Installation und Konfiguration des OpenVPN-Servers
Grundinstallation
- Mithilfe des OpenVPN-Servers können Sie z. B. als Administrator von außen auf das interne Netzwerk zugreifen.
- Für die Einrichtung des OpenVPN-Servers steht ein Wizard zur Verfügung, der auch die notwendigen Firewall-Einstellungen hinterlegt:
VPN / OpenVPN / Servers → Use a wizard to to setup a new server* Type of Server: Local User Access
- Certificate Authority → Add new CA
- Descripive Name: z. B. schulnetz.intra-ca
- Country Code: z. B. DE
- entsprechende Einträge für: State or Province, City, Organization, und Email→ Add new CA
- Choose a Server Certificate → Add new Certificate
- Descriptive name: z. B. schulnetz.intra
- Country Code: z. B. DE
- entsprechende Einträge für: State or Province, City, Organization, und Email→ Button: Add Certificate
- General OpenVPN Server Information
- Interface: WAN
- Protocol: UDP
- Local Port: 1194
- Tunnel Settings
- IPv4 Tunnel Network: 10.0.8.0/24 (ein anderes Netz als Ihr Schulnetz)
- IPv4 Local Network: z. B. 10.1.0.0/20,10.1.100.0/24,10.1.254.0/24 (für Administratoren alle drei internen Subnetze - bei Bedarf ggf. anpassen)
- Traffic from clients to server
- Traffic from clients through VPN
|
Anlegen einer VPN-Gruppe
Durch Anlage einer Gruppe für den VPN-Zugriff, kann man folgende Festlegungen tätigen:
- Berechtigung für die VPN-Einwahl nur für Mitglieder der Gruppe
- Beschränkung der OPNsense-Web-Oberfläche für die Gruppenmitglieder, sodass zugehörige Benutzer lediglich ihr eigenes Passwort ändern können
System / Access / Groups → Add* Group name: openvpnusers → Save
- Gruppe openvpnusers erneut bearbeiten
- Assigned Privileges → Add: Haken bei GUI System: User Password Manager
|
Anlegen von VPN-Benutzern
System / Access / Users → Add* Username: <gewünschter Benutzername>
- Password: <gewünschtes Passwort>
- Full Name: <Vollständiger Name>
- Group membership: openvpnusers
- Certificate: Haken bei: Click to create a user certificate → Save
- Method: Create an internal Certificate
- Descriptive name: <geben Sie hier den gleichen Namen an wie oben bei Username>
- Certificate authority: <geben Sie hier die gleiche Zertifizierungsstelle an wie bei der Einrichtung des OpenVPN-Servers - z. B. schulnetz.intra>
|
Export der VPN-Zugangsdaten für angelegte User
VPN / OpenVPN / Client Export* Hostname: IP oder Dyndns-Adresse
- Haken bei Use random local Port, damit sich mehrere Clients gleichzeitig verbinden können
|
Unterhalb der Einstellungsmöglichkeiten können für angelegte Benutzer deren individuellen Zugangsdaten heruntergeladen werden. Ggf. wählen Sie hierzu bei Export Type eine passende Downloadmöglichkeit.
Client-Installationsdateien und Konfigurationsdateien ausgeben
Nach Anlage eines VPN-Users können Sie diesem für sein System (z. B. Windows, Mac, ...) personalisierte Dateien für Installation und Konfiguration des OpenVPN-Clients aushändigen:
VPN / OpenVPN / Client Export
→ OpenVPN Clients→ Wahl der gewünschten Dateien des entsprechenden Users
|