Paolo
Member
Hallo!
In dieser Anleitung zeige ich euch, wie ihr OpenVPN mit der Comodo Firewall unter Windows gegen Leaks eurer richtigen IP-Adresse absichert. Es sollte nicht schaden, wenn ihr euch die Comodo Firewall einmal herunterladet und die verschiedenen Funktionen Schritt für Schritt kennenlernt, bevor ihr euch an die Anleitung wagt. Mit einer Desktopfirewall kann man zwar viel gutes machen, aber ebensoviel schlechtes was eurer Sicherheit im Netz schaden kann. Meine Anleitung dürfte idiotensicher sein, trotzdem scheut euch nicht bei Unklarheiten nachzufragen.
Diese Methode mit der Comodo Firewall unterscheidet sich von den anderen in dem Punkt, dass man die handvoll Regeln nur ein einziges Mal global erstellt und nicht für jedes Programm immer neue Regeln erstellen muss! Das dient der Übersicht und macht viel weniger Arbeit!
Vorbereitung
Zuerst deaktivieren wir die Windows Firewall falls nicht bereits geschehen. Diese findet ihr in der Systemsteuerung oder der Startmenüsuche. Falls ihr bereits eine andere Firewall auf dem Rechner habt, deaktiviert diese, die Comodo Firewall ist eine der besten und dazu noch komplett gratis! Danach laden wir uns die Comodo Firewall HIER herunter. Wichtig: nur die Firewall und nicht die Internet Security von Comodo downloaden!
Danach installiert ihr die Firewall und passt die Installation euren Wünschen nach an. Zum Beispiel kann man die Comodo DNS-Server einrichten lassen, einen "Stealth Modus" aktivieren oder weiteren Quatsch den man nicht braucht. Wie ihr ordentliche DNS-Server einrichtet erfahrt ihr HIER.
Defense+ solltet ihr deaktivieren, da dieser zwar theoretisch eure Sicherheit erhöht, aber nach einiger Zeit einfach nur auf die Nerven geht und viele Probleme bereiten kann. Achtet lieber darauf was ihr installiert oder testet die Programme vorher in einer virtuellen Maschine/Sandbox!
Gegebenenfalls muss man den Rechner nun neustarten.
Firewall grob einrichten
Die Firewall kann unterschiedlich eingerichtet werden. Ich bevorzuge die manuelle Methode, unter Comodo "Eigene Richtlinie" bzw. "Custom Ruleset", d.h. jedes Programm was ins Internet möchte muss man selbst zulassen. Das ist am Anfang vielleicht etwas Arbeit, wird aber später immer weniger Aufwand und es hat den Vorteil, dass man sich mit den ganzen Windowsdiensten die vorher im Hintergrund ins Netz gekrochen sind beschäftigen muss, um zu wissen was man zulassen darf und was nicht.
Die neue Comodoversion hat leider eine neue Oberfläche die vielen, inklusive mir, garnicht zusagt, da vieles verschlimmbessert wurde ohne ersichtlichen Grund. Für die grobe Einrichtung geht ihr nun folgendermaßen vor: im Hauptfenster findet ihr rechts oben einen Pfeil, der euch zu den "Aufgaben" führt. Dort ganz unten klickt ihr auf den Reiter "Erweiterte Einstellungen" und "Erweiterte Einstellungen öffnen". Dort wählt ihr in der Kategorie "Einstellungen zur Sicherheit" "Firewall" aus, wo ihr in den Firewalleinstellungen ganz oben den Modus auswählen könnt. Hier wählt ihr "Eigene Richtlinie" aus. Den Modus könnt ihr auch mit einem Rechtsklick auf das Comodo Trayicon unter "Firewall" wechseln.
Die grobe Einrichtung ist nun abgeschlossen.
Regeln und Zonen einrichten
In den "Firewall-Einstellungen" findet ihr das Herzstück der Firewall. Hier könnt ihr Regeln für Anwendungen erstellen oder bearbeiten, globale Regeln einrichten, die höhere Priorität als die Anwendungsregeln haben oder vordefinierte Richtlinien erstellen, um nicht immer dieselben Regeln neu erstellen zu müssen. Der Rest dürfte auch selbsterklärend sein. Wichtig zu wissen ist, dass bei den Regeln immer von unten nach oben gearbeitet wird, d.h. verbietet man in einer Regel das gesamte Internetprotokoll (IP), so kann man mit einer Regel die sich darüber befindet einzelne Protokolle, Ports etc. wieder freischalten!
