Lancom Router hinter Fremdrouter:
- TFTP 69 bzw. TCP 443 forwarden (Zum Verwalten des Lancom von extern + ggfs. SSL VPN)
  Die Konfigurationsports (HTTPS, HTTP, SSH, TFTP) können im LC WebConfig geändert werden.

IPSec forwarden:
- UDP 500 IKE (IPSec)
- UDP 4500 NAT Traversal
- (TCP 10.000)
- AH Protocol 50 – IPSEC phase 2 protocol (AH)
- ESP Protokoll 51 (IP Protokoll Nummer 51, nicht TCP oder UDP 50 !)
   (sollte ESP sich nicht forwarden lassen -> udp 4500)
- bei Verwendung von Dynamic VPN muss der UDP-Port 87 freigeschaltet werden.

UDP (OpenVPN, Wireguard) über Lancom Router:
- unter IP-Router / Maskierung: UDP Timeout größer (120s) stellen

Windows IPSec/PPTP Funktionalität:
- PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
- IKE Verhandlung = UDP 500
- GRE General Routing Encapsulation (Protokoll 47)
- ESP Encapsulating Security Payload (Protokoll 50)

Bei Zugang des VPN-Clients über Router muß "VPN Passthrough für IPsec (IKE,ESP)" im Router aktiviert sein. (= NAT Traversal)

Weitere Netze über VPN-Tunnel routen (Lancom):

Bsp.: Lan-A - LAN-B --VPN-- LAN-C
- Routing einrichten
- Lan C muß wissen, dass LAN A über LAN B erreichbar ist.
- LAN A muß wissen, dass es LAN C über LAN B erreicht.

Firewall-Regel auf VPN-Router LAN B:
- "Regel wird zur Erzeugung von VPN-Regeln heran gezogen".
- Aktion = "Accept".
- Verbindung von Station: LAN A
- Verbindung zu Station: VPN-Gegenstelle

Ein VPN-Tunnel kann eine Netzwerkverbindung auf Layer 2 (Bridge) oder Layer 3 (Route) aufbauen.
• Bridge: VPN- Clients und LAN sind im selben Netzsegment. Jeder Paketmüll wird auf VPN übertragen.
• Route/Tunneling: virtueller LAN-Adapter legt ein Transfer-Netz an, VPN über Routing-Regeln, Traffic kann auf lokal / VPN aufgetailt werden.

Portforwarding/Routing
Steht der VPN-Router hinter einem anderen Router, so müssen die entsprechenden VPN-Ports auf den VPN-Router geforwarded werden (siehe unten).
Außerdem ist ein Routing im DSL-Router auf das interne Transfernetz des VPN-Routers erforderlich!

• IPSec - seit 1993
  - proprietäre Software, Lizenz pro Client erforderlich
  - Mainmode (berücksichtigt WAN-IP der Gegenseite, sicherer) und AggresiveMode (kann dynam. IP)
  - Verschlüsselung mit PreShare oder Zertifikaten
  - NAT-Probleme können umgangen werden mit IPsec-Passthrough oder IPsec mit NAT-Traversal
  - Industriestandard. Breite Geräteunterstützung: Lancom, Lucom, Vigor, Fritzbox (nur IKE v1)
  - Windows OS: NCP-Client (Bintec, Lancom..), native Unterstützung mit Zertifikaten
  - Android OS: native Unterstützung je nach Version und Gerät, teils nur IKE v.1, mit Zertifikat
  - kein einheitlicher, geräteübergreifender Standard zum Austausch der Konfiguration
  
  
• Wireguard - seit 2015
  - Open Source / GPLv2-Lizenz
  - Client kostenlos und für alle Betriebssysteme verfügbar, seit 2020 direkt im Linuxkernel integriert (also auch embedded Devices)
  - modern, stabil, einfach konfigurierbar, roamingfähig, schlank und schnell (höhere Übertragungsgeschwindigkeit, geringere Latenz)
  - jede Verbindung hat eigene Public- und Private Key und funktioniert ähnlich wie SSH-Keys
  - jeder Public Key wird mit Liste erlaubter Netze verknüpft (Wildcard 0.0.0.0/0 bedeutet: alle Netze gehen durch Tunnel)
    In Versandrichtung verhält sich diese Liste wie eine Routing Tabelle.
    In Empfangsrichtung dient sie als Access Control List.
  - keine Zertifikate erforderlich, Key-Paar kann vom Router oder offline erzeugt werden
  - Server erstellt (je nach Gerät) fertige Conf-Datei oder QR-Code, der einfach am Client eingebunden wird
  - Clients bekommen statische IPs und der Access läßt sich individuell pro Gerät steuern
  - Default Port: 51820 (UDP), frei änderbar, problemlos über NAT
  - energieeffizient, kaum Daten im Leerlauf, geeignet für Mobilgeräte
  - viele Softwarelösungen: pfSense, OpenSense, OpenWRT
  - zunehemend mehr Geräte: Fritzbox ab FW 7.50, Vigor, GL.iNet, MikroTik (ab RouterOS 7), Lancom (ab 2026), OPNsense
  Sicherheit:
  - Windows Client läuft nur mit administrativen Rechten
  - Verbindung kann einfach exportiert und "gestohlen" werden
  Gut geeignet für Router-Router-Verbndungen oder im unkritischen Homebereich.
  
