Windows 7 verwendet bei IPSec-Verbindungen das IKE-Protokoll in der Version 2. pfSense kann bisher nur die Version 1. Deshalb kann man mit Bordmitteln keine IPSec-Verbindung zwischen Windows 7 und einer pfSense Firewall herstellen. Die pfSense Firewall beherrscht neben IPSec aber auch noch OpenVPN und PPTP. Im folgenden eine kleine Anleitung, für die Einrichtung einer OpenVPN-Verbindung zwischen einem Windows 7 und pfSense.
Einrichtung des OpenVPN-Clients
- Download und Installation des OpenVPN-Clients unter der URL: http://openvpn.net/download.html
- Ein “command prompt” mit Administrationsrechten starten
- In das Verzeichnis ” c:\programfiles\openvpn\easy-rsa” wechseln
- “init-config.bat” Ausführen
- “vars.bat” editieren und die letzen Zeilen wie folgt anpassen:
set KEY_COUNTRY=DE set KEY_PROVINCE=HH set KEY_CITY=Hamburg set KEY_ORG=Firmenname set KEY_EMAIL=hostmaster@firmendomain.de
- “vars.bat” ausführen
- “clean-all.bat” ausführen
- “build-ca.bat” ausführen
- “build-key-server.bat server” ausführen. Wobei die vorgeschlagenen Werte übernommen werden können. Nur bei “Common Name” sollte “server” angegeben werden.
- “build-dh.bat” ausführen
- “build-key.bat ovpn_client1” ausführen. Wobei die vorgeschlagenen Werte übernommen werden können. Nur bei “Common Name” sollte “ovpn_client1” angegeben werden.
- Kopieren der Dateien ca.crt, ovpn_client1.key und ovpn_client1.crt aus dem Verzeichnis “c:\programfiles\openvpn\easy-rsa\keys” in das Verzeichnis “c:\programfiles\openvpn\config”
- Datei mit dem Namen ovpn_client1.ovpn und dem folgenden Inhalt (die IP-Adresse muss dabei natürlich angepasst werden!) in dem Verzeichnis “c:\programfiles\openvpn\config” anlegen:
client dev tun proto tcp remote 123.123.123.123 1194 ping 10 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert ovpn_client1.crt key ovpn_client1.key ns-cert-type server comp-lzo pull verb 3
- In der Verknüpfung, mit welcher der OpenVPN-Client gestartet wird solle unbedingt in dem Eigenschaften unter Kompatibilität “Programm als Administrator ausführen” ausgewählt werden! Ansonsten darf der OpenVPN-Client keine Routen setzen, was für den Zugriff auf das Netzwerk hinter der Firewall meistens nötig ist.
Einrichtung der pfSense Firewall
- Aufrufen des Menüpunktes “OpenVPN” im Menü “VPN” der Webgui von der pfSense.
- Anlegen eines neuen Eintrages mit dem folgenden Inhalt unter dem Reiter “server”
Protocol: TCP Local port: 1194 Address pool: 192.168.200.0/24 (das Netz darf auf der Firewall noch nicht verwendet werden!) Local Network: 192.168.1.0/24 (hier muss das interne Netzwerk stehen!) Remote Network: leer Cryptography: BF-CBC (128 bit) Authentication Method: PKI CA certificate: Inhalt der Datei "c:\programfiles\openvpn\easy-rsa\keys\ca.crt" Server Certificate: Inhalt der Datei "c:\programfiles\openvpn\easy-rsa\keys\server.crt" Server Key: Inhalt der Datei "c:\programfiles\openvpn\easy-rsa\keys\server.key" DH parameters: Inhalt der Datei "c:\programfiles\openvpn\easy-rsa\keys\dh1024.pem" DHCP-Opt: Disable NetBIOS LZO Compression: Ein - Anlegen einer Firewall-Regel für das WAN-Interface, die TCP-Port 1194 für das Internet frei gibt.
- Anlegen einer Firewall-Regel für das LAN-Interface, die any (oder was benötigt wird) für den Address pool 192.168.200.0/24 frei gibt.
Schreibe einen Kommentar