OpenVPN mit Win-Firewall absichern.

PP Frank

Staff member
Hallo,

ich habe gerade im anderen Forum einen beitrag dazu geschrieben. Da das ganze interessant ist für einige Mitglieder kopiere ich diesen Beitrag mal hier rein

Guten Morgen,

ich habe jetzt gerade mal ein paar Tests gemacht und so schwer ist das gar nicht. Nur leider ist die Firewall unübersichtlich, aber das Unübersichtliche zieht sich ja leider durch Windows.

Du gehst ins Netzwerk und Freigabe-Center und prüfst ob deine normale Netzwerkverbindung das private Profil(Heimnetzwerk) nutzt. Wenn nicht, dann setz das um. Das ist wichtig, da Win7(Win8 sollte identisch sein) OpenVPN automatisch das öffentliche Profil zuweist(ich konnte das nicht ändern, was aber nicht schlimm ist).

Ist das erledigt, klickst du in der linken Spalte auf "Windows Firewall" und im Neuen Fenster auf erweiterte Einstellungen. In der mittleren Spalte findest du nun den Link "Windows Firewall Eigenschaften". Drauf klicken und dann den reiter "privates Profil" wählen. Hier setzt du die Option "ausgehende Verbindungen" auf "blockieren". Das übernimmst du und guckst kurz ob Firefox noch verbinden kann. Sollte nicht der Fall sein.

Jetzt noch fix OpenVPN frei geben.
In dem noch geöffneten Firewallfenster, findest du in der linken Spalte "ausgehende Regeln". Drauf geklickt und in der rechten Spalte "neue Regel". Nun klickt man sich Schritt für Schritt durch.
Du möchtest einen Regeltyp "Program" erstellen, dann "dieser Programmpfad" auswählen und dann sucht man OpenVPN. Normal unter "C:/programme/openvpn/bin/openvpn". Öffnen klicken und dann weiter. Dann wird nach der "Aktion" gefragt und die setzt du auf "zulassen" und weiter. Profil lässt du so und klickst weiter. Dann noch den Regelnamen "OpenVPN" geben, damit du das auch wieder findest wenn du etwas ändern möchtest. Jetzt ist die Firewall fertig.

Als erstes testest du nocheinmal, ob Firefox verbinden kann(sollte nicht der Fall sein). Dann verbindest du mit OpenVPN und versuchst nach erfolgreicher Verbindung erneut Firefox.

Ein kleiner Tip: Installiere dir einen zweiten alternativen Browser wie Opera und erstelle für diesen die gleiche Regel wie für OpenVPN, damit du mit diesem Programm auch ohne VPN was tun kannst, da viele Dienste im Netz keine VPN oder Proxydienste erlauben und einem gern mal das Konto sperren(Paypal, Neteller zb). bei Dingen wie Onlinebanking sollte man das eventuell auch ohne VPN machen.
 

NordWest

Active Member
ich nutze Bitdefender Internet Security 2013 da ist doch schon Firewall drin , also Win-Firewall wurde abgeschaltet. brauche ich irgendwelche einstellungen zu ändern ??

Vielen Dank im voraus.
 

PP Frank

Staff member
Die Windows-Firewall ab Vista ist eigentlich wirklich gut. Wenn du das hier nutzen möchtest, dann Bitdefender abschalten und Win-Firewall anschalten
 

speedylein

Active Member
Schön und gut.Das ist jetzt mitnichten keine Kritik(Frage)
Aber wo ist der Nutzen??
Also,wie ich das sehe,dient das dazu,allein dem Browser über
das Private Netzwerk den Zugriff auf's Netz zu gestatten.OK..
Aber wo ist der Vorteil daran?
Würde mich jetzt Interessieren.
 

PP Frank

Staff member
Der nutzen ist der, dass du dir eine Hintertür baust. Wenn du nämlich nur OpenVPN den Zugang erlaubst, kannst du ohne OpenVPN nirgendwohin kommunizieren, da alles ausser openVPN blockiert wird. Steht doch auch da? Es gibt einfach sachen die man nicht via VPN machen kann/darf, deswegen sollte man sich einen 2. Browser installieren, damit man nicht jedesmal an der Firewall basteln muss.

Das ganze sichert dich einfach doppelt ab: 1. Alle Andwendungen können nur via OpenVPN kommunizieren und werden sonst blockiert. 2. eine Ausnahme hat man und das soll der 2. Browser sein, damit man auch mal fix Onlinebanking oder so betreiben kann.
 

speedylein

Active Member
Kapiert.In Bezug auf Onlinebanking hab ich da eh keine Probs.
HBCI Karte mit Speziellem Kartenleser.Funktioniert auch mit
ner VPN Verbindung.Jedenfalls mit nem' Server hier im "Umkreis"
NL,DE,LU.
Aber sonst,schon nicht schlecht...
 

PP Frank

Staff member
Ja. Die Windows Firewall ist definitiv mächtiger als 95 Prozent der Firewalls die die meisten Nutzer sonst installiert haben. Die schaffen es meist nichtmal unterschiedliche Regeln auf mehren Netzwerkbereichen an zu wenden. Im Normalfall sehe ich auch keinen Grund etwas anderes als die normale Win-Firewall zu nutzen. Noch ein Virenscanner dazu, nicht jeden Mailanhang anklicken und etwas überlegt im netz unterwegs sein.... Und man ist tausend mal sicherer als mit 100 Security Tools.
 
Moin,
Also ich habe gerade folgendes Problem, die Absicherung der verbindung durch die Win-Firewall funktioniert super.
Allerdings wollte ich mir jetzt, wie oben erwähnt einen alternativen browser installieren.
Habe es mit der Regel genau so gemacht, wie bei OpenVPN, trotzdem kommt der Opera Browser nur ins Internet, wenn die VPN Verbindung Aktiv ist.
Wüsste da jemand Rat ?

MfG
 
Wenn man die Regel eingeführt hat in der Win-Firewall und auch mit openVPN verbunden ist. Kann man dann auch Proxifier starten und darüber einen SSH-Socks5 laufen lassen, oder muss man das Programm dann auch noch auf die Whitelist von der Win-Firewall setzen?
 

PP Frank

Staff member
Der SSH-Manager muss definitiv auf die Ausnahmeliste von proxifier. Aber nicht von der Win_Firewall. Wenn VPN an ist, dann kommt der SSH Manager ja raus. Wenn VPN weg ist, soll der ja nicht verbinden können.
 
Okay, danke. Ich wollte nun das ganze wie im Startpost erwähnt einrichten. Ich nutze Windows Vista und ich finde nirgendwo "Windows Firewall Eigenschaften" bzw "privates Profil". Würde mich freuen, wenn man mir erklären kann, wie ich das ganze für Windows Vista umsetzen kann.
 

PP Frank

Staff member
Sollte eigentlich alles wenigstens so ähnlich sein. Ich glaube kaum das dir hier einer direkt weiter helfen kann, da kaum einer Vista drauf hat
 

eisy

Junior Member
Ich benutze selber Vista, und weiß wie das Obengenannte auf Vista funktioniert:

Erst auf "Systemsteuerung" dann "Verwaltung" und dann auf "Windows-Firewall mit erweiterter Sicherheit".

Dort kann man dann die oben genannten Firewalleinstellungen bearbeiten.

Nur so kann man das bei Vista machen. Vista ist wirklich eine Sache für sich, nämlich sehr benutzerunfreundlich.
 

clark

Junior Member
Hallo, vielen dank für die Anleitung, hat auch alles sofort geklappt.
Nun habe ich dasselbe Problem wie SmaSh-Man2k, allerdings mit dem pptunnel manager...bin genauso vorgegangen wie mit ovpn(neue Regel erstellt) aber bekomme pptunnel nur verbunden solange VPN aktiv ist...
Fehlermeldung im Tunnelmanager ist immer dieselbe "network permission denied" oder so..
Irgend eine Idee was ich versuchen kann?
Danke.
 

PP Frank

Staff member
Ich denke du musst dort einiges mehr noch freischalten. Also den Manager auf jeden Fall und dann noch die plink.exe. Wenn ich mich recht erinnere liegt die in dem Tunnelmanager Verzeichniss. Ich habe das damit nicht getestet, weswegen ich das nicht ganz genau weis...
 

clark

Junior Member
Perfekt! Daran lag es, die plink.exe.
Diese liegt in dem Manager Verzeichnis. Nachddem dafür die Regel erstellt war ging es :)
...wie immer super Support , danke!
Wie ist es denn mit der Sicherheit...sollte ich den Manager nur freischalten wenn ich ihn brauche, oder stellt das keine Gefahr da, den Manager dauerhaft durch die Firewall/ den VPN zu lassen...mir ist klar...falls ich Manager und VPN zusammen benutzen wollte , dass es besser wäre, dass er nur raus funken darf über/durch VPN.
Aber generell, sollte ich mir die Mühe machen und die Regeln nur zu aktivieren, wenn ich den Manager benötige?
 

Ghost

Active Member
Hey, mir ist aufgefallen, dass meine Netzwerkgeräte (Drucker, Netzwerkradio, Mediaplayer) nicht mehr erreichbar sind, wenn ich die Firewall nach Anleitung konfiguriere.
Erst wenn ich eine benutzerdefinierte Regel für den Ausgang erstelle und die IP's 192.168.178.1 bis 192.168.178.200 freigebe, habe ich wieder zugriff darauf.

Ist das normal?

Die Firewall habe ich breits zurückgesetzt, aber wenn ich nach Anleitung vorgehe, habe ich keinen Zugriff auf mein Netzwerk. Erst wieder, wenn ich die IP's freigebe.
 

PP Frank

Staff member
Ja, das sollte normal sein. Das hatte ich in der Anleitung nicht bedacht..... Also das muss man in dem Falle individuell anpassen
 
Top