OpenVPN Server mit OPNsense

Vor kurzem habe ich eine OPNsense als Firewall in Betrieb genommen. Hier habe ich ein kleines Howto zur Konfiguration des OpenVPN Server gemacht. Ziel der Anleitung ist es einen Windows Client anzubinden. Ich nutze den VPN-Client von Securepoint, dieser ist schlicht und einfach zu bedienen. In meinem Beispiel Konfiguriere ich eine „Any“ Regel in der Firewall. In einer Produktivumgebung sollte dies detaillierter Konfiguriert werden.

Meine OPNsense mit der das Tutorial erstellt wurde läuft mit Version OPNsense 17.7.11

 

Vorbereitungen:

  • Konfigurierete OPNsense Firewall (LAN/WAN)
  • statische IP oder dyndns Alias

CA Zertifikat

Zuerst müssen wir ein CA Zertifikat erstellen der Punk findet ihr unter System: Trust: Authorities. Dort die Konfiguration mit „Add or import CA“ starten

OPNsense CA System : Trust : Autorities
OPNsense CA Zertifikat erstellen
  • Die Felder entsprechend der Beschreibung ausfüllen. Achtet auf Aussagekräftige Benennungen
  • Bei Method „Create Internal Certificate Authority“ auswählen
  • Die Standard „Lifetime“ habe ich hochgesetzt auf 5 Jahre
OPNsense CA System : Trust : Autorities
OPNsense CA Zertifikat erstellen

Weiterlesen

Antivirus Ausnahmen

Hier meine gesammelten Links zu Antivirus Ausnahmen (Anti-Virus Exclusions). Je nach eingesetztem Antivirus System ist es zwingend notwendig die Ausnahmen entsprechend korrekt zu setzen.

Microsoft Exchange

Microsoft Hyper-V

Microsoft Windows Server

Microsoft SQL

Drittanbieter

Sollte jemand sich an der Liste Beteiligen wollen ich nehme gerne weitere Produkte oder Links entgegen.

PowerShell Cookbook

Habt ihr auch eine Textdatei mit diversen PowerShell befehlen die man mit der Zeit gesammelt hat? Hier kommt meine Sammlung 😛 Die Befehle sind lose zusammengestellt. Ich versuche Sie mit der Zeit etwas thematisch zu trennen.

 

 

Allgemein

Powershell Version anzeigen

Powershell Module anzeigen

PowerShell Module Importieren

Netzwerkprofil Anzeigen

Netzwerkprofil in Privat ändern

Netzwerkprofil in Privat ändern

 

Weiterlesen

OPNsense Konfiguration Wizard

Neue Firewall OPNsense

Aufgrund eines Hardwaredefekts musste ich mich von meiner Endian Firewall trennen. Im Zug der Neuinstallation wollte ich auf ein anderes System umsteigen. Hier ist mir OPNsense ins Auge gefallen. Der Fork von pfsense bietet eine Aufgeräumte Oberfläche und ist bei der Handhabung ähnlich wie pfsense. Das sich OPNsense hinter kommerziellen Produkten nicht verstecken muss zeigt schon die Featureliste:

Als Killer Feature empfinde ich die Suchfunktion mit der sich Konfigurationsmenüs direkt aufrufen lassen. Gerade als Neuling sehr praktisch.

OPNsense Konfiguration Wizard
Das Killer Feature für mich, der Suchen Dialog

Die Installation auf meiner Intel Atom Plattform verlief Problemlos. Nach der Installation führt ein Assistent durch die Grundkonfiguration.
Da ich vor der OPNsense eine FRITZ!Box verwende muss die Firewall angepasst werden. Weiterlesen

Move-ADDirectoryServerOperationMasterRole

FSMO-Rollen Übertragen per Ntdsutil oder PowerShell

Hier löse ich in einer meiner Testumgebungen (acme.local) den primären Domain Controller ab. Aktuell befinden sich die Flexible Single Master Operations-Rollen (FSMO) auf einem Windows Server 2008 R2, dieser wird durch einen Server 2016 abgelöst.

In freier Wildbahn verfahre ich nach dem gleichen Schema. Für die Schritte sollte entsprechend Zeit eingeplant werden. Es muss sichergestellt sein das die Replikationen zwischen den Domain Controllern vollständig und fehlerfrei funktioniert hat.

  • Windows Server incl. aller Updates installieren
  • Server in Domain aufnehmen
  • Server zum Domain Controller hochstufen
  • Replikation prüfen
  • FSMO-Rollen übertragen
  • Replikation prüfen
  • FSMO-Rollen abfragen
  • DNS am neuen DC korrigieren
  • alten DC herunterstufen
  • alten DC aus der Domain entfernen
  • Domänenfunktionsebene und Gesamtstrukturfunktionsebene  anheben

Zum Übertragen der FSMO-Rollen wird ein Benutzer benötigt der Mitglied der Gruppen Domänen-, Schema- bzw. Organisations-Admins ist. Ich verschiebe die FSMO-Rollen per (Power) Shell. Dies geht bequemer als die einzelnen Management Konsolen zu verwenden.

Der letzte Punkt kann nur ausgeführt werden wenn alle Domain Controller die neuen Funktionsebenen Unterstützen und es keine Ausschlüsse für das Anheben der Funktionsebenen gibt z.B. durch Dritthersteller-Software.

