?>

Tag: Juniper

WireGuard mit Web-GUI auf Debian installieren

Im letzten Jahr habe ich zahlreiche Firewalls getestet. Von Juniper SRX300, Opnsense zu pFSense, es war alles dabei. Getestet auf virtuellen Maschinen auf meinem Proxmox-System oder auf einem dediziertem Server. Aber nichts brachte den gewünschten Datendurchsatz. Wenn man das aber mit der Rechnerleistung in den Griff bekommt, kann ich Opnsense sehr empfehlen.
Wer aber mehr „Dampf“ benötigt, kommt um etwas ordentliches nicht herum. So bin ich letztendlich bei einer Fortigate 60f von Fortinet gelandet. Mit dem Gerät habe ich auch im WAN den optimalen Datendurchsatz für meine Gigabit-Anbindung trotz der ganzen Detections und Rules.

Was mir aber nicht gefallen hat, war die VPN Option für Clients. Sicher bietet das Gerät die einfache Verbindung mit einem Forticlient VPN an, das sprach mich aber nicht an. Sicher, für einen guten IPSec-Tunnel zu einem anderen Standort, ist das Teil optimal, für ein Client-VPN, eher nicht.

Also bin ich wieder zurück zum WireGuard Server. Den habe ich in den letzten Monaten immer mal wieder mit OpenVPN verglichen, er gefällt mir aber irgendwie besser. Daher habe ich einen Debian-Container auf meinem Proxmox fertig gemacht um den dann nur für WireGuard zu verwenden.

Wichtig, solltet ihr eine externe Firewall verwenden, muss der Port nicht nur auf dem Container/Server freigeschaltet werden sondern auch auf der Firewall! Wie das geht, lest ihr am besten passend zu eurer Firewall im Netz nach.

Für die Konfiguration habe ich mich an dieses Tutorial gehalten.

Das ganze klappte reibungslos und ist an sich, selbsterklärend.


Portforwarding (DNAT) auf einer Juniper SRX Firewall an einem DSL Anschluß mit dynamischer IP

Diese Anleitung ist absolut Quick&Dirty. Ich habe so lange gesucht bis ich verstanden hatte, wie es geht und es dann auch zum Laufen zu bringen. Aber wenn man sich grob an diese Liste hält, sollte es hinkommen.
Wenn ich Zeit finde, werde ich die Schritte nochmal einzeln erklären


Steps:

Network->NAT->Destination NAT
Rule-Set erstellen. From Zone „Internal“

Bei Destination Address „0.0.0.0/0“ eingeben. Das sagt, dass jede IP aus jedem Subnetz erlaubt ist. Hier auch dringend den Port eingeben um den es geht.

Dann einen Destinatination NAT Pool erstellen in dem man auf das „+“ klickt.

Dann zu „Security Policies & Objects -> Services“ und eine neue Aplikation erstellen

Dann zu „Security Policies & Objects -> Zone Addresses“ und die Zielsysteme einstellen:

Dann zu „Security Policies & Objects -> Security Policy“
Dort eine neue Internet to Internal Regel erstellen:

Dann die Zielsysteme und Applikationen einstellen.


  • QR Code

  • September 2023
    M D M D F S S
     123
    45678910
    11121314151617
    18192021222324
    252627282930  
  • Seiten

  • Copyright © 1996-2010 Pascal Mielke. All rights reserved.
    Jarrah theme by Templates Next | Powered by WordPress