• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

`Boosted Firewall` with tls-auth // 101 Berlin

im_Flug

Newbie
Thema: `Boosted Firewall` mit tls-auth // Berlin
Bereich:Netzwerktechnik
Netzwerktechnik
Stadt: Berlin, innerhalb des Rings

dies ist eine Aufgabe auf semiprofessionellem Niveau, und ich bin gerne bereit, jemanden zu bezahlen, der sie mit mir im Mentor-Schüler-Konzept ausarbeitet. Um mir von Angesicht zu Angesicht und in der Praxis zu zeigen, wie man so eine Verbindung erfolgreich aufbaut.


=================
#1
Was ich habe:
* kleines Heimnetzwerk
* Linux Debian-ähnliches System
* Asus Router mit aktueller Merlin Firmawe
* NordVPN (OpenVPN) Client-Konto auf dem Router.
* öffentliche dynamische IP

=================
#2
Was ich will:
Dies ist eigentlich eine `Boosted Firewall`
* um einen OpenVPN-Server auf dem Router einzurichten
* mit tls-auth-Authentifizierung
* selbstsigniert von seiner eigenen internen Zertifizierungsstelle (CA),
* der auf den NordVPN-Client umleitet (mein tls-tunnel-server arbeitet mit dem VPN-Client)

=================
#3
externer Zugriff:
* ich habe keine lokale Datenbank, auf die ich von außen zugreifen muss.
* das Ziel ist nur, mein netzwerk so einzurichten, dass ein unbefugter zugriff von außen auf meinen rechner (und andere) so schwierig wie möglich ist,

eine der Beschreibungen einer solchen Lösung ist hier:
https://www.linuxquestions.org/questions/linux-security-4/minihowto-using-openvpn-to-build-a-dwarvish-door-4175582819/.

-> es ist in der Tat `boosted firewall`

=================
Kontakt : accessing101@protonmail.ch


Vielen Dank!
 
im_Flug schrieb:
#2
Was ich will:
Dies ist eigentlich eine `Boosted Firewall`
"Boosted Firewall" ist mir unbekannt.

im_Flug schrieb:
* mit tls-auth-Authentifizierung, selbstsigniert von seiner eigenen internen Zertifizierungsstelle (CA),
Was du willst ist ein
a.) SERVER Zertifikat, zertifiziert und signiert von einem
b.) Root Zertifikat (CRT), das erstellt wurde von DEINER
c.) Certificate Root Authority. (CA)
Eine ziemlich einfache Angelegenheit, da braucht es kein mentoring.

im_Flug schrieb:
* der auf den NordVPN-Client umleitet (mein tls-tunnel-server arbeitet mit dem VPN-Client)
Hier wird nichts "umgeleitet"
Der VPN-Client existiert bereits mit einem virtuellen device, das den default route schon mit niedrigster metric vorgibt.
D.h, alle streams vom und zum VPN-Server laufen alle über: local > kernel (route) > TUN > VPN-Client > eth1 > NordVPN.
Was du hier brauchst ist NAT und ein paar filter Regeln.
Schon funktioniert das wie gewünscht.
 
Oben