Articles /

Erste Schritte mit m0n0wall

Diese Dokumentation wurde im Januar 2004 geschrieben, um einige Dokumentationsentwürfe für das m0n0wall Firewall-Projekt bereitzustellen. Es wurde durch offizielle Projektdokumentation ersetzt. Zehn Jahre später wurde m0n0wall selbst durch andere Firewall-Software, insbesondere OPNsense und pfSense, abgelöst. Diese Seite bleibt nur für historische Zwecke verfügbar. (Es wird immer noch getroffen…)

m0n0wall

Einführung

Das m0n0wall-Projekt ist eine Open-Source-Firewall auf FreeBSD-Basis, die für den Einsatz auf minimaler PC-Hardware entwickelt wurde, einschließlich eingebetteter Geräte wie der Soekris net4501- und net4801-Hardwareplattformen, und dennoch alle wesentlichen Funktionen kommerzieller Firewall-Appliances bietet. Nahezu die gesamte Konfiguration und Administration erfolgt über eine webbasierte Oberfläche, die das Einrichten einer robusten Firewall extrem einfach macht.

Die Weboberfläche ist zwar einfach, setzt jedoch ein gewisses Mindestverständnis sowohl der Netzwerkadministration im Allgemeinen als auch der m0n0wall im Besonderen voraus. Dieses Handbuch wurde geschrieben, um die ersten Schritte zu erklären, die erforderlich sind, um ein m0n0wall—System so zu konfigurieren, dass es die beiden Dienste – DHCP—Konfiguration für Clients und NAT-basierte Verbindungsfreigabe – bereitstellt, die für ein typisches Heimnetzwerk am nützlichsten sind.

In diesem Handbuch wird nicht versucht, detaillierte Informationen zur Konfiguration einer Firewall bereitzustellen. Wir empfehlen dringend zwei Bücher, um mehr über Firewalls zu erfahren:

Firewalls und Internetsicherheit: Abwehr des schlauen Hackers
Aufbau von Internet-Firewalls

Wichtig: Sie sind für Ihre eigene Netzwerksicherheit verantwortlich. Wir übernehmen absolut keine Verantwortung für die Sicherheit Ihres Netzwerks, unabhängig davon, ob Sie den Anweisungen hier folgen oder nicht.

Allgemeine Prinzipien von Firewall- und NAT-Appliances

Grundsätzlich wird ein m0n0wall-basiertes System verwendet, um zwei (oder mehr) separate Netzwerke miteinander zu verbinden, sodass Geräte wie Computer und Server in beiden Netzwerken zulässige Verbindungen zueinander herstellen können. Eine m0n0wall-basierte Appliance kann einem Netzwerk Verbindungen und Funktionen hinzufügen, z. B. dass viele Systeme eine einzige öffentliche IP-Adresse gemeinsam nutzen können. Es kann auch Verbindungen zu Systemen unter seiner Kontrolle einschränken und als Vormund fungieren, um den unbefugten Zugriff von Außenstehenden auf interne Systeme zu verhindern.

Für die Zwecke dieses Handbuchs werden wir die Möglichkeiten vereinfachen und nur eine der häufigsten Situationen diskutieren, in denen m0n0wall häufig verwendet wird, indem ein Heim- oder kleines Büronetzwerk über eine Breitbandverbindung mit dem Internet verbunden wird (Einwahl wird hier nicht diskutiert):

Grundlegendes Heimnetzwerkdiagramm
Abbildung 1: Ein einfaches Heimnetzwerk.

In Abbildung 1 wird m0n0wall verwendet, um ein kleines Heimnetzwerk, das LAN, mit dem Internet zu verbinden, dem größten WAN von allen.

]

Bevor Sie beginnen

Bevor Sie Änderungen an Ihrem bestehenden Netzwerk vornehmen, ist es eine sehr, sehr gute Idee, Ihre aktuelle, funktionierende Konfiguration zu dokumentieren. Wenn Ihr Betriebssystem es Ihnen erlaubt, eine Sicherungskopie Ihrer Netzwerkkonfiguration zu erstellen, tun Sie dies jetzt.

Die Dokumentation einer funktionierenden Konfiguration ist der perfekte Zeitpunkt, um einige wichtige Informationen zu sammeln. Wenn Sie einige spezifische Details zu Ihrem Netzwerk an einem Ort notiert haben, werden die Einrichtung und Aktivierung von m0n0wall viel schneller und es ist möglich, sich zurückzuziehen, wenn etwas schief geht.

