Endian firewall community настройка vpn

Обновлено: 03.07.2024

Endian Firewall является унифицированным устройством защиты, или UTM. Это дистрибутив-роутер, с файрволом и антивирусом, защитой от спама, фишинга, спуфинга, контент-фильтром. системой отчетов, возможностью организация VPN-соединения посредством OpenVPN или Openswan/Pluto.

В контентном фильтре программы есть черный список и настройки для более 20 категорий сайтов. Первоначальные настройки создаются с помощью Мастера, дальнейшие, пользовательские, через командную строку или веб-интерфейс. Доверяемая сеть, демилитаризованная зона, зона интернет и зона беспроводных соединений окрашены в настройках разными цветами.

Поскольку EFW часто используется на аппаратных роутерах Endian, для этого и создавался, возникает вопрос, как осуществляется в Endian Firewall настройка интернета Ростелеком. Файрвол можно настроить как шлюз. Все донастройки системы производятся через веб-интерфейс сразу после установки Endian Firewall. Можно установить пароли, ввести настройки провайдера, прописать адреса DNS. Интерфейсы компьютерной сети редактируются через расширенные настройки.

Endian Firewall является унифицированным устройством защиты, или UTM. Это дистрибутив-роутер, с файрволом и антивирусом, защитой от спама, фишинга, спуфинга, контент-фильтром. системой отчетов, возможностью организация VPN-соединения посредством OpenVPN или Openswan/Pluto.

В контентном фильтре программы есть черный список и настройки для более 20 категорий сайтов. Первоначальные настройки создаются с помощью Мастера, дальнейшие, пользовательские, через командную строку или веб-интерфейс. Доверяемая сеть, демилитаризованная зона, зона интернет и зона беспроводных соединений окрашены в настройках разными цветами.

Поскольку EFW часто используется на аппаратных роутерах Endian, для этого и создавался, возникает вопрос, как осуществляется в Endian Firewall настройка интернета Ростелеком. Файрвол можно настроить как шлюз. Все донастройки системы производятся через веб-интерфейс сразу после установки Endian Firewall. Можно установить пароли, ввести настройки провайдера, прописать адреса DNS. Интерфейсы компьютерной сети редактируются через расширенные настройки.

Не так давно в статье Настройка OpenVPN сервера мы писали о том, как поднять и настроить OpenVPN сервер под Windows. На днях пришлось столкнуться с задачей переноса настроенного OpenVPN сервера на софтовый роутер под управлением Endian Firewall Community 2.5.1. В этом посте мы рассмотрим некоторые моменты, которые касаются непосредственно переноса. Итак, EFW, как и любой другой полноценный софтроутер имеет в своем составе OpenVPN, который можно настроить и в качестве сервера, и в качестве клиента. Но как быть, если ключи и сертификаты у нас уже сгенерированы и мы уже имеем рабочий инстанс OpenVPN?

Для этого напишем небольшой пакетный сценарий:
make-pkcs12.bat

Выполнив его для серверного ключа make-pkcs12 Server (предварительно не забываем запустить vars.bat для инициализации переменных) на выходе получим файл Server.p12, готовый для импорта в EFW. Заходим в меню VPN -> OpenVPN Server -> Advanced в EFW и в разделе Authentication settings -> Certificate management с помощью Import server certificate from external Certification Authority (CA) импортируем сертификат сервера. Одновременно с сертификатом сервера импортируется ключ сервера, и сертификат CA (Certification Authority). Далее в Advanced settings настраиваем порт и протокол на котором у нас будет находиться OpenVPN сервер, а также другие параметры.

В Authentication settings -> Authentication type выбираем что аутентификация у нас будет производиться по X.509 certificate.

Теперь нам придется столкнуться с другой проблемой, в статье в конфигах у нас используется tls-auth, настройку которого из Web GUI EFW 2.5.1 поддерживает только для клиентских OpenVPN подключений. Т.е. если мы настраиваем сервер, то из web-интерфейса мы никак не сможем указать EFW что надо использовать наш ta.key.

Как в EFW при настройке OpenVPN сервера использовать tls-auth?

Не беда. Правда, нам потребуются небольшие знания Linux и умение работать в командной строке. Подключаемся к EFW по SSH и в /etc/openvpn/openvpn.conf.tmpl (это шаблон файла конфигурации, из него при сохранении настроек OpenVPN сервера через web-интерфейс формируется основной файл конфигурации OpenVPN сервера - /etc/openvpn/openvpn.conf) меняем следующий кусок:

Т.е. здесь мы закомментировали строчку ns-cert-type client и добавили строчку tls-auth /var/efw/openvpn/ta.key 0. Что это дает? При формировании конфига openvpn.conf, если мы используем метод авторизации по сертификатам в openvpn.conf будет добавлена строка tls-auth /var/efw/openvpn/ta.key 0. Соответственно наш файл ta.key нам необходимо будет поместить в /var/efw/openvpn/. TLS побежден. Рассмотрим еще один вопрос.

Как подключить к EFW (Endian Firewall Community) репозиторий? Как устанавливать в EFW пакеты?


