OVPN mit COMODO FIREWALL - Leaks verhindern

Paolo

Member
Hallo!

In dieser Anleitung zeige ich euch, wie ihr OpenVPN mit der Comodo Firewall unter Windows gegen Leaks eurer richtigen IP-Adresse absichert. Es sollte nicht schaden, wenn ihr euch die Comodo Firewall einmal herunterladet und die verschiedenen Funktionen Schritt für Schritt kennenlernt, bevor ihr euch an die Anleitung wagt. Mit einer Desktopfirewall kann man zwar viel gutes machen, aber ebensoviel schlechtes was eurer Sicherheit im Netz schaden kann. Meine Anleitung dürfte idiotensicher sein, trotzdem scheut euch nicht bei Unklarheiten nachzufragen.

Diese Methode mit der Comodo Firewall unterscheidet sich von den anderen in dem Punkt, dass man die handvoll Regeln nur ein einziges Mal global erstellt und nicht für jedes Programm immer neue Regeln erstellen muss! Das dient der Übersicht und macht viel weniger Arbeit!

Vorbereitung

Zuerst deaktivieren wir die Windows Firewall falls nicht bereits geschehen. Diese findet ihr in der Systemsteuerung oder der Startmenüsuche. Falls ihr bereits eine andere Firewall auf dem Rechner habt, deaktiviert diese, die Comodo Firewall ist eine der besten und dazu noch komplett gratis! Danach laden wir uns die Comodo Firewall HIER herunter. Wichtig: nur die Firewall und nicht die Internet Security von Comodo downloaden!

Danach installiert ihr die Firewall und passt die Installation euren Wünschen nach an. Zum Beispiel kann man die Comodo DNS-Server einrichten lassen, einen "Stealth Modus" aktivieren oder weiteren Quatsch den man nicht braucht. Wie ihr ordentliche DNS-Server einrichtet erfahrt ihr HIER.

Defense+ solltet ihr deaktivieren, da dieser zwar theoretisch eure Sicherheit erhöht, aber nach einiger Zeit einfach nur auf die Nerven geht und viele Probleme bereiten kann. Achtet lieber darauf was ihr installiert oder testet die Programme vorher in einer virtuellen Maschine/Sandbox!

Gegebenenfalls muss man den Rechner nun neustarten.

Firewall grob einrichten

Die Firewall kann unterschiedlich eingerichtet werden. Ich bevorzuge die manuelle Methode, unter Comodo "Eigene Richtlinie" bzw. "Custom Ruleset", d.h. jedes Programm was ins Internet möchte muss man selbst zulassen. Das ist am Anfang vielleicht etwas Arbeit, wird aber später immer weniger Aufwand und es hat den Vorteil, dass man sich mit den ganzen Windowsdiensten die vorher im Hintergrund ins Netz gekrochen sind beschäftigen muss, um zu wissen was man zulassen darf und was nicht.

Die neue Comodoversion hat leider eine neue Oberfläche die vielen, inklusive mir, garnicht zusagt, da vieles verschlimmbessert wurde ohne ersichtlichen Grund. Für die grobe Einrichtung geht ihr nun folgendermaßen vor: im Hauptfenster findet ihr rechts oben einen Pfeil, der euch zu den "Aufgaben" führt. Dort ganz unten klickt ihr auf den Reiter "Erweiterte Einstellungen" und "Erweiterte Einstellungen öffnen". Dort wählt ihr in der Kategorie "Einstellungen zur Sicherheit" "Firewall" aus, wo ihr in den Firewalleinstellungen ganz oben den Modus auswählen könnt. Hier wählt ihr "Eigene Richtlinie" aus. Den Modus könnt ihr auch mit einem Rechtsklick auf das Comodo Trayicon unter "Firewall" wechseln.

Die grobe Einrichtung ist nun abgeschlossen.

Regeln und Zonen einrichten

In den "Firewall-Einstellungen" findet ihr das Herzstück der Firewall. Hier könnt ihr Regeln für Anwendungen erstellen oder bearbeiten, globale Regeln einrichten, die höhere Priorität als die Anwendungsregeln haben oder vordefinierte Richtlinien erstellen, um nicht immer dieselben Regeln neu erstellen zu müssen. Der Rest dürfte auch selbsterklärend sein. Wichtig zu wissen ist, dass bei den Regeln immer von unten nach oben gearbeitet wird, d.h. verbietet man in einer Regel das gesamte Internetprotokoll (IP), so kann man mit einer Regel die sich darüber befindet einzelne Protokolle, Ports etc. wieder freischalten!

Fangen wir nun mit der eigentlichen Arbeit an:

1. Wir erstellen eine neue Netzwerkzone im entsprechenden Reiter, indem wir den winzigen Pfeil unten anklicken und "Hinzufügen" auswählen. Dies ist nötig, wenn sich die lokale IP, die man vom häuslichen Router zugewiesen bekommt, ändern kann. In meinem Netzwerk hat der Router die IP 192.168.178.1 und alle Clients die an den Router angeschlossen werden bekommen via DHCP automatisch eine IP von 192.168.178.20-200 zugewiesen. In der Netzwerkzone tragen wir also in meinem Fall die IP-Range "192.168.178.20 - 192.168.178.200" ein. Als Namen habe ich "Heimnetz Rechner" gewählt.

