OPNsense/OpenVPN: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „OPNsense:“ durch „OPNsense/“
K Textersetzung - „  “ durch „ “
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Server ==
== Clients ==
== Client-spezifische Konfiguration ==
== Clientexport ==
== Verbindungsstatus ==
== Protokolldatei ==


OpenVPN
= TMP =
  Server
== Installation und Konfiguration des OpenVPN-Servers ==
  Clients
=== Grundinstallation ===
  Client-spezifische Konfiguration
* Mithilfe des OpenVPN-Servers können Sie z. B. als Administrator von außen auf das interne Netzwerk zugreifen.
  Clientexport
  Verbindungsstatus
  Protokolldatei
  WireGuard
  Dienste
  Energie
  Hilfe
 
= Installation und Konfiguration des OpenVPN-Servers =
== Grundinstallation ==
* Mithilfe des OpenVPN-Servers können Sie z. B. als Administrator von außen auf das interne Netzwerk zugreifen.
* Für die Einrichtung des OpenVPN-Servers steht ein Wizard zur Verfügung, der auch die notwendigen Firewall-Einstellungen hinterlegt:
* Für die Einrichtung des OpenVPN-Servers steht ein Wizard zur Verfügung, der auch die notwendigen Firewall-Einstellungen hinterlegt:


{| style="border-spacing:0;width:17cm;"
{| style="border-spacing:0;width:17cm;"
|- style="border:none;padding:0.049cm;"
|- style="border:none;padding:0.049cm;"
|| VPN / OpenVPN / Servers → Use a wizard to to setup a new server* Type of Server: Local User Access  
|| VPN / OpenVPN / Servers → Use a wizard to to setup a new server* Type of Server: Local User Access
* Certificate Authority → Add new CA  
* Certificate Authority → Add new CA
** Descripive Name: z. B. schulnetz.intra-ca  
** Descripive Name: z. B. schulnetz.intra-ca
** Country Code: z. B. DE  
** Country Code: z. B. DE
** entsprechende Einträge für: State or Province, City, Organization, und Email→ Add new CA  
** entsprechende Einträge für: State or Province, City, Organization, und Email→ Add new CA
* Choose a Server Certificate → Add new Certificate  
* Choose a Server Certificate → Add new Certificate
** Descriptive name: z. B. schulnetz.intra  
** Descriptive name: z. B. schulnetz.intra
** Country Code: z. B. DE  
** Country Code: z. B. DE
** entsprechende Einträge für: State or Province, City, Organization, und Email→ Button: Add Certificate  
** entsprechende Einträge für: State or Province, City, Organization, und Email→ Button: Add Certificate
* General OpenVPN Server Information  
* General OpenVPN Server Information
** Interface: WAN  
** Interface: WAN
** Protocol: UDP  
** Protocol: UDP
** Local Port: 1194  
** Local Port: 1194
* Tunnel Settings  
* Tunnel Settings
** IPv4 Tunnel Network: 10.0.8.0/24 (ein anderes Netz als Ihr Schulnetz)  
** IPv4 Tunnel Network: 10.0.8.0/24 (ein anderes Netz als Ihr Schulnetz)
** IPv4 Local Network: z. B. 10.1.0.0/20,10.1.100.0/24,10.1.254.0/24 (für Administratoren alle drei internen Subnetze - bei Bedarf ggf. anpassen)  
** IPv4 Local Network: z. B. 10.1.0.0/20,10.1.100.0/24,10.1.254.0/24 (für Administratoren alle drei internen Subnetze - bei Bedarf ggf. anpassen)
* Traffic from clients to server  
* Traffic from clients to server
** Haken bei Firewall Rule  
** Haken bei Firewall Rule
* Traffic from clients through VPN  
* Traffic from clients through VPN
** Haken bei OpenVPN Rule  
** Haken bei OpenVPN Rule
|-
|-
|}
|}


