Endian firewall community настройка
Не так давно в статье Настройка OpenVPN сервера мы писали о том, как поднять и настроить OpenVPN сервер под Windows. На днях пришлось столкнуться с задачей переноса настроенного OpenVPN сервера на софтовый роутер под управлением Endian Firewall Community 2.5.1. В этом посте мы рассмотрим некоторые моменты, которые касаются непосредственно переноса. Итак, EFW, как и любой другой полноценный софтроутер имеет в своем составе OpenVPN, который можно настроить и в качестве сервера, и в качестве клиента. Но как быть, если ключи и сертификаты у нас уже сгенерированы и мы уже имеем рабочий инстанс OpenVPN?
Для этого напишем небольшой пакетный сценарий:
make-pkcs12.bat
@echo off
cd %HOME%
rem convert the key/cert and embed the ca cert into a pkcs12 file.
openssl pkcs12 -export -inkey %KEY_DIR%\%1.key -in %KEY_DIR%\%1.crt -certfile %KEY_DIR%\ca.crt -out %KEY_DIR%\%1.p12
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old
Выполнив его для серверного ключа make-pkcs12 Server (предварительно не забываем запустить vars.bat для инициализации переменных) на выходе получим файл Server.p12, готовый для импорта в EFW. Заходим в меню VPN -> OpenVPN Server -> Advanced в EFW и в разделе Authentication settings -> Certificate management с помощью Import server certificate from external Certification Authority (CA) импортируем сертификат сервера. Одновременно с сертификатом сервера импортируется ключ сервера, и сертификат CA (Certification Authority). Далее в Advanced settings настраиваем порт и протокол на котором у нас будет находиться OpenVPN сервер, а также другие параметры.
В Authentication settings -> Authentication type выбираем что аутентификация у нас будет производиться по X.509 certificate.
Теперь нам придется столкнуться с другой проблемой, в статье в конфигах у нас используется tls-auth, настройку которого из Web GUI EFW 2.5.1 поддерживает только для клиентских OpenVPN подключений. Т.е. если мы настраиваем сервер, то из web-интерфейса мы никак не сможем указать EFW что надо использовать наш ta.key.
Как в EFW при настройке OpenVPN сервера использовать tls-auth?
Не беда. Правда, нам потребуются небольшие знания Linux и умение работать в командной строке. Подключаемся к EFW по SSH и в /etc/openvpn/openvpn.conf.tmpl (это шаблон файла конфигурации, из него при сохранении настроек OpenVPN сервера через web-интерфейс формируется основной файл конфигурации OpenVPN сервера - /etc/openvpn/openvpn.conf) меняем следующий кусок:
Т.е. здесь мы закомментировали строчку ns-cert-type client и добавили строчку tls-auth /var/efw/openvpn/ta.key 0. Что это дает? При формировании конфига openvpn.conf, если мы используем метод авторизации по сертификатам в openvpn.conf будет добавлена строка tls-auth /var/efw/openvpn/ta.key 0. Соответственно наш файл ta.key нам необходимо будет поместить в /var/efw/openvpn/. TLS побежден. Рассмотрим еще один вопрос.
Как подключить к EFW (Endian Firewall Community) репозиторий? Как устанавливать в EFW пакеты?
Наверное каждый, кто занимается администрированием EFW задумывался над тем, что было бы удобно добавить туда те же wget или mc, на самом деле такой способ есть. Можно подключить репозиторий от CentOS. Для этого заходим по SSH, набираем команду login чтобы попасть в полноценную linux'овую консоль и далее в ней:
smart config –-set rpm-check-signatures=False
smart channel --remove centos-4
smart channel --add сentos-4 baseurl="http://vault.centos.org/4.9/os/i386/" type=rpm-md -y
smart update
smart install wget
smart install mc
Ну и напоследок.
Как настроить GREEN IP из консоли?
Все. EFW у нас теперь с адресом 192.168.10.15 до следующей перезагрузки. Теперь к нему можно получить доступ из требуемой нам сети и сконфигурировать.
Где хранятся настройки интерфейса GREEN?
Чтобы быстро изменить настройки GREEN интерфейса (можно попробовать изменить их через Web GUI в System -> Network configuration -> Network setup wizard, однако мне он там сначала предлагал сконфигурировать интерфейс RED, настройки которого мне менять совершенно не хотелось) можно воспользоваться SSH. Настройки интерфейсов содержатся в /var/efw/ethernet/settings в виде:
Соответственно, например, можно добавить "алиас" на GREEN интерфейс. Например, если нам нужно чтобы у нас EFW на интерфейсе GREEN отзывался и на 192.168.10.254, и на 192.168.9.1, нужно в GREEN_IPS через запятую указать требуемые IP, например - GREEN_IPS=192.168.10.254/24,192.168.9.1/24. Сохранить файл и перезагрузить ПК с EFW. После перезагрузки на интерфейсе GREEN (br0) будет уже два IP.