Der ideale Ort, um diese Informationen zu sammeln, ist das Kit, das Ihnen Ihr ISP gesendet hat, als Sie sich für Ihre Netzwerkverbindung angemeldet haben. Glücklicherweise können Sie das meiste davon abrufen, indem Sie das Netzwerkkonfigurationsprogramm für einen Clientcomputer öffnen, der derzeit Zugriff auf das Internet hat:

Mac OS X Netzwerkeinstellungen
Abbildung 2a: Sammeln von Netzwerkeinstellungen von Client-Netzwerkdienstprogrammen.
Windows 2000-Netzwerkeinstellungen
Abbildung 2b: Sammeln von Netzwerkeinstellungen von Clientnetzwerkdienstprogrammen.

Die Informationen, die Sie sammeln möchten, sind:

Artikel Client-Feld Beispiel
WAN-IP-Adresse für m0n0wall-Gerät IP-Adresse (Mac)
IP-Adresse (Win2K)		 66.123.45.3
Subnetzmaske Subnetzmaske 255.255.255.248
WAN-Gateway Router (Mac)
Standard-Gateway (Win2K)		 66.123.45.1
DNS-Server DNS-Server (Mac)
Bevorzugter / alternativer DNS-Server		 66.123.45.2
66.123.45.9

Wenn Ihr ISP Ihnen mehr als eine IP-Adresse für Ihr Netzwerk gegeben hat, müssen Sie eine auswählen, die Sie m0n0wall geben möchten. Der Einfachheit halber empfehlen wir Ihnen, entweder die niedrigste oder die höchste IP-Adresse zu wählen, die einem Clientsystem zugewiesen ist (kein Server). Alle Ihre Desktop-Systeme erhalten neue, “interne” IP-Adressen, die automatisch von m0n0wall bereitgestellt werden.

Übersicht über die m0n0wall-Einrichtung

Die Einrichtung einer neuen m0n0wall-Appliance besteht aus den folgenden sieben Schritten:

  1. Hardware-Setup, einschließlich Netzwerkkabelverbindungen
  2. Starten und konfigurieren Sie die minimalen m0n0wall-Parameter über die m0n0wall-Konsolenschnittstelle
  3. Konfigurieren Sie ein Clientsystem für das neue Netzwerk und stellen Sie über die Webschnittstelle eine Verbindung zur m0n0wall-Appliance her
  4. Ändern Sie das Administratorkennwort
  5. Konfigurieren Sie m0n0wall
  6. Konfigurieren der LAN-Schnittstelle
  7. Konfigurieren der WAN-Schnittstelle

In den meisten Fällen müssen Sie einfach die grundlegenden Informationen, die Sie zuvor gesammelt haben, an die richtigen Stellen in m0n0wall einfügen. Keiner dieser Schritte ist kompliziert, und für viele Netzwerke können Sie die Standardeinstellungen akzeptieren, dh Sie müssen nur den Schritt deaktivieren.

Hardware-Setup

Wenn Sie m0n0wall auf der wunderbaren Embedded-Hardware von Soekris (entweder die net4501- oder net4801-Geräteserie) ausführen möchten, könnte die Einrichtung der Hardware nicht einfacher sein. Dies liegt daran, dass alle Netzwerkschnittstellen integriert sind und m0n0wall standardmäßig über sie Bescheid weiß.

Wenn Sie m0n0wall auf einem Standard-PC ausführen möchten, müssen Sie sicherstellen, dass genügend Netzwerkkarten (oder integrierte Schnittstellen) vorhanden sind, damit Sie die erforderlichen Kabel an das System anschließen können.

In beiden Fällen möchten Sie Ihr LAN (höchstwahrscheinlich über ein Ethernet-Kabel, das an einen Hub oder Switch angeschlossen ist) mit der ersten Netzwerkschnittstelle (Net0) und das WAN (wahrscheinlich ein Ethernet-Kabel, das an Ihr DSL- oder Kabelmodem oder Ihren Router angeschlossen ist) mit der zweiten Netzwerkschnittstelle (Net1) verbinden):

m0n0wall Geräteanschlüsse
Abbildung 3: Verbinden Sie Ihr m0n0wall-Gerät zwischen Ihrem Heimnetzwerk und Ihrem Internet-ISP-Gerät.

