Wie schon kurz angesprochen, ist das Endian-Switchboard eine Software-Erweiterung zur Endian-Firewall und ist damit entweder als Hardware-Appliance oder als Software für den Betrieb auf eigener physischer oder virtueller Hardware erhältlich. Administratoren, die bereits Erfahrung mit der Endian-Firewall oder anderen IPCOP-Abkömmlingen haben, werden sich in der Basiskonfiguration sofort zurechtfinden. Die Endian-Firewall arbeitet mit einem durch Farben gekennzeichneten Zonenmodell für die unterschiedlichen Netzbereiche. Grün kennzeichnet dabei das interne Netzwerk, rot ist für die WAN-Anbindung zuständig.
Für den Betrieb als VPN-Concentrator werden mindestens diese beiden Zonen benötigt. Optional bietet die Endian-Firewall aber noch zwei weitere Zonen für die Anbindung eines Wireless-LAN (blau) und einer oder mehrerer DMZs (orange) an. In unserem Test-Szenario erhält die grüne Schnittstelle eine IP-Adresse aus dem LAN 192.168.0.15 und das WAN-Interface (rot) eine offizielle IP-Adresse aus dem vom Provider bereitgestellten IP-Pool.
Im nächsten Schritt aktivieren Sie unter
»VPN | OpenVPN Server | OpenVPN Server enabled
«
den OpenVPN-Server und vergeben ein eigenes privates Subnetz für das Fernwartungs-VPN. Wählen Sie die Netzgröße entsprechend großzügig, damit Sie später genügend Luft für die Anbindung von Außenstellen und Fernwartungspersonal haben. Im Beispiel soll folgendes Netz zum Einsatz kommen: 10.0.0.0/16 (Host Range: 10.0.0.1 bis 10.0.255.254 = 65 534 Hosts); das sollte für längere Zeit ausreichen. Stellen Sie nun unter
»Advanced
«
das Protokoll auf TCP und den Port auf 443 um, damit der OpenVPN-Server Verbindungen auf dem HTTPS-Port entgegennimmt (
Abbildung 6
).
OpenVPN-Verbindungen können auch über einen HTTP-Proxy laufen, sodass der VPN-Server später auch von Anlagennetzen oder Clients erreichbar ist, die sich hinter einer (weiteren) Firewall befinden. Stellen Sie nun noch den Authentication-Typ auf
»PSK
«
und laden Sie das CA-Zertifikat sowie den VPN-Client vom Switchboard herunter. Die Konfiguration des OpenVPN-Servers auf dem VPN-Concentrator ist damit bereits abgeschlossen.