4021
Kommentar:
|
11839
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 2: | Zeile 2: |
Zeile 10: | Zeile 9: |
Zeile 13: | Zeile 11: |
* Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern * Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet * Verbindung zum Internet für Server-Komponenten des Schul-Intranets * VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung) * weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen * Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache) * URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten * Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen) * etc. |
* Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern * Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet * Verbindung zum Internet für Server-Komponenten des Schul-Intranets * VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung) * weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen * Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache) * URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten * Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen) * etc. |
Zeile 24: | Zeile 22: |
Zeile 29: | Zeile 26: |
=== Netzwerkkarten identifizieren === Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig. |
|
Zeile 30: | Zeile 30: |
Zeile 33: | Zeile 32: |
1. Image starten: <ENTER> 1. Sprache: Deutsch 1. Installieren <ja> 1. Als Dateisystem für die Installation ,,Ext3" auswählen 1. Als Namen des Hosts: {{{gateway}}} eingeben 1. Als Namen für die Domain: {{{intern}}} 1. Beschreibung der Netzwerkschnittstellen: * ''red'' -> DSL * Einrichtung als DHCP-Client * ''green'' -> Debian Edu / Skolelinux Netzwerk (10.0.0.0/8) * IP-Adresse: 10.0.0.1 * Netzmaske: 255.0.0.0 * ''blue'' -> Optional: ein WLAN-Netz für Lehrer/innen und Schüler/innen mit separaten Zugriffsbeschränkungen / Token-basierter Authentifizierung * IP-Adresse: 172.31.0.0 * Netzmaske: 255.255.0.0 Bei baugleichen Netzwerkschnittstellen, können die Interfaces für die jeweiligen Schnittstellen ''red'', ''green'' (und ''blue'') willkürlich zugeordnet und später nach Inbetriebnahme der Firewall physikalisch ermittelt werden. Sollen Netzwerkschnittstellen explizit zugeordnet werden, lässt sich die Zuordnung der Netzwerkschnittstellen im System über die ipFire-Konsole nachträglich ändern. |
1. Image starten <ENTER> 1. Sprache: Deutsch 1. Lizenz akzeptieren <ja> 1. Installieren <ja> 1. Als Dateisystem für die Installation ,,Ext3" auswählen 1. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm 1. Neustart akzeptieren 1. Tastaturlayout: {{{de-latin1-nodeadkeys}}} --> Ok <Enter> 1. Zeitzone: {{{Europe/Berlin}}} --> Ok <Enter> 1. Hostname des Rechners: {{{gateway}}} eingeben 1. Domainname des Rechners: {{{intern}}} 1. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter> 1. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter> 1. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten a. Typ der Netzwerkkonfiguration * GREEN + RED * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.) * Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü. a. Treiber- und Kartenzuordnung * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein. * Fertig, bestätigen. a. Adress-Einstellungen * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert * IP-Adresse: 10.0.0.1 * Subnetzmaske: 255.0.0.0 * RED nimmt später Verbindung zur Außenwelt auf. * DHCP auswählen * Der Hostname ist {{{gateway}}} * Keine IP-Adresse eintragen * BLUE wird für ein internes WLAN o.Ä. konfiguriert * IP-Adresse: 172.31.0.1 * Subnetzmaske: 255.255.255.0 a. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden. 1. DHCP-Konfiguration * Nicht aktivieren, sondern mit Ok bestätigen. |
Zeile 55: | Zeile 69: |
Zeile 58: | Zeile 71: |
FixMe: untenstehende Punkte überprüfen 1. Netzwerk - Web-Proxy * Aktiviert auf Grün * Proxyport: 3128 * URL-Filter aktiviert * Cacheverwaltung: * Cachemanager aktivieren * Cachegröße einstellen (Bsp. 505 Mb) * Filedescriptoren einstellen (Bsp. 16383) * Cachegröße auf der Platte einstellen (Bsp. 30000Mb) * Max. Objektgröße einstellen (Bsp. 65535) 1. Netzwerk - URL-Filter: * URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von shallalist.de * URL-Filter Wartung: Blacklist hochladen |
