Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN mit OpenVPN auf Endian Firewall Community und PSK (Benutzername Passwort)

Mitglied: Jashugan

Jashugan (Level 1) - Jetzt verbinden

16.07.2010, aktualisiert 18.10.2012, 24521 Aufrufe, 1 Kommentar, 1 Danke

Moin,

nachdem ich lange nach einer Anleitung für den im Titel beschriebenen Fall gesucht habe und leider nicht fündig wurde, möchte ich anderen die Arbeit erleichtern. Also hier eine Anleitung wie ihr mit der Endian Firewall Community Edition VPN mittels des schon integrierten OpenVPN Servers und der Verschlüsselung PSK (Benutzername/Passwort) einen Tunnel zu eurer Firewall bekommt.

Softwarelinks:

Endian Firewall
Tunnelblick


Vorbereitung:


Sucht euch einen OpenVPN kompatiblen VPN-Clienten. In meinem Falle tat es Tunnelblick ganz gut, aber auch andere Progs mögen reichen. Achtet nur darauf dass ihr an die openvpn.conf herankommt, die wir gleich bearbeiten werden.


Konfiguration des Servers:


Eine laufende Endian Firewall solltet ihr ja wahrscheinlich schon haben. Auf dieser aktiviert ihr jetzt unter VPN mittels eines Häkchens den OpenVPN-Server und gebt die IP-Range ein, die ihr den VPN-Usern zugestehen wollt. Jeder der sich mit eurer Firewall verbindet wird ins GRÜNE Netz gesteckt, das solltet ihr bei der Wahl der Range im Hinterkopf behalten.
Außerdem solltet ihr das CA Zertifikat herunterladen was auf dem Link direkt unter den Eingabefenstern für die IP-Ranges möglich ist. Das brauchen wir nämlich nachher nochmal. Vergesst nicht auf Speichern und Neustart zu klicken!

Unter Konten legt ihr nun ein Profil nach eurem Gusto an. Bei diese Nameserver pushen gebt ihr eure/euren Nameserver ein. Pro Zeile eine IP. Wiederum jetzt speichern und den OpenVPN Server mittels des Buttons auf der kommenden Seite neustarten.

Unter Erweitert, bei den globalen Pushoptionen habe ich die Nameserver nocheinmal eingetragen. Ob das bei euch notwendig ist müsst ihr selbst schauen. Bei den Authentifizierungseinstellungen wählt ihr nun PSK (Benutzername/Passwort) aus und wieder Speichern und Neustart.


Clientkonfiguration:


Sobald ihr euren Clienten installiert habt, öffnet die Konfigurationsdatei des Programms. Sollte es keine geben, könnt ihr auch meine (s.u) nehmen, oder euch eine Standardkonfig holen. Meine Konfigurationsdatei sieht nun so aus (für xxx.xxx.xxx.xxx IP des Servers einsetzen):


01.
client 
02.
auth-user-pass 
03.
dev tap 
04.
proto udp 
05.
remote xxx.xxx.xxx.xxx 1194 
06.
resolv-retry infinite 
07.
nobind 
08.
persist-key 
09.
persist-tun 
10.
ca firewall.crt 
11.
comp-lzo 
12.
verb 3
Wichtig ist, dass ihr an der Standardkonfiguration die ihr euch ja wahrscheinlich geholt habt folgendes ergänzt, ändert, Löscht:
  • auth-user-pass -> Ergänzen
  • dev tun -> dev tap
  • cert client.crt -> Löschen oder mit Semikolon vorn auskommentieren
  • key client.key -> Löschen oder mit Semikolon vorn auskommentieren

Die Zeile ca firewall.crt ist außerdem wichtig. Dort verweisen wir jetzt auf das Zertifikat, was wir uns von der Firewall runtergeladen haben. Dazu müsst ihr die Dateiendung noch in crt ändern und den Dateinamen in der Konfig konsistent zu dem Dateinamen des Zertifikats halten. Das Zertifikat in meinem Fall mit dem Dateinamen firewall.crt kommt dann in den gleichen Ordner wie die VPN-Config.

Das war es auch schon. Es sollte laufen, das tut es zumindest bei mir. Es ist vielleicht nicht die sicherste VPN-Verbindung, aber durchaus die Einfachste wie ich finde.
Ich hoffe ich konnte jemandem helfen.

