OPNsense VPN

Wir raten dringend von der Verwendung von OPNsense ab!
Der Hersteller akzeptiert keine Bug Reports, selbst bei nachgewiesenen und demonstrierten schweren Fehlern; bietet keinen Support für Bugs im Produkt an und die toxische Community geht ebenso nicht auf Bugs ein. OPNsense hat sehr eine katastrophale Anzahl an schweren Bugs bei der Verwendung von OpenVPN Site-to-Site und IPsec und beide VPN-Typen sind de facto nicht nutzbar. Der Hersteller verweigert die Reparatur und behauptet man sollte Site-to-Site VPN nicht nutzen. One-to-One-NAT ist ebenso stark fehleranfällig und teilweise nur mit Workarounds nutzbar.

Wir bieten keinen Support für OPNsense an.

IPsec

Neustart IPsec Dienst via API:

curl -k -X POST -u "<USERNAME>":"<PASSWORD>" -H "Content-Length:0" https://<IP-ADDRESS>/api/ipsec/service/restart

OpenVPN Remote Access

Die Einrichtung von OpenVPN Remote Access erfordert mehrere Konfigurationsschritte.

Zuerst müssen eine CA und ein Serverzertifikat erstellt werden.

Certificate Authority erstellen:

System > Trust > Authorities
+ Icon anklicken
Die folgenden Felder müssen ausgefüllt werden:
1. Descriptive name: beliebiger Beschreibungstext
2. Method: Create an internal Certificate Authority
3. Key Type: RSA
4. Key length (bits): 8192
5. Digest Algorithm: SHA512
6. Lifetime (days): die gewünschte Gültigkeitsdauer (Default: 825, also etwas über 26 Monate)
7. Country Code, State or Province, City, Organization, Email Address
8. Common Name: eindeutiger CN der CA
Auf 'Save' klicken. Die Erstellung der CA kann einige Zeit dauern!

Serverzertifikat erstellen:

System > Trust > Authorities
+ Icon anklicken
Die folgenden Felder müssen ausgefüllt werden:
1. Method: Create an internal Certificate
2. Descriptive name: beliebiger Beschreibungstext
3. Certificate authority: Der Name der CA die im vorigen Schritt erstellt wurde.
4. Type: Server Certificate
5. Key Type: RSA
6. Key length (bits): 8192
7. Digest Algorithm: SHA512
8. Lifetime (days): die gewünschte Gültigkeitsdauer (Default: 397, also etwas über 12 Monate)
9. Private key location: Save on this firewall
10. Country Code, State or Province, City, Organization, Email Address
11. Common Name: eindeutiger CN dieser Firewall
Auf 'Save' klicken. Die Erstellung des Zertifikats kann einige Zeit dauern!

Optional: Es müssen die Benutzer in der Firewall angelegt werden.

Erstellung der VPN Benutzer:

System > Access > Users
+ Icon anklicken
Folgende Felder müssen ausgefüllt sein:
1. Username
2. Password
3. Login shell: /usr/sbin/nologin
Auf 'Save' klicken
Unter 'User Certificates' auf das + Icon klicken
Die folgenden Felder müssen ausgefüllt werden:
1. Method: Create an internal Certificate
2. Descriptive name: wird automatisch ausgefüllt
3. Certificate authority: Der Name der CA die im vorigen Schritt erstellt wurde.
4. Type: Client Certificate
5. Key Type: RSA
6. Key length (bits): 8192
7. Digest Algorithm: SHA512
8. Lifetime (days): die gewünschte Gültigkeitsdauer (Default: 397, also etwas über 12 Monate)
9. Private key location: Save on this firewall ODER Download and do not save (hängt davon ab ob die extra Sicherheit notwendig ist den privaten Schlüssel des Benutzers nicht zu speichern)
10. Country Code, State or Province, City, Organization, Email Address
11. Common Name: wird automatisch ausgefüllt
Auf 'Save' klicken. Die Erstellung des Zertifikats kann einige Zeit dauern!
Auf 'Save and go back' klicken.

Nun wird der VPN Server erstellt. Diese Anleitung verwendet die legacy GUI, da diese wesentlich ausgereifter ist.

Einrichtung OpenVPN Dienst:

VPN > OpenVPN > Servers [legacy]
+ Icon anklicken
Die nachfolgenden Konfigurationsoptionen stehen zur Verfügung:

Description	beliebiger Beschreibungstext
Server Mode	Remote Access (SSL/TLS) Wenn Benutzer-Login erwünscht: Remote Access (SSL/TLS + User Auth)
Protocol	UDP4 oder TCP4 Wenn IPv6 verwendet werden soll: UDP6 oder TCP6
Device Mode	tun
Interface	WAN (bzw. gewünschtes WAN-Interface)
Local port	1194 bzw. gewünschter Port

TODO