  
• OpenVPN - seit 2002
  - Open Source Software, Client kostenlos und für alle Betriebssysteme verfügbar
  - Verschlüsselung mit OpenSSL oder embedTLS, (Zertifikat und Preshare)
    (wahlweise: Server-Zertifikat, User-Zertifikat, Username+Passwort (auch aus LDAP/AD), 2-Faktor TOTP)
  - Transport flexibel, wahlweise per UDP oder TCP
  - Default Port: 1194 (UDP)
  - NAT ist kein Problem, weil OpenVPN weder IP-Adresse noch Portnummer authentifiziert
  - einfach konfigurierbar, langsam gegenüber IPSec oder Wireguard
  - erlaubt, dass sich mehrere Clients gleichzeitig mit demselben Server-Zertifikat anmelden. Dann können aber Clients nicht einzeln deaktiviert werden.
  - .ovpn ist ein fast einheitlicher Standard zum Übertragen der Konfiguration auf Clients (enthält die notwendigen "ca.crt", "client01.crt" und "client01.key").
  - verfügbar für alle Betriebssysteme (Debian, Ubuntu, MS Windows, macOS, Android und iOS)
  - Konfiguration lässt sich inclusive Zertifikate exportieren und auf der Gegenstelle importieren (Datei oder QR-Code, geräteabhängig)
  - breite Geräteunterstützung (Lucom, Lancom R&S Firewall, Fritzbox, Vigor, MikroTik, GL.iNet, OpenWRT, DD-WRT), OPNsense
  Anleitung: https://blog.hartinger.net/openvpn-einrichten-bei-einer-lancom-unified-firewall/
  Sicherheit:
  - Client incl. Zertifikate kann nachträglich nicht ausgelesen oder unbefugt exportiert werden
  Gut geeignet für Client-Anbindung im Business-Bereich.
  
  
• SSL
  - Verschlüsselung mit TLS und SSL, gute Verschlüsselungsstärke
  - nutzt nur Port 443 und funktioniert praktisch überall, kompatibel zu NAT
  - geringer Konfigurations- und Wartungsaufwand
  - kein Tunneling, ausschließlich für RemoteAccessVPN geeignet
  - normaler Browser dient üblicherweise als VPN-Client (Anwendung muß browserbasierend sein), über PlugIns auch Weiterleitung/Gateway auf andere Dienste möglich
  Geräte: Vigor, Lancom R&S Firewall
  
  
• L2TP over IPSec
  - funktioniert auf allen OS mit Boardmitteln
  - funktioniert ohne Zertifikate und ist einfach konfigurierbar
  - die Kombination von L2TP und IPsec hebt die Schwächen beider Protokolle gegenseitig auf
  Geräte: MikroTik, Vigor
  
  
• PPTP (veraltet)
  - unsichere oder keine Verschlüsselung
  - stabil, einfach, früher weit verbreitet

• Portforwarding: UDP-Port (51820) zum WG-Router (LAN-IP)
• Routing-Tabelle: WG-Transfernetz (192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
• Firewall: UDP-Zielport (51820) frei geben
• Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
• Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben
  (Bintec: "vollständige IP v4-Filterung" deaktivieren )

Wireguard-Client (Windows, Android)
- exportiert 'wireguard-export.zip' (die enthält für jede Verbindung eine '[verbindung].conf'
- importiert wahlweise einzelne 'verbindung.conf' oder 'wirguard-export.zip' mit allen Verbindungen
- vorhandene Verbindungen bleiben bei einem weiteren Import erhalten

Wireguard-Client (Ubuntu)
- GUI: Wireguird
- GUI: https://snapcraft.io/install/wireguard-gui/ubuntu#install

Anleitung: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wireguard-660620.html
  MikroTik: UK: VPN Wireguard mit MikroTik
  GL.iNet LTE: UK: GL.iNet Wireguard mit OpenWRT

Public Key und Private Key können auch unabhängig vom jeweiligen Gerät konfiguriert werden,
um eine .conf Datei für ein beliebiges Endgerät zu erstellen.

umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key

Weitere VPN Client (Peer) Schlüssel generiert man dann nur noch mit wg genkey | tee peer2_private.key | wg pubkey > peer2_public.key usw.

