pfSense kann man als Firewall-Router einsetzen, muss man aber nicht. Möchte man z.B. nur den Fernzugang mittels OpenVPN (Roadwarrior-Szenario) nutzen und aus Sicherheitsgründen den Verkehr durch die Firewall reglementieren, so ist das leicht möglich.
Angeregt wurde dieser Beitrag durch eine Kundenanforderung, einen Windows-basierten OpenVPN-Server abzulösen und die Daten die durch den Tunnel fließen mittels Firewall zu regeln. pfSense wurde dabei als virtueller Computer auf einem Hyper-V Server 2012, auf Basis eines Windows Server 2012 Standard, eingerichtet.
Die Einstellungen des virtuellen Computer sollten der Mindest-Hardwarevoraussetzung entsprechen. Es werden zwei virtuelle Netzwerkkarten benötigt, die Erste muss dem WAN-Interface zugeordnert werden (diese nicht verbinden, da sie nicht verwendet wird) und die Zweite wird dem LAN-Interface zugeordnet.
Typischerweise entspricht “hn0” WAN und “hn1” LAN. Sobald die Zuordnung erfolgt ist, eine IP-Adresse aus dem LAN vergeben als auch einen “Upstream-Gateway”, d.h. die IP-Adresse des Routers angeben, anschließend via Browser fortfahren. Im Grunde kann man den Assistenten einfach durchlaufen, lediglich die Zeitzone als auch die Konfiguration des WAN-Interfaces sollte durchgeführt werden. Bei der Abfrage der DNS-Server die IP-Adresse des internen DNS-Servers oder Routers angeben.
Tipp: Damit pfSense schneller bootet, dem WAN-Interface eine statische IP-Konfiguration zuweisen. Dabei sollte man beachten, das man ein nicht-verwendetes Netz eingibt.
Unter “VPN – OpenVPN” kann nun ein neuer Server manuell oder über “Wizards” per Assistent konfiguriert werden. Bei der Auswahl des Interfaces von “WAN” zu “LAN” wechseln.
Ist das “Client Export”-Package installiert und man exportiert OpenVPN-Konfigurationen, so sollte darauf geachtet werden, das man im Abschnitt “Client Connection Behavior” bei “Host Name Resolution” auf “Other” setzt und bei “Host Name” entweder den FQDN, DDNS oder die feste öffentliche IP-Adresse des Internetanschlusses einträgt.
Sowohl in unserer Test- als auch in der Kunden-Umgebung war ist nicht notwendig, eine Route auf den Netzwerkgeräten oder dem Router zum OpenVPN-Netz zu setzen.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
0 Kommentare
1 Pingback