Bei Soekris-Geräten sind die Schnittstellen Net0 und Net1 RJ-45-Anschlüsse für 100-Mbit /s-Etherent und mit Net0 und Net1 gekennzeichnet. Wenn Sie Ihren eigenen PC mit mehreren Netzwerkschnittstellen einrichten, müssen Sie entscheiden, welche Schnittstelle welche ist (und es ist eine gute Idee, sie mit einem dieser Etikettenhersteller zu beschriften, damit Sie sich später daran erinnern können!).

Hinweis: falls dies nicht offensichtlich ist, sollten Ihre Desktop-Computer in Ihrem Heimnetzwerk über die übrigen Anschlüsse Ihres LAN-Ethernet-Hubs oder -Switches miteinander verbunden werden.

Der erste Start

Sobald Sie Ihr m0n0wall-System mit Ihrem Netzwerk verbunden haben, ist es Zeit, es einzuschalten. Sie werden auf jeden Fall die Protokollierung und Nachrichten sehen wollen, die von m0n0wall beim Booten an die Konsole gedruckt werden. Soekris-Systeme werden über ein serielles Kabel mit einem Terminal oder der seriellen Schnittstelle eines PCS verbunden. Ein normaler PC kann an einen Standardmonitor angeschlossen werden.

Wenn m0n0wall startet, werden viele Meldungen vorbeifliegen; meistens können Sie diese ignorieren und einfach warten, bis das m0n0wall-Konsolenmenü angezeigt wird (die anderen Meldungen können bei der Hardware-Fehlerbehebung hilfreich sein):

m0n0wall Konsolenmenü
Abbildung 4: Das m0n0wall Konsolenmenü nach dem ersten erfolgreichen Booten.

Abbildung 4 zeigt die m0n0wall-Konsole nach dem Booten mit der werkseitigen Standardkonfiguration. Wichtige Einstellungen werden angezeigt, z. B. die LAN-IP-Adresse und die aktuelle Belegung der Netzwerkschnittstellen. In dieser Konsole müssen Sie einige Erstkonfigurationseinstellungen bearbeiten, es sei denn, Ihre Hardware funktioniert ordnungsgemäß mit den m0n0wall-Standardeinstellungen (dies ist wahrscheinlich nur bei Soekris-Geräten der Fall).

Sie können auch die Konsole verwenden, um m0n0wall zurückzusetzen, falls Sie Änderungen über die WebGUI vornehmen, die es unmöglich machen, eine Verbindung zu m0n0wall über das Netzwerk herzustellen. Zuletzt können Sie m0n0wall neu starten, wenn Sie Änderungen an den Einstellungen vorgenommen haben, die einen Neustart erfordern.

Konsoleneinstellungen

Hinweis: Wenn Sie m0n0wall auf einem Soekris net45xx- oder net48xx-Embedded-Gerät ausführen, können Sie diesen Abschnitt überspringen, da die Standardeinstellungen von m0n0wall einwandfrei funktionieren sollten.

Mit der m0n0wall-Konsole können Sie m0n0wall die Grundlagen für die Verbindung mit Ihrem Netzwerk erklären. Sie müssen m0n0wall über Ihr Netzwerk informieren, bevor Sie die Webkonfigurationsoberfläche WebGUI verwenden können, da WebGUI vom Netzwerkzugriff abhängt. Mit anderen Worten, Sie können keine Verbindung zu m0n0wall über das Netzwerk herstellen, bis Sie es über Ihr Netzwerk informiert haben.

Die kritische Information ist die Zuweisung von Rollen zu den verschiedenen Netzwerkschnittstellen. Sie müssen m0n0wall mitteilen, welche Netzwerkschnittstelle mit Ihrem internen Netzwerk (LAN) und welche mit dem Internet (WAN) verbunden ist. Sie nehmen Änderungen an der Konfiguration vor, indem Sie die erste Option im Konsolenmenü “Schnittstellen: Netzwerkports zuweisen” auswählen”:

Netzwerkschnittstellen zuweisen
Abbildung 5: Zuweisen von Netzwerkports mit der m0n0wall-Konsole.