''Wichtig:'' Das Fine-Tuning der Firewall wird vom Haupt-Server ''TJENER'' aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden. Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen. 1. System - Startseite * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire. 1. Status (Klick auf Reiter, oben rechts) * Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht. 1. Netzwerk (Klick auf Reiter, oben rechts) * Webproxy * '''Allgemeine Einstellungen''' * ändern: [x] Aktiviert auf Grün * Proxyport: 3128 * '''Anzahl der Filterprozesse''' * URL-Filter: aktivieren * Update-Accelerator: aktivieren * '''Vorgelagerter Proxy''' * Proxy-Adresse weiterleiten: [x] * Benutzernamen weiterleiten: [x] * '''Protokolleinstellungen''' * Protokoll aktiviert: [x] * Protokolliere Query-Terms: [x] * Protokolliere Useragents: [x] * '''Cache-Verwaltung''' * Cache-Manager aktivieren [x] * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte) * Aktiviere Offline-Modus [x] * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte) * Max. Objektgröße: 409600 (in KByte) * '''Ziel-Ports''' * (keine Änderungen) * '''Netzwerkbasierte Zugriffskontrolle''' * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen * Dann am Seitenende auf '''Speichern''' klicken * URL-Filter 1. '''Automatisches Blacklist-Update''' * Aktivieren [x] * Zeitplan für automatische Updates: ''wöchentlich'' auswählen * Downloadquelle auswählen: Shalla Secure Services * auf Button ''Update-Einstellungen speichern'' klicken (Seite lädt neu) * nach unten Scrollen * auf Button ''Jetzt Updaten'' klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite 1. '''Sperrkategorien''' auswählen * FixMe: vergl. Screenshot 1. '''Angepasste Whitelist''' {{{ bads.de # Website mit Drogenpräventionsprogramm 89.105.213.23 # Avira Update-IPs 89.105.213.24 # Avira Update-IPs 62.146.64.146 # Avira Update-IPs 62.146.64.147 # Avira Update-IPs 80.190.130.194 # Avira Update-IPs 80.190.130.195 # Avira Update-IPs }}} * [x] Aktivieren (der Whitelist nicht vergessen) 1. '''Sperrseiteneinstellungen''' * Zeige Kategorie auf der Sperrseite [x] * Zeige URL auf der Sperrseite [x] * Zeige IP auf der Sperrseite [x] 1. '''Erweiterte Einstellungen''' * Aktiviere Ausdruckslisten [x] * Sperre Ads mit dem leerem Fenster [x] * Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x] * Aktivere Protokoll [x] * Protokolliere Benutzername [x] * Protokoll in Kategorien aufteilen [x] 1. Klick auf ''Speichern'' * Update-Accelerator 1. '''Allgemeine Einstellungen''' * Aktiviere Protokoll [x] * Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!) 1. '''Leistungsoptionen''' * Geringe CPU-Priorität für Downloads [x] * Maximale externe Download-Rate: 64 (in kbit/s) 1. '''Quellenprüfung''' * Ersetze veraltete Dateien während der Prüfung [x] 1. Klick auf ''Speichern'' * DHCP-Server * -> kein DHCP-Server darf aktiviert sein 1. Dienste (Klick auf Reiter, oben rechts) * OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf OpenVPN im Menü rechts) * Globale Einstellungen: 1. VPN auf ROT [x] 1. Optional: VPN auf BLAU [x] 1. OpenVPN-Subnetz: 172.28.0.0/255.255.0.0 1. Protokoll: von ''UDP'' auf ''TCP'' ändern 1. LZO-Kompression [x] 1. Klick auf Button ''Erweiterte Server Optionen'': * '''DHCP-Push Optionen''' * Domain: vpn.intern * DNS: 10.0.2.2 * WINS: 10.0.2.2 * Klick auf ''Erweiterte Optionen speichern'' * Zertifizierungsstellen (CAS): 1. Stammzertifikat erstellen: Auf ''Erzeuge root/host-Zertifikate'' klicken i. Name der Organisation: <Ausfüllen mit Name der Schule> i. ipFire's Hostname: {{{vpn.intern}}} i. Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de i. Abteilung: IT Services i. Stadt: <Name der Stadt od. Kreis> i. Bundesstaat od. Provinz: <Bundesland> i. Land: ''Germany'' auswählen i. Klick auf ''Erzeuge root/host Zertifikat'' --> dies kann etwas dauern * Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen): 1. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior) 1. Klick auf ''Hinzufügen'' 1. Informationen zum VPN-Client ausfüllen: * '''Verbindung''': * Name: <schulkürzel>cl<userid> * Anmerkung: --> kann freigelassen werden * '''Authentifizierung''': * Methode ''Erzeuge ein Zertifikat'' auswählen... * Voller Name oder System Hostname: ''<Vorname> <Zuname>'' * e-Mailadresse des Benutzers: ''<user@domain>'' (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!) * Abteilung: eine von ''Kollegium'',''IT-Dienstleister'',o.