Autosave

MA-Inhalt.tex

@@ -605,6 +605,19 @@ Auf dem VPN-Server kommt ein weiterer Cronjob zum Einsatz, um die aktuelle CRL v
 In diesem Abschnitt werden die in Kapitel~\ref{cpt:service_concept} bereits beschlossenen Konzepte für den VPN-Dienst auf die gewählte VPN-Software OpenVPN zugeschnitten.
 Die durch OpenVPN gegebenen Funktionen und Einschränkungen werden hierbei berücksichtigt, um später eine funktionsfähige Konfiguration für OpenVPN aus dieser Planung abzuleiten.
 
+\paragraph{Manuelles Failover:}
+Um die Verfügbarkeit des VPN-Dienstes im Fall eines Hardwareausfalls zu erhöhen, soll ein manuelles Failover auf einen zweiten, identisch konfigurierten Server möglich sein.
+Das IT-Team vergibt für diesen Zweck verschiedene IPv4 und IPv6-Adressen für den Dienst und den Host.
+Dadurch kann ein manuelles Failover durch Übertragung der IP-Adresse des Dienstes von dem defekten Server auf einen weiteren Server durchgeführt werden.
+Im Beispiel sieht ein Failover von Server~A auf Server~B wie folgt aus:
+Bei einem Defekt von Server~A werden zunächst die IP-Dienstadressen auf A deaktiviert.
+Anschließend werden die IP-Dienstadressen auf B aktiviert.
+
+Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so ist ein parallelbetrieb von zwei VPN-Servern möglich.
+Dafür muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
+In der OpenVPN-Clientkonfiguration können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
+Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienstadresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
+
 \paragraph{VPN-Transportprotokoll:}
 OpenVPN bietet UDP und TCP als mögliche Transportprotokolle für den VPN-Datenverkehr an.
 Für diesen VPN-Dienst wird das UDP-Protokoll gewählt, weil das TCP-Protokoll in Kombination mit stark ausgelasteten Netzwerken oder beim Transport von TCP-Paketen durch den VPN-Tunnel Performanceeinbußen verursachen kann \cite[][Option \texttt{--proto}]{man:openvpn}.
@@ -713,15 +726,6 @@ Für IPv4 wurde das private Netz \texttt{10.2.0.0/16} durch das IT-Team vergeben
 Für IPv6 wurde das Netz \texttt{2001:638:614:1750::/64} vergeben, welches durch die Firewall der Abteilung Informatik an die zuvor vergebene IPv6-Dienstadresse geroutet wird.
 Damit VPN-Clients über IPv4 mit dem Abteilungsnetz kommunizieren können, wird der private IPv4-Adressbereich für die VPN-Clients durch den VPN-Server via \textit{Network Address Translation} (NAT) auf die IPv4-Dienstadresse übersetzt.
 
-\paragraph{Failover:}
-Durch die Unterscheidung zwischen physischem Server und Dienst bezüglich der vergebenen IP-Adressen kann ein manuelles Failover zwischen zwei identisch konfigurierten Servern (in diesem Beispiel A und B genannt) durchgeführt werden.
-Um bei einem Defekt von Server~A ein Failover auf den Server~B durchzuführen, werden zunächst die IP-Dienstadressen auf A deaktiviert.
-Anschließend werden die IP-Dienstadressen auf B aktiviert.
-
-Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
-Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienstadresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
-In der OpenVPN-Clientkonfiguration können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
-
 \paragraph{Lokale Firewall:}
 In Absprache mit dem Erstprüfer dieser Arbeit wurde die folgende Firewall-Richtlinie für den VPN-Server geplant und wird unter Nutzung von \texttt{iptables} umgesetzt.
 Diese lokale Richtlinie wird durch die Firewall der Abteilung Informatik ergänzt.