OPNsense/OpenVPN

Aus Foxwiki

Grundinstallation

Mithilfe des OpenVPN-Servers können Sie z. B. als Administrator von außen auf das interne Netzwerk zugreifen.

Für die Einrichtung des OpenVPN-Servers steht ein Wizard zur Verfügung, der auch die notwendigen Firewall-Einstellungen hinterlegt:


VPN / OpenVPN / Servers → Use a wizard to to setup a new server* Type of Server: Local User Access
  • Certificate Authority → Add new CA
    • Descripive Name: z. B. schulnetz.intra-ca
    • Country Code: z. B. DE
    • entsprechende Einträge für: State or Province, City, Organization, und Email→ Add new CA
  • Choose a Server Certificate → Add new Certificate
    • Descriptive name: z. B. schulnetz.intra
    • Country Code: z. B. DE
    • entsprechende Einträge für: State or Province, City, Organization, und Email→ Button: Add Certificate
  • General OpenVPN Server Information
    • Interface: WAN
    • Protocol: UDP
    • Local Port: 1194
  • Tunnel Settings
    • IPv4 Tunnel Network: 10.0.8.0/24 (ein anderes Netz als Ihr Schulnetz)
    • IPv4 Local Network: z. B. 10.1.0.0/20,10.1.100.0/24,10.1.254.0/24 (für Administratoren alle drei internen Subnetze - bei Bedarf ggf. anpassen)
  • Traffic from clients to server
    • Haken bei Firewall Rule
  • Traffic from clients through VPN
    • Haken bei OpenVPN Rule



Anlegen einer VPN-Gruppe

Durch Anlage einer Gruppe für den VPN-Zugriff, kann man folgende Festlegungen tätigen:* Berechtigung für die VPN-Einwahl nur für Mitglieder der Gruppe

  • Beschränkung der OPNsense-Web-Oberfläche für die Gruppenmitglieder, sodass zugehörige Benutzer lediglich ihr eigenes Passwort ändern können



System / Access / Groups → Add* Group name: openvpnusers → Save
  • Gruppe openvpnusers erneut bearbeiten
    • Assigned Privileges → Add: Haken bei GUI System: User Password Manager



Anlegen von VPN-Benutzern

System / Access / Users → Add* Username: <gewünschter Benutzername>
  • Password: <gewünschtes Passwort>
  • Full Name: <Vollständiger Name>
  • Group membership: openvpnusers
  • Certificate: Haken bei: Click to create a user certificate → Save
    • Method: Create an internal Certificate
    • Descriptive name: <geben Sie hier den gleichen Namen an wie oben bei Username>
    • Certificate authority: <geben Sie hier die gleiche Zertifizierungsstelle an wie bei der Einrichtung des OpenVPN-Servers - z. B. schulnetz.intra>



Export der VPN-Zugangsdaten für angelegte User

VPN / OpenVPN / Client Export* Hostname: IP oder Dyndns-Adresse
  • Haken bei Use random local Port, damit sich mehrere Clients gleichzeitig verbinden können



Unterhalb der Einstellungsmöglichkeiten können für angelegte Benutzer deren individuellen Zugangsdaten heruntergeladen werden. Ggf. wählen Sie hierzu bei Export Type eine passende Downloadmöglichkeit.

Client-Installationsdateien und Konfigurationsdateien ausgeben

Nach Anlage eines VPN-Users können Sie diesem für sein System (z. B. Windows, Mac, ...) personalisierte Dateien für Installation und Konfiguration des OpenVPN-Clients aushändigen:


VPN / OpenVPN / Client Export

→ OpenVPN Clients→ Wahl der gewünschten Dateien des entsprechenden Users