== Anlegen einer VPN-Gruppe ==
=== Anlegen einer VPN-Gruppe ===
Durch Anlage einer Gruppe für den VPN-Zugriff, kann man folgende Festlegungen tätigen:
Durch Anlage einer Gruppe für den VPN-Zugriff, kann man folgende Festlegungen tätigen:
* Berechtigung für die VPN-Einwahl nur für Mitglieder der Gruppe  
* Berechtigung für die VPN-Einwahl nur für Mitglieder der Gruppe
* Beschränkung der OPNsense-Web-Oberfläche für die Gruppenmitglieder, sodass zugehörige Benutzer lediglich ihr eigenes Passwort ändern können  
* Beschränkung der OPNsense-Web-Oberfläche für die Gruppenmitglieder, sodass zugehörige Benutzer lediglich ihr eigenes Passwort ändern können


{| style="border-spacing:0;width:16.279cm;"
{| style="border-spacing:0;width:16.279cm;"
|- style="border:none;padding:0.049cm;"
|- style="border:none;padding:0.049cm;"
|| System / Access / Groups → Add* Group name: openvpnusers → Save  
|| System / Access / Groups → Add* Group name: openvpnusers → Save
* Gruppe openvpnusers erneut bearbeiten  
* Gruppe openvpnusers erneut bearbeiten
** Assigned Privileges → Add: Haken bei GUI System: User Password Manager  
** Assigned Privileges → Add: Haken bei GUI System: User Password Manager
|-
|-
|}
|}


== Anlegen von VPN-Benutzern ==
=== Anlegen von VPN-Benutzern ===
{| style="border-spacing:0;width:17cm;"
{| style="border-spacing:0;width:17cm;"
|- style="border:none;padding:0.049cm;"
|- style="border:none;padding:0.049cm;"
|| System / Access / Users → Add* Username: <gewünschter Benutzername>  
|| System / Access / Users → Add* Username: <gewünschter Benutzername>
* Password: <gewünschtes Passwort>  
* Password: <gewünschtes Passwort>
* Full Name: <Vollständiger Name>  
* Full Name: <Vollständiger Name>
* Group membership: openvpnusers  
* Group membership: openvpnusers
* Certificate: Haken bei: Click to create a user certificate → Save  
* Certificate: Haken bei: Click to create a user certificate → Save
** Method: Create an internal Certificate  
** Method: Create an internal Certificate
** Descriptive name: <geben Sie hier den gleichen Namen an wie oben bei Username>  
** Descriptive name: <geben Sie hier den gleichen Namen an wie oben bei Username>
** Certificate authority: <geben Sie hier die gleiche Zertifizierungsstelle an wie bei der Einrichtung des OpenVPN-Servers - z. B. schulnetz.intra>  
** Certificate authority: <geben Sie hier die gleiche Zertifizierungsstelle an wie bei der Einrichtung des OpenVPN-Servers - z.&nbsp;B.&nbsp;schulnetz.intra>
|-
|-
|}
|}


== Export der VPN-Zugangsdaten für angelegte User ==
=== Export der VPN-Zugangsdaten für angelegte User ===
{| style="border-spacing:0;width:17cm;"
{| style="border-spacing:0;width:17cm;"
|- style="border:none;padding:0.049cm;"
|- style="border:none;padding:0.049cm;"
|| VPN / OpenVPN / Client Export* Hostname: IP oder Dyndns-Adresse  
|| VPN / OpenVPN / Client Export* Hostname: IP oder Dyndns-Adresse
* Haken bei Use random local Port, damit sich mehrere Clients gleichzeitig verbinden können  
* Haken bei Use random local Port, damit sich mehrere Clients gleichzeitig verbinden können
|-
|-
|}
|}
Zeile 79: Zeile 74:
Unterhalb der Einstellungsmöglichkeiten können für angelegte Benutzer deren individuellen Zugangsdaten heruntergeladen werden. Ggf. wählen Sie hierzu bei Export Type eine passende Downloadmöglichkeit.
Unterhalb der Einstellungsmöglichkeiten können für angelegte Benutzer deren individuellen Zugangsdaten heruntergeladen werden. Ggf. wählen Sie hierzu bei Export Type eine passende Downloadmöglichkeit.


