Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät

Vorbemerkung

Schnelle Lösungen wie die Integration einer 2ten oder auch 3ten Netzwerkkarte in einen Fileserver oder der Einsatz eines OSI Layer 3 fähigen Switches (Routing Switch) bergen Gefahren wie Instabilität und Performanceeinbußen durch zusätzliches Paket Forwarding auf einem Server oder eben der nicht unerhebliche Kostenfaktor bei der Investition in einen Layer 3, Routing Switch wenn nur wenige Netze zu verbinden sind.
Die sicherste Lösung so etwas im kleinen und mittleren Netzwerk Bereich umzusetzen ist meist eine kleine preiswerte Routing Firewall !

Eine Firewall besitzt zudem zusätzlich noch weitere sinnvolle Features wie integriertes VPN (fast) aller gängigen VPN Protokolle, bei Gastnetzen die Möglichkeit eines Hotspot Betriebes, Link Loadbalancing bei doppelter Provider Anbindung und vieles mehr. Ein preiswertes "Multitalent" in einem einzelnen Gerät das oft die Investition in separate zusätzliche Hardware überflüssig macht.
Mit pfSense Firmware supportet sie auch VDSL Anschlüsse und kann so auch als VPN Firewall Router problemlos am VDSL betrieben werden.
(Ein VDSL_Tutorial beschreibt wie es problemlos einzurichten ist.)
Dieses Tutorial beschreibt Schritt für Schritt den schnellen und preiswerten Aufbau so einer effizienten Firewall mit einer fertigen Komplettlösung auf Basis des bekannten kleinen ALIX_Mainboards mit Pfsense oder Monowall Software auf ein CF Flashkarte, den auch Anfänger und Laien einfach bewerkstelligen können.
Der Zusammenbau beschränkt sich auf das Beschreiben (Flashen) eines CF-Flash Speichers mit der Firmware und lediglich das Einschrauben in ein Gehäuse was auch Firewall Anfänger problemlos bewerkstelligen können, die wissen wie man mit einem Schraubendreher umgeht.
Der Einsatz so einer fertigen Firewall Appliance hat den Vorteil das die Firewall klein und kompakt ist und im Jahresmittel nicht mehr als 20 Euro Stromkosten verursacht. Ganz im Gegensatz zu großer und stromhungriger PC Hardware, auf der die o.a. Firmware auch laufen kann.
Diese Firewall hat ein integriertes Web Interface zum einfachen Konfigurieren per Mausklick, so das auch die Installation einfach und schnell zu realisieren ist. Ferner bietet sie eine ausgeklügelte grafische Überwachung um die Datenlast auf allen Interfaces und anderer Betriebsparameter auch grafisch über einen Zeitraum darstellen zu können um so eine gesicherte Aussage über die Auslastung treffen zu können.

Um es gleich vorweg zu nehmen. Wer sich den Zusammenbau nicht zutraut und doch lieber auf Nummer sicher gehen möchte, bekommt hier für sehr geringe Mehrkosten komplett fertige Systeme im kleinen Desktop Gehäuse oder professionell für den 19" Schrankeinbau, die nur noch mit der Stromversorgung verbunden und über die Webseite konfiguriert werden müssen:
http://shop.varia-store.com/index.php?cat ...
bzw. pfSense
http://shop.varia-store.com/index.php?cat ...
oder alternativ hier:
http://www.applianceshop.eu/index.php/fir ...

Die Hardware

Die Hardware Basis ist ein ALIX Mainboard 2D1 oder 2D13 der Firma PC-Eingines mit 3fach LAN Interface. Bei dem sehr geringen preislichen Unterschied zu einem 2 Port LAN Bord macht der Einsatz von 2 Port Boards keinen Sinn zumal der 3te Port einem mehrwert bei z.B. zusätzlicher DMZ oder Gäste Netzen bietet.
Das komplette Set aus Gehäuse, Board, Netzteil und Flash Speicher gibt es bequem als Bausatz zu kaufen, so das eine Bestellung der Einzelkomponenten ebenso keinen Sinn mehr macht:
http://shop.varia-store.com/index.php?cat ... (2D19 Paket oder 2D13 Paket mit mehr Speicher 256 MB)
Wie immer ist via eBay auch ein weiterer offizieller ALIX Distributor im Bunde:
http://cgi.ebay.de/ALIX-2D13-Bundle-Board ...

