diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 3e2b35a..eb1d785 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -476,15 +476,15 @@ Zusätzlich würde ein VPN-Tunnel auf OSI-Layer~2 mehr Bandbreite benötigen: IP Aus diesen Gründen fällt die Wahl auf VPN-Tunnel auf OSI-Layer~3. \paragraph{Netzwerkkonfiguration} -Da der OpenVPN-Dienst aus dem Internet heraus erreichbar sein soll, wird er an das DMZ-Netz angeschlossen. +Da der OpenVPN-Dienst aus dem Internet heraus erreichbar sein soll, wird der Server an das DMZ-Netz angeschlossen. Das IT-Team hat dafür insgesamt vier IPv4- und IPv6-Adressen vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen. Über ein Paar aus je einer IPv4- und IPv6-Adresse kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung zu dem Server aufzubauen. Über ein weiteres Paar von IP-Adressen wird der eigentliche OpenVPN-Dienst zur Verfügung gestellt. -Um die VPN-Clients über den OpenVPN-Server via Routing an das Netz der Abteilung Informatik anzubinden, werden für IPv4 und IPv6 jeweils ein Adressbereich benötigt, der für die - -Routing: Neues IPv6-Netz durch FW-INFORM an Dienst-Adresse geroutet -IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen +Um Datenverkehr zwischen den VPN-Clients und dem Netz der Abteilung Informatik routen zu können, wird für IPv4 und IPv6 jeweils ein IP-Adressbereich benötigt, aus dem die VPN-Clients ihre Adressen zugewiesen bekommen können. +Für IPv4 wurde der private Adressbereich \texttt{10.2.0.0/16} durch das IT-Team vergeben. +Für IPv6 wurde das Netz \texttt{2001:638:614:1750::/64} vergeben, welches durch die Firewall der Abteilung Informatik an die zuvor vergebene IPv6-Dienstadresse geroutet wird. +Damit VPN-Clients über IPv4 mit dem Abteilungsnetz kommunizieren können, wird der private IPv4-Adressebereich für die VPN-Clients durch den VPN-Server via \textit{Network Address Translation} (NAT) auf die IPv4-Dienstadresse übersetzt. \paragraph{Failover} Dienst-IP-Adresse wird manuell auf A deaktiviert und auf B aktiviert um ein simples Failover bei identischer Konfiguration von zwei Maschinen zu erreichen.