ä. auswählen * Name der Organisation: <Name der Schule> * Stadt: <Name von Stadt od. Kreis> * Bundesstaat/Provinz: <Bundesland> * Land: ''Germany'' auswählen * Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden * Passwort: setzen und dem/der Benutzer/in mitteilen 1. Schließlich auf ''Speichern'' klicken * Wieder unter Globale Einstellungen: Klick auf Button ''Starte OpenVPN'' * Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: '''OpenVPN Server Status: LÄUFT''' 1. Firewall (Klick auf Reiter, oben rechts) * Ausgehende Firewall (Menü-Eintrag rechts) 1. Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen) 1. p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent) 1. Regeln definieren, Klick auf Button: ''Neue Regel'' 1. Regeln erstellen... a. Beschreibung: ''TJENER'', Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button ''Hinzufügen'' a. Beschreibung: ''localhost'', Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen'' a. Beschreibung: ''FIREWALL'', Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen'' a. Beschreibung: ''EXTERN'', Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button ''Hinzufügen'' a. Für Regel ''drop'' (vordefiniert) den Schalte auf ''On'' legen und auf das Speichersymbol (blaue Diskette) klicken |
Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks
Inhaltsverzeichnis
Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.
Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.
Funktionen der Schul-Firewall
Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:
- Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
- Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
- Verbindung zum Internet für Server-Komponenten des Schul-Intranets
- VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
- weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
- Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
- URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
- Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
- etc.
Download / Installationsmedium erstellen
Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads
Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.
Netzwerkkarten identifizieren
Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig.
Basisinstallation
Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.
Image starten <ENTER>
- Sprache: Deutsch
Lizenz akzeptieren <ja>
Installieren <ja>
- Als Dateisystem für die Installation ,,Ext3" auswählen
(Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm
- Neustart akzeptieren
Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>
Zeitzone: Europe/Berlin --> Ok <Enter>
Hostname des Rechners: gateway eingeben
Domainname des Rechners: intern
Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
- Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
- Typ der Netzwerkkonfiguration
- GREEN + RED
- Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.
- Treiber- und Kartenzuordnung
- Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
- Fertig, bestätigen.
- Adress-Einstellungen
- GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
- IP-Adresse: 10.0.0.1
- Subnetzmaske: 255.0.0.0
- RED nimmt später Verbindung zur Außenwelt auf.
- DHCP auswählen
Der Hostname ist gateway
- Keine IP-Adresse eintragen
- BLUE wird für ein internes WLAN o.Ä. konfiguriert
- IP-Adresse: 172.31.0.1
- Subnetzmaske: 255.255.255.0
- GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
- DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.
- Typ der Netzwerkkonfiguration
- DHCP-Konfiguration
- Nicht aktivieren, sondern mit Ok bestätigen.
Fine-Tuning der Firewall
Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.
Wichtig: Das Fine-Tuning der Firewall wird vom Haupt-Server TJENER aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden.
Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.
- System - Startseite
Fireinfo-Dienst aktivieren durch Klick auf Bitte schalten Sie den Fireinfo-Dienst ein. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.
- Status (Klick auf Reiter, oben rechts)
- Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht.
