6508
Kommentar:
|
12009
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 26: | Zeile 26: |
Zeile 28: | Zeile 27: |
Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Software notwendig. |
Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig. |
Zeile 48: | Zeile 46: |
1. Typ der Netzwerkkonfiguration * GREEN + RED * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.) * Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü. 1. Treiber- und Kartenzuordnung * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein. * Fertig, bestätigen. 1. Adress-Einstellungen * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert * IP-Adresse: 10.0.0.1 * Subnetzmaske: 255.0.0.0 * RED nimmt später Verbindung zur Außenwelt auf. * DHCP auswählen * Der Hostname ist {{{gateway}}} * Keine IP-Adresse eintragen *BLUE wird für ein internes WLAN o.Ä. konfiguriert * IP-Adresse: 172.31.0.1 * Subnetzmaske: 255.255.255.0 1. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden. |
a. Typ der Netzwerkkonfiguration * GREEN + RED * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.) * Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü. a. Treiber- und Kartenzuordnung * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein. * Fertig, bestätigen. a. Adress-Einstellungen * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert * IP-Adresse: 10.0.0.1 * Subnetzmaske: 255.0.0.0 * RED nimmt später Verbindung zur Außenwelt auf. * DHCP auswählen * Der Hostname ist {{{gateway}}} * Keine IP-Adresse eintragen * BLUE wird für ein internes WLAN o.Ä. konfiguriert * IP-Adresse: 172.31.0.1 * Subnetzmaske: 255.255.255.0 a. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden. |
Zeile 68: | Zeile 66: |
Nicht aktivieren, sondern mit Ok bestätigen. | * Nicht aktivieren, sondern mit Ok bestätigen. |
Zeile 71: | Zeile 69: |
Zeile 74: | Zeile 71: |
''Wichtig:'' Das Fine-Tuning der Firewall wird vom Haupt-Server ''TJENER'' aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden. |
|
Zeile 76: | Zeile 75: |
1. System - Startseite * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire. 1. Status (Klick auf Reiter) * Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht. 1. Netzwerk (Klick auf Reiter) * Webproxy * '''Allgemeine Einstellungen''' * ändern: [x] Aktiviert auf Grün * Proxyport: 3128 * '''Anzahl der Filterprozesse''' * URL-Filter: aktivieren * Update-Accelerator: aktivieren * '''Vorgelagerter Proxy''' * Proxy-Adresse weiterleiten: [x] * Benutzernamen weiterleiten: [x] * '''Protokolleinstellungen''' * Protokoll aktiviert: [x] * Protokolliere Query-Terms: [x] * Protokolliere Useragents: [x] * '''Cache-Verwaltung''' * Cache-Manager aktivieren [x] * Cache-Größe: <50% vom Arbeitsspeicher> (in MByte) * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte) * Max. Objektgröße: 409600 (in KByte) * '''Ziel-Ports''' * (keine Änderungen) * '''Netzwerkbasierte Zugriffskontrolle''' * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen * Dann am Seitenende auf '''Speicher und Neustarten''' klicken 1. Netzwerk - URL-Filter: * URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von [[http://shallalist.de|shallalist.de]] * URL-Filter Wartung: Blacklist hochladen |
==== System - Startseite ==== * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire. ==== Netzwerk (Klick auf Reiter, oben rechts) ==== ===== Webproxy (Klick auf Menüpunkt rechts) ===== * '''Allgemeine Einstellungen''' * ändern: [x] Aktiviert auf Grün * Proxyport: 3128 * '''Anzahl der Filterprozesse''' * URL-Filter: aktivieren * Update-Accelerator: aktivieren * '''Vorgelagerter Proxy''' * Proxy-Adresse weiterleiten: [x] * Benutzernamen weiterleiten: [x] * '''Protokolleinstellungen''' * Protokoll aktiviert: [x] * Protokolliere Query-Terms: [x] * Protokolliere Useragents: [x] * '''Cache-Verwaltung''' * Cache-Manager aktivieren [x] * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte) * Aktiviere Offline-Modus [x] * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte) * Max. Objektgröße: 409600 (in KByte) * '''Ziel-Ports''' * (keine Änderungen) * '''Netzwerkbasierte Zugriffskontrolle''' * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen * Dann am Seitenende auf '''Speichern''' klicken ===== URL-Filter (Klick auf Menüpunkt rechts) ===== 1. '''Automatisches Blacklist-Update''' * Aktivieren [x] * Zeitplan für automatische Updates: ''wöchentlich'' auswählen * Downloadquelle auswählen: Shalla Secure Services * auf Button ''Update-Einstellungen speichern'' klicken (Seite lädt neu) * nach unten Scrollen * auf Button ''Jetzt Updaten'' klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite 1. '''Sperrkategorien''' auswählen * FixMe: vergl. Screenshot 1. '''Angepasste Whitelist''' {{{ bads.de # Website mit Drogenpräventionsprogramm 89.105.213.23 # Avira Update-IPs 89.105.213.24 # Avira Update-IPs 62.146.64.146 # Avira Update-IPs 62.146.64.147 # Avira Update-IPs 80.190.130.194 # Avira Update-IPs 80.190.130.195 # Avira Update-IPs }}} * [x] Aktivieren (der Whitelist nicht vergessen) 1. '''Sperrseiteneinstellungen''' * Zeige Kategorie auf der Sperrseite [x] * Zeige URL auf der Sperrseite [x] * Zeige IP auf der Sperrseite [x] 1. '''Erweiterte Einstellungen''' * Aktiviere Ausdruckslisten [x] * Sperre Ads mit dem leerem Fenster [x] * Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x] * Aktivere Protokoll [x] * Protokolliere Benutzername [x] * Protokoll in Kategorien aufteilen [x] 1. Klick auf ''Speichern'' ===== Update-Accelerator (Klick auf Menüpunkt rechts) ===== 1. '''Allgemeine Einstellungen''' * Aktiviere Protokoll [x] * Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!) 1. '''Leistungsoptionen''' * Geringe CPU-Priorität für Downloads [x] * Maximale externe Download-Rate: 64 (in kbit/s) 1. '''Quellenprüfung''' * Ersetze veraltete Dateien während der Prüfung [x] 1. Klick auf ''Speichern'' ===== DHCP-Server (Klick auf Menüpunkt rechts) ===== * -> kein DHCP-Server darf aktiviert sein ==== Dienste (Klick auf Reiter, oben rechts) ==== ===== OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts) ===== 1. '''Globale Einstellungen''' * VPN auf ROT [x] * Optional: VPN auf BLAU [x] * OpenVPN-Subnetz: 172.28.0.0/255.255.0.0 * Protokoll: von ''UDP'' auf ''TCP'' ändern * LZO-Kompression [x] * Klick auf Button ''Erweiterte Server Optionen'': * '''DHCP-Push Optionen''' * Domain: vpn.intern * DNS: 10.0.2.2 * WINS: 10.0.2.2 * Klick auf ''Erweiterte Optionen speichern'' ===== Zertifizierungsstellen (CAS) ===== *. Stammzertifikat erstellen: Auf ''Erzeuge root/host-Zertifikate'' klicken i. Name der Organisation: <Ausfüllen mit Name der Schule> i. ipFire's Hostname: {{{vpn.intern}}} i. Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de i. Abteilung: IT Services i. Stadt: <Name der Stadt od. Kreis> i. Bundesstaat od. Provinz: <Bundesland> i. Land: ''Germany'' auswählen i. Klick auf ''Erzeuge root/host Zertifikat'' --> dies kann etwas dauern ===== Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen) ===== * Es werden Zertifikate für die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen i. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior) i. Klick auf ''Hinzufügen'' i. Informationen zum VPN-Client ausfüllen: * '''Verbindung''': * Name: <schulkürzel>cl<userid> * Anmerkung: --> kann freigelassen werden * '''Authentifizierung''': * Methode ''Erzeuge ein Zertifikat'' auswählen... * Voller Name oder System Hostname: ''<Vorname> <Zuname>'' * e-Mailadresse des Benutzers: ''<user@domain>'' (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!) * Abteilung: eine von ''Kollegium'',''IT-Dienstleister'',o.ä. auswählen * Name der Organisation: <Name der Schule> * Stadt: <Name von Stadt od. Kreis> * Bundesstaat/Provinz: <Bundesland> * Land: ''Germany'' auswählen * Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden * Passwort: setzen und dem/der Benutzer/in mitteilen i. Schließlich auf ''Speichern'' klicken * Wieder unter Globale Einstellungen: Klick auf Button ''Starte OpenVPN'' * Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: '''OpenVPN Server Status: LÄUFT''' ==== Firewall (Klick auf Reiter, oben rechts) ==== ===== Ausgehende Firewall (Klick auf Menüpunkt rechts) ===== 1. Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen) 1. p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent) 1. Regeln definieren, Klick auf Button: ''Neue Regel'' 1. Regeln erstellen... a. Beschreibung: ''TJENER'', Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button ''Hinzufügen'' a. Beschreibung: ''localhost'', Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen'' a. Beschreibung: ''FIREWALL'', Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen'' a. Beschreibung: ''EXTERN'', Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button ''Hinzufügen'' a. Für Regel ''drop'' (vordefiniert) den Schalte auf ''On'' legen und auf das Speichersymbol (blaue Diskette) klicken |
Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks
Inhaltsverzeichnis
Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.
Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.
Funktionen der Schul-Firewall
Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:
- Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
- Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
- Verbindung zum Internet für Server-Komponenten des Schul-Intranets
- VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
- weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
- Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
- URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
- Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
- etc.
Download / Installationsmedium erstellen
Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads
Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.
Netzwerkkarten identifizieren
Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig.
Basisinstallation
Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.
Image starten <ENTER>
- Sprache: Deutsch
Lizenz akzeptieren <ja>
Installieren <ja>
- Als Dateisystem für die Installation ,,Ext3" auswählen
(Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm
- Neustart akzeptieren
Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>
Zeitzone: Europe/Berlin --> Ok <Enter>
Hostname des Rechners: gateway eingeben
Domainname des Rechners: intern
Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
- Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
- Typ der Netzwerkkonfiguration
- GREEN + RED
- Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.
- Treiber- und Kartenzuordnung
- Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
- Fertig, bestätigen.
- Adress-Einstellungen
- GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
- IP-Adresse: 10.0.0.1
- Subnetzmaske: 255.0.0.0
- RED nimmt später Verbindung zur Außenwelt auf.
- DHCP auswählen
Der Hostname ist gateway
- Keine IP-Adresse eintragen
- BLUE wird für ein internes WLAN o.Ä. konfiguriert
- IP-Adresse: 172.31.0.1
- Subnetzmaske: 255.255.255.0
- GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
- DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.
- Typ der Netzwerkkonfiguration
- DHCP-Konfiguration
- Nicht aktivieren, sondern mit Ok bestätigen.
Fine-Tuning der Firewall
Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.
Wichtig: Das Fine-Tuning der Firewall wird vom Haupt-Server TJENER aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden.
Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.
System - Startseite
Fireinfo-Dienst aktivieren durch Klick auf Bitte schalten Sie den Fireinfo-Dienst ein. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.
Netzwerk (Klick auf Reiter, oben rechts)
Webproxy (Klick auf Menüpunkt rechts)
Allgemeine Einstellungen
- ändern: [x] Aktiviert auf Grün
- Proxyport: 3128
Anzahl der Filterprozesse
- URL-Filter: aktivieren
- Update-Accelerator: aktivieren
Vorgelagerter Proxy
- Proxy-Adresse weiterleiten: [x]
- Benutzernamen weiterleiten: [x]
Protokolleinstellungen
- Protokoll aktiviert: [x]
- Protokolliere Query-Terms: [x]
- Protokolliere Useragents: [x]
Cache-Verwaltung
- Cache-Manager aktivieren [x]
Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)
- Aktiviere Offline-Modus [x]
Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)
- Max. Objektgröße: 409600 (in KByte)
Ziel-Ports
- (keine Änderungen)
Netzwerkbasierte Zugriffskontrolle
- Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
Dann am Seitenende auf Speichern klicken
URL-Filter (Klick auf Menüpunkt rechts)
Automatisches Blacklist-Update
- Aktivieren [x]
Zeitplan für automatische Updates: wöchentlich auswählen
- Downloadquelle auswählen: Shalla Secure Services
auf Button Update-Einstellungen speichern klicken (Seite lädt neu)
- nach unten Scrollen
auf Button Jetzt Updaten klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite
Sperrkategorien auswählen
FixMe: vergl. Screenshot
Angepasste Whitelist
bads.de # Website mit Drogenpräventionsprogramm 89.105.213.23 # Avira Update-IPs 89.105.213.24 # Avira Update-IPs 62.146.64.146 # Avira Update-IPs 62.146.64.147 # Avira Update-IPs 80.190.130.194 # Avira Update-IPs 80.190.130.195 # Avira Update-IPs
- [x] Aktivieren (der Whitelist nicht vergessen)
Sperrseiteneinstellungen
- Zeige Kategorie auf der Sperrseite [x]
- Zeige URL auf der Sperrseite [x]
- Zeige IP auf der Sperrseite [x]
Erweiterte Einstellungen
- Aktiviere Ausdruckslisten [x]
- Sperre Ads mit dem leerem Fenster [x]
- Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x]
- Aktivere Protokoll [x]
- Protokolliere Benutzername [x]
- Protokoll in Kategorien aufteilen [x]
Klick auf Speichern
Update-Accelerator (Klick auf Menüpunkt rechts)
Allgemeine Einstellungen
- Aktiviere Protokoll [x]
- Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!)
Leistungsoptionen
- Geringe CPU-Priorität für Downloads [x]
- Maximale externe Download-Rate: 64 (in kbit/s)
Quellenprüfung
- Ersetze veraltete Dateien während der Prüfung [x]
Klick auf Speichern
DHCP-Server (Klick auf Menüpunkt rechts)
-> kein DHCP-Server darf aktiviert sein
Dienste (Klick auf Reiter, oben rechts)
OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts)
Globale Einstellungen
- VPN auf ROT [x]
- Optional: VPN auf BLAU [x]
- OpenVPN-Subnetz: 172.28.0.0/255.255.0.0
Protokoll: von UDP auf TCP ändern
- LZO-Kompression [x]
Klick auf Button Erweiterte Server Optionen:
DHCP-Push Optionen
- Domain: vpn.intern
- DNS: 10.0.2.2
- WINS: 10.0.2.2
Klick auf Erweiterte Optionen speichern
Zertifizierungsstellen (CAS)
. Stammzertifikat erstellen: Auf Erzeuge root/host-Zertifikate klicken
Name der Organisation: <Ausfüllen mit Name der Schule>
ipFire's Hostname: vpn.intern
Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de
- Abteilung: IT Services
Stadt: <Name der Stadt od. Kreis>
Bundesstaat od. Provinz: <Bundesland>
Land: Germany auswählen
Klick auf Erzeuge root/host Zertifikat --> dies kann etwas dauern
Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen)
- Es werden Zertifikate für die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen
Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior)
Klick auf Hinzufügen
- Informationen zum VPN-Client ausfüllen:
Verbindung:
Name: <schulkürzel>cl<userid>
Anmerkung: --> kann freigelassen werden
Authentifizierung:
Methode Erzeuge ein Zertifikat auswählen...
Voller Name oder System Hostname: <Vorname> <Zuname>
e-Mailadresse des Benutzers: <user@domain> (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)
Abteilung: eine von Kollegium,IT-Dienstleister,o.ä. auswählen
Name der Organisation: <Name der Schule>
Stadt: <Name von Stadt od. Kreis>
Bundesstaat/Provinz: <Bundesland>
Land: Germany auswählen
- Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
- Passwort: setzen und dem/der Benutzer/in mitteilen
Schließlich auf Speichern klicken
Wieder unter Globale Einstellungen: Klick auf Button Starte OpenVPN
Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: OpenVPN Server Status: LÄUFT
Firewall (Klick auf Reiter, oben rechts)
Ausgehende Firewall (Klick auf Menüpunkt rechts)
- Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
- p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)
Regeln definieren, Klick auf Button: Neue Regel
- Regeln erstellen...
Beschreibung: TJENER, Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button Hinzufügen
Beschreibung: localhost, Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen
Beschreibung: FIREWALL, Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen
Beschreibung: EXTERN, Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button Hinzufügen
Für Regel drop (vordefiniert) den Schalte auf On legen und auf das Speichersymbol (blaue Diskette) klicken
FixMe: Screenshots beifügen