Хотел что-то еще рассказать, но это уже пост по настройке EFW получается, а не про перенос OpenVPN под EFW, поэтому, пожалуй на сегодня на этом и остановимся.
Welcome to our guide on how to install and configure Endian Firewall on VirtualBox. Endian Firewall Community (EFW) is an open-source Red Har Enterprise Linux (RHEL) based security software offering a stateful packet firewall, basic web and email security, open-source antivirus and powerful VPN (IPsec and SSL). It also provides a live network monitoring and reporting that allows you to visualize and monitor traffic on your network in real-time
Install and Configure Endian Firewall on VirtualBox
This guide focuses on the installation and configuration of the open-source version of Endian Firewall on VirtualBox.
Create New Virtual Machine
- 20GB storage disk
- 2GB RAM
- 2 CPU cores
- At least two network interface cards. This guide uses 4 interfaces (LAN, WAN, DMZ, WiFi). (Arrangement may vary for your case)
- First Interface: GREEN Zone (LAN) – Internal network- intnet
- Second Interface: RED Zone (WAN) – Bridged
- Third Interface: ORANGE Zone (DMZ) – Internal network- intnet1
- Fourth Interface: BLUE Zone (WiFi) – Internal network- intnet2
Once you have created a new virtual machine, mount the Endian Firewall ISO and boot the new virtual machine with it.
Install and Configure Endian Firewall on VirtualBox
Once you are done setting up the virtual machine, click Start to start the installation. Once the virtual machine runs, you are prompted to choose the installation language.
Choose your language and press Enter. On the welcome screen, press Ok to proceed.
Next, Select Yes and press Enter to start partitioning the disk in preparation for installation of EFW.
Next, you are prompted to enable connection over serial cable. This is optional and thus it is disabled in this guide.
Next, you need to configure Endian Firewall GREEN interface IP. GREEN interface IP is the LAN interface IP for EFW. You can learn more about network zones on the network settings page. The default IP for the GREEN interface is 192.168.0.15/24. Be sure to change this based on your network.
Remember this is the internal network interface we assigned while setting up virtual machine.
Once you are done with network settings, press Enter to run post installation tasks and install EFW on VirtualBox.
Once the installation is done, press Enter to reboot the EFW virtual machine. When it boots up, it presents to the GRUB menu. You can press Enter to boot the default EFW OS.
Once EFW boot is complete, you should be able to see the screen presenting you with different menus as shown below.
You can select any option to perform a specific task as indicated. Proceed to the Next page to complete the installation and configuration of EFW.
EFW Network Configurations
In the network configuration step, you need to configure the IP addresses for the various EFW interfaces;WAN (Red), LAN (Green), DMZ (Orange) and WiFi (Blue). Note that all other interfaces are optional except the LAN interface.
Choose network mode and uplink type
In this guide, WAN interface (RED) will be configured with a static IP address hence, setting the uplink type as Ethernet static. Default routed network mode is used.
Choose Network Zones
Enable the network zone of your preference. This guide enables both the DMZ zone (Orange) interface on which servers accessible directly from Internet will be attached to and BLUE (WiFi) interface which provides a network segment for WiFi clients.
Configure LAN Interface
Since we have already define the LAN (Green) interface, leave the default settings.
Configure DMZ and WiFi Networks
For the DMZ (Orange) zone and WiFi (Blue) zone, define the IP addresses and select the interfaces to attach to. Set your EFW hostname and domain name and click the forward button >>>, to proceed to the next step.
Configure WAN Networks
Next, configure the RED (WAN) interface according to your ISP connections. In this guide, the EFW router will be connected to the ISP router whose gateway is 192.168.0.1 (192.168.0.0/24).
Set DNS Server Addresses
In the next step, set the DNS server IP. If you are using DHCP settings for the WAN interface, you can optionally skip this.
Next, you can optionally set the email address for EFW admin (recipient) and the Endian from address (Sender).
Once you are done with settings, click Ok to apply.
After a few minutes, the services will reload. If you are prompted to authenticate, use web frontend credentials set above.
In the final step, If you have registered with EFW community, enter the email address you used. Otherwise, you can skip this step if you do not want to receive any updates. You can always set this again from System > Updates.
The EFW dashboard after all configurations.
That is all about how to install and cofigure Endian Firewall on VirtualBox. You can now go through the Status, Network, Services, Firewall, Proxy, VPN, Logs and Reports tabs for various EFW settings. Enjoy.