Beispiel der .conf Datei für den Peer1:

[Interface]
# Name = wireguard-server2.example
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = Client-peer1
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.188.0/24
# PersistentkeepAlive = 25

• Die importierte Verbindung heisst wie die .conf-Datei.
• #Name - Comment-Feld, nur informativ
• Address = Client: Client Adresse (192.168.200.3/32), Server: ganzes Subnetz (192.168.200.0/24), auch mehrere Subnets möglich
• PrivateKey = der jeweils eigene private.key, im Endgerät wird dann der Public-Key angezeigt
• ListenPort = UDP Port, auf den der Server hört
• Table = ggf. Routing Table
• PublicKey = gegenüberliegender public.key
• AllowedIPs = die Adressen die der Wireguard Server in den Tunnel routet. Wireguard nennt dies "Cryptokey Routing" was bewirkt das der Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernimmt.
  AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.
• Endpoint = [öffentl.Serveradresse]:Port  (nur beim Client, Port nicht vergessen!)
• PersistentkeepAlive = hält die Verbiundung offen, nur bei Clients hinter NAT

Site-to-Site VPN-Verbindung

• beide Seiten routen im Wireguard in das jeweils gegenüberliegende LAN mit einem Eintrag "AllowedIPs"
• ist der Wireguard-Router nicht das Standardgateway, muß das Standardgateway (oder der PC) ein Routing zum Zielnetz besitzen

Wireguard Server komfortabel unter Linux: -> Wireguard Easy
• WG-Server und Simple Use WEB-UI
• list, create, edit, delete, enable & disable Clients, Statistik (QR-Code oder Config-File)
• erfordert Docker

Wireguard Online Config Generator:

• Tool erstellt komplette .conf-Datei: https://www.wireguardconfig.com/
• Tool erstellt Schlüsselpaare: https://wg.orz.tools/

• UK: OPNsense Firewall
• UK: OPNsense Hardware
• OpenVPN Instanz Anleitung
• OpenVPN Anleitung (Windows/Linux) Administrator.de
• OpenVPN Forum
• https://windgate.net/openvpn-site-to-site-using-ssl-tls-certificate-based-authentication-between-multiple-sites-with-opnsense/
  https://sysadmin102.com/2024/03/opnsense-openvpn-instance-remote-access-ssl-tls-user-auth/

Tip:
• .OVPN (Windows) oder .CONF (Linux) -Datei kann manuell nachkonfiguriert werden.
(oder Client-Export: Custom Config)
Parameter: https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

• VPN "Timeout bei Inaktivität" steht per Default auf 0 (deaktiviert)
  Client-Verbindungen werden per Default alle 24 Stunden getrennt.
  inactive 3600  - kann in Sekunden konfiguriert werden
  
  
• static-challenge "Time-based one-time password:" 1
  Windows-GUI zeigt mit diesem Wert dritte Zeile für den TOTP.
  Damit ist es möglich, das Passwort zu speichern.
  (Wenn der User das Passwort gar nicht kennt, kann er den Client nicht auf andere Geräte überspielen)
  
  
• remote <router_wan_ip> 1194   -> Remote OpenVPN Servername oder IP Addresse

• redundante Dual WAN Verbindung:
  Der Client nimmt bei Ausfall des ersten Eintrages dann sukzessive die folgenden Server Einträge.

getestet:
...
remote <router_wan_ip_1> 1194 udp
remote <router_wan_ip_2> 1194 udp
remote <router_wan_ip_3> 1194 udp
...
remote-random  - Reihenfoge zufällig
resolv-retry 60  - Timeout bis zum Wechsel zur nächsten Verbindung

nicht getestet:
...
proto udp4
<connection>
remote <router_wan_ip_1> 1194
</connection>
<connection>
remote <router_wan_ip_2> 1194
</connection>
ca CA.crt
...