Wer dennoch lieber die Einzelkomponenten bestellen möchte um noch ein paar Euro zu sparen, findet Alix Mainboards 2D19 oder 2D13 hier, passende Gehäuse hier und Netzteil hier.
Um fair zu bleiben hier noch eine alternative_Bezugquelle.
Ggf. bei Bedarf noch eine 1 oder 2 Gig CF Flash Karte. Diese gibt es als Massenware preiswert in den einschlägigen Massenmärkten oder HIER im Versandhandel.
Mit einer Standard 1 oder 2 GiG CF Karte ist man also bestens bedient sowohl für pfSense als auch für M0n0wall. 4 GiG funktionieren ebenfalls.
Für den Zusammenbau ist lediglich ein Schraubendreher erforderlich.

Die folgende Abbildung zeigt das ins fertige Gehäuse montierte ALIX Board:
Die Firewall kann auch professionell für die Schrankmontage in einem 19" Zoll, 1HE Schrankgehäuse gebaut werden oder gleich fertig_im_19_Zoll_Gehäuse erworben werden
Die Integration einer MiniPCI WLAN Karte ist ebenfalls möglich um im Firewall Gehäuse zusätzlich zu den 3 LAN Interfaces noch einen WLAN Accesspoint zu betreiben (z.B. für einen WLAN Gastzugang, Hotspot etc.).
Passende WLAN Mini PCI Karten finden sich hier und hier
Das u.a. Hotspot-Tutorial beschreibt die einfache Integration des WLANs.

Der Zusammenbau

Vom rein mechanischen Zusammenschrauben abgesehen, ist das einzige ToDo das Beschreiben (Flashen) der mitgelieferten CF-Flashkarte mit der Firmware Datei. Auch eine alte CF-Flashkarte aus dem digitalen Fotoapparat kann so prima recycelt werden. Eine preiswerte 1 Gig CF-Flashkarte reicht problemlos für die Firmware aus.
Zum Beschreiben verwendet man einen simplen Flash_Card_Reader wie er schon häufig in Desktop PCs zum Auslesen von Foto Flash Cards usw. vorhanden ist oder einen entsprechenden USB Adapter den diverse Händler anbieten z.B.: hier

Zum Flashen der CF-Karte läd man das freie Programm physdiskwrite von der Monowall Webseite herunter:
http://m0n0.ch/wall/physdiskwrite.php
und kopiert das Programm einfach in ein freies Windows Verzeichnis das man zuvor angelegt hat.
Pfsense ist eine Weiterentwicklung des Klassikers M0n0wall. Beiden liegt das als sicher und stabil geltende FreeBSD Unix zugrunde und die Firmware beider Lösungen wird kontinuierlich gepflegt.

In dieses Verzeichnis kommt jetzt ebenso die Firmware Image Datei von Monowall oder Pfsense.
Je nachdem welcher Firewall Firmware man den Vorzug gibt. Alternativ kann man 2 separate CF Karten beschreiben und mit simplen, einfachem Umstecken beide Versionen einfach mal ausprobieren.
Die Monowall Firmware findet man hier zum Download:
http://m0n0.ch/wall/downloads.php
Über die Funktion "Which Image do i need" kann man das entsprechende Image downloaden. Für ALIX Hardware ist die "embedde-1.xx" Datei dir richtige Wahl.
Pfsense dann analog hier:
http://files.nl.pfsense.org/mirror/downlo ...
ACHTUNG: Bei Pfsense sind die Image Dateien zum Download abhängig von der Größe der verwendeten CF-Flashkarten !
...1G = Image für 1 GiG CF Karte
...2G = Image für 2 GiG CF Karte
...4G = Image für 4 GiG CF Karte
Wichtig:
Das M0n0wall Firmware Image hat keine Einteilung in CF Kartengößen. Es kann problemlos auf alle CF Karten mit 128 MB und größer geflasht werden. Der Flashvorgang ist daher erheblich kürzer als bei einem pfSense Image.
Bei einem ALIX Bord ist trotz dort verwendetem AMD Geode Prozessor NICHT die "..amd64..." Version, sondern immer die "..i386-nanobsd..." Version für die Installation auf der CF Flashkarte zu wählen, da der Geode kein 64Bit Prozessor ist !

