Termine planen, Nachrichten austauschen, Kundendaten verwalten, am besten auch vom Smartphone aus. Das alles und noch viel mehr sollen moderne ... (mehr)

OpenVPN-Concentrator mit Firewall

Wie schon kurz angesprochen, ist das Endian-Switchboard eine Software-Erweiterung zur Endian-Firewall und ist damit entweder als Hardware-Appliance oder als Software für den Betrieb auf eigener physischer oder virtueller Hardware erhältlich. Administratoren, die bereits Erfahrung mit der Endian-Firewall oder anderen IPCOP-Abkömmlingen haben, werden sich in der Basiskonfiguration sofort zurechtfinden. Die Endian-Firewall arbeitet mit einem durch Farben gekennzeichneten Zonenmodell für die unterschiedlichen Netzbereiche. Grün kennzeichnet dabei das interne Netzwerk, rot ist für die WAN-Anbindung zuständig.

Für den Betrieb als VPN-Concentrator werden mindestens diese beiden Zonen benötigt. Optional bietet die Endian-Firewall aber noch zwei weitere Zonen für die Anbindung eines Wireless-LAN (blau) und einer oder mehrerer DMZs (orange) an. In unserem Test-Szenario erhält die grüne Schnittstelle eine IP-Adresse aus dem LAN 192.168.0.15 und das WAN-Interface (rot) eine offizielle IP-Adresse aus dem vom Provider bereitgestellten IP-Pool.

VPN-Server vorbereiten

Im nächsten Schritt aktivieren Sie unter »VPN | OpenVPN Server | OpenVPN Server enabled« den OpenVPN-Server und vergeben ein eigenes privates Subnetz für das Fernwartungs-VPN. Wählen Sie die Netzgröße entsprechend großzügig, damit Sie später genügend Luft für die Anbindung von Außenstellen und Fernwartungspersonal haben. Im Beispiel soll folgendes Netz zum Einsatz kommen: 10.0.0.0/16 (Host Range: 10.0.0.1 bis 10.0.255.254 =    65 534 Hosts); das sollte für längere Zeit ausreichen. Stellen Sie nun unter »Advanced« das Protokoll auf TCP und den Port auf 443 um, damit der OpenVPN-Server Verbindungen auf dem HTTPS-Port entgegennimmt ( Abbildung 6 ).

Abbildung 6: Der OpenVPN-Server des Endian Switchboard ist über den HTTPS-Port TCP/443 erreichbar, die Größe des VPN-Subnetzes sollte dem geplanten Umfang der Installation Rechnung tragen.

OpenVPN-Verbindungen können auch über einen HTTP-Proxy laufen, sodass der VPN-Server später auch von Anlagennetzen oder Clients erreichbar ist, die sich hinter einer (weiteren) Firewall befinden. Stellen Sie nun noch den Authentication-Typ auf »PSK« und laden Sie das CA-Zertifikat sowie den VPN-Client vom Switchboard herunter. Die Konfiguration des OpenVPN-Servers auf dem VPN-Concentrator ist damit bereits abgeschlossen.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023