Wenn Sie Option 1 wählen, erhalten Sie zuerst eine Liste der Netzwerkschnittstellen, die m0n0wall gefunden hat, als es die Hardware initialisiert hat, auf der es läuft. Dies sind die Netzwerkschnittstellen, die es kennt, und dies sind die einzigen Schnittstellen, die Sie m0n0wall-Ports zuweisen können. (In Abbildung 5 ist interessant zu beachten, dass der WAN-Port standardmäßig der sis1-Schnittstelle zugewiesen wird, aber wenn die gültigen Schnittstellen aufgelistet sind, befindet sich keine sis1-Schnittstelle in der Liste!)

Geben Sie an jeder Eingabeaufforderung den Namen der Schnittstelle ein, die dem angeforderten Port zugewiesen werden soll. Sie geben nur den Kurznamen für die Schnittstelle ein, z. B. de0, sis0 usw. (die lange Zeichenfolge aus Zahlen und Buchstaben ist die Ethernet-MAC-Adresse und wird nur zu Informationszwecken aufgeführt).

Hinweis: die netzwerk interface namen-sis0, de1, etc. – werden vom Namen des “Treibers” für die Hardware der Schnittstelle abgeleitet. Es ist unwahrscheinlich, dass Ihre Netzwerkschnittstellen diese Namen haben. Möglicherweise müssen Sie einige fundierte Vermutungen anstellen, welche Schnittstelle welche ist. Schließen Sie einfach Ihre Ethernet-Kabel an, und wenn Sie im nächsten Abschnitt keine Verbindung zu WebGUI herstellen können, versuchen Sie, die Kabel auszutauschen.

Zugunsten von Soekris-Gerätebesitzern sind die Netzwerkschnittstellen beschriftet, jedoch nicht mit den Gerätenamen. Hier ist eine schnelle Zuordnung der Etiketten auf dem Gehäuse zu den Gerätenamen, die m0n0wall sieht:

  • Net0 -> sis0 (sollte mit dem LAN verbunden sein)
  • Net1 -> sis1 (sollte mit dem WAN verbunden sein)
  • Net2 -> sis2 (kann mit der DMZ verbunden sein, nicht in diesem Handbuch beschrieben)

Die andere Einstellung, die Sie möglicherweise ändern möchten, ist die LAN-IP-Adresse. Dies ist die IP-Adresse für das m0n0wall-System, wie sie in Ihrem internen Netzwerk angezeigt wird. Die Standardeinstellung ist die Verwendung einer speziellen IP-Adresse nur für die Verwendung in privaten Netzwerken. Wenn Sie NAT verwenden möchten, damit mehrere interne Systeme eine einzige “öffentliche” IP-Adresse gemeinsam nutzen können, sollte die Standard-LAN-IP-Adresse m0n0wall für Ihr Setup einwandfrei funktionieren.

In diesem Handbuch wird davon ausgegangen, dass Sie die Standardeinstellung in Ihrem Netzwerk verwenden. Kompliziertere Netzwerke und Konfigurationen werden in diesem Handbuch nicht behandelt; Es gibt jedoch eine Fülle von Informationen zu diesem Thema im Internet.

Nachdem Sie den Ports Netzwerkschnittstellen zugewiesen haben, müssen Sie m0n0wall neu starten. Wenn m0n0wall dies nicht für Sie anbietet, wählen Sie einfach Option 5, “System neu starten” aus dem Konsolenmenü. Nach dem Neustart von m0n0wall ist es an der Zeit, mindestens einen Clientcomputer im LAN neu zu konfigurieren, um m0n0wall kennenzulernen, und dann zur Webkonfigurationsoberfläche WebGUI zu wechseln.

Clientkonfiguration

Sobald m0n0wall für Ihr Netzwerk konfiguriert und neu gestartet wurde, um diese Konfiguration zu aktivieren, möchten Sie, dass die Systeme in Ihrem internen Netzwerk (LAN) über m0n0wall eine Verbindung zum Internet herstellen. Für die meisten Situationen könnte dies nicht einfacher sein. m0n0wall kann Netzwerkeinstellungen automatisch an alle Clients in Ihrem Netzwerk senden, wenn Ihre Client-Systeme gestartet werden. Sie müssen lediglich die Client-Systeme so konfigurieren, dass ihre Netzwerkeinstellungen über DHCP abgerufen werden:

