Print
Category: OPNsense
Hits: 22797

Site-to-Site VPN Verbindungen sind meist da zu finden, wo zwei oder mehr Standorte über eine verschlüsselte Verbindung miteinander verbunden werden sollen. Am häufigsten zum Einsatz kommen IPsec VPNs oder der quelloffene OpenVPN Standard. In diesem Beispiel sollen zwei Standorte per OpenVPN einen Tunnel aufspannen. OpenVPN unterscheidet zwischen Client und Server. Wird der Verbindungsaufbau von Site A initiiert, tritt dieser als Client in Erscheinung. Site B, welcher die Anfrage entgegennimmt, übernimmt die Severrolle. Die Authentifizierung kann über Benutzername und entsprechendem Passwort vollzogen werden, welches die unsicherste Variante darstellt. Sicherer stellt sich die Verbindung über einen gemeinsamen Schlüssel dar. Am sichersten ist die Verwendung von Zertifikaten, bei dessen Verwendung der administrative Aufwand jedoch höher ausfällt. In unserem Beispiel verwenden wir einen Pre-shared-Key. Sowohl an Site A als auch an Site B werden OPNsense Firewall Appliances eingesetzt, die sich an verschiedenen Standorten befinden. Es gilt zu beachten, dass eine Portweiterleitungsregel im Router eingerichtet werden muss, damit der Server clientseitige Anfragen entgegennehmen kann. Ist die Firewall ohne vorgeschalteten Router in Betrieb, entfällt diese Maßnahme.

Überblick über die verwendete Konfiguration:

Server - Site A


Client - Site B


zum Aufbau unseres VPN Tunnels sind folgende Schritte nötig:


1. Erstellen eines VPN Servers
2. Übertragung des Shared Keys vom Server zum Clienten
3. Erstellen der relevanten Firewall Regeln auf Seiten des Servers
4. Erstellung des Clients
5. Setzen der korrekten Firewallregeln am Clienten

1. Zum Erstellen unseres Servers manövrieren wir zu VPN -> OpenVPN -> Server und klicken auf "Hinzufügen". Dort verwenden wir die folgende Einstellungen. Werte welche nicht aufgeführt werden belassen wir auf der Voreinstellung.

Zum Abschluss klicken auf die Schaltfläche "Speichern". Der gemeinsame Schlüssel ist somit generiert und kann durch klicken auf "Bearbeiten" eingesehen werden.

2. Bevor wir den Schlüssel auf unseren Clienten übertragen können, müssen wir diesen zunächst kopieren, etwa auf einen USB Stick. Dazu klicken wir auf die "Bearbeiten"-Schaltfläche und markieren den neu erstellten gemeinsamen Schlüssel.


3. Nun erstellen wir die Firewallregeln, einmal auf der WAN Seite und zum zweiten auf der neuen OpenVPN Seite. Um Clientverbindungen zu akzeptieren, müssen wir auf der WAN Seite die entsprechende Regel hinzufügen. Im Ergebnis sähe das wie folgt aus:

Firewall -> Regeln -> WAN

Zusätzlich brauchen wir auf der OpenVPN Seite eine Regel, welche Verbindungen der Clientseite erlaubt. Die neue Regel sieht folgendermaßen aus:

Firewall -> Regeln -> OpenVPN

4. Nachdem wir die Serverseite konfiguriert haben, müssen wir im nächsten Schritt den Clienten erstellen und einrichten. Dazu klicken wir auf VPN -> OpenVPN -> Client und auf "Hinzufügen". Dort geben wir folgende Werte ein. Wie gehabt belassen wir die nicht erwähnten Werte auf der Standardeinstellung.

Sind die Eingaben korrekt getätigt, klicken wir auf "Speichern"


5. Als letzten Schritt setzen wir eine clientseitige Firewallregel, welche den Datenverkehr des fernes Netzwerks zulässt. An dieser Stelle sei darauf hingewiesen, dass wir den Datenverkehr privater Netze in den Einstellungen unter Schnittstelle -> WAN erlauben müssen. Dies gilt für beide Seiten clientseitig wie serverseitig.

Firewall -> Regeln -> OpenVPN

Einzelnachweise:

https://docs.opnsense.org/manual/how-tos/sslvpn_s2s.html