JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Autosave

This commit is contained in:
Jan Philipp Timme 2018-10-09 16:41:21 +02:00
parent 750c5c7566
commit 63bda5ec29
1 changed files with 5 additions and 5 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

10
MA-Inhalt.tex
View File

@ -476,15 +476,15 @@ Zusätzlich würde ein VPN-Tunnel auf OSI-Layer~2 mehr Bandbreite benötigen: IP
Aus diesen Gründen fällt die Wahl auf VPN-Tunnel auf OSI-Layer~3.
\paragraph{Netzwerkkonfiguration}
Da der OpenVPN-Dienst aus dem Internet heraus erreichbar sein soll, wird er an das DMZ-Netz angeschlossen.
Da der OpenVPN-Dienst aus dem Internet heraus erreichbar sein soll, wird der Server an das DMZ-Netz angeschlossen.
Das IT-Team hat dafür insgesamt vier IPv4- und IPv6-Adressen vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen.
Über ein Paar aus je einer IPv4- und IPv6-Adresse kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung zu dem Server aufzubauen.
Über ein weiteres Paar von IP-Adressen wird der eigentliche OpenVPN-Dienst zur Verfügung gestellt.
Um die VPN-Clients über den OpenVPN-Server via Routing an das Netz der Abteilung Informatik anzubinden, werden für IPv4 und IPv6 jeweils ein Adressbereich benötigt, der für die
Routing: Neues IPv6-Netz durch FW-INFORM an Dienst-Adresse geroutet
IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen
Um Datenverkehr zwischen den VPN-Clients und dem Netz der Abteilung Informatik routen zu können, wird für IPv4 und IPv6 jeweils ein IP-Adressbereich benötigt, aus dem die VPN-Clients ihre Adressen zugewiesen bekommen können.
Für IPv4 wurde der private Adressbereich \texttt{10.2.0.0/16} durch das IT-Team vergeben.
Für IPv6 wurde das Netz \texttt{2001:638:614:1750::/64} vergeben, welches durch die Firewall der Abteilung Informatik an die zuvor vergebene IPv6-Dienstadresse geroutet wird.
Damit VPN-Clients über IPv4 mit dem Abteilungsnetz kommunizieren können, wird der private IPv4-Adressebereich für die VPN-Clients durch den VPN-Server via \textit{Network Address Translation} (NAT) auf die IPv4-Dienstadresse übersetzt.
\paragraph{Failover}
Dienst-IP-Adresse wird manuell auf A deaktiviert und auf B aktiviert um ein simples Failover bei identischer Konfiguration von zwei Maschinen zu erreichen.