Mac OS X Netzwerkkonfiguration
Abbildung 6a: Konfigurieren von Clientsystemen für den Empfang von Netzwerkeinstellungen von m0n0wall. Beispiel von Mac OS X 10.3.
Windows 2000-Netzwerkkonfiguration
Abbildung 6b: Konfigurieren von Clientsystemen zum Empfangen von Netzwerkeinstellungen von m0n0wall. Beispiel aus Windows 2000.

m0n0wall ist sehr flexibel bei der Arbeit mit LAN-Clients. Es gibt andere Konfigurationsmöglichkeiten, einschließlich statischer IP-Adressen, die auf der Clientseite konfiguriert werden, DHCP, das Clients basierend auf ihrer Ethernet-MAC-Adresse feste IP-Adressen zuweist, und andere. Es gibt oft gute Gründe, diese Konfigurationen zu wollen, aber für die meisten Heimnetzwerke ist es übertrieben. Dieses Handbuch behandelt diese komplexeren Konfigurationen nicht.

Einführung in die Webkonfigurationsanwendung (WebGUI)

In der Webkonfigurationsanwendung m0n0wall, WebGUI, werden die meisten Konfigurationsänderungen an m0n0wall vorgenommen. Die Webschnittstellen ermöglichen eine viel angenehmere Benutzererfahrung als der Versuch, alle verschiedenen in m0n0wall integrierten Funktionen über die Konsole zu konfigurieren. WebGUI ist sowohl einfach zu bedienen als auch angenehm anzusehen und bietet eine qualitativ hochwertige, professionell aussehende Oberfläche für m0n0wall.

Um eine Verbindung zur m0n0wall-WebGUI herzustellen, geben Sie in das Feld Standort Ihres Browsers die LAN-IP-Adresse ein, die in der m0n0wall-Konsole aufgeführt ist. Standardmäßig wäre dies http://192.168.1.1/ . Sie werden zur Eingabe eines Logins und eines Passworts aufgefordert. Das Login ist “admin” und das Standardpasswort ist “mono”. (Dies wird im nächsten Schritt geändert!)

Wenn Sie nach Eingabe der Authentifizierungsinformationen Ihr physisches Netzwerk, die m0n0wall-Konsoleneinstellungen und die Netzwerkeinstellungen Ihres Clients korrekt eingerichtet haben, sollte Ihnen der m0n0wall WebGUI-Begrüßungsbildschirm angezeigt werden:

m0n0wall Web UI
Abbildung 7: Die webbasierte Konfigurationsanwendung m0n0wall oder “WebGUI”.

Herzlichen Glückwunsch! Sie haben 80% der Arbeit getan, um m0n0wall einzurichten, um Ihr Netzwerk zu bedienen und zu schützen! Fast die ganze harte Arbeit liegt hinter dir.

Allgemeine Einrichtung

Sobald Sie in der WebGUI-Konfigurationsoberfläche angemeldet sind, können Sie die Einrichtung von m0n0wall für Ihr Netzwerk abschließen. Der erste Schritt besteht darin, das standardmäßige Administratorkennwort zu ändern, was im Bereich System / Allgemeines Setup erfolgt:

m0n0wall Allgemeine Einrichtung
Abbildung 8: Allgemeine Einstellungen für m0n0wall.

Geben Sie das neue Administratorkennwort in die Kennwortfelder in der Mitte des Fensters Allgemeine Einrichtung ein und klicken Sie unten auf die Schaltfläche Speichern. Mach dir noch keine Sorgen um die anderen Einstellungen, ändere einfach das Passwort. (Das Vergessen, Standardkennwörter zu ändern, ist die Sicherheitslücke Nummer eins in der Netzwerkinfrastruktur.) m0n0wall sollte melden, dass die Änderungen erfolgreich gespeichert wurden.

Nach dem Ändern des Administratorkennworts können die restlichen Optionen im Allgemeinen Setup-Bereich überprüft und aktualisiert werden. Die wichtigsten Einstellungen sind:

  • Domain, wenn Sie eine haben
  • DNS-Server (Ihre eigenen oder die von Ihrem ISP bereitgestellten)
  • Zeitzone (Wählen Sie eine Stadt in Ihrer Zeitzone; Wenn Sie Glück haben, wird Ihre eigene Stadt nicht auf der Liste stehen)

Wenn Sie m0n0wall jemals remote von einem öffentlichen Netzwerk aus verwalten, sollten Sie auch das WebGUI-Protokoll in HTTPS ändern. Wenn Sie dies tun, denken Sie daran, dass sich die URL für den Zugriff auf WebGUI in https://192.168.1.1/ ändert (wenn Sie die Standardadresse verwenden) — beachten Sie, dass die URL jetzt mit https und nicht mit http beginnt.

