Absicherung nach der Einrichtung
Nachdem das OpenVPN-Netz steht, sollten Sie noch einige Sicherheitsvorkehrungen vornehmen, um auf den Gateways und Clients andere Zugriffe als über OpenVPN zu blocken.
Das Netz im Rechnenzentrum
Wir erinnern uns, im Netzwerkplan haben wir ein Netz (192.168.0.0/24) hinter einem Router mit der öffentlichen IP 1.1.1.1.
Hier sollten wir nun auf der Firewall alle Zugriffe blocken, die nicht für die Openvpn Verbindung erforderlich sind.
Da der OpenVPN Server auf Port 443/UDP lauscht, erlauben wir alle Zugriffe per UDP auf 443 und blocken den Rest.
Wenn Sie TCP als Protokoll gewählt haben, sollten Sie nur eingehende Verbindungen mit SETUP-FLAG, sowie ESTABLISHED(beides auf Port 443) erlauben.
Die Clients
Auf den Gateways für die Clients sollten jetzt alls Zugriffe von und nach 10.8.0.0/24 erlaubt werden, die Sie für Ihren Internen Netzwerkverkahr brauchen.
Wenn Sie das Gateway im Rechenzentrum als Default-Gateway nutzen sollten die 10.8.0.0/24er Netze mit den selben Regeln ausgestattet werden, die Sie für Ihren Internet-Zugang benötigen.
Diese Regeln können zentral auf dem Gateway im Rechenzentrum erstellt werden.
Weiter mit Advanced