Возможности дистрибутива-роутера Endian Firewall достаточно широкие – это и файрвол, и антивирусная защита, и проверка почты на предмет спама и вирусов, и защита от спуфинга и фишинга. Основную сложность представляет Endian Firewall настройка, поскольку это продукт Linux. Но в EFW есть мастер настройки сети, упрощающий эту процедуру, некоторые параметры можно выбирать из списка, некоторые приходится прописывать вручную.
EFW, строившийся изначально на базе IPCop Firewall с усиленной безопасностью и улучшенным удобством пользователя, затем был перенесен на платформу CentOS и превратился в полную многокомпонентную систему защиты. Настройки дистрибутива в первый раз нужно выполнять самостоятельно, указав пароли root (суперпользователя) и admin (администратора).
Мастер настройки сети включает 8 шагов. Это выбор типа подключения каждого интерфейса, констатация наличия-отсутствия WiFi и DMZ. Предусмотрена возможность изменения настроек. После базовых настроек всех интерфейсов нужно ввести адреса DNS-серверов и почты админа, тогда появится возможность войти в консоль управления и управлять группами настроек.
Возможности дистрибутива-роутера Endian Firewall достаточно широкие – это и файрвол, и антивирусная защита, и проверка почты на предмет спама и вирусов, и защита от спуфинга и фишинга. Основную сложность представляет Endian Firewall настройка, поскольку это продукт Linux. Но в EFW есть мастер настройки сети, упрощающий эту процедуру, некоторые параметры можно выбирать из списка, некоторые приходится прописывать вручную.
EFW, строившийся изначально на базе IPCop Firewall с усиленной безопасностью и улучшенным удобством пользователя, затем был перенесен на платформу CentOS и превратился в полную многокомпонентную систему защиты. Настройки дистрибутива в первый раз нужно выполнять самостоятельно, указав пароли root (суперпользователя) и admin (администратора).
Мастер настройки сети включает 8 шагов. Это выбор типа подключения каждого интерфейса, констатация наличия-отсутствия WiFi и DMZ. Предусмотрена возможность изменения настроек. После базовых настроек всех интерфейсов нужно ввести адреса DNS-серверов и почты админа, тогда появится возможность войти в консоль управления и управлять группами настроек.
В одной из "статей" на нашем форуме Перенос OpenVPN сервера на Endian Firewall Community, "Твики" настройки EFW 2.5.1 мы писали о том как перенести существующий OpenVPN сервер на EFW, использовав при этом tls-auth. Сегодня я расскажу о том, как правильно сконфигурировать OpenVPN сервер на Endian'е с поддержкой аутентификации по X.509 certificate, а также как избежать распространенной ошибки: TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned, т.е.:
Предположим что мы создали все ключи и сертификаты, также экспортировали серверный ключ и сертификат (server.key, server.crt), а также ca.crt в PKCS12 и получили server.p12, который успешно загрузили в наш EFW. Под ОС Windows это можно сделать с помощью bat'ника build-key-pkcs12.bat в комплекте Easy RSA Tools. После чего создаем клиентские ключи, конфиги и убеждаемся в том, что клиент не коннектится к EFW из-за пресловутой TLS Error: TLS handshake failed. А всё почему . в конфигах сервера (посмотреть можно /etc/openvpn/openvpn.conf) стоит опция ns-cert-type client. Т.е. клиентский сертификат должен обязательно в поле Тип сертификата Netscape содержать - "SSL-проверка подлинности клиента (80)". Обратите внимание на картинку:
Как же сгенерировать клиентский сертификат таким образом, чтобы он обеспечивал SLL проверку подлинности клиента? Нет ничего проще. Вносим изменения в наш openssl.cnf, дописывая туда строки:
После чего, в bat'нике для генерации клиентского серфтификата и ключа build-key.bat при генерации сертификата дописываем ключ -extensions client, т.е. вот так:
openssl ca -days 3650 -out %KEY_DIR%\%1.crt -in %KEY_DIR%\%1.csr -extensions client -config %KEY_CONFIG%
EFW initial Configuration
Configure Client Network Settings
In this guide, we are accessing our EFW from an Ubuntu 18.04 system whose network is configured as shown below;
To verify that you reach the Endian Firewall from the client system, you can try to ping it as shown below;
Set the EFW Timezone
Click the forward button, >>>, to proceed with EFW setup. Select your language and timezone.
Accept the License
Accept the GNU general public license and proceed to the next step.
Restore from Backup
In the next step, you are prompted whether to import the backup. If you have any, then select yes. Otherwise, select no and proceed.
Set Web/SSH password
Set Web frontend and SSH password. The usernames used here are admin and root respectively. Ensure that you set strong passwords.
Download Endian Firewall Community
Navigate to the Endian Firewall community downloads page and grab the latest installation ISO.
Читайте также: