\chapter{Vorwort} Diese Dokumentation beschreibt die Installation und den Betrieb des IPv6-VPN-Dienst auf Basis von OpenVPN. \chapter{Netzwerkkonfiguration} Vor der Installation sind diverse Angaben notwendig. Folgende Informationen wurden vom IT-Team bereitgestellt. \begin{lstlisting} root@aphrodite:~# host aither aither.inform.hs-hannover.de has address 141.71.38.70 aither.inform.hs-hannover.de has IPv6 address 2001:638:614:1780::131 root@aphrodite:~# host vpn-test vpn-test.inform.hs-hannover.de has address 141.71.38.7 vpn-test.inform.hs-hannover.de has IPv6 address 2001:638:614:1780::7 \end{lstlisting} IPv4-Bereich für VPN-Clients: \texttt{10.2.0.0/16} IPv6-Bereich für VPN-Clients: \texttt{2001:638:614:1750::/64} \chapter{Installation des Servers} \dots Als Grundlage wird ein bereits installiertes Debian 9 mit den Paketen \enquote{SSH-Server} und \enquote{Standard-Systemwerkzeuge} vorausgesetzt. \paragraph{Hostname} \texttt{/etc/hostname} und \texttt{/etc/hosts} anpassen \begin{lstlisting} # cat /etc/hostname aither # cat /etc/hosts 127.0.0.1 localhost 127.0.1.1 aither.inform.hs-hannover.de aither [...] # cat /etc/apt/sources.list.d/inform.list deb http:/http.edu.inform.hs-hannover.de/depot/debian/stretch/Packages / # cat /etc/apt/apt.conf.d/80proxy Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128"; # cat /etc/network/interfaces [...] auto eno1 allow-hotplug eno1 #-primary network interface iface eno1 inet static address 141.71.38.70/24 gateway 141.71.38.1 iface eno1 inet6 static address 2001:638:614:1780::131/64 gateway 201:638:614:1780::1 #- virtual service interface iface eno1:0 inet static address 141.71.38.7/24 gateway 141.71.38.1 iface eno1:0 inet6 static address 2001:638:614:1780::7/64 gateway 201:638:614:1780::1 # cat /etc/sysctl.d/04-enable-ipv4-forwarding.conf net.ipv4.conf.all.forwarding = 1 # cat /etc/sysctl.d/04-enable-ipv4-forwarding.conf net.ipv6.conf.all.forwarding = 1 \end{lstlisting} \paragraph{Benutzer anlegen} For my time being: adduser jpt gpasswd -a jpt sudo \paragraph{Netzwerkkonfiguration} IP-Adressen (physisch und für den Dienst) Forwarding für IPv4 und IPv6 aktivieren \paragraph{} APT via Proxy proxy.inform.hs-hannover.de:3128 Zusätzliches Repository \begin{lstlisting} wget -O repositoryKeyFile http://http.edu.inform.hs-hannover.de/repository/repositoryKeyFile apt-key add repositoryKeyFile \end{lstlisting} \paragraph{Zusätzliche Pakete installieren} Es werden noch Pakete des IT-Teams installiert, die bestimmte Komponenten mit einer einheitlichen Konfiguration versorgen. \begin{lstlisting} apt-get install F4-I-SRV-Config-ALL-* \end{lstlisting} \paragraph{OpenVPN} apt-get install openvpn \dots Zertifikate beantragen und Konfiguration einspielen \dots systemctl enable openvpn@TODO.service systemctl start openvpn@TODO.service \paragraph{iptables} Zugriffe aus dem VPN in die DMZ sind verboten Zugriffe auf den Server sind nur via UDP/1194 und TCP/22 erlaubt IPv4 NAT für 10.2.0.0/16 \paragraph{Einstellungen für Routing} Viel ist es nicht