Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerksicherheit Grundkurs

Server-Anteil eines OpenVPN-Tunnels einrichten

Testen Sie unsere 2021 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Die pfSense-Firewall kann in einer OpenVPN als Tunnel-Endpunkt eingerichtet werden. Hierfür müssen der Server-Anteil des VPN-Tunnels parametrisiert sowie ein gemeinsamer Schlüssel erzeugt werden.

Transkript

Wir befinden uns wieder in einer Firewall, wie man unschwer erkennen kann. Ich möchte Ihnen an dieser Stelle nun zeigen, wie wir einen Tunnel, zwischen zwei Firewalls aufbauen. In unserem Fall benötigen wir für unseren Tunnel einen so genannten Serveranteil und einen Clientanteil. Wir sind hier beim Serveranteil. Dass Sie sich diese zwei Firewalls besser merken können, habe ich verschiedene Aussehen gewählt. Der Server ist rot im Hintergrund und der Client hat so eine abblätternde Wand im Hintergrund. So kann man sich die sehr gut merken und auch unterscheiden, wenn ich zwischen diesen Firewalls hin- und herspringe. Wir sehen also hier: roter Hintergrund - Server. Wir sind hier auf dem Server und hier möchte ich jetzt meinen Server für OpenSSL Tunnel aufbauen. Hierzu gehe ich auf VPN, auf OpenVPN und wähle diesmal den Punkt: neuen Server hinzufügen. Hier bekomme ich dann auch schon die Information angezeigt und hier stelle ich im Prinzip jetzt das ein, was ich für meine Zwecke benötige. Das beginnt damit, dass ich mir darüber im Klaren sein muss, welche Methode ich in diesem Fall hier wählen möchte. Ich habe mich für die "Peer-to-Peer (Shared Key)"-Methode entschieden. Zertifikate gehen natürlich auch, in diesem Fall wird ein Schlüssel genommen vom Server, und der Schlüssel wird beim Client ebenfalls hinterlegt, und dann können die schon miteinander arbeiten. Ich wähle hier also "Peer-to-Peer (Shared Key)" aus, ähnlich müssen wir das Ganze dann auch auf der Clientseite vollziehen. Als nächstes kann ich mir das Protokoll überlegen, welches ich haben will. Sie sehen hier UDP und TCP, auch die 6er-Versionen werden unterstützt, also auch hier auf dem neuesten Stand der Technik. Das Interface, über den die Verbindung hergestellt wird, ist auch definiert, standardmäßig WAN, Local port 1194, Standardport von SSL. Wenn wir etwas weiter nach unten gehen, sehen wir hier als nächstes: Automatically generate a shared key. Das heißt: Wenn ich danach, wenn ich das abgeschickt habe, hier noch mal reinschaue, wird an der Stelle der Schlüssel dargestellt. Den kann ich mir dann kopieren und ganz einfach auf der Clientseite reinbringen. Dann funktioniert diese Sache schon. Wie üblich an diesen Stellen können Sie die Encryption Algorithmen auswählen. Auch hier haben wir wieder jede Menge zur Verfügung. AES ist eine gute Wahl und wir gehen weiter. Als nächstes kommt das Tunnel-Netzwerk. Wir haben ja in unserem Aufbau das Netzwerk 10.0.0.0 und dieses 10.0.0.0-Netzwerk fungiert als Trägernetzwerk. Wir müssen durch dieses Netzwerk einen Tunnel erzeugen, und das erreiche ich dadurch, dass ich eine andere Adresse wähle, ein anderes virtuelles Netzwerk durch diesen Tunnel schieße. Ich habe mich in diesem Falle für das 192.168.99.0er-Netzwerk entschieden. Es ist egal, was da genommen wird. Sie müssen nur darauf achten, dass dieses Netzwerk noch nicht irgendwo in der Konstellation vorhanden sein darf, sonst wird es unter Umständen nicht gerootet. Ich gebe also jetzt hier 192.168.99.0 und dann hier hinten die 24 an. Das sind die Subnet-Bits. Als nächstes geht es weiter, werde ich gefragt: Wie heißt denn bitte schön mein Remote-Network? Das ist nämlich das Netzwerk auf der anderen Seite. Das heißt, wenn ich jetzt eine Information dorthin schicke, geht es durch den Tunnel, wird auf die Gegenseite transferiert, und wird dort eingespeist. Mein Remote-Netzwerk, das ich hier habe, trägt die IP-Adresse 192.168.10.0, und das muss ich dementsprechend hier eintragen: 192.168.10.0, und natürlich in dem Fall wiederum die Subnet-Information. Achten Sie bitte darauf, dass die Subnet-Information stimmt. Das könnte zu Fehler führen, die ärgerlich sind. Zum Schluss gibt es hier noch die Möglichkeit, die Anzahl der gleichzeitigen Verbindungen anzugeben. Ich habe mich für die 10 entschieden und damit hätten wir im Prinzip auch schon alles vollbracht. Ich sichere das Ganze und wir haben gesehen, dass wir, wenn wir einen Tunnel über SSL aufbauen wollen, in unserem Fall auf der einen Seite einen Client brauchen, und auf der anderen Seite einen Server. Den Server haben wir gerade generiert.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!