Для удаления данного репозитория следует воспользоваться:

Для тех, кому необходимо собрать что-то свое из исходников в EFW понадобятся следующие пакеты:
smart install binutils gcc glibc-devel glibc-headers glibc-kernheaders kernel-devel make

Ну и напоследок.

Как настроить GREEN IP из консоли?

ifconfig br0 down
ifconfig br0 inet 192.168.10.15 netmask 255.255.255.0
ifconfig br0 up

Все. EFW у нас теперь с адресом 192.168.10.15 до следующей перезагрузки. Теперь к нему можно получить доступ из требуемой нам сети и сконфигурировать.

Где хранятся настройки интерфейса GREEN?

Чтобы быстро изменить настройки GREEN интерфейса (можно попробовать изменить их через Web GUI в System -> Network configuration -> Network setup wizard, однако мне он там сначала предлагал сконфигурировать интерфейс RED, настройки которого мне менять совершенно не хотелось) можно воспользоваться SSH. Настройки интерфейсов содержатся в /var/efw/ethernet/settings в виде:

ORANGE_CIDR=
BLUE_ADDRESS=
ORANGE_BROADCAST=
BLUE_NETMASK=
GREEN_IPS=192.168.10.254/24
ORANGE_ADDRESS=
GREEN_NETMASK=255.255.255.0
BLUE_BROADCAST=
CONFIG_TYPE=2
ORANGE_NETMASK=
ORANGE_DEV=br1
GREEN_NETADDRESS=192.168.10.0
BLUE_IPS=
GREEN_BROADCAST=192.168.10.255
ORANGE_IPS=
ORANGE_NETADDRESS=
GREEN_CIDR=24
GREEN_ADDRESS=192.168.10.254
GREEN_DEV=br0
BLUE_CIDR=
BLUE_DEV=br2
BLUE_NETADDRESS=

Соответственно, например, можно добавить "алиас" на GREEN интерфейс. Например, если нам нужно чтобы у нас EFW на интерфейсе GREEN отзывался и на 192.168.10.254, и на 192.168.9.1, нужно в GREEN_IPS через запятую указать требуемые IP, например - GREEN_IPS=192.168.10.254/24,192.168.9.1/24. Сохранить файл и перезагрузить ПК с EFW. После перезагрузки на интерфейсе GREEN (br0) будет уже два IP.

Хотел что-то еще рассказать, но это уже пост по настройке EFW получается, а не про перенос OpenVPN под EFW, поэтому, пожалуй на сегодня на этом и остановимся.

Welcome to our guide on how to install and configure Endian Firewall on VirtualBox. Endian Firewall Community (EFW) is an open-source Red Har Enterprise Linux (RHEL) based security software offering a stateful packet firewall, basic web and email security, open-source antivirus and powerful VPN (IPsec and SSL). It also provides a live network monitoring and reporting that allows you to visualize and monitor traffic on your network in real-time

Install and Configure Endian Firewall on VirtualBox

This guide focuses on the installation and configuration of the open-source version of Endian Firewall on VirtualBox.

Download Endian Firewall Community

Navigate to the Endian Firewall community downloads page and grab the latest installation ISO.

Create New Virtual Machine

  • 20GB storage disk
  • 2GB RAM
  • 2 CPU cores
  • At least two network interface cards. This guide uses 4 interfaces (LAN, WAN, DMZ, WiFi). (Arrangement may vary for your case)
    • First Interface: GREEN Zone (LAN) – Internal network- intnet
    • Second Interface: RED Zone (WAN) – Bridged
    • Third Interface: ORANGE Zone (DMZ) – Internal network- intnet1
    • Fourth Interface: BLUE Zone (WiFi) – Internal network- intnet2

    Once you have created a new virtual machine, mount the Endian Firewall ISO and boot the new virtual machine with it.

    Install and Configure Endian Firewall on VirtualBox

    Once you are done setting up the virtual machine, click Start to start the installation. Once the virtual machine runs, you are prompted to choose the installation language.

    Choose your language and press Enter. On the welcome screen, press Ok to proceed.

    Next, Select Yes and press Enter to start partitioning the disk in preparation for installation of EFW.

    Next, you are prompted to enable connection over serial cable. This is optional and thus it is disabled in this guide.

    Next, you need to configure Endian Firewall GREEN interface IP. GREEN interface IP is the LAN interface IP for EFW. You can learn more about network zones on the network settings page. The default IP for the GREEN interface is 192.168.0.15/24. Be sure to change this based on your network.

    Remember this is the internal network interface we assigned while setting up virtual machine.

    Once you are done with network settings, press Enter to run post installation tasks and install EFW on VirtualBox.

    Once the installation is done, press Enter to reboot the EFW virtual machine. When it boots up, it presents to the GRUB menu. You can press Enter to boot the default EFW OS.

    Once EFW boot is complete, you should be able to see the screen presenting you with different menus as shown below.

    You can select any option to perform a specific task as indicated. Proceed to the Next page to complete the installation and configuration of EFW.

    EFW initial Configuration

    Configure Client Network Settings

    In this guide, we are accessing our EFW from an Ubuntu 18.04 system whose network is configured as shown below;

    To verify that you reach the Endian Firewall from the client system, you can try to ping it as shown below;

    Читайте также: