Konfiguration OpenVPN Server: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
siehe auch [https://docs.opnsense.org/manual/how-tos/sslvpn_instance_roadwarrior.html https://docs.opnsense.org/manual/how-tos/sslvpn_instance_roadwarrior.html] | |||
1.eigene Zertifizierungsstelle einrichten | 1.eigene Zertifizierungsstelle einrichten | ||
System: Sicherheit: Aussteller <br \> | System: Sicherheit: Aussteller <br \> | ||
| Zeile 67: | Zeile 69: | ||
VPN: OpenVPN: Clientexport <br /> | VPN: OpenVPN: Clientexport <br /> | ||
Exportformat : entsprechendes Format auswählen Datei: *.ovpn (alles in 1 Datei) Ordner: *.zip (mehrere File) | Exportformat : entsprechendes Format auswählen Datei: *.ovpn (alles in 1 Datei) Ordner: *.zip (mehrere File) | ||
Hostname : dsdatentechnik.dyndns.org<br /><br /> | Hostname : dsdatentechnik.dyndns.org | ||
Custom config : route 192.168.213.0 255.255.255.0 (mit dieser Anweisung werden entsprechende Routing anweisung ins Client Konfigfile aufgenommen)<br /><br /> | |||
Mit dem Download Icon ganz unten für den entsprechenden User die Konfiguration runterladen. | Mit dem Download Icon ganz unten für den entsprechenden User die Konfiguration runterladen. | ||
Aktuelle Version vom 14. August 2023, 06:18 Uhr
siehe auch https://docs.opnsense.org/manual/how-tos/sslvpn_instance_roadwarrior.html
1.eigene Zertifizierungsstelle einrichten
System: Sicherheit: Aussteller
Beschreibender Name : z.Bsp. OPNsense DS-Datentechnik CA intern Vorgehen : Erstelle eine interne Zertifizierungsstelle Schlüssellänge : evtl erhöhen. Geht später nicht mehr. z.B. 4096 Hashalgorithmus : dto. z.B. SHA512 Lebenszeit (Tage) : nach Wahl z.B. 3650 (10 Jahre) Ländercode : DE Staat oder Provinz : Baden Württemberg Stadt : Hermaringen Organisation : DS-Datentechnik E-Mail Adresse : Info@DS-Datentechnik.de Common Name : z.B DS-Datentechnik CA intern
2. Zertifikat für OpenVPN Server erstellen
System: Sicherheit: Zertifikate
Vorgehen : Erstelle ein neues internes Zertifikat Beschreibender Name : z.B. OpenVPN Server Zertifikat Zertifizierungsstelle : Die unter 1. Erstellte Zertifizierungsstelle auswählen. z.B. DS-Datentechnik CA intern Typ : Serverzertifikate Schlüssellänge : evtl erhöhen. Geht später nicht mehr. z.B. 4096 Hashalgorithmus : dto. z.B. SHA512 Lebenszeit (Tage) : nach Wahl z.B. 3650 (10 Jahre Common Name : z.B. OpenVPN Server Zertifikat
3. User und Userzertifikate erstellen
System: Zugang: Benutzer Alle Felder sind eigentlich selbsterklären bis zum Punkt Zertifikate
Zertifikat : durch anklicken dieser Option ist es möglich für den User ein eigenes Zertifikat zu erstellen.
die meisten Felder sind selbsterklärend Vorgehen : erstelle ein neues internes Zertifikat Zertifizierungsstelle : die selbst unter 1. erstellte Zertifizierungsstelle auswählen Typ : Clientzertifikat Schlüssellänge : evtl erhöhen. Geht später nicht mehr. z.B. 4096 Hashalgorithmus : dto. z.B. SHA512 Lebenszeit (Tage) : nach Wahl z.B. 3650 (10 Jahre
4. OpenVPN Zerverinstanz erzeugen
4.1 Statischen Key erzeugen für Verschlüsselung der Übertragung (Hier für die Authentifizierung am VPN Server)
VPN: OpenVPN: Instances [new] Reiter: Static Keys
Beschreibung : z.B. OpenVPN Server Key
Modus : auth (Authenicate .... ) -> dann auf das ICON daneben drücken damit der Key erzeugt wird.
4.2 OpenVPN Serverinstanz erzeugen
VPN: OpenVPN: Instances [new] Reiter: Instances
Role : Server
Beschreibung : z.B. OpenVPN Server DS-Datentechnik
Protokoll : UDP
Port number : normalerweise 1194..... zu Testzwecken 1195 Achtung Porforwarding auf FB und Clientkonfigurationsfile
Bind Adress : normalerweise nichts eintragen oder die externe IP des OPNssense Servers
Server (IPv4): z.B. 10.1.8.0/24 den Clients werden IP-Adresse aus diesem Bereich vergeben. Server hat dann IP=10.1.8.1
Zertifikat : Das unter 3. für den Server erzeugte Zertifkat
TLS static key : den unter 4.1 erzeugten statischen Key
Strenge Benutzer/CN-Prüfung : Wenn der Username und das für in erzeugte Zertifkat gleich lauten sollte das angehackt werden
Lokales Netzwerk : 192.168.213.0 (VPN User hat Zugriff auf dieses Netz, wird im als route gepusht)
5. Firewalleinstellungen
Firewall: Regeln: WAN
Schnittstelle : WAN Protokoll : UDP Zielportbereich : normalerweise 1194 .... zu Testzwecken 1195 bei DS
Firewall: Regeln: OpenVPN
alles bis evtl. Beschreibung auf default belassen.
6. Clientkonfiguration exportieren.
VPN: OpenVPN: Clientexport
Exportformat : entsprechendes Format auswählen Datei: *.ovpn (alles in 1 Datei) Ordner: *.zip (mehrere File) Hostname : dsdatentechnik.dyndns.org Custom config : route 192.168.213.0 255.255.255.0 (mit dieser Anweisung werden entsprechende Routing anweisung ins Client Konfigfile aufgenommen)
Mit dem Download Icon ganz unten für den entsprechenden User die Konfiguration runterladen.