VPN-Server:

• Split-Tunneling oder Gateway
  push "route 192.168.188.0 255.255.255.0"  -> überträgt nur den Traffic des lokalen LAN
  oder
  push "redirect-gateway def1 bypass-dhcp"  -> überträgt allen Traffic über VPN
  
  
• client-to-client  - erlaubt Kommunikation zwischen VPN-Clients (Default: nicht erlaubt)

OpenVPN unter Linux (Debian Cinnamon):

• sudo apt-get install network-manager - Network Manager nachinstallieren (ist eigentlich da)
• sudo apt install network-manager-openvpn-gnome  - OpenVPN Plugin im NetworkManager installieren
• Linksklick auf Netzwer Manager:
  Netzwerkeinstellungen – von Cinnamon bereitgestellt (daher ist es nur in dieser Desktop-Umgebung vorhanden)
  Netzwerkverbindungen – von NetworkManager bereitgestellt (daher ist es in jeder Distribution mit NetworkManager vorhanden)
• Netzwerkverbindungen: OVPN Profil importieren
• Verbindung herstellen in Netzwerkeinstellungen oder im Systray
• 2FA + Kennwort muß in ein Feld!

• Standardmodul der OPNsense, VPN auf Basis von Pre-shared keys, Zertifikaten und/oder Username/Password, bei Bedarf mit TOTP-MFA
• OpenVPN läuft u.a. auch auf Router-OS OpenWRT und allen gängigen Desktop-OS
• guter Client für Windows und Android, Linux siehe ganz unten
• OpenVPN arbeitet auch bei Site-to-(Multi)Site Verbindung immer mit Client + Server
  * nur der Server benötigt eine feste IP
  * jeder Client bei Multisite bekommt einen eigenen Port
• Hinweis: Windows erlaubt per Default kein PING aus entfernten Subnetzen
• Best Practice: VPN gehört auf das Gateway (Firewall/Router)
• Hinweis: für TOTP ist eine genaue Zeit wichtig (Zeitserver!)
• ab FW 23.7 neues Konzept "Instanz" (oben), "Legacy Server" (unten) ist depretched

OpenVPN Clientverbindung mit Username - Passwort - Zertifikat - Key - TOTP erstellen
Instanz-Konzept (FW 25.1.4)

1. Zertifizierungsstelle einrichten

• OPNsense: System -> Trust -> Authorities
• Vorgehen: Erstelle interne CA
• Beschreibung: OpenVPN-CA
• Herausgeber: selbstsigniert
• Lebenszeit: lange
• Allgemeine Angaben ausfüllen
• Common-Name nicht vergessen
  (keine dt. Umlaute verwenden!)

2. Serverzertifikat erstellen

• OPNsense: System -> Trust -> Zertifikate
• Vorgehen: Erstelle internes Zertifikat
• Beschreibung: OpenVPN-Server
• Typ: Serverzertifikat
• CA/Herausgeber: OpenVPN-CA (von oben)
• Lifetime: lange
• Common-Name nicht vergessen
  (keine dt. Umlaute verwenden!)

3. TOTP-Server einrichten (nur wenn OTP gewünscht)

• OPNsense: System -> Access -> Server
• Beschreibung: TOTP-Server
• Typ: Lokal (oder LDAP) + Zeitbasiertes Einmalpasswort
• Umgekehrte Tokensortierung: nicht mehr anhaken
  - bei 3-zeiliger OTP-Angabe passen die Felder
  - beim Testmenue: Kennwortfeld= TOTP+Passwort (TOTP zuerst!)

4. User einrichten

• OPNsense: System -> Zugang -> Benutzer
• Benutzername + Passwort festlegen
• Ankreuzen: Benutzerzertifikat erstellen
• nur bei OTP: Ankreuzen: OTP Seed erstellen
  • OTP QR-Code nach Erstellen auf 2FA-Gerät übertragen
• Speichern -> es öffnet sich der Assistent für ein neues Zertifikat
  falls nicht: "Search Zertifikat by User" anklicken -> add Zertifikat
• Vorgehen: Erstelle ein neues internes Zertifikat
• Beschreibung: Username
• Typ= Client Zertifikat
• CA/Herausgebeber: OpenVPN-CA (von oben)
• Common-Name nicht vergessen
  (keine dt. Umlaute verwenden!)

