VPN mit OpenVPN auf Endian Firewall Community und PSK (Benutzername Passwort)
Moin,
nachdem ich lange nach einer Anleitung für den im Titel beschriebenen Fall gesucht habe und leider nicht fündig wurde, möchte ich anderen die Arbeit erleichtern. Also hier eine Anleitung wie ihr mit der Endian Firewall Community Edition VPN mittels des schon integrierten OpenVPN Servers und der Verschlüsselung PSK (Benutzername/Passwort) einen Tunnel zu eurer Firewall bekommt.
Tunnelblick
Sucht euch einen OpenVPN kompatiblen VPN-Clienten. In meinem Falle tat es Tunnelblick ganz gut, aber auch andere Progs mögen reichen. Achtet nur darauf dass ihr an die openvpn.conf herankommt, die wir gleich bearbeiten werden.
Eine laufende Endian Firewall solltet ihr ja wahrscheinlich schon haben. Auf dieser aktiviert ihr jetzt unter VPN mittels eines Häkchens den OpenVPN-Server und gebt die IP-Range ein, die ihr den VPN-Usern zugestehen wollt. Jeder der sich mit eurer Firewall verbindet wird ins GRÜNE Netz gesteckt, das solltet ihr bei der Wahl der Range im Hinterkopf behalten.
Außerdem solltet ihr das CA Zertifikat herunterladen was auf dem Link direkt unter den Eingabefenstern für die IP-Ranges möglich ist. Das brauchen wir nämlich nachher nochmal. Vergesst nicht auf Speichern und Neustart zu klicken!
Unter Konten legt ihr nun ein Profil nach eurem Gusto an. Bei diese Nameserver pushen gebt ihr eure/euren Nameserver ein. Pro Zeile eine IP. Wiederum jetzt speichern und den OpenVPN Server mittels des Buttons auf der kommenden Seite neustarten.
Unter Erweitert, bei den globalen Pushoptionen habe ich die Nameserver nocheinmal eingetragen. Ob das bei euch notwendig ist müsst ihr selbst schauen. Bei den Authentifizierungseinstellungen wählt ihr nun PSK (Benutzername/Passwort) aus und wieder Speichern und Neustart.
Sobald ihr euren Clienten installiert habt, öffnet die Konfigurationsdatei des Programms. Sollte es keine geben, könnt ihr auch meine (s.u) nehmen, oder euch eine Standardkonfig holen. Meine Konfigurationsdatei sieht nun so aus (für xxx.xxx.xxx.xxx IP des Servers einsetzen):
Wichtig ist, dass ihr an der Standardkonfiguration die ihr euch ja wahrscheinlich geholt habt folgendes ergänzt, ändert, Löscht:
Die Zeile ca firewall.crt ist außerdem wichtig. Dort verweisen wir jetzt auf das Zertifikat, was wir uns von der Firewall runtergeladen haben. Dazu müsst ihr die Dateiendung noch in crt ändern und den Dateinamen in der Konfig konsistent zu dem Dateinamen des Zertifikats halten. Das Zertifikat in meinem Fall mit dem Dateinamen firewall.crt kommt dann in den gleichen Ordner wie die VPN-Config.
Das war es auch schon. Es sollte laufen, das tut es zumindest bei mir. Es ist vielleicht nicht die sicherste VPN-Verbindung, aber durchaus die Einfachste wie ich finde.
Ich hoffe ich konnte jemandem helfen.
Gruß
Jash
nachdem ich lange nach einer Anleitung für den im Titel beschriebenen Fall gesucht habe und leider nicht fündig wurde, möchte ich anderen die Arbeit erleichtern. Also hier eine Anleitung wie ihr mit der Endian Firewall Community Edition VPN mittels des schon integrierten OpenVPN Servers und der Verschlüsselung PSK (Benutzername/Passwort) einen Tunnel zu eurer Firewall bekommt.
Softwarelinks:
Endian FirewallTunnelblick
Vorbereitung:
Sucht euch einen OpenVPN kompatiblen VPN-Clienten. In meinem Falle tat es Tunnelblick ganz gut, aber auch andere Progs mögen reichen. Achtet nur darauf dass ihr an die openvpn.conf herankommt, die wir gleich bearbeiten werden.
Konfiguration des Servers:
Eine laufende Endian Firewall solltet ihr ja wahrscheinlich schon haben. Auf dieser aktiviert ihr jetzt unter VPN mittels eines Häkchens den OpenVPN-Server und gebt die IP-Range ein, die ihr den VPN-Usern zugestehen wollt. Jeder der sich mit eurer Firewall verbindet wird ins GRÜNE Netz gesteckt, das solltet ihr bei der Wahl der Range im Hinterkopf behalten.
Außerdem solltet ihr das CA Zertifikat herunterladen was auf dem Link direkt unter den Eingabefenstern für die IP-Ranges möglich ist. Das brauchen wir nämlich nachher nochmal. Vergesst nicht auf Speichern und Neustart zu klicken!
