Jämförda versioner

Gammal version 13

changes.mady.by.user Christoffer Johansson

Sparat den

jämfört med

Ny version 14

changes.mady.by.user Christoffer Johansson

Sparat den

Nyckel

  • Dessa rader lades till.
  • Denna rad togs bort.
  • Formateringen ändrades.

...

  • SITHS Funktionscertifikat

  • SITHS-certifikat för användare (främst vid autentiseringsmetoden Mutual TLS)

Måste se över följande:

  • Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik

  • Routing för trafik för dessa funktioner (endast kunder med Sjunet)

  • Source-NAT vid trafik till dessa funktioner Brandväggsöppningar i rätt brandvägg beroende på hur man routar sin trafik (endast kunder med Sjunet)

Brandväggsöppningar
Ankare
brandvaggsoppningar
brandvaggsoppningar

...

Samtliga brandväggsöppningar ska göras för:

  • Protokoll: HTTP

  • Port: 80

Info

För kunder som har Sjunet bör man även se över sin logik för DNS-uppslag och routing, se DNS-uppslag och routinglogik för Sjunet

Expandera
titleOlika funktioners DNS-namn och Gamla vs. nya IP-adresser

Produktion

  • crl1.siths.se

    • Gammal IPv4: 194.237.208.239

    • Ny IPv4: 82.136.183.246

    • Ny IPv6: 2a01:58:6106:5a01::246

  • ocsp1.siths.se

    • Gammal IPv4: 194.237.208.174

    • Ny IPv4: 82.136.183.247

    • Ny IPv6: 2a01:58:6106:5a01::247

  • aia.siths.se

    • Gammal IP; 194.237.208.239

    • Ny IPv4: 82.136.183.248

    • Ny IPv6: 2a01:58:6106:5a01::248

QA (tidigare SITHS Preprod)

  • crl1pp.siths.se

    • Gammal IP: 194.237.208.238

    • Ny IPv4: 82.136.183.150

    • Ny IPv6: 2a01:58:6106:3a05::150

  • ocsp1pp.siths.se

    • Gammal IP: 194.237.208.170

    • Ny IP: 82.136.183.151

    • Ny IPv6: 2a01:58:6106:3a05::151

  • aiapp.siths.se

    • Gammal IP: 194.237.208.238

    • Ny IP: 82.136.183.152

    • Ny IPv6: 2a01:58:6106:3a05::152

...

Expandera
titleINNAN flytten gäller följande logik för DNS-uppslag och routing:

  1. Organisationens tjänster slår upp nedan ovan funktioners DNS-värden och får olika IP-adresser beroende på om man ställer sin DNS-fråga över Internet eller Sjunet.

  • Ställer man DNS-frågan över Internet får man en Internet IP-adress.

  • Ställer man DNS-frågan över Sjunet får man en Sjunet IP-adress.

2. Beroende på vilken IP-adress man får enligt ovan tar nätverkstrafiken olika vägar antingen

  • Internet IP-adress --> Trafiken går över Internet

  • Sjunet IP-adress --> Trafiken går över Sjunet.

3. Beroende på vilket nätverk trafiken tar enligt ovan måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.

  • Om trafiken går över Internet måste trafiken Source NAT:as bakom en Internet IP-adress

  • Om trafiken går över Sjunet måste trafiken Source NAT:as bakom en Sjunet IP-adress

Exempel på fel som kan uppstå:
Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.

4. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de Gamla IP-adresserna i listan över Brandväggsöppningar

Expandera
titleEFTER flytten gäller följande logik för DNS-uppslag och routing

  1. Organisationens tjänster slår upp nedan ovan funktioners DNS-värden och får SAMMA IP-adresser oavsett om man ställer sin DNS-fråga över Internet eller Sjunet

  2. Respektive IP-adress går att nå BÅDE via Internet och Sjunet

  3. Organisationen måste bestämma OM man vill att trafiken ska gå över Internet eller Sjunet

  • Observera! För organisationer med Sjunetuppkoppling - Det IP-spann som används har tidigare kommunicerats som att det ska trafikeras över Sjunet. Därav måste organisationen med största sannolikhet se till att IP-spannet 82.136.183.0/24 routas över Internet om man INTE villa att trafiken ska gå över Sjunet.

4. Beroende på vilket nätverk trafiken tar enligt ovan beslut måste organisationen se till att trafiken Source-NAT:as bakom en IP-adress som SITHS-tjänsten förknippar med samma nätverk. Detta för att förhindra asynkron routing.

  • Om trafiken går över Internet måste trafiken Source NAT:as bakom en Internet IP-adress

  • Om trafiken går över Sjunet måste trafiken Source NAT:as bakom en Sjunet IP-adress

Exempel på fel som kan uppstå:
Organisationen skickar trafiken via Sjunet, MEN med en Source-IP som pekar på Internet. Vilket gör att SITHS försöker skicka tillbaka anropet via Internet och svaret når aldrig frågande part.

5. Brandväggsöppningar måste finnas i rätt brandvägg beroende på vilken väg trafiken tar enligt ovan logik för de Nya IP-adresserna i listan över Brandväggsöppningar