5. VPN Static Key erstellen

• OPNsense: VPN -> OpenVPN -> Instances -> Static Keys
• Beschreibung: OpenVPN_key
• Modus: auth
• Generate new

6. VPN Server erstellen (mehrere Server mit eigenen Ports oder lokalen Zielbereichen möglich)

• OPNsense: VPN -> OpenVPN -> Instances
• Rolle: Server
• Name= OpenVPN-Server
• Protocol: UDP
• Port (Default=1194) ggf. ändern
• Typ: TUN
• Server (IPv4): 10.10.0.0/24 (Bsp) - VPN Transfernetz
  Die OPNsense bekommt die erste Adresse (hier: 10.10.0.1).
• Netzstruktur: Subnet
• Zertifikat: OpenVPN-Server
• Client-Zertifikate prüfen: erforderlich (sonst wird der Client als UNDEF angezeigt)
• Zertifikatstiefe= EINS (Client+Server)
• TLS static key: OpenVPN_key (von oben)
• Authenifizierung: Local Database (oder bei TOTP: TOTP-Database)
• Zeit bis Neubestimmung (Renegotiate time): - (bei TOTP= 0) sonst Default= 3600 (1 Std) lassen - Zeit, nach der der Handshake aufgefrischt wird
• Auth Token Lifetime: - (bei TOTP= leer) - Zeitwert, bei dem der TOTP-Token neu abgefragt wird
• Lokales Netzwerk: -  (192.168.10.0/16 - kommagetrennte Liste der lokal ereichbaren Netze oder Netzbereiche)
• Entferntes Netzwerk: - (nur bei LAN-LAN)
• Options: client-to-client
• Redirect Gateway: local
• ggf. DNS-Server

7. Schnittstelle anlegen

• OPNsense: Interfaces -> Assignments
• Assign new interface: OpenVPN-Server
• Schnittstelle aktivieren

8. Firewallregeln

• OPNsense: Firewall -> Regeln -> WAN
  • Neue Regel: IN / Allow / Schnittstelle: WAN / TCP: IPv4 / Protokoll= TCP/UDP / Ziel = WAN address / Ziel Port= 1194 (OpenVPN)
    (Erlaube: WAN -> Firewall)
• OPNsense: Firewall -> Regeln -> LAN
  • Neue Regel: IN / Allow / Schnittstelle: LAN / TCP: IPv4 / Quelle= any / Ziel = any
    (Erlaube: Firewall -> LAN)
• OPNsense: Firewall -> Regeln -> OpenVPNServer
  • Neue Regel: IN / Allow / Schnittstelle: OpenVPNServer / TCP: IPv4 / Protokoll= any / Quelle: OpenVPN net / Ziel = any
    (Erlaube: OpenVPN)
• Liveansicht hilft

9. Client exportieren

• OPNsense: VPN -> OpenVPN -> Clientexport
• Verwendete Konfiguration= gewünschter OpenVPN-Server
• Export: FileOnly
• Hostname= DSL-Gateway (IP oder DNS-Name)
• Server-Subject überprüfen: anhaken
• Custom Config (kann auch manuell in ovpn-File editiert werden)
  - inactive 3600  - trenne nach 1 Std statt 24 Std.
  - static-challenge "Time-based one-time password:" 1 - Client-GUI zeigt 3 Zeilen für User, Passwort, OTP
• Download:
  -> Username.ovpn (enthält VPN-Konfiguration, Key und alle Zertifikate)
  -> OpenVPN-Server.ovpn (VPN-Konfiguration ohne Userzertifikat, Verbindung kann für unterschiedliche User genutzt werden)

10. Client für das gewünschte Betriebssystem einrichten

• OpenVPN-Client laden und installieren
  https://openvpn.net/client/
• Download (Export) als Profil importieren
• Verbindung sinnvoll umbenennen
• Verbindung herstellen mit Username und Passwort +ggf. TOTP

Tips und Hinweise

• Wenn man die Client-Zertifikate nicht überprüft, kann man ein Verbindungsprofil für mehrere unterschiedliche User nutzen.
  - OpenVPN Instance: Verify Client Certificate = "none", Certificate Depht = "One"
  - Client-Export: OpenVPN-Server (also nicht User)
  - der User wird am VPN-Server als UNDEF angezeigt
  
  
• bei Verbindungsabbrüchen: Instance oben li: "advanced Mode" aktivieren
  - Keep alive interval: 10
  - Keep alive timeout: 60
  
  
• zwei Verbindungen mit einem Verbindungsprofil auf verschiedenen Geräten erlauben
  - OpenVPN -> Instances -> Instance wählen: Options = duplicate-cn

