Tipps & Tricks zu OPNsense – Teil 4: VPN OPNsense mit OpenVPN oder WireGuard nutzen
Von Thomas Joos 4 min Lesedauer
Anbieter zum Thema
OPNsense ist eine Open Source-Firewall, die Funktionen aus dem Enterprise-Bereich mit sich bringt, aber dennoch leicht einzurichten und zu verwalten ist. Wichtiger Bestandteil der Lösung sind virtuelle VPN-Server für OpenVPN und WireGuard. Wir zeigen, wie man die Funktionen konfiguriert und nutzt.
Wir haben bereits in mehreren Beiträgen die Möglichkeit von OPNsense als Firewall vorgestellt. Vor allem für KMU kann die Firewall eine ideale Open Source-Lösung sein, die großen und teuren Firewalls nicht hinterhersteht. Dazu kommt die Integration von OpenVPN und WireGuard. Das ermöglicht den Betrieb von eigenen VPN-Servern, wenn notwendig sogar mit mehreren Protokollen. Vorteil dabei ist, dass sich Firewall und VPN-Server auf einer einzelnen Appliance betreiben und absichern lassen.
Bildergalerie
VPNs mit OPNsense im Überblick: WireGuard, IPSec und OpenVPN
In der Weboberfläche von OPNsense gibt es mit "VPN" einen eigenen Bereich, über den sich die VPNs auf der Firewall steuern lassen. Standardmäßig stehen an dieser Stelle IPSec und OpenVPN zur Verfügung. Um WireGuard einzubinden, ist noch eine Erweiterung notwendig. WireGuard gehört generell zu den beliebtesten VPN-Protokollen, bietet dafür aber nicht die umfassenden Kontroll- und Überwachungsfunktionen von OpenVPN. Auch die Einrichtung ist komplexer. Wer keine umfassende Erfahrung mit WireGuard hat, kann durchaus auf OpenVPN setzen. Die Einrichtung ist einfach, flexibel und bietet in den meisten Fällen gute Leistung.
Zwar hat WireGuard einen niedrigeren Overhead als andere VPN-Protokolle, es ist aber nicht so, dass OpenVPN einen so großen Overhead hat, dass Anwender Leistungsprobleme bekommen. In den meisten Fällen ist für KMU daher OpenVPN auf OPNsense die bessere Wahl. Wer WireGuard nutzen will, kann das parallel zu OpenVPN einrichten. Hier ist OPNsense sehr flexibel. Die Firewall ermöglicht den Betrieb mehrerer, virtueller VPN-Server, die sich parallel nutzen lassen, inklusive unterschiedlichen Nutzern und Rechten.
OpenVPN mit OPNsense nutzen
OpenVPN ist standardmäßig bereits nach der Installation von OPNsense aktiv. Die Einstellungen für das VPN sind bei "VPN -> OpenVPN" auf der linken Seite des Menüs zu finden. Bei "Server" werden schließlich die einzelnen, virtuellen OpenVPN-Server direkt in der Weboberfläche erstellt und konfiguriert. An dieser Stelle sind nach der Erstellung auch die bereits vorhandenen Server zu sehen.
Über das "+" Symbol oben rechts wird ein neuer OpenVPN-Server erstellt. Hier lassen sich alle relevanten Einstellungen in einem einzelnen Fenster festlegen, auch der Port. Als Zertifizierungsstelle für OpenVPN reicht in den meisten Fällen die interne CA aus, die sich ebenfalls auf der Firewall betreiben lässt. Es ist aber auch möglich externe Zertifizierungsstellen zu nutzen. Das macht die Konfiguration gleichzeitig aber auch etwas komplexer. Für alle Menüpunkte zeigt die Oberfläche Informationen an. In de Abbildungen des Beitrags sind Screenshots eines OpenVPN-Servers zu sehen, der in der Praxis im Einsatz ist.
