Autosave
This commit is contained in:
parent
cb5e204618
commit
9cb8531a2a
|
@ -605,6 +605,19 @@ Auf dem VPN-Server kommt ein weiterer Cronjob zum Einsatz, um die aktuelle CRL v
|
||||||
In diesem Abschnitt werden die in Kapitel~\ref{cpt:service_concept} bereits beschlossenen Konzepte für den VPN-Dienst auf die gewählte VPN-Software OpenVPN zugeschnitten.
|
In diesem Abschnitt werden die in Kapitel~\ref{cpt:service_concept} bereits beschlossenen Konzepte für den VPN-Dienst auf die gewählte VPN-Software OpenVPN zugeschnitten.
|
||||||
Die durch OpenVPN gegebenen Funktionen und Einschränkungen werden hierbei berücksichtigt, um später eine funktionsfähige Konfiguration für OpenVPN aus dieser Planung abzuleiten.
|
Die durch OpenVPN gegebenen Funktionen und Einschränkungen werden hierbei berücksichtigt, um später eine funktionsfähige Konfiguration für OpenVPN aus dieser Planung abzuleiten.
|
||||||
|
|
||||||
|
\paragraph{Manuelles Failover:}
|
||||||
|
Um die Verfügbarkeit des VPN-Dienstes im Fall eines Hardwareausfalls zu erhöhen, soll ein manuelles Failover auf einen zweiten, identisch konfigurierten Server möglich sein.
|
||||||
|
Das IT-Team vergibt für diesen Zweck verschiedene IPv4 und IPv6-Adressen für den Dienst und den Host.
|
||||||
|
Dadurch kann ein manuelles Failover durch Übertragung der IP-Adresse des Dienstes von dem defekten Server auf einen weiteren Server durchgeführt werden.
|
||||||
|
Im Beispiel sieht ein Failover von Server~A auf Server~B wie folgt aus:
|
||||||
|
Bei einem Defekt von Server~A werden zunächst die IP-Dienstadressen auf A deaktiviert.
|
||||||
|
Anschließend werden die IP-Dienstadressen auf B aktiviert.
|
||||||
|
|
||||||
|
Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so ist ein parallelbetrieb von zwei VPN-Servern möglich.
|
||||||
|
Dafür muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
|
||||||
|
In der OpenVPN-Clientkonfiguration können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
|
||||||
|
Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienstadresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
|
||||||
|
|
||||||
\paragraph{VPN-Transportprotokoll:}
|
\paragraph{VPN-Transportprotokoll:}
|
||||||
OpenVPN bietet UDP und TCP als mögliche Transportprotokolle für den VPN-Datenverkehr an.
|
OpenVPN bietet UDP und TCP als mögliche Transportprotokolle für den VPN-Datenverkehr an.
|
||||||
Für diesen VPN-Dienst wird das UDP-Protokoll gewählt, weil das TCP-Protokoll in Kombination mit stark ausgelasteten Netzwerken oder beim Transport von TCP-Paketen durch den VPN-Tunnel Performanceeinbußen verursachen kann \cite[][Option \texttt{--proto}]{man:openvpn}.
|
Für diesen VPN-Dienst wird das UDP-Protokoll gewählt, weil das TCP-Protokoll in Kombination mit stark ausgelasteten Netzwerken oder beim Transport von TCP-Paketen durch den VPN-Tunnel Performanceeinbußen verursachen kann \cite[][Option \texttt{--proto}]{man:openvpn}.
|
||||||
|
@ -713,15 +726,6 @@ Für IPv4 wurde das private Netz \texttt{10.2.0.0/16} durch das IT-Team vergeben
|
||||||
Für IPv6 wurde das Netz \texttt{2001:638:614:1750::/64} vergeben, welches durch die Firewall der Abteilung Informatik an die zuvor vergebene IPv6-Dienstadresse geroutet wird.
|
Für IPv6 wurde das Netz \texttt{2001:638:614:1750::/64} vergeben, welches durch die Firewall der Abteilung Informatik an die zuvor vergebene IPv6-Dienstadresse geroutet wird.
|
||||||
Damit VPN-Clients über IPv4 mit dem Abteilungsnetz kommunizieren können, wird der private IPv4-Adressbereich für die VPN-Clients durch den VPN-Server via \textit{Network Address Translation} (NAT) auf die IPv4-Dienstadresse übersetzt.
|
Damit VPN-Clients über IPv4 mit dem Abteilungsnetz kommunizieren können, wird der private IPv4-Adressbereich für die VPN-Clients durch den VPN-Server via \textit{Network Address Translation} (NAT) auf die IPv4-Dienstadresse übersetzt.
|
||||||
|
|
||||||
\paragraph{Failover:}
|
|
||||||
Durch die Unterscheidung zwischen physischem Server und Dienst bezüglich der vergebenen IP-Adressen kann ein manuelles Failover zwischen zwei identisch konfigurierten Servern (in diesem Beispiel A und B genannt) durchgeführt werden.
|
|
||||||
Um bei einem Defekt von Server~A ein Failover auf den Server~B durchzuführen, werden zunächst die IP-Dienstadressen auf A deaktiviert.
|
|
||||||
Anschließend werden die IP-Dienstadressen auf B aktiviert.
|
|
||||||
|
|
||||||
Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
|
|
||||||
Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienstadresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
|
|
||||||
In der OpenVPN-Clientkonfiguration können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
|
|
||||||
|
|
||||||
\paragraph{Lokale Firewall:}
|
\paragraph{Lokale Firewall:}
|
||||||
In Absprache mit dem Erstprüfer dieser Arbeit wurde die folgende Firewall-Richtlinie für den VPN-Server geplant und wird unter Nutzung von \texttt{iptables} umgesetzt.
|
In Absprache mit dem Erstprüfer dieser Arbeit wurde die folgende Firewall-Richtlinie für den VPN-Server geplant und wird unter Nutzung von \texttt{iptables} umgesetzt.
|
||||||
Diese lokale Richtlinie wird durch die Firewall der Abteilung Informatik ergänzt.
|
Diese lokale Richtlinie wird durch die Firewall der Abteilung Informatik ergänzt.
|
||||||
|
|
Loading…
Reference in New Issue