Jetzt läuft es im Prinzip genauso ab wie in unserem Zuhause, wo wir auch schon zwei Netze geregelt haben, nur das jetzt alles über einen zentralen VPN-Server läuft und die Firewalls der Gateways zusätzlich konfiguriert werden müssen.
Um auch hier den Überblick nicht zu verlieren ist es mal wieder an der Zeit einen Plan zu machen:
1. Standorte
2. Zonen
3. Wer darf wohin und was darf er dort
Vereinfacht sieht das wieder ungefähr so aus:
Das Schema zeigt den VPN-Server in der Mitte, er hat 6 virtuelle Schnittstellen tun0 – tun5 mit den zugehörigen IP-Adressen 10.1.1.2 – 10.1.6.2 und den Zonenbezeichnungen für Shorewall.
Die Gateways der Zentrale und den Filialen haben je eine virtuelle Schnittstelle tun0 mit den vom Server zugewiesenen IP-Adressen 10.1.1.6 – 10.1.3.6. Hier kann die Zonenbezeichnung für Shorewall einfach mit vpn festgelegt werden.
Die Rechner in den Homeoffices haben auch die virtuellen Schnittstellen tun0 mit den vom Server zugewiesenen IP-Adressen 10.1.4.6 – 10.1.6.6, aber dort haben wir keine Zonenbezeichnung, da diese Rechner nicht als Router fungieren und kein angeschlossenes Subnetz bedienen. Natürlich darf ein solcher Rechner aber eine eigene Firewall haben. In der Regel ist es nicht nötig von der Zentrale oder den Filialen auf die Homeofficerechner zuzugreifen, deshalb müssen die Firewalls der Rechner nur den Zugang zum VPN-Server zulassen.
Auf dem VPN-Server wird jetzt in der rules-Datei festgelegt welche Zone mit welchem Port wohin darf. Die dazu benötigten Routen kennt der VPN-Server aus den .conf-Dateien und den Clientdateien im Verzeichnis ccd und hat sie den Clients entsprechend ( push ) übermittelt.
Auf den Gateways hat man nun zwei mögliche Varianten.
Man gewährt in der Datei /etc/shorewall/policy den vollen Zugriff mit einer ACCEPT Regel, oder trägt analog zu den Regeln auf dem Server auch hier alle Regeln nocheinmal in der rules-Datei ein.
Dazu sollte zum Abschluss ein Beispiel reichen:
Wir wollen von allen Clients auf den NFS in der Zentrale zugreifen, aber nur die Filialen sollen und dürfen sich an der Telefonanlage anmelden, zusätzlich möchte der Administrator in der Zentrale und in seinem Homeoffice ( ho1 ) alle Rechner via SSH erreichen.
Der entsprechende Auszug aus der rules-Datei auf dem VPN-Server sähe dann so aus:
######################################## ######### SSH section ######## ######################################## # ACCEPT zen fw tcp 549 ACCEPT ho1 fw tcp 549 ACCEPT ho1 zen tcp 549 ACCEPT zen fi1 tcp 549 ACCEPT zen fi2 tcp 549 ACCEPT ho1 fi1 tcp 549 ACCEPT ho1 fi2 tcp 549 SSH(ACCEPT) zen fi1 SSH(ACCEPT) zen fi2 SSH(ACCEPT) ho1 zen SSH(ACCEPT) ho1 fi1 SSH(ACCEPT) ho1 fi2 Damit werden hier alle Rechner aus der Zentrale und aus Homeoffice1 an den SSH des VPN-Servers und an alle SSH-Server aller Rechner in den Subnetzen von zen, fi1 und fi2 weitergeleitet # ####################################### ######## VoIp section ####### ####################################### # ACCEPT fi1 zen tcp 5060:5076 ACCEPT fi1 zen udp 4569,5004:5020,5000:5076 ACCEPT fi2 zen tcp 5060:5076 ACCEPT fi2 zen udp 4569,5004:5020,5000:5076 Damit können sich beide Filialen an den Asteriskserver der Zentrale anmelden und darüber Telefonate führen. Die Ports können je nach Anlage natürlich auch anders , mehr oder weniger sein. # ####################################### ######## NFS section ####### ####################################### # ACCEPT fi1 zen tcp 11,2049 ACCEPT fi1 zen udp 11,2049 ACCEPT fi2 zen tcp 11,2049 ACCEPT fi2 zen udp 11,2049 ACCEPT ho1 zen tcp 11,2049 ACCEPT ho1 zen udp 11,2049 ACCEPT ho2 zen tcp 11,2049 ACCEPT ho2 zen udp 11,2049 ACCEPT ho3 zen tcp 11,2049 ACCEPT ho3 zen udp 11,2049 Damit können sich alle am NFS-Server der Zentrale anmelden. Absicherung des NFS-Servers und Benutzer- und Rechteverwaltung werden natürlich direkt in der Zentrale verwaltet.
In der Zentrale dazu die rules-Datei des Gateways:
######################################## ######### SSH section ######## ######################################## # ACCEPT loc:10.0.0.10 fw tcp 549 ACCEPT vpn fw tcp 549 SSH(ACCEPT) vpn loc Damit werden hier alle Rechner aus der vpn-Zone an alle SSH-Server aller Rechner im Subnetz loc weitergeleitet. Um den Zugang für alle einzuschränken und z.B. nur dem Admin im Homeoffice den Zugang zu gewähren, muss wie in der ersten Regel die IP-Adresse des Administratorrechners nach einem : eingetragen werden. # ####################################### ######## VoIp section ####### ####################################### # ACCEPT vpn loc:10.0.0.50 tcp 5060:5076 ACCEPT vpn loc:10.0.0.50 udp 4569,5004:5020,5000:5076 Damit können sich beide Filialen über vpn an den Asteriskserver 10.0.0.50 der Zentrale anmelden und darüber Telefonate führen. Die Ports können je nach Anlage natürlich auch anders , mehr oder weniger sein. # ####################################### ######## NFS section ####### ####################################### # ACCEPT vpn loc:10.0.0.2 tcp 11,2049 ACCEPT vpn loc:10.0.0.2 udp 11,2049 Damit können sich alle am NFS-Server 10.0.0.2 der Zentrale anmelden. NFS-Verbindungen zu anderen Rechnern im Subnetz loc werden vom Gateway Zentrale unterbunden.
In der Filiale 1 dazu die rules-Datei des Gatesways:
######################################## ######### SSH section ######## ######################################## # ACCEPT loc:10.0.3.10 fw tcp 549 ACCEPT vpn fw tcp 549 SSH(ACCEPT) vpn loc Damit werden hier alle Rechner aus der vpn-Zone an alle SSH-Server aller Rechner im Subnetz loc weitergeleitet. Um den Zugang für alle einzuschränken und z.B. nur dem Admin im Homeoffice und der Zentrale den Zugang zu gewähren, muss wie in der ersten Regel die IP-Adresse des Administratorrechners nach einem : eingetragen werden. # ####################################### ######## VoIp section ####### ####################################### # ACCEPT loc vpn tcp 5060:5076 ACCEPT loc vpn udp 4569,5004:5020,5000:5076 Damit können sich alle im Subnetz loc an alle VoIP-server im Subnetz vpn anmelden und darüber Telefonate führen. VoIp-Verbindungen zu anderen Rechnern als Subnetz zen werden vom Gateway auf dem VPN-Server unterbunden, VoIP-Verbindungen zu anderen Rechnern als 10.0.0.50 im Subnetz loc der Zentrale werden vom Gateway der Zentrale unterbunden. Die Ports können je nach Anlage natürlich auch anders , mehr oder weniger sein. # ####################################### ######## NFS section ####### ####################################### # ACCEPT loc vpn tcp 11,2049 ACCEPT loc vpn udp 11,2049 Damit können sich alle im Subnetz loc an alle NFS-Server im Subnetz vpn anmelden. NFS-Verbindungen zu anderen Rechnern als Subnetz zen werden vom Gateway auf dem VPN-Server unterbunden, NFS-Verbindungen zu anderen Rechnern als 10.0.0.2 im Subnetz loc der Zentrale werden vom Gateway der Zentrale unterbunden.
Für meinen Geschmack sollte daraus alles ableitbar sein und einem auch sehr umfangreichem Szenario steht nichts mehr im Wege.