From 750c5c75667d8197b5f6b3b91da911c8f8124f85 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Tue, 9 Oct 2018 16:32:24 +0200 Subject: [PATCH] Autosave --- MA-Inhalt.tex | 16 +++++++++------- 1 file changed, 9 insertions(+), 7 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 37b105b..3e2b35a 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -469,18 +469,20 @@ Damit der OpenVPN-Server immer Zugriff auf eine aktuelle CRL hat, wird ein Cronj In diesem Kapitel wird gezeigt, wie der Server für den VPN-Dienst installiert und konfiguriert wird. Wie in Abschnitt~\ref{sct:requirements} bereits geklärt, wird laut Anforderung \ref{req:serveros} Debian~9 als Betriebssystem verwendet. Die Konfiguration des Betriebssystems erfolgt dabei nach den Vorgaben des IT-Teams, damit der Dienst ohne zusätzliche Arbeiten als Produktivsystem übernommen werden kann. -Mit OpenVPN ist es möglich einen VPN-Tunnel einzurichten, der entweder über eine Netzwerkbrücke (OSI Layer~2) oder durch Routing (OSI Layer~3) an das lokale Netzwerk angebunden werden kann. -Für den Anwendungsfall dieser Arbeit ist nur die Erreichbarkeit des Netzes der Abteilung Informatik über IPv4 und IPv6 relevant, sodass der Betrieb mit Routing auf Layer~3 ausreicht. +OpenVPN unterstützt den Aufbau eines VPN-Tunnels auf OSI-Layer~2 und OSI-Layer~3. +Im Prinzip könnten beide Tunnelvarianten für den Anwendungsfall dieser Arbeit verwendet werden. +Da im Rahmen dieser Arbeit nur die Erreichbarkeit über IPv4 und IPv6 relevant ist, wird ein VPN-Tunnel auf OSI-Layer~2 nicht benötigt. +Zusätzlich würde ein VPN-Tunnel auf OSI-Layer~2 mehr Bandbreite benötigen: IP-Pakete würden inklusive der dazugehörigen Ethernet-Frames übermittelt. +Aus diesen Gründen fällt die Wahl auf VPN-Tunnel auf OSI-Layer~3. \paragraph{Netzwerkkonfiguration} -Da der Server einen Dienst anbieten soll, der aus dem Internet heraus erreichbar sein soll, wird er in der DMZ platziert. -In diesem Zuge wurden gleich mehrere IPv4- und IPv6-Adressen durch das IT-Team vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen. -Über ein Paar aus je einer IPv4- und IPv6-Adresse kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung aufzubauen. +Da der OpenVPN-Dienst aus dem Internet heraus erreichbar sein soll, wird er an das DMZ-Netz angeschlossen. +Das IT-Team hat dafür insgesamt vier IPv4- und IPv6-Adressen vergeben, um den Server und den darauf existierenden Dienst logisch zu trennen. +Über ein Paar aus je einer IPv4- und IPv6-Adresse kann der phyische Server angesprochen werden, um zum Beispiel für administrative Aufgaben eine SSH-Sitzung zu dem Server aufzubauen. Über ein weiteres Paar von IP-Adressen wird der eigentliche OpenVPN-Dienst zur Verfügung gestellt. +Um die VPN-Clients über den OpenVPN-Server via Routing an das Netz der Abteilung Informatik anzubinden, werden für IPv4 und IPv6 jeweils ein Adressbereich benötigt, der für die - -Für die VPN-Clients Routing: Neues IPv6-Netz durch FW-INFORM an Dienst-Adresse geroutet IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen