Lange Zeit nutzen wir vorrangig LANCOM Router für VPN-Verbindungen.
Lancom ist ein deutsches Unternehmen, die Router sind zuverlässig, langlebig und nutzen IP-Sec VPN.
Allerdings haben die Geräte ihre Grenzen.
Lancom hat einen VPN-Client für Windows und MacOS, deutlich verspätet auch für Mac M1-Chips. Für Windows-Notebooks mit SOC-(KI)CPU, für Android und auch für Linux gibt es keine direkte VPN-Unterstützung.
Lancom-Router haben keine Nutzerverwaltung und keine Multifaktor-Unterstützung (2FA).
Modernere VPN-Verschlüsselungsprotokolle werden nicht unterstützt.

In den letzten Jahren löste ich die Kompatibilitätsprobleme und fehlende Clients mit Wireguard-VPN.
Wireguard ist Open-Source, modern und robost. Kostenlose VPN-Clients sind für alle Betriebssysteme verfügbar.
Als EU-Hardware kann beispielsweise der lettische Anbieter MikroTik eingesetzt werden.

Allerdings werden auch hier PreShares und Zertifikate fest im Client hinterlegt,- eine Authentisierung beim Verbindungsaufbau ist nicht vorgesehen.

Der aktuelle „Stand der Technik“ entsprechend DSGVO, Cyberversicherungen oder NIS2/Kritis fordert Zwei-Faktor Authentisierung zur Firmeneinwahl.

Problemlösung:

OPNsense Firewall und VPN-Gateway

  • Freie Firewall-Distribution unter FreeBSD-Lizenz, niederländischer Hauptentwickler
  • kostenlose Version und Business-Edition mit Support verfügbar
  • Hardware frei skalierbar für kleine Außenstellen, rauhe Industrieumgebung bis Multiport- HiSpeed-Router, mit SFP+ Modul oder LTE
  • inclusive Open-VPN, kostenlose VPN-Client für alle OS (keine VPN Lizenzkosten)
  • Zwei-Faktor-Authentisierung (TOTP) für Open-VPN voll integriert
  • Anmeldung mit lokalen Usern oder ActiveDirectory Domänen-Usern
  • leistungsfähige Multiport Firewall
  • Next-Generation Firewall zubuchbar (Application Control, Cloud Reputation…)
  • gemeinsam nutzbar mit bestehender Infrastruktur (parallel zu IPsec oder Wireguard)
  • Telefoniefunktionen, SIP oder DSL-Modem sind nicht integriert und erfordern separate Hardware

Hardware-Beispiele
:

OPNsense ist ein offener Standard und läuft zu jedem Einsatzzweck auf den passenden Geräten.

Bsp: Industriegehäuse, lüfterlos, DIN-RAIL Halterung für Hutschienenmontage, 24V Schraubstecker

Bsp: lüfterloses Gehäuse, 6-Port Firewall mit 2.5 Gb/s Ports