Das Flash Tool Physdiskwrite kann automatisch per GZIP (.gz) gezippte Dateien direkt beim Flashvorgang entzippen. Ein vorherhiges Entzippen .gz komprimierter Dateien ist daher nicht erforderlich, schadet aber auch nicht !
.ZIP Archive sollten vorher z.B. mit dem Klassiker mit 7z oder anderen klassischen Archivtools entpackt werden.
Im Verzeichnis sind nun
1.) physdiskwrite, (Tool zum Beschreiben der Flashkarte)
2.) Monowall Firmware Datei (.gz)
3.) Ggf. Entzippte (.zip) Pfsense Firmware Datei passend zur CF Flashkartengröße !

Im nächsten Schritt wechselt man jetzt in einer Windows Eingabeaufforderung (Start -> "cmd", "DOS Fenster") in dieses Verzeichnis.
Zusätzlich steckt man jetzt die FAT oder FAT32 formatierte CF Karte in den Kartenleser !!!
Der generelle Kommandoaufruf lautet: physdiskwrite -u <image-name.gz>
Wichtig ist nun das richtige Laufwerk zu beschreiben, denn physdiskwrite überschreibt ohne Vorwarnung !!
In der Regel ist das Physical Drive 0 = Festplatte C: und Physical Drive 1 = Festplatte D: Die folgenden Laufwerksnummern (Physical Drive) sind dann Flash Karten Laufwerke. (Sofern keine zusätzlichen Laufwerke vorhanden sind !)
Wer kein Laufwerk D: hat (Festplatte oder Partition) "sieht" dann mit der Physical Drive Nummer "1" schon das Flash Laufwerk !!
Hier gilt es also wirklich genau hinzusehen BEVOR man die Laufwerksnummer angibt um die CF Karte zu beschreiben !
Das Flash Laufwerk ist aber immer eindeutig identifizierbar, da es eine erheblich geringere Anzahl an Zylindern hat (verglichen mit der Festplatte C: ) wie der folgende Screenshot sehr deutlich zeigt:


Mit dem Kommando physdiskwrite -u embedded-1.33.img.gz (Beispiel Monowall Image) und der danach folgenden Auswahl (hier Physical Drive 2) beschreibt man nun die CF Karte mit der Firmware. (Der Parameter -u muss zwingend bei Flash Karten größer 800 Mbyte verwendet werden !!)
Der Schreibvorgang wird online auf dem Schirm angezeigt.
Das Flashen der CF Karte muss nur ein einziges Mal erfolgen. Danach kann die Firewall dann im laufenden Betrieb ganz einfach per Mausklick online über das Internet auf eine aktuelle Firmware Version sofern vorhanden upgedated werden.
Bei einer fertigen Komplettlösung (s.u.) entfällt es völlig da diese ja bereits eine beschriebene CF Karte enthält !
Ist die CF Karte jetzt fertig beschrieben wird sie auf den entsprechenden CF Stecker auf dem ALIX Board gesteckt und das ALIX Board mit 4 Schrauben ins Gehäuse geschraubt und das Steckernetzteil angeschlossen. Fertig !
Nochmals: Wem diese Schritte doch technisch zu kompliziert und Schraubendreher Hexenwerk sind, bekommt hier (Monowall) und hier (Pfsense) alles Plug and Play fertig und muss dann nur noch das Netzteil in die Steckdose stecken und die Konfiguration übers WebGUI vornehmen.
Nach erfolgreichem Zusammenbau steht nun einer Inbetriebnahme im Netz nichts mehr im Wege !

