OPNsense: IPSec VPN
- Standardmodul der OPNsense
- Public+Private Key basierend
- Hinweis: Windows erlaubt per Default kein PING aus entfernten Subentzen
- ab OPNsense 23.7 neues Konzept "Connections", "Legacy Tunnel-Settings" ist depretched
Bsp:
LAN - LAN - Verbindung, Public Key
WAN A: 158.10.10.2
LAN A: 192.168.10.0/24
OPNsense A IP: 192.168.10.1
WAN B: 164.20.20.2
LAN B: 192.168.20.0/24
OPNsense B IP: 192.168.20.1
1. Key Pairs erstellen
- OPNsense A: VPN -> IPsec -> Key Pair -> add key pair (eigene Seite A)
- Name: Key Pair dieses eigenen Endpunktes A
- Key Type: RSA
- 2048bit, generate Key
- Public Key für Gegenseite B abspeichern
- OPNsense B: VPN -> IPsec -> Key Pair -> add key pair (eigene Seite B)
- Name: Key Pair des eigenen Endpunktes B
- Key Type: RSA
- 2048bit, generate Key
- Public Key für Gegenseite A abspeichern
2. Public Key der Gegenseite speichern
- OPNsense A: VPN -> IPsec -> Key Pair -> add key pair (Gegen-Seite B)
- Name: Public Key des zweiten Endpunktes B
- Key Type: RSA 2048bit
- Public Key von OPNsense2 / Key Pair des Endpunktes B rein kopieren
- OPNsense B: VPN -> IPsec -> Key Pair -> add key pair (Gegen-Seite A)
- Name: Public Key des zweiten Endpunktes A
- Key Type: RSA 2048bit
- Public Key von OPNsense2 / Key Pair des Endpunktes A rein kopieren
3. Connection erstellen
- OPNsense A: VPN -> IPsec ->Connections -> new Connection
- Prospsals: Default
- Version: IKEv1+IKEv2
- MOBIKE: aktiv
- Local addresses: WAN IP der eigenen Seite A (158.10.10.2)
- Remote addresses: WAN IP der Gegenseite B (164.20.20.2)
- Description: VPN zu Opensense B
- OPNsense B: VPN -> IPsec ->Connections -> new Connection
- Prospsals: Default
- Version: IKEv1+IKEv2
- MOBIKE: aktiv
- Local addresses: WAN IP der eigenen Seite B (164.20.20.2)
- Remote addresses: WAN IP der Gegenseite A (158.10.10.2)
- Description: VPN zu Opensense A
4. Local und Remote Authentication Seite A erstellen
- OPNsense A: VPN -> IPsec ->Connections -> Local Authentication -> Add
- Connection: "VPN zu Opensense B" auswählen
- Authentication: Public Key
- Public Key: "Key Pair dieses eigenen Endpunktes A"
- Description: OPNsense A key
- OPNsense A: VPN -> IPsec ->Connections -> Remote Authentication -> Add
- wie zuvor
- Public Key: "Public Key des zweiten Endpunktes B"
- Description: OPNsense B key
5. Local und Remote Authentication Seite B erstellen
- sinngemäß wie 4.
6. Child Seite A erstellen
- OPNsense A: VPN -> IPsec -> Connections -> Children -> Add
- Connection: wählen
- Local: LAN A (192.168.10.0/24)
- Remote: LAN B (192.168.20.0/24)
- Description: to_Seite_B
- OPNsense A: VPN -> IPsec -> Connections -> Enable IPsec
7. Child Seite B erstellen
- sinngemäß wie 6.
8. Verbindung testen
- OPNsense A: VPN -> IPsec -> Status Overview
9. Firewall-Regeln (OPNsense A und sinngemäß OPNsense B)
- OPNsense: Firewall -> Rules -> IPsec: ALLOW All
- OPNsense: Firewall -> Rules -> WAN: TCP/IP Version= IPv4, Protocol: ESP, Source: WAN B (164.20.20.2/32)
- OPNsense: Firewall -> Rules -> WAN: TCP/IP Version= IPv4, Protocol: UDP, Source: WAN B (164.20.20.2/32), Destination port range: ISAKMP
- OPNsense: Firewall -> Rules -> WAN: TCP/IP Version= IPv4, Protocol: UDP, Source: WAN B (164.20.20.2/32), Destination port range: IPsec NAT-T