2. Da PP nun auch unterschiedliche Remoteports (das sind die Ports vom Server) anbietet, erstellen wir nun eine Portgruppe unter dem Reiter "Port-Gruppen" mit dem Namen "PP OpenVPN". Hier tragen wir nun nacheinander folgende Ports ein: 1149, 149, 1150, 150, 1151 und 151.

3. Nun erstellen wir die globalen Regeln die immer gleich bleiben und nicht angepasst werden müssen! Hierbei steht 3.1 an unterster Stelle, 3.2 eine Stelle darüber usw.

3.1: Blockieren IP Ein von MAC Beliebig nach MAC Beliebig über Protokoll Beliebig
3.2: Blockieren IP Aus von [Heimnetz Rechner] nach MAC beliebig über Protokoll Beliebig
3.3: Zulassen TCP Aus von [Heimnetz Rechner] nach IP 192.168.178.1 falls der Quellport Beliebig und der Zielport Beliebig ist
3.4: Zulassen UDP Aus von [Heimnetz Rechner] nach MAC Beliebig falls der Quellport Beliebig und der Zielport 53 ist
3.5: Zulassen UDP Aus von [Heimnetz Rechner] nach MAC beliebig falls der Quellport Beliebig und der Zielport [PP OpenVPN] ist

Zu 3.1: unangefragte IP-Pakete werden normalerweise von deinem Rechner nicht benötigt und können somit direkt blockiert/verworfen werden. Solltet ihr diese trotzdem benötigen, erstellt diese Regel nicht.
Zu 3.2: Hiermit wird jeglicher Netzwerkverkehr über das Internetprotokoll in das Netz blockiert.
Zu 3.3: Wird benötigt, damit ihr noch auf euren Router über den Browser zugreifen könnt. Bei einer abweichenden Router-IP natürlich abändern...
Zu 3.4: Hierbei werden die DNS-Anfragen, die standardmäßig über den Port 53 laufen, zugelassen. Die VPN-Hostnamen wie zB de3.gigabit.perfect-privacy.com müssen ja in IP-Adressen aufgelöst werden, sofern diese nicht durch die IPs in den Config-Dateien ersetzt wurden.
Zu 3.5: Hiermit wird der UDP-Traffic zum VPN-Server über die verschiedenen in der Port-Gruppe definierten Ports zugelassen.

Wir bestätigen die Regeln mit OK.

TEST

Die Firewall ist nun komplett eingerichtet. Anwendungen wie Firefox oder Windowsdienste müssen natürlich noch im Pop-Up-Fenster zugelassen werden. Hierbei empfiehlt es sich, eine vordefinierte Richtlinie einzurichten, die IP Richtung AUS komplett erlaubt. Diese kann man dann im Pop-Up auswählen und die Firewall sich diese merken lassen. Oder aber ihr erstellt für Anwendungen die nicht zugelassen werden sollen die Richtlinie IP Richtung AUS blockieren.

Was jetzt noch fehlt ist der Test, ob alles funktioniert. Hierfür verbinden wir uns mit einem VPN-Server. Sollte das geklappt haben, disconnecten wir uns vom Server und versuchen im Firefox google.de aufzurufen. Sollte das nicht funktionieren, so ist unsere Firewall erfolgreich eingerichtet. Herzlichen Glückwunsch!


Ich wünsche viel Spaß und bedanke mich an dieser Stelle bei dem PP-Forenmitglied JackCarver, das mich nach monatelangem Herumprobieren und Fluchen mit der Firewall auf den richtigen Weg geführt hat! Die Lösung war wirklich viel simpler als ich gedacht habe...
 

XKeyscore

Member
Danke für deine prima Anleitung!
Eine Frage, ich benutze noch die Version 5.12 der Firewall. Kann ich nach einem Update auf 6.2 die gesicherten Konfigurationen der Version 5.12 verwenden (sind die noch kompatibel?), oder muss ich von Hand wieder alles neu erstellen?
 

Inkognito

Active Member
Ich hatte es damals probiert und es lief NICHT. Die neue Oberfläche ist zwar vom Ansatz her ganz nett, aber es gibt so viele Dinge die schlechter gemacht wurden. Trotzdem würde ich dir die neue Version empfehlen wegen der Updates und vll. werden meine Vorschläge in deren Forum umgesetzt.

Also leg die Regeln wieder neu an, ab der neuen Version und den Updates ist natürlich wieder alles kompatibel.
 

XKeyscore

Member
Habe nun die neue Version 6.2 installiert. Manuelle Einrichtung scheiterte, warum auch immer.:(
Habe dann meine Konfigdatei von der Vorgängerversion geladen, und nun läuft es wie es soll. :D
 

speedylein

Active Member
Kleine Frage mal dazu.Hab mich jetzt auch mal überwunden,und das Teil Installiert,hatte vor einiger Zeit nur Ärger damit.. Hab eine Kleinigkeit geändert. IP-Range "192.168.178.20 - 192.168.178.200 Auf IP-Range "192.168.178.3 - 192.168.178.20 da ich feste Ip's vergebe für den "Großen" und Läppi.(Läppi lass ich jetzt aussen vor,da der von alledem ja nix mitkriegt) W-Lan Drucker,Treiber auf beiden Rechnern Installiert hat die IP .......14,in der Fritzbox so festgelegt. Der Große hat die IP.....4. Deswegen die IP-Range "192.168.178.3 - 192.168.178.20 Die beiden Test's klappten sofort.Jetzt meine Frage: Bei den Netzwerkzonen vergibt man einen Namen,und da ist auch noch das Kästchen für Öffentliches Netzwerk,das hab ich nicht Aktiviert,ist das ok?


Und vielleicht noch ne Erklärung zu diesem Bild.Danach wäre die Firewall ja gar nicht Aktiv,oder was Bedeuted das?Ich hab da nix Eingestellt.....
 

Paolo

Member
1. Kein Haken bei öffentliches Netzwerk. Zudem würde ich die gesamte IP-Range der intern IP-Adressen eintragen, sprich 192.168.0.0 bis 192.168.255.255, da du dann auch in anderen Netzwerken surfen kannst, sofern du eine andere interne IP zugewiesen bekommst.

2. Das ist seltsam, mit Rechtsklick kannst du ja Profile aktivieren und deaktivieren, mach das mal.
 

speedylein

Active Member
Werd's mal Testen mit Punkt 2.
Nur nicht grad jetzt,komme grad von der Schicht...Müüüüde.

PS:Ansonsten klappt das andere aber.Sobald OpenVPN nicht
Verbunden ist,geht nix mehr Internetmäßig auf dem Rechner.

Edit:
Mit Punkt 2 hat sich erledigt.Rechte Maustaste,Aktivieren
Nur kann ich keine Route mehr Tracen.
Nur Zeitüberschreitungen.In der CMD Box,und auch mit
eToolz nicht...
 
Ich nutze auch Comodo zu diesem Zweck, aber sagt mal, erfüllt ein Programm wie VPN Watcher (http://www.freddi.de/coding_cpp.htm) nicht denselben Zweck und ist dazu noch ressourchenschonender? Ich hab's jedenfalls mal getestet und uTorrent wurde sofort beendet, als ich die OpenVPN-Verbindung getrennt hab. Bei der Comodo-Lösung hingegen wird der Traffic bei einem VPN-Verbindungsabbruch erstmal peu a peu runtergefahren.
 

PP Frank

Staff member
Mal eine doofe Frage: Wieso verwendet ihr nicht die Windows Firewall(ab Vista)? ist doch viel einfacher und man muss nichts anders installieren.
 

speedylein

Active Member
Einfache Antwort.Weil ich das gerne mal teste,wie das so Funktioniert.
Mach mir allerdings immer vorher nen Backup mit Paragon bei solchen Sachen.
Nutze auch die Win7 Wall.
 

JackCarver

Well-known Member
Der Traffic wird bei ner FW Lösung komplett geblockt. Egal welche man jetzt nimmt, da tröpfelt nicht noch was durch bis der Traffic tot ist. Zeigt der Torrent Client nur so an.
 

PP Frank

Staff member
Wollte nur mal nachfragen. Ich war immer jemand der sich jede Installation auf dem Rechner spart, die nicht sein muss. So bleibt der Rechner clean :p
 

Paolo

Member
Die Windowsfirewall reicht natürlich aus, nur wenn man ohnehin eine Desktopfirewall braucht die mehr Komfort und Funktionen bietet dann nutzt man halt Comodo.
 

XKeyscore

Member
Paolo;n2221 said:
Die Windowsfirewall reicht natürlich aus, nur wenn man ohnehin eine Desktopfirewall braucht die mehr Komfort und Funktionen bietet dann nutzt man halt Comodo.

Im alten Forum gab es eine Anleitung dazu, leider komm ich da nicht mehr ran. Vielleicht wäre jemand so nett, die Anleitung für die Windows-Firewall hier neu zu posten.
 

PP Frank

Staff member
Ja, aber das alte Forum existiert nicht mehr. Das sollte eigentlich auch vorerst reichen. Daniel hat das auch als Tutorial auf der Liste, aber das was ich geschrieben habe ist schon Schritt für Schritt
 

speedylein

Active Member
Konnte es ja nicht lassen,ausprobiert.Klappt.
Ausser,das Windows sich erst geweigert hat,mir
nen Privates Profil zu erstellen.Bis ich dann
auf Abbrechen geklickt habe,und siehe da,die Heimnetzgruppe
war doch da.
Nu dümpelt meine Bitdefender Wall irgendwo auf dem Rechner
rum.Nur noch der Antivirus aktiv.......
 
Top