From 7f654b592c41e5034f93d4af7f5a804df52a2bea Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Mon, 29 Oct 2018 12:25:57 +0100 Subject: [PATCH] Autosave --- MA-Inhalt.tex | 13 ++++++------- 1 file changed, 6 insertions(+), 7 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 2e34fa1..2a469b6 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -181,14 +181,13 @@ Da diese Konfiguration nur durch die Administratoren der Router vorgenommen wird Deshalb werden in Absprache mit dem IT-Team der Abteilung Informatik ein IPv4- und ein IPv6-Netz gewählt, aus denen die Clients VPN-interne IP-Adressen vom Server erhalten. Die Konfiguration von Routen für die beiden IP-Netze ist dadurch unabhängig von individuellen VPN-Sitzungen und kann einmalig vorgenommen werden. +Da keine öffentliche IPv4-Netze für diesen Zweck verfügbar sind, wird ein Netz aus dem privaten Adressbereich \texttt{10.0.0.0/8} gewählt. +Weil IP-Adressen aus diesem privaten Bereich nicht geroutet werden sollen, führt der VPN-Server \textit{Network Address Translation} (NAT) durch. +IPv4-Datenverkehr von VPN-Clients ins Abteilungsnetz trägt somit die öffentliche IPv4-Adresse des VPN-Servers. +Dazugehörige Antwortpakete können dadurch zurück zum VPN-Server geroutet werden, welche diese nach der NAT-Übersetzung an den richtigen VPN-Client weiterleitet. -Da Pakete von Computern im Netz der Abteilung Informatik zu den VPN-Clients durch das VPN geroutet werden sollen, müssen alle Router (also der L3-Switch und die FW Inform) den Rückweg zu den VPN-Clients über Einträge in ihren Routingtabellen finden können. -Da es nicht praktikabel ist, die öffentlichen IP-Adressen der VPN-Clients aus dem Internet in die Routingtabellen einzutragen (sie ändern sich häufig, die Einträge werden nur bei einer aktiven VPN-Sitzung benötigt, wie zur Hölle kommt VPN-Verkehr vom VPN-Server zum VPN-Client?!), werden den VPN-Clients IP-Adressen aus Netzen zugewiesen, die der Abteilung Informatik "bekannt sind". -Für IPv4 klappt das mangels IP-Adressen nicht, deshalb wird ein privater Adressbereich zugewiesen. -Damit dieser private Adressbereich nicht in die Routingtabellen der Abteilung Informatik eingetragen werden muss, wird über die lokale Firewall auf dem VPN-Server NAT auf die öffentliche IP-Adresse des VPN-Servers durchgeführt. -Für IPv6 gibt es einen freien Netzbereich, der den VPN-Clients zugewiesen werden kann. -Für dieses Netz wird in der Fw Inform ein Eintrag in die Routingtabelle gesetzt, der auf die öffentliche IPv6-Adresse des VPN-Servers zeigt. -So ist die Kommunikation durch das VPN zwischen Client und Netz der Abteilung möglich. +Für IPv6 wurde ein \texttt{/64}-Netz aus dem Bereich \texttt{2001:638:614:1700::/56} gewählt. +Die Router im Abteilungsnetz wurden konfiguriert, Pakete an Hosts in diesem Netz an die öffentliche IPv6-Adresse des VPN-Servers weiterleiten.