• Open Source, Entpacken mit Windows Boardmitteln (Explorer) möglich
• Verschlüsselung mit Passwort
• dateiweise oder ordnerweise Verschlüsselung
• keine direkte Bearbeitung im Archiv möglich
• Tip: AES-256 auswählen

• kompatibel und potentieller Nachfolger von Truecrypt
• Frankreich, Open Source
• Verschlüsselung mit Passwort
• bei Containern keine differentiellen Backups möglich
• kann komplette Windows-Partitions im UEFI-Mode verschlüsseln. (eingeschränkt bei Secure Boot)
     https://veracrypt.codeplex.com/

• Hersteller: Microsoft, USA
• Dateien und Ordner verschlüsseln mit Benutzerzertifikat
• einfache Bedienung, im System integriert
• Freigabe für mehrere Personen möglich, muß vom Nutzer selbst konfiguriert werden
• Datei- und Ordnernamen bleiben im Klartext erhalten
• differentielle Backups und Replikation sind möglich
• Datenverlust bei Verlust des Personenzertifikates (Userprofil defekt, Passwort-Reset, ActiveDirectory defekt)
• Sicherung des Userzertifikates und Domänenwiederherstellungs-Agenten möglich
• Lizenz ist in allen Windows Prof. Versionen enthalten
• Die Lösung ist geeignet für Server im ActiveDirectory, weil hier die Nutzerdatenbank aufwändiger gesichert wird.
  Auf lokalen PCs oder Notebooks ist die Gefahr von Datenverlust zu hoch.

CryptSync - quelloffen von Stefan Küng
  - Open Source
  - praktische Oberfläche zum synchronisieren mit 7-Zip in die Cloud
  - Dateien können automat. mit CryptSync oder manuell mit 7-Zip entschlüsselt werden.

Boxcryptor - ehem. deutscher Hersteller, 12/2022: an Dropbox (US) verkauft
  - proprietärer Client, über den eine Zugriffs- und Lizenzkontrolle aus der Ferne erfolgt

Truecrypt - Freeware, altbewährt und sicher
  - Projekt wurde 2014 von der NSA angegriffen und von den Entwicklern eingestellt.
  -> zukünftige Betriebssysteme funktionieren ggf. nicht.
  - Verschlüsselung in einer Containerdatei, die als Laufwerk eingebunden werden kann.
Update 09/2015: eine gefährliche Sicherheitslücke wird im Windows-Treiber gefunden, mit deren Hilfe jeder Systemrechte erlangen kann. Der Hersteller patcht nicht mehr. Damit disqualifiziert sich Truecrypt für den weiteren Einsatz.

• Verschlüsselung per TPM-Modul, AD, USB-Stick oder Passwort
• Hersteller: Microsoft, USA, ggf. mit Hintertür für Ermittlungsbehörden (*)
• bei Defekt dieser Umgebung ist die Festplatte per Notfallschlüssel lesbar
• Lizenz ist in Windows 7 Ultimate oder Enterprise, Windows 8.1/10 ab Prof. und  Windows Server ab 2012 enthalten
• Bitlocker To Go ist geeignet für USB-Verschlüsselung unter Windows
• Bitlocker läßt sich für Reboots suspendieren und ermöglicht so Wartung und Updates (des Bootloaders)
  (*) siehe: Bitlocker

• Deutsche Software (für MS Windows), Peis auf Anfrage  (Miete und Dauerlizenz)
• Netzwerkfähig, multiuserfähig, mehrere gleichzeitige Zugriffe möglich
• Verschlüsselung mit Passwort, optional 2-Faktor-Auth. mit USB Smartcard Token oder Smartcard
• Integrierte Benutzerverwaltung unabhängig von Domänenbenutzern (mehrere Benutzer pro Freigabe, mehrere Freigaben pro Benutzer möglich)
• keine Abhängigkeit von Domäne und Windows Userverwaltung (PKI)
• Benutzer und Schlüssel liegt in 2 separaten, versteckten Dateien ".hicrypt.kf" und "hicrypt.bf" im verschlüsselten Verzeichnis
• Wiederherstellungsschlüssel für Disaster Recovery
• nur Dateiinhalte werden verschlüsselt, Ordner- und Dateinamen bleiben erhalten
• differentielle Backups und Replikation sind möglich
• Zugriff erfolgt über spezielle Client-Software, keine Serverkomponenten
• Datei ".hicrypt.kf" läßt sich nur löschen mit "DEL "\\?\C:\Verzeichnis\.hicrypt.kf " /F /A:S" oder beim manuellen Entschlüsseln des Verzeichnisses
• Keyfile-Datei ".hicrypt.kf" läßt sich nicht kopieren (Absicht)
• es wird eine Backup-Datei „hicrypt.bf“ kopiert, aus der man mit „reparieren“ + Assistent ein neues Keyfile erzeugen kann
• DFSRS Replikation des Key-Files funktioniert aber
• beim Entschlüsseln des Laufwerkes wird das Keyfile gelöscht