- Netzwerk (Klick auf Reiter, oben rechts)
- Webproxy
Allgemeine Einstellungen
- ändern: [x] Aktiviert auf Grün
- Proxyport: 3128
Anzahl der Filterprozesse
- URL-Filter: aktivieren
- Update-Accelerator: aktivieren
Vorgelagerter Proxy
- Proxy-Adresse weiterleiten: [x]
- Benutzernamen weiterleiten: [x]
Protokolleinstellungen
- Protokoll aktiviert: [x]
- Protokolliere Query-Terms: [x]
- Protokolliere Useragents: [x]
Cache-Verwaltung
- Cache-Manager aktivieren [x]
Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)
- Aktiviere Offline-Modus [x]
Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)
- Max. Objektgröße: 409600 (in KByte)
Ziel-Ports
- (keine Änderungen)
Netzwerkbasierte Zugriffskontrolle
- Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
Dann am Seitenende auf Speichern klicken
- URL-Filter
Automatisches Blacklist-Update
- Aktivieren [x]
Zeitplan für automatische Updates: wöchentlich auswählen
- Downloadquelle auswählen: Shalla Secure Services
auf Button Update-Einstellungen speichern klicken (Seite lädt neu)
- nach unten Scrollen
auf Button Jetzt Updaten klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite
Sperrkategorien auswählen
FixMe: vergl. Screenshot
Angepasste Whitelist
bads.de # Website mit Drogenpräventionsprogramm 89.105.213.23 # Avira Update-IPs 89.105.213.24 # Avira Update-IPs 62.146.64.146 # Avira Update-IPs 62.146.64.147 # Avira Update-IPs 80.190.130.194 # Avira Update-IPs 80.190.130.195 # Avira Update-IPs
- [x] Aktivieren (der Whitelist nicht vergessen)
Sperrseiteneinstellungen
- Zeige Kategorie auf der Sperrseite [x]
- Zeige URL auf der Sperrseite [x]
- Zeige IP auf der Sperrseite [x]
Erweiterte Einstellungen
- Aktiviere Ausdruckslisten [x]
- Sperre Ads mit dem leerem Fenster [x]
- Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x]
- Aktivere Protokoll [x]
- Protokolliere Benutzername [x]
- Protokoll in Kategorien aufteilen [x]
Klick auf Speichern
- Update-Accelerator
Allgemeine Einstellungen
- Aktiviere Protokoll [x]
- Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!)
Leistungsoptionen
- Geringe CPU-Priorität für Downloads [x]
- Maximale externe Download-Rate: 64 (in kbit/s)
Quellenprüfung
- Ersetze veraltete Dateien während der Prüfung [x]
Klick auf Speichern
- DHCP-Server
-> kein DHCP-Server darf aktiviert sein
- Webproxy
- Dienste (Klick auf Reiter, oben rechts)
- OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf OpenVPN im Menü rechts)
- Globale Einstellungen:
- VPN auf ROT [x]
- Optional: VPN auf BLAU [x]
- OpenVPN-Subnetz: 172.28.0.0/255.255.0.0
Protokoll: von UDP auf TCP ändern
- LZO-Kompression [x]
Klick auf Button Erweiterte Server Optionen:
DHCP-Push Optionen
- Domain: vpn.intern
- DNS: 10.0.2.2
- WINS: 10.0.2.2
Klick auf Erweiterte Optionen speichern
- Zertifizierungsstellen (CAS):
Stammzertifikat erstellen: Auf Erzeuge root/host-Zertifikate klicken
Name der Organisation: <Ausfüllen mit Name der Schule>
ipFire's Hostname: vpn.intern
Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de
- Abteilung: IT Services
Stadt: <Name der Stadt od. Kreis>
Bundesstaat od. Provinz: <Bundesland>
Land: Germany auswählen
Klick auf Erzeuge root/host Zertifikat --> dies kann etwas dauern
- Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen):
Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior)
Klick auf Hinzufügen
- Informationen zum VPN-Client ausfüllen:
Verbindung:
Name: <schulkürzel>cl<userid>
Anmerkung: --> kann freigelassen werden
Authentifizierung:
Methode Erzeuge ein Zertifikat auswählen...
Voller Name oder System Hostname: <Vorname> <Zuname>
e-Mailadresse des Benutzers: <user@domain> (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)
Abteilung: eine von Kollegium,IT-Dienstleister,o.ä. auswählen
Name der Organisation: <Name der Schule>
Stadt: <Name von Stadt od. Kreis>
Bundesstaat/Provinz: <Bundesland>
Land: Germany auswählen
- Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
- Passwort: setzen und dem/der Benutzer/in mitteilen
Schließlich auf Speichern klicken
Wieder unter Globale Einstellungen: Klick auf Button Starte OpenVPN
Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: OpenVPN Server Status: LÄUFT
- Firewall (Klick auf Reiter, oben rechts)
- Ausgehende Firewall (Menü-Eintrag rechts)
- Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
- p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)
Regeln definieren, Klick auf Button: Neue Regel
- Regeln erstellen...
Beschreibung: TJENER, Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button Hinzufügen
Beschreibung: localhost, Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen
Beschreibung: FIREWALL, Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: 53,3128 -> Button Hinzufügen
Beschreibung: EXTERN, Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button Hinzufügen
Für Regel drop (vordefiniert) den Schalte auf On legen und auf das Speichersymbol (blaue Diskette) klicken
- Ausgehende Firewall (Menü-Eintrag rechts)
FixMe: Screenshots beifügen