Wenn Sie auf die neue URL zugreifen, werden Sie möglicherweise von Ihrem Browser darauf hingewiesen, dass die Authentizität der Website nicht überprüft werden kann. Sie können diese Meldung beseitigen, indem Sie dem Server im Abschnitt WebGUI SSL-Zertifikat / Schlüssel des Fensters Diagnose / Erweiterte Einstellungen ein SSL-Zertifikat zuweisen. Dies geht über den Rahmen dieses Handbuchs hinaus. ]

Die anderen Einstellungen hier können nützlich sein, um sie zu ändern, aber wir werden sie in diesem Handbuch nicht behandeln.

Konfigurieren der LAN-Schnittstelle

Um die Einstellungen für die LAN-Schnittstelle zu konfigurieren oder zu überprüfen, gehen Sie zum Bedienfeld Schnittstellen / LAN:

m0n0wall Einrichtung der LAN-Schnittstelle
Abbildung 9: Konfigurieren der LAN-Schnittstelle.

Mit den Einstellungen hier können Sie den Bereich der IP-Adressen konfigurieren, die in Ihrem internen Netzwerk verwendet werden können. Wenn Sie ein relativ kleines Netzwerk haben (weniger als 200 Systeme) und NAT verwenden möchten, um sie mit dem Internet zu verbinden, gibt es keinen guten Grund, Änderungen an den Standardeinstellungen von m0n0wall für die LAN-Schnittstelle vorzunehmen.

Wenn Ihr internes Netzwerk groß ist und Sie daher einen größeren Bereich von IP-Adressen benötigen, können Sie diese Änderung hier vornehmen. Geben Sie die IP-Adresse für m0n0wall in Ihrem internen Netzwerk ein und geben Sie dann im Popup-Menü im CIDR-Stil an, wie groß das Netzwerk sein soll. Wenn Ihr Netzwerk größer als 200 Systeme ist, können Sie auch hier alles eingeben und 10.0.0.1 / 8 eingeben, um Ihrem internen Netzwerk einen sehr großen Bereich von IP-Adressen zuzuweisen.

Während die Anzahl der Einstellungsfelder in diesem Bereich gering ist, sind die Möglichkeiten und die Gründe für Änderungen an den Standardeinstellungen recht groß. Wenn Ihre Anforderungen durch die Standardeinstellungen hier nicht erfüllt werden, benötigen Sie wahrscheinlich eine viel größere Netzwerkreferenz als dieses Handbuch. ]

Konfigurieren der WAN-Schnittstelle

Der letzte Schritt zur erstmaligen Einrichtung von m0n0wall ist die Konfiguration der WAN-Schnittstelle. Dies geschieht über das Bedienfeld Schnittstellen / WAN-Einstellungen:

m0n0wall WAN-Schnittstellenkonfiguration
Abbildung 10: Konfigurieren der WAN-Schnittstelle für DHCP.

Die Einstellungen hier teilen m0n0wall mit, wie Sie sich mit dem externen Netzwerk verbinden, normalerweise mit der Verbindung Ihres ISP zum Internet. Es gibt verschiedene Möglichkeiten, wie externe Netzwerke Verbindungen zulassen, weshalb dieses Einstellungsfeld so kompliziert aussieht. Keine Sorge, Sie müssen nicht alles ausfüllen!

Zuerst müssen Sie m0n0wall mitteilen, welche Art von Verbindung hergestellt werden soll. Es gibt vier verschiedene Arten von WAN-Schnittstellen, die über das Popup-Menü Typ eingestellt werden. Welchen Typ Sie wählen, hängt davon ab, mit welcher Art von Netzwerk Sie eine Verbindung herstellen. Die ersten drei Optionen (DHCP, Statisch und PPPoE) werden am häufigsten verwendet, um über einen ISP eine Verbindung zum Internet herzustellen. Die letzte Option (PPTP) wird häufig verwendet, um eine Verbindung zu privaten Netzwerken herzustellen, d. H. Um ein Satellitenbüro mit dem Hauptfirmennetzwerk zu verbinden. PPTP wird hier nicht diskutiert.