In diesem Artikel beschränke ich mich auf das Umziehen der FSMO-Rollen. Alle Schritte finden auf unserem neuen Server statt.

Betriebsmasterrollen mit ntdsutil übertragen

Replikation überprüfen

Zuerst stellen wir sicher der die Replikation zwischen den beiden Domain Controllern Fehlerfrei und Vollständig ist. Hier ist der passende Artikel dazu

Repadmin /replsummary
Abfrage der Replikation

FSMO-Rollen abfragen

Wir fragen die FSMO-Rollen in der Shell mit Netdom Query Fsmo ab. Das Ergebnis zeigt uns wer aktuell die FSMO-Rollen besitzt. In größeren Domainstrukturen können das Unterschiedliche Server sein, mir ist dies bisher nicht untergekommen.

netdom query fsmo
Abfrage wer die Betriebsmasterrollen besitzt

Weiterlesen

AD Replication Status Tool

Active Directory-Replikation überprüfen

Microsoft stellt uns mit repadmin ein Tool zur Verfügung um die Replikation zwischen Domain Controllern einer Active Directory Umgebung zu prüfen. In diesem Artikel zeige ich wie man sich schnell einen Überblick über den aktuellen Replikationsstatus verschafft.

Replikation prüfen

In meiner Testumgebungen habe ich zwei Domaincontroller. ADS01 und ADS02.

Repadmin /replsummary (TechNet)

Repadmin /Queue (TechNet)

Weiterlesen

Reverse Lookupzone einrichten

DNS Server konfigurieren unter Windows, ein kleiner Guide

In meinem Tagesgeschäft laufen mir immer wieder Fehler in der DNS-Server Konfiguration über den Weg. Damit ein Active Directory sauber arbeiten kann ist ein funktionierender DNS-Server Voraussetzung. Hier möchte ich zeigen wie ein DNS-Server unter Windows Server eingerichtet wird. Hier hat sich in den Jahren nichts grundlegendes geändert.

In diesem Beispiel habe ich für eine Testumgebung einen DNS-Server konfiguriert.

Ich habe den Artikel wie folgt unterteilt

Einrichtung primäre DNS-Zone

Meine Primäre Zone ist mit den „Standard Einstellungen“ installiert. Als AD gespeicherte Zone die nur sichere dynamische Updates zulässt. Danach sollte eine Abfrage mit nslookup wie im letzten Screenshot aussehen.

Reverse Lookupzone Konfigurieren

Weiterlesen

Fake Name Generator

Realistische Namen für eine Active Directory Testumgebung

Für eine Realistische Testumgebung brauchen wir neben einer Firma auch entsprechende Benutzer, Organisationseinheiten und Gruppen. Ich habe für meine Testumgebungen mit Hilfe von fakenamegenerator Benutzer erstellt. Der Generator kann mehr als nur einfache Namen generieren. Es kann frei gewählt werden von Geburtstag bis Kreditkartennummer.

Fake Name Generator
Fake Name Generator

Ein praktisches PowerShell Script stellt Helge Klein bereit.

Wie Benutzer aus einem Active Directory exportiert oder importiert werden können werde ich ich einem eigenen Artikel aufarbeiten.

cleanmgr

Datenträgerbereinigung unter Windows Server 2008 R2 aktivieren

cleanmgr
fehlende Datenträgerbereinigung

Standardmäßig wird die Datenträgerbereinigung nicht installiert. Die Funktion ist Teil des Desktopdarstellung Features. Dieses Feature installiert allerdings weitere in der Regel nicht benötigte Features:

  • Windows Media Player
  • Desktopdesigns
  • Video für Windows (AVI-Unterstützung)
  • Windows SideShow
  • Windows Defender
  • Datenträgerbereinigung
  • Synchronisierungscenter
  • Audiorekorder
  • Zeichentabelle
  • Snipping Tool

Hinweis: Nach Aktivierung des Features benötigt der Server einen Neustart.

Ich gehe davon aus das in der Regel die weiteren Features nicht benötigt werden. Daher hier die Schritte um lediglich die Datenträgerbereinigung bereit zu stellen. Weiterlesen

Hohe Laufwerksauslastung durch .cab- und cbslog-Dateien

Bei einem meiner Windows Server 2008 R2 die ich betreue erhielt ich durch das Monitoring System eine Alarmmeldung vom Systemlaufwerk.

Server Eye Überwachung
Alarmmeldung im OCC von Server Eye

Mit der Freeware TreeSize prüfte ich das entsprechende Laufwerk. Es war damit schnell zu erkennen welche Verzeichnisse für die Auslastung verantwortlich waren. C:\Windows\Logs\CBS mit 16,3 GB und C:\Windows\Logs\CBS mit 10,3 GB. In den Ordnern lagen CbsPersist_YYYYMMDDHHMMSS.log bzw. cab_XXXX Dateien.

Woher kommen diese Dateien?

Verantwortlich ist die Windows Resources Protection. Die Log-Datei kann aufgrund der Größe nicht mehr in eine CbsPersist_YYYYMMDDHHMMSS.cab Archiviert werden. Weiterlesen