== Client-Installationsdateien und Konfigurationsdateien ausgeben ==
=== Client-Installationsdateien und Konfigurationsdateien ausgeben ===
Nach Anlage eines VPN-Users können Sie diesem für sein System (z. B. Windows, Mac, ...) personalisierte Dateien für Installation und Konfiguration des OpenVPN-Clients aushändigen:
Nach Anlage eines VPN-Users können Sie diesem für sein System (z.&nbsp;B.&nbsp;Windows, Mac, ...) personalisierte Dateien für Installation und Konfiguration des OpenVPN-Clients aushändigen:


{| style="border-spacing:0;width:10.659cm;"
{| style="border-spacing:0;width:10.659cm;"
Zeile 90: Zeile 85:


[[Kategorie:OPNsense/VPN]]
[[Kategorie:OPNsense/VPN]]
[[Kategorie:OpenVPN]]

Aktuelle Version vom 28. Mai 2023, 08:46 Uhr

Server

Clients

Client-spezifische Konfiguration

Clientexport

Verbindungsstatus

Protokolldatei

TMP

Installation und Konfiguration des OpenVPN-Servers

Grundinstallation

  • Mithilfe des OpenVPN-Servers können Sie z. B. als Administrator von außen auf das interne Netzwerk zugreifen.
  • Für die Einrichtung des OpenVPN-Servers steht ein Wizard zur Verfügung, der auch die notwendigen Firewall-Einstellungen hinterlegt:
VPN / OpenVPN / Servers → Use a wizard to to setup a new server* Type of Server: Local User Access
  • Certificate Authority → Add new CA
    • Descripive Name: z. B. schulnetz.intra-ca
    • Country Code: z. B. DE
    • entsprechende Einträge für: State or Province, City, Organization, und Email→ Add new CA
  • Choose a Server Certificate → Add new Certificate
    • Descriptive name: z. B. schulnetz.intra
    • Country Code: z. B. DE
    • entsprechende Einträge für: State or Province, City, Organization, und Email→ Button: Add Certificate
  • General OpenVPN Server Information
    • Interface: WAN
    • Protocol: UDP
    • Local Port: 1194
  • Tunnel Settings
    • IPv4 Tunnel Network: 10.0.8.0/24 (ein anderes Netz als Ihr Schulnetz)
    • IPv4 Local Network: z. B. 10.1.0.0/20,10.1.100.0/24,10.1.254.0/24 (für Administratoren alle drei internen Subnetze - bei Bedarf ggf. anpassen)
  • Traffic from clients to server
    • Haken bei Firewall Rule
  • Traffic from clients through VPN
    • Haken bei OpenVPN Rule

Anlegen einer VPN-Gruppe

Durch Anlage einer Gruppe für den VPN-Zugriff, kann man folgende Festlegungen tätigen:

  • Berechtigung für die VPN-Einwahl nur für Mitglieder der Gruppe
  • Beschränkung der OPNsense-Web-Oberfläche für die Gruppenmitglieder, sodass zugehörige Benutzer lediglich ihr eigenes Passwort ändern können
System / Access / Groups → Add* Group name: openvpnusers → Save
  • Gruppe openvpnusers erneut bearbeiten
    • Assigned Privileges → Add: Haken bei GUI System: User Password Manager

Anlegen von VPN-Benutzern

System / Access / Users → Add* Username: <gewünschter Benutzername>
  • Password: <gewünschtes Passwort>
  • Full Name: <Vollständiger Name>
  • Group membership: openvpnusers
  • Certificate: Haken bei: Click to create a user certificate → Save
    • Method: Create an internal Certificate
    • Descriptive name: <geben Sie hier den gleichen Namen an wie oben bei Username>
    • Certificate authority: <geben Sie hier die gleiche Zertifizierungsstelle an wie bei der Einrichtung des OpenVPN-Servers - z. B. schulnetz.intra>

Export der VPN-Zugangsdaten für angelegte User

VPN / OpenVPN / Client Export* Hostname: IP oder Dyndns-Adresse
  • Haken bei Use random local Port, damit sich mehrere Clients gleichzeitig verbinden können

Unterhalb der Einstellungsmöglichkeiten können für angelegte Benutzer deren individuellen Zugangsdaten heruntergeladen werden. Ggf. wählen Sie hierzu bei Export Type eine passende Downloadmöglichkeit.

Client-Installationsdateien und Konfigurationsdateien ausgeben

Nach Anlage eines VPN-Users können Sie diesem für sein System (z. B. Windows, Mac, ...) personalisierte Dateien für Installation und Konfiguration des OpenVPN-Clients aushändigen:

VPN / OpenVPN / Client Export

→ OpenVPN Clients→ Wahl der gewünschten Dateien des entsprechenden Users