Fangen wir nun mit der eigentlichen Arbeit an:
1. Wir erstellen eine neue Netzwerkzone im entsprechenden Reiter, indem wir den winzigen Pfeil unten anklicken und "Hinzufügen" auswählen. Dies ist nötig, wenn sich die lokale IP, die man vom häuslichen Router zugewiesen bekommt, ändern kann. In meinem Netzwerk hat der Router die IP 192.168.178.1 und alle Clients die an den Router angeschlossen werden bekommen via DHCP automatisch eine IP von 192.168.178.20-200 zugewiesen. In der Netzwerkzone tragen wir also in meinem Fall die IP-Range "192.168.178.20 - 192.168.178.200" ein. Als Namen habe ich "Heimnetz Rechner" gewählt.
2. Da PP nun auch unterschiedliche Remoteports (das sind die Ports vom Server) anbietet, erstellen wir nun eine Portgruppe unter dem Reiter "Port-Gruppen" mit dem Namen "PP OpenVPN". Hier tragen wir nun nacheinander folgende Ports ein: 1149, 149, 1150, 150, 1151 und 151.
3. Nun erstellen wir die globalen Regeln die immer gleich bleiben und nicht angepasst werden müssen! Hierbei steht 3.1 an unterster Stelle, 3.2 eine Stelle darüber usw.
3.1: Blockieren IP Ein von MAC Beliebig nach MAC Beliebig über Protokoll Beliebig
3.2: Blockieren IP Aus von [Heimnetz Rechner] nach MAC beliebig über Protokoll Beliebig
3.3: Zulassen TCP Aus von [Heimnetz Rechner] nach IP 192.168.178.1 falls der Quellport Beliebig und der Zielport Beliebig ist
3.4: Zulassen UDP Aus von [Heimnetz Rechner] nach MAC Beliebig falls der Quellport Beliebig und der Zielport 53 ist
3.5: Zulassen UDP Aus von [Heimnetz Rechner] nach MAC beliebig falls der Quellport Beliebig und der Zielport [PP OpenVPN] ist
Zu 3.1: unangefragte IP-Pakete werden normalerweise von deinem Rechner nicht benötigt und können somit direkt blockiert/verworfen werden. Solltet ihr diese trotzdem benötigen, erstellt diese Regel nicht.
Zu 3.2: Hiermit wird jeglicher Netzwerkverkehr über das Internetprotokoll in das Netz blockiert.
Zu 3.3: Wird benötigt, damit ihr noch auf euren Router über den Browser zugreifen könnt. Bei einer abweichenden Router-IP natürlich abändern...
Zu 3.4: Hierbei werden die DNS-Anfragen, die standardmäßig über den Port 53 laufen, zugelassen. Die VPN-Hostnamen wie zB de3.gigabit.perfect-privacy.com müssen ja in IP-Adressen aufgelöst werden, sofern diese nicht durch die IPs in den Config-Dateien ersetzt wurden.
Zu 3.5: Hiermit wird der UDP-Traffic zum VPN-Server über die verschiedenen in der Port-Gruppe definierten Ports zugelassen.
Wir bestätigen die Regeln mit OK.
TEST
Die Firewall ist nun komplett eingerichtet. Anwendungen wie Firefox oder Windowsdienste müssen natürlich noch im Pop-Up-Fenster zugelassen werden. Hierbei empfiehlt es sich, eine vordefinierte Richtlinie einzurichten, die IP Richtung AUS komplett erlaubt. Diese kann man dann im Pop-Up auswählen und die Firewall sich diese merken lassen. Oder aber ihr erstellt für Anwendungen die nicht zugelassen werden sollen die Richtlinie IP Richtung AUS blockieren.
Was jetzt noch fehlt ist der Test, ob alles funktioniert. Hierfür verbinden wir uns mit einem VPN-Server. Sollte das geklappt haben, disconnecten wir uns vom Server und versuchen im Firefox google.de aufzurufen. Sollte das nicht funktionieren, so ist unsere Firewall erfolgreich eingerichtet. Herzlichen Glückwunsch!
Ich wünsche viel Spaß und bedanke mich an dieser Stelle bei dem PP-Forenmitglied JackCarver, das mich nach monatelangem Herumprobieren und Fluchen mit der Firewall auf den richtigen Weg geführt hat! Die Lösung war wirklich viel simpler als ich gedacht habe...
