OpenVPN Server mit OPNsense

Vor kurzem habe ich eine OPNsense als Firewall in Betrieb genommen. Hier habe ich ein kleines Howto zur Konfiguration des OpenVPN Server gemacht. Ziel der Anleitung ist es einen Windows Client anzubinden. Ich nutze den VPN-Client von Securepoint, dieser ist schlicht und einfach zu bedienen. In meinem Beispiel Konfiguriere ich eine „Any“ Regel in der Firewall. In einer Produktivumgebung sollte dies detaillierter Konfiguriert werden.

Meine OPNsense mit der das Tutorial erstellt wurde läuft mit Version OPNsense 17.7.11

 

Vorbereitungen:

  • Konfigurierete OPNsense Firewall (LAN/WAN)
  • statische IP oder dyndns Alias

CA Zertifikat

Zuerst müssen wir ein CA Zertifikat erstellen der Punk findet ihr unter System: Trust: Authorities. Dort die Konfiguration mit „Add or import CA“ starten

OPNsense CA System : Trust : Autorities
OPNsense CA Zertifikat erstellen
  • Die Felder entsprechend der Beschreibung ausfüllen. Achtet auf Aussagekräftige Benennungen
  • Bei Method „Create Internal Certificate Authority“ auswählen
  • Die Standard „Lifetime“ habe ich hochgesetzt auf 5 Jahre
OPNsense CA System : Trust : Autorities
OPNsense CA Zertifikat erstellen

weiterlesen

OPNsense Konfiguration Wizard

Neue Firewall OPNsense

Aufgrund eines Hardwaredefekts musste ich mich von meiner Endian Firewall trennen. Im Zug der Neuinstallation wollte ich auf ein anderes System umsteigen. Hier ist mir OPNsense ins Auge gefallen. Der Fork von pfsense bietet eine Aufgeräumte Oberfläche und ist bei der Handhabung ähnlich wie pfsense. Das sich OPNsense hinter kommerziellen Produkten nicht verstecken muss zeigt schon die Featureliste:

Als Killer Feature empfinde ich die Suchfunktion mit der sich Konfigurationsmenüs direkt aufrufen lassen. Gerade als Neuling sehr praktisch.

OPNsense Konfiguration Wizard
Das Killer Feature für mich, der Suchen Dialog

Die Installation auf meiner Intel Atom Plattform verlief Problemlos. Nach der Installation führt ein Assistent durch die Grundkonfiguration.
Da ich vor der OPNsense eine FRITZ!Box verwende muss die Firewall angepasst werden. weiterlesen

Frohes neues…

Hallo liebe Lesergemeinschaft,

nachdem meine Frau mich nach meinem letzten Beitrag abkommandiert hatte zum Renovieren von Schlafzimmer, Kinderzimmer und Flur entschied ich mich kurzfristig mein Büro in das Dachgeschoss umzuziehen. Damit bin ich nun Fertig und kann mich neben meinen drei noch nicht abgeschlossenen Baustellen nun um meinem Blog kümmern.
Da ich glücklicherweise in den Genuss der 100MBit Leitung bei KabelDeutschland komme musste ein neues Modem angeschafft werden. Meine Wahl viel auf die FRITZ!Box 6360 da ich die Box gleichzeitig als ISDN Gateway für meine Telefonanlage verwenden kann.
Mein Atom-PC werde ich in den kommenden Wochen zu einer Endian Firewall umbauen. Es steht also einiges an über das ich in den kommenden Wochen berichten möchte. Als Beweis das ich nicht untätig war hier ein paar Bilder meines neuen Arbeitsplatzes. Wie zu sehen hab es zu Weihnachten einen weiteren 24″ Monitor von LG (LG Flatron W2442PE-BF). Ein zweiter Monitor erleichtert die Arbeit gerade bei Fernwartungen ungemein.
Viel gespannter bin ich aber auf mein Geburtstagsgeschenk das dieses Jahr eine kleine Teufel Kompakt-Anlage Kombo 42 sein wird über die ich dann ausführlich berichten werde.
Im Bild sieht man einen Linksys WRT54GL der mit zusätzlichen 7dBi Antennen ausgestattet worden ist. Dieses gute Stück muss allerdings einem weiteren Linksys e2000 weichen. Auch darüber werde ich berichten.

 

 

Portweiterleitung einrichten

Portweiterleitung einrichten (Port Forwarding)

Damit unser Rechner oder genauer gesagt ein bestimmter Dienst auch hinter der sich im Router befindlichen Firewall von außen erreichbar ist, muss der Port vom DSL-Router an den entsprechenden Rechner weitergeleitet werden. Wie man dieses Port Forwarding einrichtet zeige ich Ihnen hier. Wir müssen dazu wissen, welchen Port wir von außen erreichbar machen wollen, auf welchen Rechner dieser Port weitergeleitet werden soll und welche Protokolle verwendet werden. Hier unterscheidet man zwischen TCP, UDP oder beide in Kombination.

Da diese Weiterleitung statisch arbeitet, sollte man entweder mit festen IP-Adressen arbeiten oder, sofern es der Router unterstützt, anhand des DHCP-Server mit Hilfe der MAC-Adresse eine immer gleiche IP-Adresse vergeben.

Sicherheit:

Jeder offene Port macht das System angreifbar von außen. Es sollten also immer nur die absolut benötigten Ports geöffnet und weitergeleitet werden. Weiterhin sollten bei dem entsprechenden Dienst, der bereitgestellt wird, auf  Programm- bzw. Sicherheitsupdates geachtet werden und schnellstmöglich diese Updates installiert werden. Viele Programmhersteller bieten hierzu einen Newsletter an.

weiterlesen