Die Konfiguration

Nach dem Booten hat die Firewall die folgenden Grundeinstellungen:
IP Adresse: 192.168.1.1
Monowall Zugangspasswort: Benutzer: admin, Passwort: mono
Pfsense Zugangspasswort: Benutzer: admin, Passwort: pfsense
Man verbindet nun ganz einfach den ganz rechten Port (LAN Port, in der u.a. Abbildung das gelbe Kabel) der Firewall per Patchkabel mit einem Laptop oder PC. Per DHCP bekommt dieser dann automatisch eine IP Adresse aus dem 192.168.1.0er Netzwerk zugewiesen.
Jetzt nur noch den Web Browser der Wahl öffnen und oben ins URL Feld http://192.168.1.1 eingeben. Bei der erscheinenden Benutzerabfrage loggt man sich mit den o.a. Usernamen und Passwort ein.
Eine klassische Prozedur wie bei allen Routern um zur webbasierenden Konfiguration zu gelangen. Daraufhin kann die Firewall über ihre Konfig Webseite gemäß Anforderungen konfiguriert werden.
Abb. Login Monowall:
Abb. Login pfSense

Der Betrieb

Da die Firewall selber PPPoE spricht auf dem "Internet" Port kann sie direkt an ein DSL Modem (oder auch DSL Router mit DHCP) bzw. einem TV Kabelmodem angeschlossen werden.
Einige "Klassiker" vom Netzwerk Design mit Internet Zugang und 2 Netzen zeigen die folgenden 3 Abbildungen:
Eins der meistbenutzten Netzwerk Designs ist wie unten zu sehen ein geschütztes (Firmen) Netz und ein separates, sicher abgetrenntes Netz für Gäste und Besucher mit oder ohne Hotspot (Captive Portal) Lösung:


Die untenstehende Abbildung zeigt die Anbindung 2er Firmen oder Nachbarschaftsnetze plus VPN Zugang von außen für remote Mitarbeiter oder Mangement:

Hier ein einfaches Design für eine VPN LAN zu LAN Kopplung 2er remoter IP Netze über das Internet:



Die zusammengeschaltete Hardware (ohne 19" Schrank) zeigt die folgende Abbildung, wobei der Cisco Switch das Firmen Produktivnetz bedient und der NetGear Miniswitch ein Gastnetz mit WLAN Accesspoints. Die Firewall selber ist direkt an ein preiswertes ADSL2+ DSL Modem angeschlossen und realisiert den Internetzugang. (Statt Modem kann auch ein Router verwendet werden).

Ein passendes Alix Gehäuse für professionelle 19" Zoll Schränke, mit oder ohne integriertes Netzteil, für die o.a. Firewall findet man HIER.

Die Entscheidung: pfSense oder M0n0wall ?

