Die Comodo Firewall und OpenVPN

In dieser Anleitung zeigen wir dir, wie du OpenVPN mit der Comodo Firewall gegen sog. Leaks (offenlegungen) deiner richtigen IP-Adresse absicherst. Es sollte nicht schaden, wenn du dir die Comodo Firewall einmal herunterlädst und die verschiedenen Funktionen Schritt für Schritt kennenlernst, bevor du dich an die Anleitung wagst. Mit einer Desktopfirewall kann man zwar viel gutes machen, aber ebensoviel schlechtes was deiner Sicherheit im Weltnetz schaden kann.

Diese Methode mit der Comodo Firewall unterscheidet sich von den anderen in dem Punkt, dass man die handvoll Regeln nur ein einziges Mal global erstellt und nicht für jedes Programm immer neue Regeln erstellen muss! Das dient der Übersicht und macht viel weniger Arbeit!

Firewall grob einrichten

Die Firewall kann unterschiedlich eingerichtet werden. Ich bevorzuge die manuelle Methode, unter Comodo "Eigene Richtlinie" bzw. "Custom Ruleset", d.h. jedes Programm was ins Weltnetz möchte muss man selbst zulassen. Das ist am Anfang vielleicht etwas Arbeit, wird aber später immer weniger Aufwand und es hat den Vorteil, dass man sich mit den ganzen Windowsdiensten die vorher im Hintergrund ins Netz gekrochen sind beschäftigen muss, um zu wissen was man zulassen darf und was nicht.

Im Hauptfenster findest du rechts oben einen Pfeil, der dich zu den "Aufgaben" führt.

Dort ganz unten klickst du auf den Reiter "Erweiterte Einstellungen" und "Erweiterte Einstellungen öffnen".

Dort wählst du in der Kategorie "Einstellungen zur Sicherheit" "Firewall" aus, wo du in den Firewalleinstellungen ganz oben den Modus auswählen kannst. Hier wählst du "Eigene Richtlinie" aus. Den Modus kannst du auch mit einem Rechtsklick auf das Comodo Trayicon unter "Firewall" wechseln.

Die grobe Einrichtung ist nun abgeschlossen.

Regeln und Zonen einrichten

In den "Firewall-Einstellungen" findest du das Herzstück der Firewall. Hier kannst du Regeln für Anwendungen erstellen oder bearbeiten, globale Regeln einrichten, die höhere Priorität als die Anwendungsregeln haben oder vordefinierte Richtlinien erstellen, um nicht immer dieselben Regeln neu erstellen zu müssen. Der Rest dürfte auch selbsterklärend sein.

Wichtig zu wissen ist, dass bei den Regeln immer von unten nach oben gearbeitet wird, d.h. verbietet man in einer Regel das gesamte Internetprotokoll (IP), so kann man mit einer Regel die sich darüber befindet einzelne Protokolle, Ports etc. wieder freischalten.

Fangen wir nun mit der eigentlichen Arbeit an:

Wir erstellen eine neue Netzwerkzone im entsprechenden Reiter, indem wir den winzigen Pfeil unten anklicken und "Hinzufügen" auswählen. Dies ist nötig, wenn sich die lokale IP, die man vom häuslichen Router zugewiesen bekommt, ändern kann. In meinem Netzwerk hat der Router die IP 192.168.178.1 und alle Clients die an den Router angeschlossen werden bekommen via DHCP automatisch eine IP von 192.168.178.20-200 zugewiesen. In der Netzwerkzone tragen wir also in meinem Fall die IP-Range "192.168.178.20 - 192.168.178.200" ein. Als Namen habe ich "Heimnetz Computer" gewählt.

Da Perfect Privacy nun auch unterschiedliche Remoteports (das sind die Ports vom Server) anbietet, erstellen wir nun eine Portgruppe unter dem Reiter "Port-Gruppen" mit dem Namen "Perfect Privacy OpenVPN". Hier tragen wir nun nacheinander folgende Ports ein: 1149, 149, 1150, 150, 1151 und 151.

Nun erstellen wir die globalen Regeln (Richtlinien) die immer gleich bleiben und nicht angepasst werden müssen.

  1. Blockieren, IP Ein von MAC Beliebig nach MAC Beliebig über Protokoll Beliebig
  2. Blockieren, IP Aus von [Heimnetz Rechner] nach MAC beliebig über Protokoll Beliebig
  3. Zulassen, TCP Aus von [Heimnetz Rechner] nach IP 192.168.178.1 falls der Quellport Beliebig und der Zielport Beliebig ist
  4. Zulassen, UDP Aus von [Heimnetz Rechner] nach MAC Beliebig falls der Quellport Beliebig und der Zielport 53 ist
  5. Zulassen UDP Aus von [Heimnetz Rechner] nach MAC beliebig falls der Quellport Beliebig und der Zielport [PP OpenVPN] ist

Zu 1: unangefragte IP-Pakete werden normalerweise von deinem Rechner nicht benötigt und können somit direkt blockiert/verworfen werden. Solltest du diese trotzdem benötigen, erstelle diese Regel nicht.

Zu 2: Hiermit wird jeglicher Netzwerkverkehr über das Weltnetzprotokoll in das Netz blockiert.

Zu 3: Wird benötigt, damit du noch über den Netzbetrachter auf deinen Router zugreifen kannst. Bei einer abweichenden Router-IP natürlich abändern...

Zu 4: Hierbei werden die DNS-Anfragen, die standardmäßig über den Port 53 laufen, zugelassen. Die VPN-Hostnamen wie zB de3.gigabit.perfect-privacy.com müssen ja in IP-Adressen aufgelöst werden, sofern diese nicht durch die IPs in den Config-Dateien ersetzt wurden.

Zu 5: Hiermit wird der UDP-Traffic zum VPN-Server über die verschiedenen in der Port-Gruppe definierten Ports zugelassen.

Wir bestätigen die Regeln mit OK.

Test

Die Firewall ist nun komplett eingerichtet. Anwendungen wie Firefox oder Windowsdienste müssen natürlich noch im Pop-Up-Fenster zugelassen werden. Diese kann man dann im Pop-Up auswählen und die Firewall sich diese merken lassen.

Was jetzt noch fehlt ist der Test, ob alles funktioniert. Hierfür verbinden wir uns mit einem VPN-Server von Perfect Privacy. Sollte das geklappt haben, disconnecten wir uns vom Server und versuchen im Firefox eine Weltnetzseite aufzurufen. Sollte das nicht funktionieren, so ist unsere Firewall erfolgreich eingerichtet.