• Open Source, privat und kommerziell nutzbar, deutscher Hersteller
• für alle gängigen Betriebssysteme (mobile Apps kostenpflichtig)
• Client seitige Verschlüsselung vor dem Verlassen des Gerätes
• uneingeschränkte Anzahl Geräte
• speichert lokal, im Netzwerk oder mit jeder Cloud
• Multiuser-fähig (Duplikate bei Konflikt)
• kein Account notwendig, Schlüssel liegt beim Anwender
• kostenplichtige Team-Version mit User- und Gruppenmanagement, Audit-Log, AD-Anbindung, 2FA TOTP (Cloud oder Self-Hosted)
• dateiweise Verschlüsselung, auch Dateinamen und Pfadnamen, in einem Tresor-Ordner
• entschlüsselt Mapping des Ordners als virtuelles Laufwerk
• FS: WebDAV kann nur Dateien bis max. 4GB Größe, WinFsp funktioniert bei mir (in Windows) gut
• Datei "vault.cryptomator" enthält Informationen des Tresors (Schreibzugriff erforderlich, für Verzeichnisse reicht Lesen)
• Ubuntu: https://launchpad.net/~sebastian-stenzel/+archive/ubuntu/cryptomator - Installation+Aktualisierung über Repository

• SSH (System-> Settings -> Administration) aktivieren!
• Ausgesperrt? Firewall per SSH od. Shell deaktivieren: pfctl -d  (pfctl -e)
  
• System -> Configuration -> Backup: Backup-Count setzen, diese Backups lassen sich per SSH oder Shell über Punkt 13: Restore wählen
  
• Konfigurationsänderung greift nicht gleich? Firewall -> Diagnostics -> States -> Actions: "Reset State Table" + "Reset Source Tracking"
  (Firewall friert kurz ein)
• ICMP Redirect heisst bei OPNsense: Firewall -> Settings -> Advanced: Static Route Filtering --> Haken sollte i.Allg. gesetzt sein.

• Schnittstellen -> Devices -> VLAN
• VLANs werden pro Schnittstelle angelegt (mehrere VLANs pro Schnittstelle möglich, VLAN tagged)
  Schnittstelle selbst kann auch eine IP haben und ist UNTAGGED (Bsp. Management)
• VLAN-Bezeichner fängt immer mit vlan0 an (Tip: vlan0.20 für VLAN20)
• VLANs als Schnittstelle(n) zuweisen und IP für VLAN vergeben (Bsp: 10.10.10.1/24 -> 10.10.10.1 ist das Gateway), ggf. mit DHCP
• Firewallregel auf VLANxx anlegen: (Allow - VLANxx - In - whatever)
• VLANs werden automatisch ins WAN geroutet, nicht aber ins LAN
  Firewallregel auf LAN anlegen: (Allow - LAN - In - Destination= VLANxx Netzwerk - Dest.Ports= whatever)
• kein VLAN auf Bridges oder den beteiligten Interfaces möglich! (OPNsense ist kein Switch)
• siehe https://www.zenarmor.com/docs/

• Reporting -> Netflow: Listening Interfaces konfigurieren
• Capture local - anhaken (Auswertungen können auch an externe Destination gesendet werden)
• Reports werden in der Firewall angezeigt
• SNMP: System -> Firmware > Plugins: Net SNMP-Plugin installieren (Communitiy)
  dann Services -> NET-SNMP: aktivieren und konfigurieren
  - Observium: erkennt Ports+Traffic, Memory, CPU, Storages -> gut
  - Zabbix Template: OPNsense by SNMP laden https://www.zabbix.com/de/integrations/opnsense
  - Zabbix -> Data Collection -> Templates -> Import
  - Zabbix: Add Template "OPNsense by SNMP"
  - Zabbix: SNMP + IP konfigurieren (SNMP wird grün)
• Zabbix Monitor (passiv) Agent: (besser als SNMP, das ist aber etwas schneller)
  - Plugins (Community): os-zabbix74-agent installieren
  - System: Zabbix Agent aktivieren, Hostname, Zabbix-Server eintragen
  - Zabbix: Host -> Template= "FreeBSD by Zabbix Agent"
  - Zabbix: Host -> Agent + IP konfigurieren  (ZBX wird grün)  
  - Firewall konfigurieren (Port 10050 + 10051)