Eine endgültige Antwort auf diese Frage ist schwer zu geben. pfSense glänzt mit etwas mehr Features (PPoE Server, OpenVPN, Link Loadbalancing bei 2 Provider Uplinks, grafische Lastauswertung etc.) und M0n0wall mit einer etwas schlankeren Oberfläche und weniger Featureitis.
Man muss allerdings im Hinterkopf behalten das M0n0wall ganz klar optimiert ist auf embedded Systeme wie z.B. die ALIX Boards von PC Engines. pfSense eher optimiert auf leistungsfähigerer Hardware.
Wer also eine feste Anwendung hat, weniger Schnickschnack benötigt, nimmt die M0n0wall.
Wer aber etwas mehr Firewall Features und Konfigurationsmöglichkeiten wie z.B.eine grafische Auswertung des Traffics über ein schickes Dashboard wünscht
oder ein Load Balancing (Lastverteilung) zweier Internet Zugänge oder ein OpenVPN Umfeld benötigt, entscheidet sich dann klar für die pFsense Variante.
Es ist letztlich eine Geschmacksfrage und Frage der späteren Anwendung.
Mit der aktuellen 2.0er Version liegt pfSense was das Monitoring des Traffics und andere Parameter hat und bei den Firewall Features ganz klar vorne und muss sich auch vor kommerziellen Firewalls nicht mehr verstecken. Die Fülle der Funktionen und des voll customizebaren Dashboards mit seinen Status Widgets sind absolut State of the Art auch im Profibereich.
In Verbindung mit VPNs ist das ALIX Board auch erste Wahl, da es mit dem im AMD Geode Prozessor embeddedten Krypto Chip einen HW Beschleunigung aller kryptografischen Funktionen bietet.
Abgesehen davon sind 2 CF Flashkarten heutzutage sehr preiswert und zudem schnell "betankt", so das man sich problemlos schnell selber einen Überblick verschaffen kann indem man sich einmal beide Versionen in der Praxis ansieht. Dies ist dann sehr einfach durch simples Umstecken zweier CF Flashkarten oder Neubeschreibung der vorhandenen CF Karte mit der anderen Software machbar.
Sogar das IPCop Derivat "IPFire" lässt sich problemlos auf dem ALIX Board installieren, allerdings ist die Installation nicht ganz so trivial und erheblich aufwendiger und deshalb nichts für Ungeübte. Den einzigen Vorteil eines Content Filters (URL Filter) verspielt sie durch fehlene VPN Funktionen und die Möglichkeit einer GUI basierten Konfiguration.
Die Wahl von pfSense oder M0n0wall ist auf alle Fälle die weitaus bessere für die ALIX Board Hardware !

Erweiterung um eine WLAN Schnittstelle (integrierter Accesspoint)

Das ALIX Board bietet zusätzlich intern einen freien miniPCI Steckplatz. Hier kann man mit 2 bis 3 einfachen Handgriffen in zehn Minuten ein miniPCI WLAN Modul plus WLAN Antenne einsetzen und so eine 4te physische Schnittstelle mit integriertem WLAN nachrüsten.
Die dazu erforderlichen einzelnen Schritte beschreibt dieses_Tutorial im Detail.

Die VDSL Anbindung dieser Firewall

Diese Firewall lässt sich auch problemlos an VDSL Ports betreiben. Nötig ist dafür lediglich ein simples VDSL Modem wie z.B. ein Speedport 221 oder Speedport 300HS (z.B. eBay) o.ä.
Da VDSL Daten mit einem VLAN Tag 7 versehen sein müssen muss dies vorher am WAN Port definiert werden. (Achtung: Diese Zuweisung ist NUR mit der pfSense SW möglich ! Monowall supportet das (noch) nicht !)
Eine Schritt für Schritt Anleitung dazu findet man HIER.

Hier ein paar Screenshots einer am T-Com VDSL aktiven pfSense VDSL/WAN Schnittstelle mit Speedport 300HS Modem:
Einrichtung des VLANs mit VLAN ID 7 und Zuweisung auf den physischen Port vr1:

Konfiguration WAN Port:
Nun werden lediglich in den WAN Einstellungen der PPPoE Modus aktiviert und die Provider Zugangsdaten (User / Passwort) dort eingetragen !
ACHTUNG:
Einige Router oder Router im Modem Betrieb (PPPoE Passthrough) wie z.B. der Speedport 721V machen von sich aus schon ein VLAN Tagging mit der VLAN ID 7 !
Damit ist dann eine Konfiguration mit einem Tagging vom Firewall Interface selber, wie oben beschrieben, überflüssig und lediglich ganz normal PPPoE einzustellen wie bei einer normalen ADSL oder ADSL2+ Konfiguration mit Modem.
Betreibt man den WAN Port mit einem Router davor am ADSL oder VDSL ist diese Einstellung so oder so überflüssig, da logischerweise der Router dann das gesamte Zugangshandling übernimmt und der WAN Port an der Firewall nur als "normaler" Ethernet Port einzustellen ist.
Wichtig ist hier das Fazit diese Firewall generell performant auch am VDSL betreiben zu können, wie auch immer man sie anbindet.

