Die Open Source Firewall OPNsense unterstützt mehrere Technologien zur Einrichtung von VPN (Virtual Private Network) Verbindungen.Neben IPsec und OpenVPN gibt es seit OPNsense Version 19.7 die Möglichkeit ein VPN mit WireGuard einzurichten. In diesem Artikel zeigen wir die Konfiguration des WireGuard VPN Dienstes auf einer OPNsense Firewall, damit in der Folge einem Roadwarrior Benutzer Zugriff auf das interne (Firmen-)Netzwerk hinter der OPNsense Firewall ermöglicht wird.
Hinweis: Diese Anleitung wurde mit einer älteren Version von OPNsense erstellt, es kann sein dass manche Menüs und Einstellungen nun anders vorgenommen werden.
Inhaltsverzeichnis
- 1 OPNsense für Wireguard VPN vorbereiten
- 1.1 Installation des WireGuard Plugins
- 1.2 Konfiguration von WireGuard auf OPNsense
- 1.3 Firewall Regel für WAN
- 1.4 Firewall Regel für WireGuard
- 2 Endpoint ("Client") konfigurieren
- 3 Verbindung testen
OPNsense für Wireguard VPN vorbereiten
Zur Einrichtung des VPNs sind in diesem Abschnitt die folgenden Schritte beschrieben:
- Installation des WireGuard Plugins
- Konfiguration von WireGuard auf OPNsense
- Firewall Regeln WAN Verbindung
- Firewall Regeln WireGuard Verbindung
Installation des WireGuard Plugins
Die Installation des WireGuard Plugins erfolgt bequem über die integrierte Plugin-Verwaltung.
Klicken Sie auf System -> Firmware -> Plugins.
Klicken Sie in der Zeile os-wireguard auf das + Symbol.
Die Installation wird gestartet.
Die Installation wurde erfolgreich durchgeführt.
Das Plugin ist nun installiert, der Eintrag lautet os-wireguard (installed).
Konfiguration von WireGuard auf OPNsense
Die folgenden Screenshots zeigen die Konfiguration von WireGuard:
Klicken Sie auf VPN -> WireGuard.
Klicken Sie auf den Tab Local.
Hier erfolgt die Konfiguration für den OPNsense Endpoint. Klicken Sie auf das + Symbol.
Geben Sie einen Namen, optional einen Port (wird alternativ zufällig erstellt) sowie die Tunnel Adresse des OPNsense Endpoints an. Klicken Sie anschließend auf Save.
Der Endpoint wurde erstellt und Private Key und Public Key erzeugt. Klicken Sie nun auf das Stift-Symbol.
Private Key und Public Key werden hier nun angezeigt. Klicken Sie auf Cancel.
Firewall Regel für WAN
Die folgenden Screenshots zeigen die Konfiguration einer Firewall-Regel, die den Zugriff auf den des WireGuard VPN Dienstes auf der OPNsense Firewall erlaubt:
Klicken Sie auf Firewall -> Rules -> WAN und anschließen rechts oben auf den orangenen Button + ADD.
Wählen Sie Protocol UDP ein und geben Sie bei Destination Port Range den zuvor gewählten Port in den Feldern from: und to: an. Scrollen Sie nach unten.
Geben Sie eine Bezeichnung für die Regel im Feld Description an und klicken Sie auf Save.
Klicken Sie auf Apply.
Die neue Firewall Regel ist konfiguriert und aktiv.
Firewall Regel für WireGuard
Die folgende neue Regel erlaubt dem verbundenen VPN Peer ("Client") den vollständigen Zugriff auf die Netzwerke von OPNsense:
Klicken Sie auf Firewall -> Rules -> WireGuard und anschließend auf den orangen Button + ADD.
Wählen Sie bei Source Single host or Network an und geben Sie darunter den IP-Bereich des WireGuard VPN-Netzes und dessen Subnetzmaske an. Scrollen sie nach unten.
Geben Sie eine Bezeichnung für die Regel im Feld Description an und klicken Sie auf Save.
Klicken Sie auf Apply. Die Firewall Regeln werden nun neu geladen.
Die neue Firewall Regel ist konfiguriert und aktiv.
Endpoint ("Client") konfigurieren
Die nachfolgenden Screenshots zeigen exemplarisch die Konfiguration eines Endpoints, der sich via WireGuard zum OPNsense System verbinden darf. Die Konfiguration des Gegenstelle (in diesem Beispiel ein Ubuntu System) finden Sie im Artikel Ubuntu 18.04 als WireGuard VPN Client konfigurieren.
Klicken Sie auf VPN -> WireGuard, dann auf Endpoints und dort auf das + Symbol.
Geben Sie den Namen des Endpoints an und kopieren Sie den bei der Konfiguration am Clientsystem erzeugten Public-Key. Weisen Sie dem Client eine IP-Adresse aus dem WireGuard IP-Bereich zu. Mittels Suffix /32 wird dem Client immer genau diese IP zugewiesen. Anschließend klicken Sie auf Save.
Wechseln Sie zum Tab Local und klicken Sie auf die Schaltfläche zum editieren des Eintrages.
Im Dropdown-Menü Peers können Sie nun den konfigurierten Endpoint auswählen. Sie können natürlich auch mehrere Client-Konfigurationen (wenn vorhanden) auswählen.
Klicken Sie auf Save.
Klicken Sie erneut auf Save.
Prüfen Sie im Reiter General, ob der Haken bei Enable WireGuard gesetzt ist und klicken Sie anschießend auf Save.
In der Dashboard Ansicht (Lobby -> Dashboard) ist nun einen Eintrag WireGuard-go vorhanden.
Verbindung testen
Starten Sie den Verbindungsaufbau vom Clientgerät.
Sie können anschließend den Status einer Verbindung auch auf der OPNsense Firewall prüfen:
Gehen Sie zum Menü VPN -> WireGuard und anschließend zum Tab List Configuration. Hier sehen Sie bei einer erfolgreichen Client-Verbindung dessen Verbindungsdaten, sowie einen Eintrag latest handshake.
Der Tab Handshakes zeigt die erfolgten Handshakes auf.
Autor: Thomas Niedermeier Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates. |
Das könnte Sie auch interessieren
OPNsense WireGuard VPN Site-to-Site einrichten
Zum Artikel
SSL routines tls process server certificate certificate verify failed - Authentication error
Zum Artikel
Thomas-Krenn OPNsense Firewall Performance
Zum Artikel