Unter Konten legt ihr nun ein Profil nach eurem Gusto an. Bei diese Nameserver pushen gebt ihr eure/euren Nameserver ein. Pro Zeile eine IP. Wiederum jetzt speichern und den OpenVPN Server mittels des Buttons auf der kommenden Seite neustarten.
Unter Erweitert, bei den globalen Pushoptionen habe ich die Nameserver nocheinmal eingetragen. Ob das bei euch notwendig ist müsst ihr selbst schauen. Bei den Authentifizierungseinstellungen wählt ihr nun PSK (Benutzername/Passwort) aus und wieder Speichern und Neustart.
Clientkonfiguration:
Sobald ihr euren Clienten installiert habt, öffnet die Konfigurationsdatei des Programms. Sollte es keine geben, könnt ihr auch meine (s.u) nehmen, oder euch eine Standardkonfig holen. Meine Konfigurationsdatei sieht nun so aus (für xxx.xxx.xxx.xxx IP des Servers einsetzen):
client
auth-user-pass
dev tap
proto udp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca firewall.crt
comp-lzo
verb 3
Wichtig ist, dass ihr an der Standardkonfiguration die ihr euch ja wahrscheinlich geholt habt folgendes ergänzt, ändert, Löscht:
- auth-user-pass -> Ergänzen
- dev tun -> dev tap
- cert client.crt -> Löschen oder mit Semikolon vorn auskommentieren
- key client.key -> Löschen oder mit Semikolon vorn auskommentieren
Die Zeile ca firewall.crt ist außerdem wichtig. Dort verweisen wir jetzt auf das Zertifikat, was wir uns von der Firewall runtergeladen haben. Dazu müsst ihr die Dateiendung noch in crt ändern und den Dateinamen in der Konfig konsistent zu dem Dateinamen des Zertifikats halten. Das Zertifikat in meinem Fall mit dem Dateinamen firewall.crt kommt dann in den gleichen Ordner wie die VPN-Config.
Das war es auch schon. Es sollte laufen, das tut es zumindest bei mir. Es ist vielleicht nicht die sicherste VPN-Verbindung, aber durchaus die Einfachste wie ich finde.
Ich hoffe ich konnte jemandem helfen.
Gruß
Jash
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147039
Url: https://administrator.de/contentid/147039
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
1 Kommentar
Preshared Keys sind bei VPNs immer so eine Sache und nicht wirklich sicher... Zertifikate sind dem immer vorzuziehen zumal OpenVPN das Tool dafür schon mitbringt oder man auch bequem externe Tools dafür nutzen kann
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das Gros an Sicherheit was man damit erreicht ist nicht zu unterschätzen wenn es um Firmennetze usw. geht.
Für den Basteluser im Heimnetz mögen sicher PSKs auch OK sein. Die gleiche Konfig funktioniert übrigens auch bei dem o.a. Tutorial wenn man statt Zertifikate lieber einfacher mit PSKs arbeiten will und das Security Risiko in Kauf nimmt..
Die OpenVPN Installation ist immer dieselbe...egal auf welcher Plattform das geschieht !
Interessant ist das es die Endian auch als Image zum installieren auf einer festen Appliance (ALIX Mini Mainboard) gibt ohne Lüfter oder andere Verschleißteile analog wie M0n0wall oder Pfsense:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Ob die Endian allerdings so performant ist und so vile features benutzt wie Pfsense ist fraglich, da sie nicht für solche Appliances gemacht ist.
M0n0wall und insbesondere Pfsense bieten dort eine bessere Perfomance da sie für solche Plattformewn optimiert sind !
Wer dennoch experimentieren will damit: Das fertige Endian Image für die ALIX Boards gibt es hier:
http://blog.y-m-e.net/2010/02/endian-firewall-2-3-4gb-image-fur-alix-2d ...
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw.
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das Gros an Sicherheit was man damit erreicht ist nicht zu unterschätzen wenn es um Firmennetze usw. geht.
Für den Basteluser im Heimnetz mögen sicher PSKs auch OK sein. Die gleiche Konfig funktioniert übrigens auch bei dem o.a. Tutorial wenn man statt Zertifikate lieber einfacher mit PSKs arbeiten will und das Security Risiko in Kauf nimmt..
Die OpenVPN Installation ist immer dieselbe...egal auf welcher Plattform das geschieht !
Interessant ist das es die Endian auch als Image zum installieren auf einer festen Appliance (ALIX Mini Mainboard) gibt ohne Lüfter oder andere Verschleißteile analog wie M0n0wall oder Pfsense:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Ob die Endian allerdings so performant ist und so vile features benutzt wie Pfsense ist fraglich, da sie nicht für solche Appliances gemacht ist.
M0n0wall und insbesondere Pfsense bieten dort eine bessere Perfomance da sie für solche Plattformewn optimiert sind !
Wer dennoch experimentieren will damit: Das fertige Endian Image für die ALIX Boards gibt es hier:
http://blog.y-m-e.net/2010/02/endian-firewall-2-3-4gb-image-fur-alix-2d ...