Yewers (Diskussion | Beiträge) |
Yewers (Diskussion | Beiträge) |
||
Zeile 10: | Zeile 10: | ||
===Standardkonfiguration der VPN-Server=== | ===Standardkonfiguration der VPN-Server=== | ||
− | Von den Standard Uni VPN Servern (auch TCP) und den Gruppen VPN Servern werden in der Standardkonfiguration lediglich Routen für die IP Netze 131.234.0.0/16 und 2001:638:502::/48 von den VPN Servern an die Clients übergeben. Eine Ausnahme bilden hier gewisse Gruppen VPNs nach Absprache zwischen IMT und dem Bereichsadministrator des Gruppen VPNs. | + | Von den Standard Uni VPN Servern (auch TCP) und den Gruppen VPN Servern werden in der Standardkonfiguration lediglich Routen für die IP Netze <b>131.234.0.0/16 </b> und 2001:638:502::/48 von den VPN Servern an die Clients übergeben. Eine Ausnahme bilden hier gewisse Gruppen VPNs nach Absprache zwischen IMT und dem Bereichsadministrator des Gruppen VPNs. |
===Erläuterung der IP-Netze=== | ===Erläuterung der IP-Netze=== |
Version vom 22. Februar 2024, 17:18 Uhr
Allgemeine Informationen
Information | |
---|---|
Informationen | |
Betriebssystem | Alle |
Service | Netzwerkspeicher |
Interessant für | Gäste, Angestellte und Studierende |
HilfeWiki des ZIM der Uni Paderborn |
Erweiterte Anleitung für VPN-Verbindungen[Bearbeiten | Quelltext bearbeiten]
Standardkonfiguration der VPN-Server[Bearbeiten | Quelltext bearbeiten]
Von den Standard Uni VPN Servern (auch TCP) und den Gruppen VPN Servern werden in der Standardkonfiguration lediglich Routen für die IP Netze 131.234.0.0/16 und 2001:638:502::/48 von den VPN Servern an die Clients übergeben. Eine Ausnahme bilden hier gewisse Gruppen VPNs nach Absprache zwischen IMT und dem Bereichsadministrator des Gruppen VPNs.
Erläuterung der IP-Netze[Bearbeiten | Quelltext bearbeiten]
IP Netze sind ein Zusammenschluss mehrerer IP Adressen. Die Route 131.234.0.0/16 (bzw. 131.234.0.0 255.255.0.0 in Subnetzmaskennotation) gilt für alle IPv4 Adressen, die mit der Zahl 131.234 anfangen. Das Übergeben der Route von den VPN Servern an die Clients weist das System an, Anfragen an IPs, die mit 131.234 beginnen, durch den VPN Tunnel in die Uni zu leiten. Gleiches gilt für das IPv6 Netz 2001:638:502::/48 und Anfragen an IPv6 Adressen, die mit 2001:638:502 beginnen. Da die Universität lediglich den 2001:638:502::/48 IPv6 Block verwaltet, sollten mit dieser Route alle Anfragen an Domains mit IPv6-Adressen der Universität immer durch den Tunnel geleitet werden, unabhängig davon, ob der gesamte Verkehr durch den Tunnel geleitet wird.
Hinter jeder Domain der Universität (z.B. www.uni-paderborn.de oder webmail.uni-paderborn.de) verbirgt sich eine IPv4 (und eventuell auch, aber nicht zwingend eine IPv6) Adresse. Dementsprechend werden die meisten Dienste der Universität über eine Domain angesprochen, welche im Anschluss auf eine IP Adresse aufgelöst wird, damit die tatsächlichen Netzwerkpakete zu dem korrekten Server geschickt werden können. Der Großteil der Dienste der Universität nutzt IP Adressen aus den IP Netzen 131.234.0.0/16 und 2001:638:502::/48. Dies trifft allerdings nicht auf alle Dienste zu, wie z.B. uc.voice.uni-paderborn.de. Hier beginnt die IPv4 Adresse nicht mit 131.234, sondern mit 172.16, gleichzeitig ist eine Verbindung zu diesem System nur aus dem Netzwerk der Universität möglich. Mit dem Uni-VPN kommt man also nur auf dieses System, wenn man den gesamten Verkehr durch den Tunnel leitet oder indem man bei sich lokal eine entsprechende Route hinzufügt.
Routen für Netze wie 172.16.0.0/16 (bzw. 172.16.0.0 255.255.0.0) werden von uns nicht automatisch an die VPN Clients übergeben, da es sich hierbei um einen privaten Adressbereich handelt, welcher theoretisch in jedem Netzwerk vergeben werden kann. Je nachdem, von wo Sie auf die Universität zugreifen, kann es also sein, dass das Hinzufügen einer solchen Route zu Problemen mit Ihrem Netz führt, wenn dieses den IP Adressbereich einsetzt.
Eigene Routen können einfach an die OpenVPN Configs angehangen werden (jeweils als eigenständige Zeile) nach dem Schema:
Für IPv4 Netze: Route 172.16.0.0 255.255.0.0
Der erste Block bezeichnet dabei die IP-Adresse und der zweite Block die Subnetzmaske. Die Subnetzmaske gibt an, welche IPs innerhalb des IP Netzes sind und welche nicht dazu gehören. Eine IPv4 Adresse ist in vier Bereiche (hier 172, 16, 0 und 0) aufgeteilt, welche auch Oktett genannt werden, da diese Adressen aus vier 8-Bit-Bereichen bestehen. Die Subnetzmaske dahinter gibt dann an, welche Bits der IPv4 Adresse den Netzteil abbilden, um daraus feststellen zu können, welche IP Adressen ebenfalls Teil dieses größeren Netzes sind. Daraus entscheidet das System dann, ob eine Anfrage durch den VPN Tunnel geleitet wird. Die Subnetzmaske bildet sich aus der Umrechnung der jeweiligen acht Bits (d.h. der Binärzahl) in Dezimalnotation.
Hier können aber auch einzelne IP Adressen angegeben werden: route 172.16.3.9 255.255.255.255
Da wir hier eine Subnetzmaske angeben, in der alle Bits der IP Adresse die Netzadresse bilden, soll lediglich exakt die IP 172.16.3.9 durch den Tunnel geleitet werden.
Für IPv6 Netze: route-ipv6 2001:638:502::/48
Diese Angabe von Routen kann auch genutzt werden, wenn Anfragen an Uni fremde Systeme durch den VPN Tunnel geleitet werden sollen, ohne dass der gesamte Verkehr durch den Tunnel geleitet wird.