In dieser Anleitung zeige ich euch, wie ihr OpenVPN mit der Comodo Firewall unter Windows gegen Leaks eurer richtigen IP-Adresse absichert. Es sollte nicht schaden, wenn ihr euch die Comodo Firewall einmal herunterladet und die verschiedenen Funktionen Schritt für Schritt kennenlernt, bevor ihr euch an die Anleitung wagt. Mit einer Desktopfirewall kann man zwar viel gutes machen, aber ebensoviel schlechtes was eurer Sicherheit im Netz schaden kann. Meine Anleitung dürfte idiotensicher sein, trotzdem scheut euch nicht bei Unklarheiten nachzufragen.
Diese Methode mit der Comodo Firewall unterscheidet sich von den anderen in dem Punkt, dass man die handvoll Regeln nur ein einziges Mal global erstellt und nicht für jedes Programm immer neue Regeln erstellen muss! Das dient der Übersicht und macht viel weniger Arbeit!
Vorbereitung
Zuerst deaktivieren wir die Windows Firewall falls nicht bereits geschehen. Diese findet ihr in der Systemsteuerung oder der Startmenüsuche. Falls ihr bereits eine andere Firewall auf dem Rechner habt, deaktiviert diese, die Comodo Firewall ist eine der besten und dazu noch komplett gratis! Danach laden wir uns die Comodo Firewall HIER herunter. Wichtig: nur die Firewall und nicht die Internet Security von Comodo downloaden!
Danach installiert ihr die Firewall und passt die Installation euren Wünschen nach an. Zum Beispiel kann man die Comodo DNS-Server einrichten lassen, einen "Stealth Modus" aktivieren oder weiteren Quatsch den man nicht braucht. Wie ihr ordentliche DNS-Server einrichtet erfahrt ihr HIER.
Defense+ solltet ihr deaktivieren, da dieser zwar theoretisch eure Sicherheit erhöht, aber nach einiger Zeit einfach nur auf die Nerven geht und viele Probleme bereiten kann. Achtet lieber darauf was ihr installiert oder testet die Programme vorher in einer virtuellen Maschine/Sandbox!
Gegebenenfalls muss man den Rechner nun neustarten.
Firewall grob einrichten
Die Firewall kann unterschiedlich eingerichtet werden. Ich bevorzuge die manuelle Methode, unter Comodo "Eigene Richtlinie" bzw. "Custom Ruleset", d.h. jedes Programm was ins Internet möchte muss man selbst zulassen. Das ist am Anfang vielleicht etwas Arbeit, wird aber später immer weniger Aufwand und es hat den Vorteil, dass man sich mit den ganzen Windowsdiensten die vorher im Hintergrund ins Netz gekrochen sind beschäftigen muss, um zu wissen was man zulassen darf und was nicht.
Die neue Comodoversion hat leider eine neue Oberfläche die vielen, inklusive mir, garnicht zusagt, da vieles verschlimmbessert wurde ohne ersichtlichen Grund. Für die grobe Einrichtung geht ihr nun folgendermaßen vor: im Hauptfenster findet ihr rechts oben einen Pfeil, der euch zu den "Aufgaben" führt. Dort ganz unten klickt ihr auf den Reiter "Erweiterte Einstellungen" und "Erweiterte Einstellungen öffnen". Dort wählt ihr in der Kategorie "Einstellungen zur Sicherheit" "Firewall" aus, wo ihr in den Firewalleinstellungen ganz oben den Modus auswählen könnt. Hier wählt ihr "Eigene Richtlinie" aus. Den Modus könnt ihr auch mit einem Rechtsklick auf das Comodo Trayicon unter "Firewall" wechseln.
Die grobe Einrichtung ist nun abgeschlossen.
Regeln und Zonen einrichten
In den "Firewall-Einstellungen" findet ihr das Herzstück der Firewall. Hier könnt ihr Regeln für Anwendungen erstellen oder bearbeiten, globale Regeln einrichten, die höhere Priorität als die Anwendungsregeln haben oder vordefinierte Richtlinien erstellen, um nicht immer dieselben Regeln neu erstellen zu müssen. Der Rest dürfte auch selbsterklärend sein. Wichtig zu wissen ist, dass bei den Regeln immer von unten nach oben gearbeitet wird, d.h. verbietet man in einer Regel das gesamte Internetprotokoll (IP), so kann man mit einer Regel die sich darüber befindet einzelne Protokolle, Ports etc. wieder freischalten!