Für jeden Verbindungstyp gibt es weiter unten im Bedienfeld einen Abschnitt, in dem Sie die Details der Verbindung eingeben können. Sie müssen nur die Details für die Art der Verbindung eingeben, die Sie gewählt haben. Alle anderen Informationen können und sollten leer gelassen werden. Dies bedeutet, dass das Einstellungsfeld für die WAN-Schnittstelle viel einfacher ist, als es aussieht.

DHCP-WAN-Schnittstelle

So wie m0n0wall DHCP verwenden kann, um Netzwerkeinstellungen an Ihre Clientsysteme zu verteilen, kann Ihr Internetdienstanbieter DHCP verwenden, um Netzwerkeinstellungen bereitzustellen, die m0n0wall für sich selbst verwenden kann. Wenn das Netzwerk Ihres Internetdienstanbieters DHCP bereitstellt, ist dies bei weitem der einfachste Weg. Da dies die Standardeinstellung ist, funktioniert Ihre Netzwerkverbindung möglicherweise bereits! (Fahren Sie fort und testen Sie, wie unter Testen der Netzwerkverbindung unten beschrieben.)

Die einzige Einstellung, die Sie möglicherweise für eine DHCP-Verbindung angeben müssen, ist der Hostname im Abschnitt DHCP-Client-Konfiguration des Bedienfelds. Ihr ISP muss Ihnen sagen, was, wenn überhaupt, in diesem Bereich zu setzen. Wenn Ihre Verbindung jedoch bereits funktioniert, können Sie sie leer lassen.

Nachdem Sie die entsprechenden Informationen in den Abschnitt DHCP-WAN-Schnittstelle eingegeben haben, klicken Sie unten im Bedienfeld auf die Schaltfläche Speichern.

Statische WAN-Schnittstelle

Wenn Sie von Ihrem ISP eine feste IP-Adresse erhalten haben (im Gegensatz zu einer dynamischen IP-Adresse, die sich regelmäßig ändert), sollten Sie eine statische WAN-Schnittstelle konfigurieren. Dies ist in der Regel der Fall, wenn Sie eine “Business-Class-Verbindung” -Servicevereinbarung mit Ihrem ISP haben, die es Ihnen unter anderem ermöglicht, Ihre eigenen Server zu betreiben, ohne die Nutzungsbedingungen Ihres ISP zu verletzen. Aber es gibt eine Vielzahl von Gründen, warum Sie eine feste oder statische IP-Adresse, die Sie von Ihrem ISP gegeben haben könnte. In jedem Fall, wenn sie Ihnen eine IP-Adresse und eine Netzmaske zur Verwendung in Ihren Netzwerkeinstellungen gegeben haben, ist dies der richtige Weg.

Das Konfigurieren einer statischen WAN-Schnittstelle ist nicht viel schwieriger als das Konfigurieren einer DHCP-WAN-Schnittstelle, wenn Sie die erforderlichen Informationen wie am Anfang dieses Dokuments beschrieben gesammelt haben. Sie benötigen die folgenden Details:

  • m0n0wall IP adresse
  • Netzwerk gateway IP adresse
  • Netzwerk netzmaske

Geben sie die m0n0wall IP adresse in die IP adresse feld, und die netzwerk gateway IP adresse in die Gateway feld.

Die Netzmaske ist etwas knifflig. Die meisten ISPs und Desktop-Betriebssysteme zeigen die Netzmaske als eine Reihe von vier Zahlen an, die durch Punkte getrennt sind (sehr ähnlich einer IP-Adresse), z. B. 255.255.255.248. m0n0wall verwendet die Notation im CIDR-Stil, bei der es sich um einen Schrägstrich (“/”) und eine Zahl zwischen 1 und 31 handelt. Sie geben es über das Popup-Menü nach dem Feld IP-Adresse ein.

Die Unterschiede oder die Umrechnungsformel zu erklären ist komplizierter als es sich lohnt. Hier ist eine Übersetzungstabelle, die Sie verwenden können, um von den wahrscheinlichsten Netzmasken im traditionellen Stil in Netzmasken im CIDR-Stil zu konvertieren:

Traditional Netmask CIDR Netmask
255.255.255.254 31
255.255.255.252 30
255.255.255.248 29
255.255.255.240 28
255.255.255.224 27
255.255.255.0 24
255.255.0.0 16

Nachdem Sie die entsprechenden Informationen in den Abschnitt Statische WAN-Schnittstelle eingegeben haben, klicken Sie unten im Bedienfeld auf die Schaltfläche Speichern.

