JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Autosave

This commit is contained in:
Jan Philipp Timme 2018-10-29 12:25:57 +01:00
parent c5b1194077
commit 7f654b592c
1 changed files with 6 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

13
MA-Inhalt.tex
View File

@ -181,14 +181,13 @@ Da diese Konfiguration nur durch die Administratoren der Router vorgenommen wird
Deshalb werden in Absprache mit dem IT-Team der Abteilung Informatik ein IPv4- und ein IPv6-Netz gewählt, aus denen die Clients VPN-interne IP-Adressen vom Server erhalten.
Die Konfiguration von Routen für die beiden IP-Netze ist dadurch unabhängig von individuellen VPN-Sitzungen und kann einmalig vorgenommen werden.
Da keine öffentliche IPv4-Netze für diesen Zweck verfügbar sind, wird ein Netz aus dem privaten Adressbereich \texttt{10.0.0.0/8} gewählt.
Weil IP-Adressen aus diesem privaten Bereich nicht geroutet werden sollen, führt der VPN-Server \textit{Network Address Translation} (NAT) durch.
IPv4-Datenverkehr von VPN-Clients ins Abteilungsnetz trägt somit die öffentliche IPv4-Adresse des VPN-Servers.
Dazugehörige Antwortpakete können dadurch zurück zum VPN-Server geroutet werden, welche diese nach der NAT-Übersetzung an den richtigen VPN-Client weiterleitet.
Da Pakete von Computern im Netz der Abteilung Informatik zu den VPN-Clients durch das VPN geroutet werden sollen, müssen alle Router (also der L3-Switch und die FW Inform) den Rückweg zu den VPN-Clients über Einträge in ihren Routingtabellen finden können.
Da es nicht praktikabel ist, die öffentlichen IP-Adressen der VPN-Clients aus dem Internet in die Routingtabellen einzutragen (sie ändern sich häufig, die Einträge werden nur bei einer aktiven VPN-Sitzung benötigt, wie zur Hölle kommt VPN-Verkehr vom VPN-Server zum VPN-Client?!), werden den VPN-Clients IP-Adressen aus Netzen zugewiesen, die der Abteilung Informatik "bekannt sind".
Für IPv4 klappt das mangels IP-Adressen nicht, deshalb wird ein privater Adressbereich zugewiesen.
Damit dieser private Adressbereich nicht in die Routingtabellen der Abteilung Informatik eingetragen werden muss, wird über die lokale Firewall auf dem VPN-Server NAT auf die öffentliche IP-Adresse des VPN-Servers durchgeführt.
Für IPv6 gibt es einen freien Netzbereich, der den VPN-Clients zugewiesen werden kann.
Für dieses Netz wird in der Fw Inform ein Eintrag in die Routingtabelle gesetzt, der auf die öffentliche IPv6-Adresse des VPN-Servers zeigt.
So ist die Kommunikation durch das VPN zwischen Client und Netz der Abteilung möglich.
Für IPv6 wurde ein \texttt{/64}-Netz aus dem Bereich \texttt{2001:638:614:1700::/56} gewählt.
Die Router im Abteilungsnetz wurden konfiguriert, Pakete an Hosts in diesem Netz an die öffentliche IPv6-Adresse des VPN-Servers weiterleiten.