Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:installation:basesetup-140 [2021/08/16 11:18] flacco [Netzwerkkonfiguration] |
invis_server_wiki:installation:basesetup-140 [2023/07/24 06:12] (aktuell) flacco [Netzwerkkonfiguration] |
||
|---|---|---|---|
| Zeile 133: | Zeile 133: | ||
| * Für die Top-Level-Domain (TLD) sollte eine Fantasie-Domain wie beispielsweise //**.corp**//, //**.home**// oder auch //**.lan**// verwendet werden. Die Verwendung einer im Internet gültigen bzw. bereits vergebenen Domain führt zu Problemen beim Routing und dem EMail-Handling. | * Für die Top-Level-Domain (TLD) sollte eine Fantasie-Domain wie beispielsweise //**.corp**//, //**.home**// oder auch //**.lan**// verwendet werden. Die Verwendung einer im Internet gültigen bzw. bereits vergebenen Domain führt zu Problemen beim Routing und dem EMail-Handling. | ||
| - | //**Hinweis:** Dieses Thema war lange hoch umstritten. Die für die Zulassung von Top-Level-Domains zuständige Organisation ICANN warnt wegen der ständig neu zugelassenen TLDs vor Domain-Kollisionen und hatte etwa die Vergabe von beispielsweise .corp auf unbestimmte Zeit zurück gestellt. [[https://heise.de/-2062606|Infos zum Thema]]. Seit 2018 ist es allerdings amtlich. Die Top-Level Domains //**.internal**//, //**.intranet**//, //**.private**//, //**.lan**//, //**.corp.**//, //**.home**// und //**.mail**// bleiben für interne bzw. private Nutzung reserviert. [[https://datatracker.ietf.org/doc/html/rfc6762#appendix-G|rfc6762]] Leider gilt das nicht für //**.loc**//. Unserer Meinung nach fällt es gerade kleineren Unternehmen, an die sich unser Projekt ja wendet, schwer auch für interne Zwecke mit offiziell registrierten Domains zu arbeiten. Es steht Ihnen natürlich frei dies zu tun.// | + | //**Hinweis:** Dieses Thema war lange hoch umstritten. Die für die Zulassung von Top-Level-Domains zuständige Organisation ICANN warnt wegen der ständig neu zugelassenen TLDs vor Domain-Kollisionen und hatte etwa die Vergabe von beispielsweise .corp auf unbestimmte Zeit zurück gestellt. [[https://heise.de/-2062606|Infos zum Thema]]. Seit 2018 ist es allerdings amtlich. Die Top-Level Domains //**.internal**//, //**.intranet**//, //**.private**//, //**.lan**//, //**.corp**//, //**.home**// und //**.mail**// bleiben für interne bzw. private Nutzung reserviert. [[https://datatracker.ietf.org/doc/html/rfc6762#appendix-G|Siehe rfc6762]] und [[https://www.theregister.com/2018/02/12/icann_corp_home_mail_gtlds/|und hier]]. Leider gilt das nicht für das hier immer wieder beispielhaft verwendete //**.loc**//. Unserer Meinung nach fällt es gerade kleineren Unternehmen, an die sich unser Projekt ja wendet, schwer auch für interne Zwecke mit offiziell registrierten Domains zu arbeiten. Es steht Ihnen natürlich frei dies zu tun.// |
| Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen für die Netzwerkschnittstellen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen für die Netzwerkschnittstellen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | ||
| Zeile 149: | Zeile 149: | ||
| Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung eines eigenen Netzes zwingend. | Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung eines eigenen Netzes zwingend. | ||
| + | |||
| + | //**Achtung:** Beim Konfigurieren der Netzwerkschnittstellen via YaST müssen Sie **unbedingt** darauf achten diese unmittelbar den richtigen Firewall-Zonen zuzuordnen. Diese sind: Für "intern" = "internal" und für "extern" = "external". Machen Sie dies nicht, werden die Schnittstellen später immer wieder von YaST, beispielsweise nach Updates, in die Standard-Zone "public" gepackt und Sie somit ausgesperrt. Ärgerlich, wenn der Server ein paar Hundert Kilometer entfernt von Ihnen steht.// | ||
| //**Achtung:** Bevor Sie jetzt die Netzwerkschnittstellen Ihres invis-Servers konfigurieren ein Hinweis dazu. invis-Server können lediglich mit 16 und 24 Bit breiten Netzwerkmasken also "255.255.0.0" (/16) und "255.255.255.0" (/24) umgehen. Idealerweise konfigurieren Sie für die interne Netzwerkschnittstelle ein privates IP-Netzwerk der Klassen "B" (172.16.0.0 bis 172.31.255.255) oder "C" (192.168.0.0 bis 192.168.255.255). Über die Unterstützung von Klasse "A" Netzen denken wir noch nach, erachten dies aber nicht wirklich als notwendig für "kleine" Netze.// | //**Achtung:** Bevor Sie jetzt die Netzwerkschnittstellen Ihres invis-Servers konfigurieren ein Hinweis dazu. invis-Server können lediglich mit 16 und 24 Bit breiten Netzwerkmasken also "255.255.0.0" (/16) und "255.255.255.0" (/24) umgehen. Idealerweise konfigurieren Sie für die interne Netzwerkschnittstelle ein privates IP-Netzwerk der Klassen "B" (172.16.0.0 bis 172.31.255.255) oder "C" (192.168.0.0 bis 192.168.255.255). Über die Unterstützung von Klasse "A" Netzen denken wir noch nach, erachten dies aber nicht wirklich als notwendig für "kleine" Netze.// | ||