pfSense: Windows 7 per OpenVPN anbinden

Windows 7 verwendet bei IPSec-Verbindungen das IKE-Protokoll in der Version 2. pfSense kann bisher nur die Version 1. Deshalb kann man mit Bordmitteln keine IPSec-Verbindung zwischen Windows 7 und einer pfSense Firewall herstellen. Die pfSense Firewall beherrscht neben IPSec aber auch noch OpenVPN und PPTP. Im folgenden eine kleine Anleitung, für die Einrichtung einer OpenVPN-Verbindung zwischen einem Windows 7 und pfSense.

Einrichtung des OpenVPN-Clients

  1. Download und Installation des OpenVPN-Clients unter der URL: http://openvpn.net/download.html
  2. Ein „command prompt“ mit Administrationsrechten starten
  3. In das Verzeichnis “ c:\programfiles\openvpn\easy-rsa“ wechseln
  4. „init-config.bat“ Ausführen
  5. „vars.bat“ editieren und die letzen Zeilen wie folgt anpassen:
    set KEY_COUNTRY=DE
    set KEY_PROVINCE=HH
    set KEY_CITY=Hamburg
    set KEY_ORG=Firmenname
    set KEY_EMAIL=hostmaster@firmendomain.de
  6. „vars.bat“ ausführen
  7. „clean-all.bat“ ausführen
  8. „build-ca.bat“ ausführen
  9. „build-key-server.bat server“ ausführen. Wobei die vorgeschlagenen Werte übernommen werden können. Nur bei „Common Name“ sollte „server“ angegeben werden.
  10. „build-dh.bat“ ausführen
  11. „build-key.bat ovpn_client1“ ausführen. Wobei die vorgeschlagenen Werte übernommen werden können. Nur bei „Common Name“ sollte „ovpn_client1“ angegeben werden.
  12. Kopieren der Dateien ca.crt, ovpn_client1.key und ovpn_client1.crt aus dem Verzeichnis „c:\programfiles\openvpn\easy-rsa\keys“ in das Verzeichnis „c:\programfiles\openvpn\config“
  13. Datei mit dem Namen ovpn_client1.ovpn und dem folgenden Inhalt (die IP-Adresse muss dabei natürlich angepasst werden!) in dem Verzeichnis „c:\programfiles\openvpn\config“ anlegen:
    client
    dev tun
    proto tcp
    remote 123.123.123.123 1194
    ping 10
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca ca.crt
    cert ovpn_client1.crt
    key ovpn_client1.key
    ns-cert-type server
    comp-lzo
    pull
    verb 3
  14. In der Verknüpfung, mit welcher der OpenVPN-Client gestartet wird solle unbedingt in dem Eigenschaften unter Kompatibilität „Programm als Administrator ausführen“ ausgewählt werden! Ansonsten darf der OpenVPN-Client keine Routen setzen, was für den Zugriff auf das Netzwerk hinter der Firewall meistens nötig ist.

Einrichtung der pfSense Firewall

  1. Aufrufen des Menüpunktes „OpenVPN“ im Menü „VPN“ der Webgui von der pfSense.
  2. Anlegen eines neuen Eintrages mit dem folgenden Inhalt unter dem Reiter „server“
    Protocol: TCP
    Local port: 1194
    Address pool: 192.168.200.0/24 (das Netz darf auf der Firewall noch nicht verwendet werden!)
    Local Network: 192.168.1.0/24 (hier muss das interne Netzwerk stehen!)
    Remote Network: leer
    Cryptography: BF-CBC (128 bit)
    Authentication Method: PKI
    CA certificate: Inhalt der Datei "c:\programfiles\openvpn\easy-rsa\keys\ca.crt"
    Server Certificate: Inhalt der Datei "c:\programfiles\openvpn\easy-rsa\keys\server.crt"
    Server Key: Inhalt der Datei "c:\programfiles\openvpn\easy-rsa\keys\server.key"
    DH parameters: Inhalt der Datei "c:\programfiles\openvpn\easy-rsa\keys\dh1024.pem"
    DHCP-Opt: Disable NetBIOS
    LZO Compression: Ein
  3. Anlegen einer Firewall-Regel für das WAN-Interface, die TCP-Port 1194 für das Internet frei gibt.
  4. Anlegen einer Firewall-Regel für das LAN-Interface, die any (oder was benötigt wird) für den Address pool 192.168.200.0/24 frei gibt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.