Gruß
Jash
Mitglied: aqui
16.07.2010, aktualisiert 18.10.2012
Preshared Keys sind bei VPNs immer so eine Sache und nicht wirklich sicher... Zertifikate sind dem immer vorzuziehen zumal OpenVPN das Tool dafür schon mitbringt oder man auch bequem externe Tools dafür nutzen kann
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
bzw.
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Das Gros an Sicherheit was man damit erreicht ist nicht zu unterschätzen wenn es um Firmennetze usw. geht.
Für den Basteluser im Heimnetz mögen sicher PSKs auch OK sein. Die gleiche Konfig funktioniert übrigens auch bei dem o.a. Tutorial wenn man statt Zertifikate lieber einfacher mit PSKs arbeiten will und das Security Risiko in Kauf nimmt..
Die OpenVPN Installation ist immer dieselbe...egal auf welcher Plattform das geschieht !
Interessant ist das es die Endian auch als Image zum installieren auf einer festen Appliance (ALIX Mini Mainboard) gibt ohne Lüfter oder andere Verschleißteile analog wie M0n0wall oder Pfsense:
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Ob die Endian allerdings so performant ist und so vile features benutzt wie Pfsense ist fraglich, da sie nicht für solche Appliances gemacht ist.
M0n0wall und insbesondere Pfsense bieten dort eine bessere Perfomance da sie für solche Plattformewn optimiert sind !
Wer dennoch experimentieren will damit: Das fertige Endian Image für die ALIX Boards gibt es hier:
http://blog.y-m-e.net/2010/02/endian-firewall-2-3-4gb-image-fur-alix-2d ...
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Community Management Packs für SCOM
Erfahrungsbericht von JuanitoWindows Netzwerk

Community Management Packs für SCOM Einleitung SquaredUp ist eine kleine Firma welche sich auf Erweiterungen für SCOM (OpsMgr) spezialisiert ...

Tipps & Tricks
OpenVPN Delegationen
Anleitung von agowa338Tipps & Tricks

Hallo, in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für Außendienst Mitarbeiter ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense Firewall einrichten

Anleitung von aquiNetzwerke17 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eng angelehnt an das hiesige Standort_VPN_Praxis_Tutorial bei Administrator.de und ergänzt dieses um die ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von 108012Firewall

Hallo zusammen, ich nutze zwar nur ausschließlich IPSec VPN aber habe gerade mit einem Bekannten zusammen ein paar OpenVPN ...

Neue Wissensbeiträge
Humor (lol)
Meine Variante der DSGVO
Tipp von Henere vor 1 TagHumor (lol)2 Kommentare

Datenschutzerklärung Jede gute Website braucht eine Datenschutzerklärung? Ok, dann machen Sie sich auf etwas gefasst. Präambel Artikel 12 der ...

Administrator.de Feedback

Entwicklertagebuch: Datenschutzerklärung nach DS-GVO

Information von admtech vor 1 TagAdministrator.de Feedback

Hallo Administrator User, Wir respektieren eure Privatsphäre und möchten euch daher auf die Möglichkeiten für den Umgang mit euren ...

Voice over IP

Rufnummernblock aufbrechen nun möglich bei DTAG

Tipp von Datenreise vor 1 TagVoice over IP

Bei der Telekom ist es seit einigen Tagen laut Aussage der Geschäftskunden-Hotline möglich, eine Rufnummernübernahme auch dann durchzuführen, wenn ...

Netzwerke
Riesiges Botnetz in Deutschland
Tipp von FFSephiroth vor 1 TagNetzwerke1 Kommentar

Überprüft mal eure Router und NAS

Heiß diskutierte Inhalte
Voice over IP
VOIP: Lösungen für Notruf?
Frage von MimemmmVoice over IP26 Kommentare

Hey Welche Möglichkeiten hat man eigentlich noch bei VOIP um zuverlässige Notrufe zu ermöglichen? Ein aufgeladenes Handy habe ist ...

Windows Server
Fragwürdige GPO Fehler im Syslog
gelöst Frage von Ex0r2k16Windows Server13 Kommentare

Hallo! Ich kriege bei manchen (oder sogar allen? -prüfe noch) Clients folgenden Fehler bei mehreren GPOs (aber nicht bei ...

Netzwerkmanagement
PfSense - verschiedene Subnetze über VLAN mit DHCP - WLAN-AP einrichten
gelöst Frage von xtommmikNetzwerkmanagement12 Kommentare

Hallo zusammen, ich wollte mein Netzwerk um eine HW-Firewall erweitern und habe mich nach einlesen recherchieren und Tutorials überfliegen ...

Windows Server
DHCP und Regeln und Filter
Frage von OlliPWSWindows Server10 Kommentare

Guten Tag, wir haben folgende Problematik: Wir haben diverse ca. 130 Avaya VoIP Telefone, diese sollen per DHCP automatisch ...