Beiträge von DanielDietz

Ich habe das Script für die Client-Zertifikat erstellung angepasst, damit man ganz einfach weitere Zertifikate erstellen kann.

BITTE BEACHTEN DIE ZERTIFIKATE DIE HIERMIT ERSTELLT WERDEN GELTEN NUR 360 TAGE

Sonst bitte den Wert

-days 360

auf -

days XXXX

setzen

@echo off
@echo off
rem Edit this variable to point to
rem the openssl.cnf file included
rem with easy-rsa.


set HOME=%ProgramFiles%\OpenVPN\easy-rsa
set KEY_CONFIG=openssl.cnf


rem Edit this variable to point to
rem your soon-to-be-created key
rem directory.
rem
rem WARNING: clean-all will do
rem a rm -rf on this directory
rem so make sure you define
rem it correctly!
set KEY_DIR=keys


rem Increase this to 2048 if you
rem are paranoid.  This will slow
rem down TLS negotiation performance
rem as well as the one-time DH parms
rem generation process.
set KEY_SIZE=2048


rem These are the default values for fields
rem which will be placed in the certificate.
rem Change these to reflect your site.
rem Don't leave any of these parms blank.


set KEY_COUNTRY=DE
set KEY_PROVINCE=NRW
set KEY_CITY=Duesseldorf
set KEY_ORG=FrancaTradingGmbH
set KEY_EMAIL=daniel.dietz@traders-alliance.de


cd %HOME%
rem build a request for a cert that will be valid for one year
openssl req -days 360 -nodes -new -keyout %KEY_DIR%\%1.key -out %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem sign the cert request with our ca, creating a cert/key pair
openssl ca -extensions client -days 360 -out %KEY_DIR%\%1.crt -in %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem convert the key/cert and embed the ca cert into a pkcs12 file.
openssl pkcs12 -export -inkey %KEY_DIR%\%1.key -in %KEY_DIR%\%1.crt -certfile %KEY_DIR%\ca.crt -out %KEY_DIR%\%1.p12
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old

Ich habe einen OpenVPnServer (x.509&PSK) auf efw 2.2 laufen und möchte das jeder Benutzer der sich per VPn eingewählt hat auch auf das Grünenetzwerk zugreifen kann.
Muss ich hierfür irgendwelche netzwerke pushen oder ähnliches? Denn im Moment kann ich conecten was super funktioniert aber komme nicht ins grüne Netzwerk. Welche FW regeln greifen eigentlich für die VPN-Nutzer? Denn im Moment ist die sehr strikt und dicht eingestellt.

Raus:

# Quelle Ziel Dienst Richtlinie Anmerkung Aktionen
1 BLAU ROT TCP/80 allow HTTP
2 BLAU ROT TCP/443 allow HTTPS
3 GRÜN ROT TCP/21 allow FTP
4 GRÜN ROT TCP/25 allow SMTP
5 GRÜN ROT TCP/110 allow POP
6 GRÜN ROT TCP/143 allow IMAP
7 GRÜN ROT TCP/995 allow POP3s
8 GRÜN ROT TCP/993 allow IMAPs
9 BLAU ROT TCP+UDP/53 allow DNS
10 BLAU ROT ICMP/8
ICMP/30 allow PING

Inter-Zonen

# Quelle Ziel Dienst Richtlinie Anmerkung Aktionen
1 BLAU BLAU <ALLE>
2 ORANGE ORANGE <ALLE>
3 BLAU 10.1.1.40 TCP+UDP/631 Drucker
4 <ALLE> GRÜN UDP/1194 OpenVPN
5 <ALLE> GRÜN <ALLE>

ich weiß noch nicht ob dir Regel 4 nötig ist, das werde ich noch testen.

Systemzugriff & Portweiterleitung & Source NAT - sind leer

Was auf keinen Fall gehen darf ist zugriff von Rot oder Blau auf grün.

Daniel

Super hab das leider befürchtet denn die Gruppen habe ich nur funktionieren die leider nicht. Schade dann halt bis zum 27. warten und auf 2.3 freuen.
Aber viel dank für die schnelle Hilfe.

Daniel

Ich habe im moment den HTTP-Proxy als transparenten Proxy laufen und es funktioniert spuper. Aber ich komme, da ich für mein Notebook auch das Proxynetz verwende immer wieder an die grenzen z.B. geht Gulli o.ä. nicht. Ja ich könnte die alle freischalten aber das ist ja nicht sinn der sache sondern ich möchte eigentlich, dasss sobald eine Seite gesperrt würde ich nach dem User/Passwort gefragt werde und weiter kann. Was jetzt schon funktioniert ist eine Bypass des proxys per MAc was ich aber ungerne beibehalten möchte.

Danke
Daniel