Fangen wir nun mit der eigentlichen Arbeit an:
1. Wir erstellen eine neue Netzwerkzone im entsprechenden Reiter, indem wir den winzigen Pfeil unten anklicken und "Hinzufügen" auswählen. Dies ist nötig, wenn sich die lokale IP, die man vom häuslichen Router zugewiesen bekommt, ändern kann. In meinem Netzwerk hat der Router die IP 192.168.178.1 und alle Clients die an den Router angeschlossen werden bekommen via DHCP automatisch eine IP von 192.168.178.20-200 zugewiesen. In der Netzwerkzone tragen wir also in meinem Fall die IP-Range "192.168.178.20 - 192.168.178.200" ein. Als Namen habe ich "Heimnetz Rechner" gewählt.
2. Da PP nun auch unterschiedliche Remoteports (das sind die Ports vom Server) anbietet, erstellen wir nun eine Portgruppe unter dem Reiter "Port-Gruppen" mit dem Namen "PP OpenVPN". Hier tragen wir nun nacheinander folgende Ports ein: 1149, 149, 1150, 150, 1151 und 151.
3. Nun erstellen wir die globalen Regeln die immer gleich bleiben und nicht angepasst werden müssen! Hierbei steht 3.1 an unterster Stelle, 3.2 eine Stelle darüber usw.
3.1: Blockieren IP Ein von MAC Beliebig nach MAC Beliebig über Protokoll Beliebig
3.2: Blockieren IP Aus von [Heimnetz Rechner] nach MAC beliebig über Protokoll Beliebig
3.3: Zulassen TCP Aus von [Heimnetz Rechner] nach IP 192.168.178.1 falls der Quellport Beliebig und der Zielport Beliebig ist
3.4: Zulassen UDP Aus von [Heimnetz Rechner] nach MAC Beliebig falls der Quellport Beliebig und der Zielport 53 ist
3.5: Zulassen UDP Aus von [Heimnetz Rechner] nach MAC beliebig falls der Quellport Beliebig und der Zielport [PP OpenVPN] ist
Zu 3.1: unangefragte IP-Pakete werden normalerweise von deinem Rechner nicht benötigt und können somit direkt blockiert/verworfen werden. Solltet ihr diese trotzdem benötigen, erstellt diese Regel nicht.
Zu 3.2: Hiermit wird jeglicher Netzwerkverkehr über das Internetprotokoll in das Netz blockiert.
Zu 3.3: Wird benötigt, damit ihr noch auf euren Router über den Browser zugreifen könnt. Bei einer abweichenden Router-IP natürlich abändern...
Zu 3.4: Hierbei werden die DNS-Anfragen, die standardmäßig über den Port 53 laufen, zugelassen. Die VPN-Hostnamen wie zB de3.gigabit.perfect-privacy.com müssen ja in IP-Adressen aufgelöst werden, sofern diese nicht durch die IPs in den Config-Dateien ersetzt wurden.
Zu 3.5: Hiermit wird der UDP-Traffic zum VPN-Server über die verschiedenen in der Port-Gruppe definierten Ports zugelassen.
Wir bestätigen die Regeln mit OK.
TEST
Die Firewall ist nun komplett eingerichtet. Anwendungen wie Firefox oder Windowsdienste müssen natürlich noch im Pop-Up-Fenster zugelassen werden. Hierbei empfiehlt es sich, eine vordefinierte Richtlinie einzurichten, die IP Richtung AUS komplett erlaubt. Diese kann man dann im Pop-Up auswählen und die Firewall sich diese merken lassen. Oder aber ihr erstellt für Anwendungen die nicht zugelassen werden sollen die Richtlinie IP Richtung AUS blockieren.
Was jetzt noch fehlt ist der Test, ob alles funktioniert. Hierfür verbinden wir uns mit einem VPN-Server. Sollte das geklappt haben, disconnecten wir uns vom Server und versuchen im Firefox google.de aufzurufen. Sollte das nicht funktionieren, so ist unsere Firewall erfolgreich eingerichtet. Herzlichen Glückwunsch!
Ich wünsche viel Spaß und bedanke mich an dieser Stelle bei dem PP-Forenmitglied JackCarver, das mich nach monatelangem Herumprobieren und Fluchen mit der Firewall auf den richtigen Weg geführt hat! Die Lösung war wirklich viel simpler als ich gedacht habe...