OPNsense VPN

Wir raten dringend von der Verwendung von OPNsense ab!
Der Hersteller akzeptiert keine Bug Reports, selbst bei nachgewiesenen und demonstrierten schweren Fehlern; bietet keinen Support für Bugs im Produkt an und die toxische Community geht ebenso nicht auf Bugs ein. OPNsense hat sehr eine katastrophale Anzahl an schweren Bugs bei der Verwendung von OpenVPN Site-to-Site und IPsec und beide VPN-Typen sind de facto nicht nutzbar. Der Hersteller verweigert die Reparatur und behauptet man sollte Site-to-Site VPN nicht nutzen. One-to-One-NAT ist ebenso stark fehleranfällig und teilweise nur mit Workarounds nutzbar.

Wir bieten keinen Support für OPNsense an.

Neustart IPsec Dienst via API:

curl -k -X POST -u "<USERNAME>":"<PASSWORD>" -H "Content-Length:0" https://<IP-ADDRESS>/api/ipsec/service/restart

Die Einrichtung von OpenVPN Remote Access erfordert mehrere Konfigurationsschritte.

Zuerst müssen eine CA und ein Serverzertifikat erstellt werden.

Certificate Authority erstellen:

1. System > Trust > Authorities
2. + Icon anklicken
3. Die folgenden Felder müssen ausgefüllt werden:
   1. Descriptive name: beliebiger Beschreibungstext
   2. Method: Create an internal Certificate Authority
   3. Key Type: RSA
   4. Key length (bits): 8192
   5. Digest Algorithm: SHA512
   6. Lifetime (days): die gewünschte Gültigkeitsdauer (Default: 825, also etwas über 26 Monate)
   7. Country Code, State or Province, City, Organization, Email Address
   8. Common Name: eindeutiger CN der CA
4. Auf 'Save' klicken. Die Erstellung der CA kann einige Zeit dauern!

Serverzertifikat erstellen:

1. System > Trust > Authorities
2. + Icon anklicken
3. Die folgenden Felder müssen ausgefüllt werden:
   1. Method: Create an internal Certificate
   2. Descriptive name: beliebiger Beschreibungstext
   3. Certificate authority: Der Name der CA die im vorigen Schritt erstellt wurde.
   4. Type: Server Certificate
   5. Key Type: RSA
   6. Key length (bits): 8192
   7. Digest Algorithm: SHA512
   8. Lifetime (days): die gewünschte Gültigkeitsdauer (Default: 397, also etwas über 12 Monate)
   9. Private key location: Save on this firewall
   10. Country Code, State or Province, City, Organization, Email Address
   11. Common Name: eindeutiger CN dieser Firewall
4. Auf 'Save' klicken. Die Erstellung des Zertifikats kann einige Zeit dauern!

Optional: Es müssen die Benutzer in der Firewall angelegt werden.

Erstellung der VPN Benutzer:

1. System > Access > Users
2. + Icon anklicken
3. Folgende Felder müssen ausgefüllt sein:
   1. Username
   2. Password
   3. Login shell: /usr/sbin/nologin
4. Auf 'Save' klicken
5. Unter 'User Certificates' auf das + Icon klicken
6. Die folgenden Felder müssen ausgefüllt werden:
   1. Method: Create an internal Certificate
   2. Descriptive name: wird automatisch ausgefüllt
   3. Certificate authority: Der Name der CA die im vorigen Schritt erstellt wurde.
   4. Type: Client Certificate
   5. Key Type: RSA
   6. Key length (bits): 8192
   7. Digest Algorithm: SHA512
   8. Lifetime (days): die gewünschte Gültigkeitsdauer (Default: 397, also etwas über 12 Monate)
   9. Private key location: Save on this firewall ODER Download and do not save (hängt davon ab ob die extra Sicherheit notwendig ist den privaten Schlüssel des Benutzers nicht zu speichern)
   10. Country Code, State or Province, City, Organization, Email Address
   11. Common Name: wird automatisch ausgefüllt
7. Auf 'Save' klicken. Die Erstellung des Zertifikats kann einige Zeit dauern!
8. Auf 'Save and go back' klicken.

Nun wird der VPN Server erstellt. Diese Anleitung verwendet die legacy GUI, da diese wesentlich ausgereifter ist.

Einrichtung OpenVPN Dienst:

1. VPN > OpenVPN > Servers [legacy]
2. + Icon anklicken
3. Die nachfolgenden Konfigurationsoptionen stehen zur Verfügung:

TODO