diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index e20f8a8..f33850f 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -163,9 +163,17 @@ Die Authentisierung des VPN-Servers gegenüber der VPN-Clients soll mit X.509-Pu Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter Benutzer werden in Kapitel~\ref{sct:user_concept} behandelt. Erreichbare Netze sollen von den VPN-Clients durch den VPN-Tunnel zum VPN-Server geroutet werden. -Der VPN-Server ist ebenfalls ein Router und leitet Pakete zwischen dem Netz der Abteilung Informatik und den VPN-Clients weiter. +Der VPN-Server ist ein Router und leitet Pakete zwischen dem Netz der Abteilung Informatik und den VPN-Clients weiter. \ref{req:routing} +IP-Adressen für Kommunikation innerhalb des VPN: +Da Pakete von Computern im Netz der Abteilung Informatik zu den VPN-Clients durch das VPN geroutet werden sollen, müssen alle Router (also der L3-Switch und die FW Inform) den Rückweg zu den VPN-Clients über Einträge in ihren Routingtabellen finden können. +Da es nicht praktikabel ist, die öffentlichen IP-Adressen der VPN-Clients aus dem Internet in die Routingtabellen einzutragen (sie ändern sich häufig, die Einträge werden nur bei einer aktiven VPN-Sitzung benötigt, wie zur Hölle kommt VPN-Verkehr vom VPN-Server zum VPN-Client?!), werden den VPN-Clients IP-Adressen aus Netzen zugewiesen, die der Abteilung Informatik "bekannt sind". +Für IPv4 klappt das mangels IP-Adressen nicht, deshalb wird ein privater Adressbereich zugewiesen. +Damit dieser private Adressbereich nicht in die Routingtabellen der Abteilung Informatik eingetragen werden muss, wird über die lokale Firewall auf dem VPN-Server NAT auf die öffentliche IP-Adresse des VPN-Servers durchgeführt. +Für IPv6 gibt es einen freien Netzbereich, der den VPN-Clients zugewiesen werden kann. +Für dieses Netz wird in der Fw Inform ein Eintrag in die Routingtabelle gesetzt, der auf die öffentliche IPv6-Adresse des VPN-Servers zeigt. + Vertrauliche Kommunikation ~\ref{req:traffic} soll durch den Einsatz von Verschlüsselung mit modernen Chiffren erreicht werden. \textit{Perfect Forward Secrecy} (PFS) wird angestrebt.