JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Autosave

This commit is contained in:
Jan Philipp Timme 2018-10-09 16:32:24 +02:00
parent 01b58755bb
commit 750c5c7566
1 changed files with 9 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

16
MA-Inhalt.tex
View File

@ -469,18 +469,20 @@ Damit der OpenVPN-Server immer Zugriff auf eine aktuelle CRL hat, wird ein Cronj
In diesem Kapitel wird gezeigt, wie der Server für den VPN-Dienst installiert und konfiguriert wird. Wie in Abschnitt~\ref{sct:requirements} bereits geklärt, wird laut Anforderung \ref{req:serveros} Debian~9 als Betriebssystem verwendet.
Die Konfiguration des Betriebssystems erfolgt dabei nach den Vorgaben des IT-Teams, damit der Dienst ohne zusätzliche Arbeiten als Produktivsystem übernommen werden kann.
Mit OpenVPN ist es möglich einen VPN-Tunnel einzurichten, der entweder über eine Netzwerkbrücke (OSI Layer~2) oder durch Routing (OSI Layer~3) an das lokale Netzwerk angebunden werden kann.
Für den Anwendungsfall dieser Arbeit ist nur die Erreichbarkeit des Netzes der Abteilung Informatik über IPv4 und IPv6 relevant, sodass der Betrieb mit Routing auf Layer~3 ausreicht.
OpenVPN unterstützt den Aufbau eines VPN-Tunnels auf OSI-Layer~2 und OSI-Layer~3.
Im Prinzip könnten beide Tunnelvarianten für den Anwendungsfall dieser Arbeit verwendet werden.
Da im Rahmen dieser Arbeit nur die Erreichbarkeit über IPv4 und IPv6 relevant ist, wird ein VPN-Tunnel auf OSI-Layer~2 nicht benötigt.
Zusätzlich würde ein VPN-Tunnel auf OSI-Layer~2 mehr Bandbreite benötigen: IP-Pakete würden inklusive der dazugehörigen Ethernet-Frames übermittelt.
Aus diesen Gründen fällt die Wahl auf VPN-Tunnel auf OSI-Layer~3.
\paragraph{Netzwerkkonfiguration}
Da der Server einen Dienst anbieten soll, der aus dem Internet heraus erreichbar sein soll, wird er in der DMZ platziert.
In diesem Zuge wurden gleich mehrere IPv4- und IPv6-Adressen durch das IT-Team vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen.
Über ein Paar aus je einer IPv4- und IPv6-Adresse kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung aufzubauen.
Da der OpenVPN-Dienst aus dem Internet heraus erreichbar sein soll, wird er an das DMZ-Netz angeschlossen.
Das IT-Team hat dafür insgesamt vier IPv4- und IPv6-Adressen vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen.
Über ein Paar aus je einer IPv4- und IPv6-Adresse kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung zu dem Server aufzubauen.
Über ein weiteres Paar von IP-Adressen wird der eigentliche OpenVPN-Dienst zur Verfügung gestellt.
Um die VPN-Clients über den OpenVPN-Server via Routing an das Netz der Abteilung Informatik anzubinden, werden für IPv4 und IPv6 jeweils ein Adressbereich benötigt, der für die
Für die VPN-Clients
Routing: Neues IPv6-Netz durch FW-INFORM an Dienst-Adresse geroutet
IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen