Unterschiede zwischen den Revisionen 22 und 50 (über 28 Versionen hinweg)
Revision 22 vom 2012-02-19 13:44:13
Größe: 11869
Kommentar:
Revision 50 vom 2012-08-24 09:37:18
Größe: 14072
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 46: Zeile 46:
  a. Typ der Netzwerkkonfiguration   * '''Typ der Netzwerkkonfiguration'''
Zeile 50: Zeile 50:
  a. Treiber- und Kartenzuordnung   * '''Treiber- und Kartenzuordnung'''
Zeile 53: Zeile 53:
  a. Adress-Einstellungen   * '''Adress-Einstellungen'''
Zeile 64: Zeile 64:
  a. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.   * '''DNS- und Gateway-Einstellungen''' müssen vorerst nicht bearbeitet werden.
Zeile 77: Zeile 77:
==== Status (Klick auf Reiter, oben rechts) ====
  * Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht.

||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-00.png||width=80%}} ||
||<style="text-align: center;">Fireinfo Dienst aktivieren, um die Entwicklung von ipFire zu unterstützen ||
Zeile 80: Zeile 82:
  * Webproxy
===== Webproxy (Klick auf Menüpunkt rechts) =====
Zeile 82: Zeile 86:
   * ändern: [x] Aktiviert auf Grün
   * Proxyport: 3128
  * ändern: [x] Aktiviert auf Grün
    * Proxyport: 3128
Zeile 85: Zeile 89:
   * URL-Filter: aktivieren
   * Update-Accelerator: aktivieren
  * URL-Filter: aktivieren
  * Update-Accelerator: aktivieren
Zeile 88: Zeile 92:
   * Proxy-Adresse weiterleiten: [x]
   * Benutzernamen weiterleiten: [x]
  * Proxy-Adresse weiterleiten: [x]
    * Benutzernamen weiterleiten: [x]
Zeile 91: Zeile 95:
   * Protokoll aktiviert: [x]
   * Protokolliere Query-Terms: [x]
   * Protokolliere Useragents: [x]
  * Protokoll aktiviert: [x]
  * Protokolliere Query-Terms: [x]
    * Protokolliere Useragents: [x]
Zeile 95: Zeile 99:
   * Cache-Manager aktivieren [x]
   * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)
   * Aktiviere Offline-Modus [x]
   * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)
   * Max. Objektgröße: 409600 (in KByte)
  * Cache-Manager aktivieren [x]
    * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)
  * Aktiviere Offline-Modus [ ]
  * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)
    * Max. Objektgröße: 409600 (in KByte)
Zeile 101: Zeile 105:
   * (keine Änderungen)   * (keine Änderungen)
Zeile 103: Zeile 107:
   * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
   * Dann am Seitenende auf '''Speichern''' klicken
  * URL-Filter
   1. '''Automatisches Blacklist-Update'''
    * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
    * Dann am Seitenende auf '''Speichern''' klicken

||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-01.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-02.png||width=80%}} ||
||<style="text-align: center;">{{attachment:ipFire-screenshot-03.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-04.png||width=80%}} ||
||<style="text-align: center;" colspan="2">Web-Proxy (Internet Cache) konfigurieren / anpassen ||

===== URL-Filter (Klick auf Menüpunkt rechts) =====
   * '''Automatisches Blacklist-Update'''
Zeile 113: Zeile 122:
   1. '''Sperrkategorien''' auswählen    * '''Sperrkategorien''' auswählen
Zeile 115: Zeile 124:
   1. '''Angepasste Whitelist'''    * '''Angepasste Whitelist'''
Zeile 126: Zeile 135:
   1. '''Sperrseiteneinstellungen'''    * '''Sperrseiteneinstellungen'''
Zeile 130: Zeile 139:
   1. '''Erweiterte Einstellungen'''    * '''Erweiterte Einstellungen'''
Zeile 137: Zeile 146:
   1. Klick auf ''Speichern''
  * Update-Accelerator
   1. '''Allgemeine Einstellungen'''
   * Klick auf ''Speichern''

||<tablestyle="width: 85%;" style="text-align: center;" colspan="2">{{attachment:ipFire-screenshot-05.png||width=80%}} ||
||<style="text-align: center;">{{attachment:ipFire-screenshot-06.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-07.png||width=80%}} ||
||<style="text-align: center;" colspan="2">URL-Filter konfigurieren ||


===== Update-Accelerator (Klick auf Menüpunkt rechts) =====
   * '''Allgemeine Einstellungen'''
Zeile 142: Zeile 157:
   1. '''Leistungsoptionen'''    * '''Leistungsoptionen'''
Zeile 145: Zeile 160:
   1. '''Quellenprüfung'''    * '''Quellenprüfung'''
Zeile 147: Zeile 162:
   1. Klick auf ''Speichern''
  * DHCP-Server
   * Klick auf ''Speichern''

||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-08.png||width=80%}} ||
||<style="text-align: center;">Update-Accelerator konfigurieren ||


===== DHCP-Server (Klick auf Menüpunkt rechts) =====
Zeile 151: Zeile 171:
  * OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf OpenVPN im Menü rechts)
  * Globale Einstellungen:
   1. VPN
auf ROT [x]
   1. Optional: VPN auf BLAU [x]
   1. OpenVPN-Subnetz: 172.28.0.0/255.255.0.0
   1. Protokoll: von ''UDP'' auf ''TCP'' ändern
   1. LZO-Kompression [x]
   1. Klick auf Button ''Erweiterte Server Optionen'':
    * '''DHCP-Push Optionen'''
    * Domain: vpn.intern
    * DNS: 10.0.2.2
    * WINS: 10.0.2.2
    * Klick auf ''Erweiterte Optionen speichern''
  * Zertifizierungsstellen (CAS):
   1
. Stammzertifikat erstellen: Auf ''Erzeuge root/host-Zertifikate'' klicken
===== OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts) =====
   * '''Globale Einstellungen'''
    *
VPN auf ROT [x]
    * Optional: VPN auf BLAU [x]
    * OpenVPN-Subnetz: 172.28.0.0/255.255.0.0
    * Protokoll: von ''UDP'' auf ''TCP'' ändern
    * LZO-Kompression [x]
    * Klick auf Button ''Erweiterte Server Optionen'':
  * '''DHCP-Push Optionen'''
     * Domain: vpn.intern
  * DNS: 10.0.2.2
  * WINS: 10.0.2.2
     * Klick auf ''Erweiterte Optionen speichern''

||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-11.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-10.png||width=80%}} ||
||<style="text-align: center;" colspan="2">OpenVPN-Basiskonfiguration ||

=====
Zertifizierungsstellen (CAS) =====
   *
. Stammzertifikat erstellen: Auf ''Erzeuge root/host-Zertifikate'' klicken
Zeile 174: Zeile 198:
  * Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen):
   1. Verbindungstyp aus
wählen: Host-zu-Netz Virtual Private Network (RoadWarrior)
   1. Klick auf ''Hinzu
gen''
   1. Informationen zum
VPN-Client ausfüllen:
* '''Verbindung''':
    * Name: <schulkürzel>cl<userid>
    * Anmerkung: --> kann freigelassen werden
    * '''Authentifizierung''':
    * Methode ''Erzeuge ein Zertifikat'' auswählen...
    * Voller Name oder System Hostname: ''<Vorname> <Zuname>''
    * e-Mailadresse des Benutzers: ''<user@domain>'' (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)
    * Abteilung: eine von ''Kollegium'',''IT-Dienstleister'',o.ä. auswählen
    * Name der Organisation: <Name der Schule>
    * Stadt: <Name von Stadt od. Kreis>
    * Bundesstaat/Provinz: <Bundesland>
    * Land: ''Germany'' auswählen
    * Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
    * Passwort: setzen und dem/der Benutzer/in mitteilen
   1. Schließlich auf ''Speichern'' klicken
===== Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen) =====
   * Es
werden Zertifikate r die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen
    i. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior)
    i. Klick auf ''Hinzufügen''
    i. Informationen zum VPN-Client ausfüllen:
 
* '''Verbindung''':
  * Name: <schulkürzel>cl<userid>
     * Anmerkung: --> kann freigelassen werden
     * '''Authentifizierung''':
  * Methode ''Erzeuge ein Zertifikat'' auswählen...
     * Voller Name oder System Hostname: ''<Vorname> <Zuname>''
  * e-Mailadresse des Benutzers: ''<user@domain>'' (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)
     * Abteilung: eine von ''Kollegium'',''IT-Dienstleister'',o.ä. auswählen
     * Name der Organisation: <Name der Schule>
     * Stadt: <Name von Stadt od. Kreis>
     * Bundesstaat/Provinz: <Bundesland>
     * Land: ''Germany'' auswählen
  * Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
     * Passwort: setzen und dem/der Benutzer/in mitteilen
    i. Schließlich auf ''Speichern'' klicken

||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-09.png||width=80%}} ||
||<style="text-align: center;">OpenVPN-Client-Zertifikat erstellen: hier für Backup-Server ||
Zeile 196: Zeile 225:
  * Ausgehende Firewall (Menü-Eintrag rechts)
   1. Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
   1.
p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)
   1. Regeln definieren, Klick auf Button: ''Neue Regel''
   1. Regeln erstellen...
  a. Beschreibung: ''TJENER'', Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button ''Hinzufügen''
  a. Beschreibung: ''localhost'', Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen''
  a. Beschreibung: ''FIREWALL'', Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen''
    a. Beschreibung: ''EXTERN'', Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button ''Hinzufügen''
    a. Für Regel ''drop'' (vordefiniert) den Schalte auf ''On'' legen und auf das Speichersymbol (blaue Diskette) klicken
===== Ausgehende Firewall (Klick auf Menüpunkt rechts) =====

* Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
  * p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)
  * Regeln definieren, Klick auf Button: ''Neue Regel''
  * Regeln erstellen...
   a. Beschreibung: ''TJENER'', Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button ''Hinzufügen''
   a. Beschreibung: ''localhost'', Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen''
   a. Beschreibung: ''FIREWALL'', Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen''
   a. Beschreibung: ''EXTERN'', Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button ''Hinzufügen''
   a. Für Regel ''drop'' (vordefiniert) den Schalter auf ''On'' legen und auf das Speichersymbol (blaue Diskette) klicken
   * Alle Regeln müssen auf aktiv gesetzt werden.

||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-12.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-13.png||width=80%}}||
||<style="text-align: center;" colspan="2">Ausgehende Firewall härten ||

Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks

Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.

Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.

Funktionen der Schul-Firewall

Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:

  • Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
  • Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
  • Verbindung zum Internet für Server-Komponenten des Schul-Intranets
  • VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
  • weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
  • Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
  • URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
  • Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
  • etc.

Download / Installationsmedium erstellen

Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.

Netzwerkkarten identifizieren

Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig.

Basisinstallation

Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

  1. Image starten <ENTER>

  2. Sprache: Deutsch
  3. Lizenz akzeptieren <ja>

  4. Installieren <ja>

  5. Als Dateisystem für die Installation ,,Ext3" auswählen
  6. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm

  7. Neustart akzeptieren
  8. Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>

  9. Zeitzone: Europe/Berlin --> Ok <Enter>

  10. Hostname des Rechners: gateway eingeben

  11. Domainname des Rechners: intern

  12. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

  13. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

  14. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
    • Typ der Netzwerkkonfiguration

      • GREEN + RED
      • Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
      • Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.

    • Treiber- und Kartenzuordnung

      • Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
      • Fertig, bestätigen.
    • Adress-Einstellungen

      • GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
        • IP-Adresse: 10.0.0.1
        • Subnetzmaske: 255.0.0.0
      • RED nimmt später Verbindung zur Außenwelt auf.
        • DHCP auswählen
        • Der Hostname ist gateway

        • Keine IP-Adresse eintragen
      • BLUE wird für ein internes WLAN o.Ä. konfiguriert
        • IP-Adresse: 172.31.0.1
        • Subnetzmaske: 255.255.255.0
    • DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.

  15. DHCP-Konfiguration
    • Nicht aktivieren, sondern mit Ok bestätigen.

Fine-Tuning der Firewall

Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.

Wichtig: Das Fine-Tuning der Firewall wird vom Haupt-Server TJENER aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden.

Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.

System - Startseite

  • Fireinfo-Dienst aktivieren durch Klick auf Bitte schalten Sie den Fireinfo-Dienst ein. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.

ipFire-screenshot-00.png

Fireinfo Dienst aktivieren, um die Entwicklung von ipFire zu unterstützen

Netzwerk (Klick auf Reiter, oben rechts)

Webproxy (Klick auf Menüpunkt rechts)
  • Allgemeine Einstellungen

    • ändern: [x] Aktiviert auf Grün
    • Proxyport: 3128
  • Anzahl der Filterprozesse

    • URL-Filter: aktivieren
    • Update-Accelerator: aktivieren
  • Vorgelagerter Proxy

    • Proxy-Adresse weiterleiten: [x]
    • Benutzernamen weiterleiten: [x]
  • Protokolleinstellungen

    • Protokoll aktiviert: [x]
    • Protokolliere Query-Terms: [x]
    • Protokolliere Useragents: [x]
  • Cache-Verwaltung

    • Cache-Manager aktivieren [x]
    • Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)

    • Aktiviere Offline-Modus [ ]
    • Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)

    • Max. Objektgröße: 409600 (in KByte)
  • Ziel-Ports

    • (keine Änderungen)
  • Netzwerkbasierte Zugriffskontrolle

    • Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
    • Dann am Seitenende auf Speichern klicken

ipFire-screenshot-01.png

ipFire-screenshot-02.png

ipFire-screenshot-03.png

ipFire-screenshot-04.png

Web-Proxy (Internet Cache) konfigurieren / anpassen

URL-Filter (Klick auf Menüpunkt rechts)
  • Automatisches Blacklist-Update

    • Aktivieren [x]
    • Zeitplan für automatische Updates: wöchentlich auswählen

    • Downloadquelle auswählen: Shalla Secure Services
    • auf Button Update-Einstellungen speichern klicken (Seite lädt neu)

    • nach unten Scrollen
    • auf Button Jetzt Updaten klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite

  • Sperrkategorien auswählen

    • FixMe: vergl. Screenshot

  • Angepasste Whitelist

    bads.de         # Website mit Drogenpräventionsprogramm
    89.105.213.23   # Avira Update-IPs
    89.105.213.24   # Avira Update-IPs
    62.146.64.146   # Avira Update-IPs
    62.146.64.147   # Avira Update-IPs
    80.190.130.194  # Avira Update-IPs
    80.190.130.195  # Avira Update-IPs
    • [x] Aktivieren (der Whitelist nicht vergessen)
  • Sperrseiteneinstellungen

    • Zeige Kategorie auf der Sperrseite [x]
    • Zeige URL auf der Sperrseite [x]
    • Zeige IP auf der Sperrseite [x]
  • Erweiterte Einstellungen

    • Aktiviere Ausdruckslisten [x]
    • Sperre Ads mit dem leerem Fenster [x]
    • Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x]
    • Aktivere Protokoll [x]
    • Protokolliere Benutzername [x]
    • Protokoll in Kategorien aufteilen [x]
  • Klick auf Speichern

ipFire-screenshot-05.png

ipFire-screenshot-06.png

ipFire-screenshot-07.png

URL-Filter konfigurieren

Update-Accelerator (Klick auf Menüpunkt rechts)
  • Allgemeine Einstellungen

    • Aktiviere Protokoll [x]
    • Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!)
  • Leistungsoptionen