PPPoE-WAN-Schnittstelle

PPP war die Standardmethode für die Verbindung zum Internet über eine DFÜ-Verbindung mit einem normalen Modem und einer Telefonleitung. PPPoE ist eine Möglichkeit, PPP über Ethernet anstelle einer Telefonleitung durchzuführen.

Das klingt zwar kompliziert, aber die gute Nachricht ist, dass PPPoE nach DHCP der am zweiteinfachsten zu konfigurierende WAN-Schnittstellentyp ist. Sie müssen nur Ihren PPPoE-Benutzernamen und Ihr Kennwort in den Abschnitt PPPoE-Konfiguration des Einstellungsfelds für die WAN-Schnittstelle eingeben.

Möglicherweise benötigen Sie auch den Dienstnamen in demselben Abschnitt, aber wie die m0n0wall-Schnittstelle vorschlägt, können Sie ihn wahrscheinlich überspringen. Wenn dies nicht funktioniert, suchen Sie danach in den Informationen, die Ihnen Ihr ISP usw. gesendet hat.

Nachdem Sie die entsprechenden Informationen in den Abschnitt PPPoE-WAN-Schnittstelle eingegeben haben, klicken Sie unten im Bedienfeld auf die Schaltfläche Speichern.

Testen der Netzwerkverbindung

Sobald Sie die erforderlichen Einstellungen wie oben beschrieben vorgenommen haben, können Sie Ihre Netzwerkverbindung testen. Der einfachste Weg, dies zu tun, besteht darin, eine öffentliche Website mit demselben Webbrowser zu besuchen, mit dem Sie gerade m0n0wall konfiguriert haben. Versuchen yahoo.com, google.com, oder itunes.com für den Anfang. Wenn eine der Sites geladen wird, funktioniert Ihre m0n0wall-Konfiguration wahrscheinlich einwandfrei. Herzlichen Glückwunsch!

Möglicherweise möchten Sie neben Webverbindungen auch andere Arten von Netzwerkverbindungen testen, da sich einige Netzwerkprotokolle anders verhalten als das HTTP-Protokoll, das dem Web zugrunde liegt.

Ein Beispiel, das eine Überprüfung verdient, ist FTP, das definitiv korrekt konfiguriert werden muss, um hinter m0n0wall zu funktionieren. Standardmäßig unterstützt m0n0wall nur “passives” FTP, und “aktives” FTP schlägt wahrscheinlich fehl. (Der Unterschied zwischen aktivem und passivem FTP ist kompliziert.) Möglicherweise müssen Sie Konfigurationsänderungen an Ihrem System oder Ihren Dateiübertragungstools vornehmen:

Mac OS X Passiver Modus
Abbildung 11a: Beispiele für die Konfiguration von Clientsystemen und -anwendungen für die Verwendung von passivem (“PASV”) FTP.
App für passiven Modus konfigurieren
Abbildung 11b: Beispiele für die Konfiguration von Clientsystemen und -anwendungen für die Verwendung von passivem (“PASV”) FTP.
Windows 2000 Passiver Modus
Abbildung 11c: Beispiele für die Konfiguration von Clientsystemen und -anwendungen für die Verwendung von passivem (“PASV”) FTP.

Andere Anwendungen, die Sie zu diesem Zeitpunkt möglicherweise testen möchten, sind Streaming Media Player. Gehen Sie zu QuickTime.com und schau dir einige Filmtrailer an. Gehe zu NPR.org und hören Sie sich Neuigkeiten oder die neueste Folge von Fresh Air an. Verwenden Sie iTunes, um einige Musikbeispiele aus dem iTunes Music Store anzuhören.

Testen der Firewall

Das effektive und vollständige Testen einer Firewall geht weit über den Rahmen dieses Handbuchs hinaus. Sie können jedoch das ShieldsUP der Gibson Research Corporation nutzen! service zum schnellen Testen Ihres neuen m0n0wall Gateways. Obwohl dies kein Ersatz für eine professionelle Bewertung der Sicherheit Ihres Netzwerks ist, ist es eine großartige Möglichkeit, einige der einfacher zu steckenden Lücken zu identifizieren, die Sie möglicherweise übersehen haben.

Fehlerbehebung

]

Leave a Reply