Zertifizierungsstellen in OPNsense integrieren oder erstellen
Sollen die Zertifikate aus einer eigenen Zertifizierungsstelle zum Einsatz kommen, lässt sich über "System -> Sicherheit -> Aussteller" eine neue CA erstellen. Wie bei VPN-Servern ist es auch an dieser Stelle möglich mehrere CAs zu erstellen, und es ist parallel möglich noch externe Zertifizierungsstelle anzubinden. Die CAs, die an dieser Stelle erstellt oder angebunden werden, stehen wiederum automatisch in den verschiedenen Menüs des OpenVPN-Servers zur Verfügung.
Die Zertifikate, die bei OpenVPN zum Einsatz kommen, lassen sich wiederum bei "System -> Sicherheit -> Zertifikate" ausstellen und auch verwalten. Das gilt auch für die Benutzer, die sich später mit dem OpenVPN verbinden sollen. Die einzelnen Benutzer, die Zugang zum VPN erhalten sollen, können wiederum bei "System -> Zugang -> Benutzer" erstellt werden.
In den Einstellungen jedes Benutzers steht über den Menüpunkt "Benutzerzertifikate" die Möglichkeit zur Verfügung neue Zertifikate für Benutzer auszustellen. Auch hier besteht Zugriffsmöglichkeit auf die Zertifizierungsstellen, die wiederum bei "System -> Sicherheit -> Aussteller" hinterlegt sind. Die Verwendung einer internen Zertifizierungsstelle macht es in diesem Bereich besonders einfach. Einem Benutzer können dabei durchaus mehrere Zertifikate zugeordnet sein.
OpenVPN-Clients konfigurieren
OpenVPN macht die Konfiguration einfach, da nach der Installation eines Clients dessen Konfiguration über den Import einer Konfigurationsdatei erfolgt. Diese stelle OPNsense bei "VPN -> Clientexport" zur Verfügung. Hier sind unten die verschiedenen Benutzer und deren Zertifikate zu sehen. Mit dem Download-Icon kann die Konfiguration heruntergeladen werden. Die Die OVPN-Datei kann auf beliebigen wegen zu den Clients übermittelt werden, die diese nur importieren müssen.
Firewall-Regel für VPNs setzen
Über "Firewall -> Regeln" lassen sich Firewall-Regeln definieren, die für den Zugriff gelten. Zunächst ist es an dieser Stelle bei "WAN" wichtig, dass die externen Zugriffe auf die Firewall auf den Port zugelassen werden, der für OpenVPN genutzt wird. Beim Einsatz von OpenVPN auf OPNsense steht im Bereich "Firewall -> Regeln" noch der Menüpunkt "OpenVPN" zur Verfügung. Auch hier lassen sich Regeln erstellen, die speziell für das VPN gelten.
WireGuard mit OPNsense nutzen
Parallel oder als Ergänzung zu OpenVPN lässt sich auch WireGuard in OPNsense einbinden. Dazu ist es aber zuerst notwendig bei "System -> Firmware -> Erweiterungen" die Erweiterung "os-wireguard" hinzufügen. Dadurch ist im Bereich "VPN" jetzt noch "WireGuard" verfügbar. Dadurch können auf der Firewall auch WireGuard-VPNs definiert werden. Mit "Aktiviere WireGuard" bei "VPN -> WireGuard" erfolgt die Aktivierung des Protokolls. Danach lässt sich an dieser Stelle WireGuard anpassen und als VPN-Protokoll nutzen. Auch hier muss darauf geachtet werden, dass die jeweiligen Firewall-Regeln für WAN und internes Netzwerk konfiguriert werden.
Vor der Aktivierung kann es sinnvoll sein über den Menüpunkt "Lokal" den WireGuard-VPN-Server hinzuzufügen und zu konfigurieren. An dieser Stelle lassen sich bei entsprechender Anforderung auch mehrere WireGuard-Server erstellen, genauso wie bei OpenVPN.
Bildergalerie
Über diese Artikelserie
OPNsense gehört zu den bekanntesten, beliebtesten und besten Open-Source-Firewalls. Im Rahmen dieser Serie geben wir Tipps & Tricks zu den Themen Installation, IP-Filterlisten, Updates und Überwachung, sowie VPN-Nutzung.
(ID:49670604)