    • Geringe CPU-Priorität für Downloads [x]
    • Maximale externe Download-Rate: 64 (in kbit/s)
  • Quellenprüfung

    • Ersetze veraltete Dateien während der Prüfung [x]
  • Klick auf Speichern

ipFire-screenshot-08.png

Update-Accelerator konfigurieren

DHCP-Server (Klick auf Menüpunkt rechts)
  • -> kein DHCP-Server darf aktiviert sein

Dienste (Klick auf Reiter, oben rechts)

OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts)
  • Globale Einstellungen

    • VPN auf ROT [x]
    • Optional: VPN auf BLAU [x]
    • OpenVPN-Subnetz: 172.28.0.0/255.255.0.0
    • Protokoll: von UDP auf TCP ändern

    • LZO-Kompression [x]
    • Klick auf Button Erweiterte Server Optionen:

      • DHCP-Push Optionen

      • Domain: vpn.intern
      • DNS: 10.0.2.2
      • WINS: 10.0.2.2
      • Klick auf Erweiterte Optionen speichern

ipFire-screenshot-11.png

ipFire-screenshot-10.png

OpenVPN-Basiskonfiguration

Zertifizierungsstellen (CAS)
  • . Stammzertifikat erstellen: Auf Erzeuge root/host-Zertifikate klicken

    1. Name der Organisation: <Ausfüllen mit Name der Schule>

    2. ipFire's Hostname: vpn.intern

    3. Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de

    4. Abteilung: IT Services
    5. Stadt: <Name der Stadt od. Kreis>

    6. Bundesstaat od. Provinz: <Bundesland>

    7. Land: Germany auswählen

    8. Klick auf Erzeuge root/host Zertifikat --> dies kann etwas dauern

Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen)
  • Es werden Zertifikate für die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen
    1. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior)

    2. Klick auf Hinzufügen

    3. Informationen zum VPN-Client ausfüllen:
      • Verbindung:

      • Name: <schulkürzel>cl<userid>

      • Anmerkung: --> kann freigelassen werden

      • Authentifizierung:

      • Methode Erzeuge ein Zertifikat auswählen...

      • Voller Name oder System Hostname: <Vorname> <Zuname>

      • e-Mailadresse des Benutzers: <user@domain> (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)

      • Abteilung: eine von Kollegium,IT-Dienstleister,o.ä. auswählen

      • Name der Organisation: <Name der Schule>

      • Stadt: <Name von Stadt od. Kreis>

      • Bundesstaat/Provinz: <Bundesland>

      • Land: Germany auswählen

      • Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
      • Passwort: setzen und dem/der Benutzer/in mitteilen
    4. Schließlich auf Speichern klicken

ipFire-screenshot-09.png

OpenVPN-Client-Zertifikat erstellen: hier für Backup-Server

  • Wieder unter Globale Einstellungen: Klick auf Button Starte OpenVPN

  • Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: OpenVPN Server Status: LÄUFT

Firewall (Klick auf Reiter, oben rechts)

Ausgehende Firewall (Klick auf Menüpunkt rechts)
  • Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
  • p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)
  • Regeln definieren, Klick auf Button: Neue Regel

  • Regeln erstellen...
    1. Beschreibung: TJENER, Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button Hinzufügen

    2. Beschreibung: localhost, Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen

    3. Beschreibung: FIREWALL, Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen

    4. Beschreibung: EXTERN, Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button Hinzufügen

    5. Für Regel drop (vordefiniert) den Schalter auf On legen und auf das Speichersymbol (blaue Diskette) klicken

    6. Alle Regeln müssen auf aktiv gesetzt werden.

ipFire-screenshot-12.png

ipFire-screenshot-13.png

Ausgehende Firewall härten

FixMe: Screenshots beifügen

IT-Zukunft Schule: Technik/Installation/Firewall (zuletzt geändert am 2023-03-20 09:22:01 durch DanielTeichmann)