diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 27d2b0d..66a7196 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -488,11 +488,11 @@ Aus diesen Gründen fällt die Wahl auf VPN-Tunnel auf OSI-Layer~3. \paragraph{Netzwerkkonfiguration} Da der OpenVPN-Dienst aus dem Internet heraus erreichbar sein soll, wird der Server an das DMZ-Netz angeschlossen. Das IT-Team hat dafür insgesamt vier IPv4- und IPv6-Adressen vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen. -Über ein Paar aus je einer IPv4- und IPv6-Adresse kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung zu dem Server aufzubauen. -Über ein weiteres Paar von IP-Adressen wird der eigentliche OpenVPN-Dienst zur Verfügung gestellt. +Über die vergebenen IPv4- und IPv6-Hostadressen kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung zu dem Server aufzubauen. +Über ein weiteres Paar von IP-Dienstadressen wird der eigentliche OpenVPN-Dienst zur Verfügung gestellt. -Um Datenverkehr zwischen den VPN-Clients und dem Netz der Abteilung Informatik routen zu können, wird für IPv4 und IPv6 jeweils ein IP-Adressbereich benötigt, aus dem die VPN-Clients ihre Adressen zugewiesen bekommen können. -Für IPv4 wurde der private Adressbereich \texttt{10.2.0.0/16} durch das IT-Team vergeben. +Um Datenverkehr zwischen den VPN-Clients und dem Netz der Abteilung Informatik routen zu können, wird für IPv4 und IPv6 jeweils ein IP-Adressbereich benötigt, aus dem die VPN-Clients ihre Clientadressen zugewiesen bekommen können. +Für IPv4 wurde das private Netz \texttt{10.2.0.0/16} durch das IT-Team vergeben. Für IPv6 wurde das Netz \texttt{2001:638:614:1750::/64} vergeben, welches durch die Firewall der Abteilung Informatik an die zuvor vergebene IPv6-Dienstadresse geroutet wird. Damit VPN-Clients über IPv4 mit dem Abteilungsnetz kommunizieren können, wird der private IPv4-Adressebereich für die VPN-Clients durch den VPN-Server via \textit{Network Address Translation} (NAT) auf die IPv4-Dienstadresse übersetzt. @@ -540,7 +540,7 @@ proto udp6 multihome \end{lstlisting} OpenVPN beantwortet damit Anfragen für alle auf dem Server konfigurierten IP-Adres\-sen. -Da auf dem Server neben den Dienstadressen auch die Maschinenadressen existieren, wird OpenVPN mit \texttt{multihome} angewiesen, eingehende Pakete mit der IP-Adresse zu beantworten, an die diese Pakete gerichtet waren. +Da auf dem Server neben den Dienstadressen auch die Hostadressen existieren, wird OpenVPN mit \texttt{multihome} angewiesen, eingehende Pakete mit der IP-Adresse zu beantworten, an die diese Pakete gerichtet waren. In der \textbf{Clientkonfiguration} wird OpenVPN mit \texttt{nobind} angewiesen, den Clientsocket nicht an eine lokale Adresse zu binden. Die Angaben \texttt{port} und \texttt{proto} legen fest, wie der VPN-Server zu erreichen ist. Über \texttt{remote} wird dann der zu verwendende VPN-Server explizit genannt.