Die Beispiele aus der Praxis

Die o.a. Firewall ist Basis einiger hier veröffentlicher Tutorials die weitere Details für dessen Konfiguration genauer beschreiben:

Gastzugang mit einer WLAN Hotspot Lösung:
http://www.administrator.de/index.php?con ...

VLAN Routing bzw. Integration in Netzwerke mit 802.1q VLANs:
http://www.administrator.de/index.php?con ...

Einfaches Routing 2er oder 3er IP Netze ohne Firewall Funktion:
http://www.administrator.de/index.php?con ...

Einfaches VPN mit Smartphone, Windows, Apple und Linux bordeigenem VPN Client für remote Benutzer:
http://www.administrator.de/index.php?con ...

VPN mit OpenVPN:
http://www.administrator.de/index.php?con ...

Standortkopplung zweier oder mehrer Standorte mit OpenVPN:
http://www.administrator.de/index.php?con ...

VPN mit IPsec Client bzw. Standort zu Standort IPsec VPN auf Cisco oder FritzBox VPN Router:
http://www.administrator.de/index.php?con ...

VPN mit Site to Site IPsec auf Cisco PIX / ASA konfigurieren:
http://www.administrator.de/index.php?con ...

Das ALIX Board als vollwertige VoIP Telefonanlage nutzen:
http://www.administrator.de/index.php?con ...

Wenn nichts mehr geht...

Besitzt die Firewall einen Reset Knopf der die Konfiguration löscht auf die Werkseinstellungen.
Alternativ hat das Board einen Terminalanschluss an den man ein einfaches Textterminal wie Windows Hyperterm, PUTTY oder TeraTerm mit einem seriellen RS-232 Nullmodemkabel anschliessen kann. (Apple Macs nutzen Z-Term, bzw. minicom bei Linux)
Wer am PC/Laptop keinen COM Port mehr hat benutzt einfach einen preiswerten USB_Seriell_Adapter den jeder PC Shop für ein paar Euro hat.
Schaltet man dann das ALIX Board an, stellt das o.a. Terminalprogramm auf 9600 Baud, keine Parity, 8 Bit, 1 Stoppbit (pfSense: 38.400 Baud) und keine Flusskontrolle erhält man nun im Terminal exakt dieselben Boot Meldungen wie am PC Bildschirm und kann das Board entsprechend in der Grundkonfiguration verändern oder gemachte Einstellungen löschen oder das Board komplett resetten.
Keine Angst: Das Terminal ist kein Muss ! Alles lässt sich auch bequem über das Webinterface einstellen. Es ist lediglich ein Notanker wenn man z.B. IP oder Passwort einmal vergessen hat.
Die Konsole ist aber immer hilfreich um dem ALIX Board etwas auf die Finger zu schauen und erleichtert die Fehlersuche.

Schlussbemerkung:
Viele werden die bei einer PC Version mögliche Installation von Plugin bzw. Packages Erweiterungen bei der ALIX embedded Flash Version vermissen. Dort gibt es Package Erweiterungen wie den Squid Proxy, FreeRadius Server etc.
Das ist gewollt um Lese- Schreibzugriffe auf die Flashkarte in der embedded Version gering zu halten um deren Lebensdauer zu erhöhen und auch ein Volllaufen des Dateisystems zu verhindern für den verschleissfreien Dauerbetrieb. Daher ist in der embedded Festversion das Filesystem Read Only eingestellt und eine Packages Erweiterung so mit der embedded Flash Version nicht möglich.
Dennoch ist es machbar auch mit einer ALIX Hardware diese Plugins/Packages zu nutzen !
Man macht dann lediglich eine normale Vollinstallation auf die Flash Karte wie bei einer PC Hardware. Die CF Flashkarte sollte dann etwas größer als 2G oder 4G sein. Besser also eine 8 G oder größer verwenden um ein Volllaufen des Flash mit Logdaten usw. zu verhindern.
Wie man so eine Vollinstallation auf einer ALIX Hardware realisiert beschreibt DIESER Thread im Forum.

Letzte Aktualisierung: 05/2012