OPNsense WireGuard VPN für Road Warrior einrichten

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Die Open Source Firewall OPNsense unterstützt mehrere Technologien zur Einrichtung von VPN (Virtual Private Network) Verbindungen. Neben IPsec und OpenVPN gibt es seit OPNsense Version 19.7 die Möglichkeit ein VPN mit WireGuard einzurichten. In diesem Artikel zeigen wir die Konfiguration des WireGuard VPN Dienstes auf einer OPNsense Firewall, damit in der Folge einem Roadwarrior Benutzer Zugriff auf das interne (Firmen-)Netzwerk hinter der OPNsense Firewall ermöglicht wird.

Hinweis: Diese Anleitung wurde mit einer älteren Version von OPNsense erstellt, es kann sein dass manche Menüs und Einstellungen nun anders vorgenommen werden.

OPNsense für Wireguard VPN vorbereiten

Zur Einrichtung des VPNs sind in diesem Abschnitt die folgenden Schritte beschrieben:

  1. Installation des WireGuard Plugins
  2. Konfiguration von WireGuard auf OPNsense
  3. Firewall Regeln WAN Verbindung
  4. Firewall Regeln WireGuard Verbindung

Installation des WireGuard Plugins

Die Installation des WireGuard Plugins erfolgt bequem über die integrierte Plugin-Verwaltung.

  • Klicken Sie auf System -> Firmware -> Plugins.

    Klicken Sie auf System -> Firmware -> Plugins.

  • Klicken Sie in der Zeile os-wireguard auf das + Symbol.

    Klicken Sie in der Zeile os-wireguard auf das + Symbol.

  • Die Installation wird gestartet.

    Die Installation wird gestartet.

  • Die Installation wurde erfolgreich durchgeführt.

    Die Installation wurde erfolgreich durchgeführt.

  • Das Plugin ist nun installiert, der Eintrag lautet os-wireguard (installed).

    Das Plugin ist nun installiert, der Eintrag lautet os-wireguard (installed).

Konfiguration von WireGuard auf OPNsense

Die folgenden Screenshots zeigen die Konfiguration von WireGuard:

  • Klicken Sie auf VPN -> WireGuard.

    Klicken Sie auf VPN -> WireGuard.

  • Klicken Sie auf den Tab Local.

    Klicken Sie auf den Tab Local.

  • Hier erfolgt die Konfiguration für den OPNsense Endpoint. Klicken Sie auf das + Symbol.

    Hier erfolgt die Konfiguration für den OPNsense Endpoint. Klicken Sie auf das + Symbol.

  • Geben Sie einen Namen, optional einen Port (wird alternativ zufällig erstellt) sowie die Tunnel Adresse des OPNsense Endpoints an. Klicken Sie anschließend auf Save.

    Geben Sie einen Namen, optional einen Port (wird alternativ zufällig erstellt) sowie die Tunnel Adresse des OPNsense Endpoints an. Klicken Sie anschließend auf Save.

  • Der Endpoint wurde erstellt und Private Key und Public Key erzeugt. Klicken Sie nun auf das Stift-Symbol.

    Der Endpoint wurde erstellt und Private Key und Public Key erzeugt. Klicken Sie nun auf das Stift-Symbol.

  • Private Key und Public Key werden hier nun angezeigt. Klicken Sie auf Cancel.

    Private Key und Public Key werden hier nun angezeigt. Klicken Sie auf Cancel.

Firewall Regel für WAN

Die folgenden Screenshots zeigen die Konfiguration einer Firewall-Regel, die den Zugriff auf den des WireGuard VPN Dienstes auf der OPNsense Firewall erlaubt:

  • Klicken Sie auf Firewall -> Rules -> WAN und anschließen rechts oben auf den orangenen Button + ADD.

    Klicken Sie auf Firewall -> Rules -> WAN und anschließen rechts oben auf den orangenen Button + ADD.

  • Wählen Sie Protocol UDP ein und geben Sie bei Destination Port Range den zuvor gewählten Port in den Feldern from: und to: an. Scrollen Sie nach unten.

    Wählen Sie Protocol UDP ein und geben Sie bei Destination Port Range den zuvor gewählten Port in den Feldern from: und to: an. Scrollen Sie nach unten.

  • Geben Sie eine Bezeichnung für die Regel im Feld Description an und klicken Sie auf Save.

    Geben Sie eine Bezeichnung für die Regel im Feld Description an und klicken Sie auf Save.

  • Klicken Sie auf Apply.

    Klicken Sie auf Apply.

  • Die neue Firewall Regel ist konfiguriert und aktiv.

    Die neue Firewall Regel ist konfiguriert und aktiv.

Firewall Regel für WireGuard

Die folgende neue Regel erlaubt dem verbundenen VPN Peer ("Client") den vollständigen Zugriff auf die Netzwerke von OPNsense:

  • Klicken Sie auf Firewall -> Rules -> WireGuard und anschließend auf den orangen Button + ADD.

    Klicken Sie auf Firewall -> Rules -> WireGuard und anschließend auf den orangen Button + ADD.

  • Wählen Sie bei Source Single host or Network an und geben Sie darunter den IP-Bereich des WireGuard VPN-Netzes und dessen Subnetzmaske an. Scrollen sie nach unten.

    Wählen Sie bei Source Single host or Network an und geben Sie darunter den IP-Bereich des WireGuard VPN-Netzes und dessen Subnetzmaske an. Scrollen sie nach unten.

  • Geben Sie eine Bezeichnung für die Regel im Feld Description an und klicken Sie auf Save.

    Geben Sie eine Bezeichnung für die Regel im Feld Description an und klicken Sie auf Save.

  • Klicken Sie auf Apply. Die Firewall Regeln werden nun neu geladen.

    Klicken Sie auf Apply. Die Firewall Regeln werden nun neu geladen.

  • Die neue Firewall Regel ist konfiguriert und aktiv.

    Die neue Firewall Regel ist konfiguriert und aktiv.

Endpoint ("Client") konfigurieren

Die nachfolgenden Screenshots zeigen exemplarisch die Konfiguration eines Endpoints, der sich via WireGuard zum OPNsense System verbinden darf. Die Konfiguration des Gegenstelle (in diesem Beispiel ein Ubuntu System) finden Sie im Artikel Ubuntu 18.04 als WireGuard VPN Client konfigurieren.

  • Klicken Sie auf VPN -> WireGuard, dann auf Endpoints und dort auf das + Symbol.

    Klicken Sie auf VPN -> WireGuard, dann auf Endpoints und dort auf das + Symbol.

  • Geben Sie den Namen des Endpoints an und kopieren Sie den bei der Konfiguration am Clientsystem erzeugten Public-Key. Weisen Sie dem Client eine IP-Adresse aus dem WireGuard IP-Bereich zu. Mittels Suffix /32 wird dem Client immer genau diese IP zugewiesen. Anschließend klicken Sie auf Save.

    Geben Sie den Namen des Endpoints an und kopieren Sie den bei der Konfiguration am Clientsystem erzeugten Public-Key. Weisen Sie dem Client eine IP-Adresse aus dem WireGuard IP-Bereich zu. Mittels Suffix /32 wird dem Client immer genau diese IP zugewiesen. Anschließend klicken Sie auf Save.

  • Wechseln Sie zum Tab Local und klicken Sie auf die Schaltfläche zum editieren des Eintrages.

    Wechseln Sie zum Tab Local und klicken Sie auf die Schaltfläche zum editieren des Eintrages.

  • Im Dropdown-Menü Peers können Sie nun den konfigurierten Endpoint auswählen. Sie können natürlich auch mehrere Client-Konfigurationen (wenn vorhanden) auswählen.

    Im Dropdown-Menü Peers können Sie nun den konfigurierten Endpoint auswählen. Sie können natürlich auch mehrere Client-Konfigurationen (wenn vorhanden) auswählen.

  • Klicken Sie auf Save.

    Klicken Sie auf Save.

  • Klicken Sie erneut auf Save.

    Klicken Sie erneut auf Save.

  • Prüfen Sie im Reiter General, ob der Haken bei Enable WireGuard gesetzt ist und klicken Sie anschießend auf Save.

    Prüfen Sie im Reiter General, ob der Haken bei Enable WireGuard gesetzt ist und klicken Sie anschießend auf Save.

  • In der Dashboard Ansicht (Lobby -> Dashboard) ist nun einen Eintrag WireGuard-go vorhanden.

    In der Dashboard Ansicht (Lobby -> Dashboard) ist nun einen Eintrag WireGuard-go vorhanden.

Verbindung testen

Starten Sie den Verbindungsaufbau vom Clientgerät.

Sie können anschließend den Status einer Verbindung auch auf der OPNsense Firewall prüfen:

  • Gehen Sie zum Menü VPN -> WireGuard und anschließend zum Tab List Configuration. Hier sehen Sie bei einer erfolgreichen Client-Verbindung dessen Verbindungsdaten, sowie einen Eintrag latest handshake.

    Gehen Sie zum Menü VPN -> WireGuard und anschließend zum Tab List Configuration. Hier sehen Sie bei einer erfolgreichen Client-Verbindung dessen Verbindungsdaten, sowie einen Eintrag latest handshake.

  • Der Tab Handshakes zeigt die erfolgten Handshakes auf.

    Der Tab Handshakes zeigt die erfolgten Handshakes auf.


Foto Thomas Niedermeier.jpg

Autor: Thomas Niedermeier

Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.

Icon-Twitter.png 

Das könnte Sie auch interessieren

Debugnet any ifnet update Bad dn init result from igb0
Zum Artikel
Inbetriebnahme vorinstallierter Thomas-Krenn OPNsense Firewalls
Zum Artikel
IOS 11 als OpenVPN Client konfigurieren
Zum Artikel