungen sinnvolle IPsec-Konfigurationen auf hunderten oder tausenden Geräte einrichten. +In dieser Arbeit wird ein IPv6-VPN-Dienst für die Abteilung Informatik anhand von gegebenen Anforderungen mit OpenVPN konzipiert und umgesetzt. +Alle für die Installation und den Betrieb notwendigen Anleitungen befinden sich im Anhang dieser Arbeit: +\begin{itemize} +\item Benutzeranleitung für das IPv6-VPN der Abteilung Informatik +\item Dokumentation der Zertifizierungsstelle für den IPv6-VPN-Dienst +\item IPv6-VPN Serverdokumentation +\end{itemize} -Der Einsatz von IPsec ist für die Umsetzung eines VPN in das Netzwerk einer Fakultätsabteilung ein Schuss mit einer Kanone auf Spatzen. -In großen Umgebungen eines Konzerns kann die Situation schon etwas anders aussehen: Sofern die IT-Landschaft in einem Konzern homogen aufgestellt ist, könnten auf IPsec spezialisierte Administratoren über Konfigurationsmanagement wie zum Beispiel das Active Directory von Microsoft eine Steigerung der Netzwerksicherheit erzielen oder Außendienstmitarbeitern einen nahtlosen Anschluss an das Firmennetzwerk bieten. +Während der Auswahl der VPN-Software hat sich gezeigt, dass OpenVPN eine flexible und - im Vergleich zu IPsec - unkomplizierte und quelloffene VPN-Lösung bietet, die auf allen gängigen Client-Betriebssystemen lauffähig ist. +Dabei + +IPsec ist grundsätzlich nicht schlecht, aber für andere Zwecke vielleicht besser geeignet \section{Ausblick} -Es gibt da noch etwas mit dem schönen Namen Wireguard. Mit gewollt geringer Komplexität und einem aktuellen Umfang von etwa 4000 Zeilen Code ist es eine würdige Alternative zu IPsec. +Es gibt da noch etwas mit dem schönen Namen Wireguard. Mit gewollt geringer Komplexität und einem aktuellen Umfang von etwa 4000 Zeilen Code ist es eine würdige Alternative zu IPsec und OpenVPN. + Auch OpenVPN in Version~3 ist schon in der Beta - das könnte man auch im Auge behalten. diff --git a/MA-Master.tex b/MA-Master.tex index f40baf9..e7cd36d 100644 --- a/MA-Master.tex +++ b/MA-Master.tex @@ -32,9 +32,6 @@ % Inhalte \input{MA-Inhalt.tex} -% Anhang -\input{MA-Anhang.tex} - % Literaturverzeichnis \clearpage % Schlüssel als Buchstaben @@ -45,5 +42,8 @@ % Literaturverzeichnis zum Inhaltsverzeichnis hinzufügen \addcontentsline{toc}{chapter}{Literaturverweise} +% Anhang +\input{MA-Anhang.tex} + \end{document} % Nothing beyond this line! \ No newline at end of file