Tag Archives: firewall

mac osx Notebook per pfSense absichern inkl. vpn Strecken

Es ist nicht ganz trivial und etwas kompliziert in der Handhabung, aber für mich ist es das ideale Konzept um mich zum einen Abzusichern und zum anderen eine zuverlässige Möglichkeit auch von unterwegs den Zugriff auf verschiedene VPN-Strecken gleichzeitig zu haben.

Im Büro ist es einfacher dies per Routerkonfiguration zu tun. Unterwegs ist dies aber anders kaum zu lösen.

Warum so eine Lösung?

Ich bin als freiberuflicher Administrator viel unterwegs und muss von meinem Notebook per WLAN oder UMTS sicher auf das Internet, verschiedene Cloud Projekte bzw. Kundennetzwerke zugreifen. Dabei öfter auf verschiedene VPN gleichzeitig. Dies ist mit Standard VPN Clients so gut wie unmöglich.

In diesem Beispiel baue ich für den Internetzugang eine VPN Strecke zu Strongvpn auf, sowie 1 weitere Strecke zu meiner aws Cloud per openvpn auf. Ich verwende dafür pfSense (eine auf bsd basierende firewall Lösung) und VMware Fusion für die Virtualisierung.

Basisinstallation

Da pfSense BSD basiert ist, verwende ich VMware Fusion um eine virtuelle Maschine für pfSense bereitzustellen. Die VM erhält 384MB RAM, 2GB Festplatte und 2 Netzwerkarten. Die erste Netzwerkkarte ist das WAN Interface. Ich verwende im Prinzip nur das WIFI Interface des MacBooks, sowohl im Büro als auch unterwegs per mobile Hotspot und habe die WAN Karte gebridged und beziehe die IP per dhcp. Die 2te Netzwerkkarte hat eine statische IP und ist auch gebridged.

Snap 2013-09-15 at 22.29.42, 572x443

Auf dem MacBook erstelle ich ein Netzwerkprofil für diese Konfiguration. Die IP Adresse setze ich statisch, den Gateway und DNS auf das 2te Interface der pfSense. Bei der Standardkonfiguration der pfSense habe ich jetzt schon einen funktionierenden gerouteten Netzwerkzugriff. Die pfSense macht zwar in dieser Konfiguration nur Natting, aber der MAC ist unsichtbar.

Snap 2013-09-15 at 22.48.46, 655x254

Snap 2013-09-15 at 22.48.22, 655x254


VPN Konfiguration

Als erstes will ich sicherstellen, das auch bei Verbindung über ein öffentliches WIFI sämtlicher Netzwerkverkehr verschlüsselt ist. Ich verwende dafür den Dienstleister StrongVPN und verwende wegen der besseren Verschlüsselung wenn möglich OpenVPN. Die Konfiguration eines OpenVPN Tunnels in pfSense unterscheidet sich etwas von der Konfiguration über den normalen Client.

Als erstes erstelle ich die notwendigen Schlüsselpaare. Diese kann man sich bei StrongVPN aus dem Bereich Routerkonfiguration downloaden. Man erhält ein Textfile, das man mit einem beliebigen Texteditor öffnen kann um die Schlüsselinformationen mit Copy&Paste in pfSense zu übertragen.

  1. in pfSense Menüpunkt System -> Cert Manager aufrufen
  2. Tab: CAs
  3. Dort den CA anlegen (Name: StrongVPNCA und Schlüssel “CA” aus dem Textile in das entsprechende Feld kopieren; speichern)
  4. wechseln auf Tab: Certificates
  5. neues Zertifikat importieren (Name: StrongVPNCert, und den Key und private Key per Copy&Paste übertragen; speichern
Cert importieren

CA importieren

CA importieren

Cert importieren

  1. wechseln auf Menüpunkt VPN -> OpenVPN – Tab: Client
  2. Neues Profil erstellen: (Name: StrongVPN; Server mode: SSL/TLS; IP und Port aus dem Textfile übertragen, CA und Cent aus den Selectboxen auswählen und Authorisierung auf TLS ändern und den TLS Schlüssel aus dem Textfile übertragen.
  3. In das Advanced Feld am Ende des Formulars folgenden String kopieren
    reneg-sec 86400;echo vpn-de1 ovpn071;tun-mtu 1500;route-method exe;route-delay 2;
    redirect-gateway def1;comp-lzo no;explicit-exit-notify 2;fragment 1390;mssfix 1390;
    hand-window 30
  4. Speichern und unter Status -> OpenVPN kontrollieren das der Tunnel aufgebaut wurde.
Konfiguration OpenVPN Teil1

Konfiguration OpenVPN Teil1

Konfiguration OpenVPN Teil2

Konfiguration OpenVPN Teil2

Der Tunnel sollte jetzt bereits stehen. Als nächstes wird ein Interface für den Tunnel erstellt. Achtung: nach dem Erstellen des Interface muss man nocheinmal in die Interface Konfiguration und muss das Interface enablen.

Interface erstellen

Interface erstellen

Interface aktivieren

Interface aktivieren

Als nächstes muss man Firewall Regeln und Nat Regeln erzeugen und legt dabei die Reihenfolge der Gatewaynutzung fest.

Firewall Regeln

Firewall Regeln

NAT Regeln "manuell"

NAT Regeln “manuell”

Dieser Schritt der VPN Konfiguration wird für beliebig viele VPN Strecken wiederholt werden, so daß man jederzeit und wirklich unter allen Umständen eine perfekt abgestimmte sichere Umgebung vorfindet – so als wär man im Büro… Zugegeben, es gibt ein paar Caveeats in die man fallen kann, aber die findeet man doch schnell raus. Kontaktieren Sie mich, wenn Sie Hilfe benötigen.