• jeder Port bekommt per Default ein eigenes IP-Netzwerk
• mehrere Ports als "Swich" verbinden (schlechte Performance, kein VLAN möglich):
  - vorher separates Management-Interface mit IP einrichten!
  - "Switch"-Schnittstellen zuweisen und aktivieren (ohne IP)
  - Schnittstellen -> Devices -> Bridge: neue Bridge mit allen gewünschten Interfaces erstellen (alle ohne IP)
  - Schnittstellen zuweisen: bridge0 für "LAN" zuweisen
  - Schnittstelle LAN: IP zuweisen
  Besser einen VLAN-fähigen Switch verwenden.
• mehrere Ports als LAGG bündeln:
  - LAG Member Interfaces dürfen im Interface Assignment nicht zugeordent sein
  - LAG Member Interfaces dürfen keine IP und/oder DHCP Bindung haben
  - Schnittstelle -> Devices -> LAGG hinzufügen, Schnittstellen auswählen
  - LAGG aktivieren, IP + DHCP konfigurieren
  - ggf. VLANs wie auf normalem Interface zuweisen
• LAN/VLAN auf verschiedene Ports verteilen (beste Performance)
• WAN: PPPoE auf OPNsense lastet die CPU stark aus (CPU nicht zu knapp wählen)
  - ggf. vor der OPNsense mit Exposed Host oder im Modem lösen

• freie Firewall-Distribution unter FreeBSD-Lizenz, Fork von pfSense
• wird von der niederländischen „Deciso B.V.“ als Sponsor und Co-Entwickler unterstützt
• kostenfreie Community-Edition und Business-Edition mit Support
• lauffähig auf PC, VM oder Router-Hardware mit 2 oder mehr Netzwerkkarten
• WAN: PPoE oder DHCP / stat. IP (kein Modem bzw. Medienkonverter)
• Multi-WAN (Failover, LoadBalancing oder statische Verteilung)
• Anmeldung mit lokalen Usern (auch mit integriertem TOTP), LDAP/AD, RADIUS, Voucher
• DHCP pro Interface (Option: "unbekannte Clients ignorieren")
• Firewall pro Interface mit Live-Ansicht
  - Redundanz (Master/Slave) möglich
• NG-Firewall Erweiterung mit PlugIn ZenAmor (zumindest die kostenlose Version immer installieren!)
  (Application Control, Webseiten nach Kategorien blocken, Cloud Reputation und Threat Intelligence, TLS-Inspection, detailliertes Reporting und Grafiken, AD-Anbindung, Secure-User-not-IP, optional zentrales Management)
• IDS/IPS, Router, SNAT, DNAT, DHCP, VLAN, Proxy, Antivirus, Captive Portal (alle Anmeldearten), Geoblocking...
• VPN:
  - Open VPN (Pre-shared keys, Certificate-Based Authentication, Username/Password Authentication, TOTP MFA)
  - IPSec IKEv1 / IKEv2
  - Wireguard Server / Client / Peer Assistent
  - PlugIns: Tinc (redundantes, robustes Mesh-Netz), ZeroTier (über zentralen VPN-Anbieter als Mittler), Cisco OpenConnect
• Zwei-Faktor-Authentisierung (TOTP) voll integriert (für Login, VPN, Captive Portal), Token wird vor / nach dem Kennwort eingegeben
• komfortable Zertifikatsverwaltung per GUI
• 07/2025: Version 25.7: OpenVPN und IPsec legacy moved (in PlugIns)

• UK: OPNsense Hardware
• UK: VPN-Strategie mit 2FA
• UK: OPNsense VPN OpenVPN
• UK: OPNsense VPN Wireguard
• UK: OPNsense VPN IpSec
• Servicepartner und eigene Plugins: https://opnsense.max-it.de
• Plugins-Liste: https://techcorner.max-it.de/wiki/OPNsense_-_Plugin-Liste
• Business-Service und Plugins: https://shop.opnsense.com/product-categorie/software_and_licenses/
• Roadmap: https://opnsense.org/about/road-map/
• SIP hinter OPNsense: https://www.tuxoche.de/2024/03/12/aufruestung-im-netz-voip-und-opnsense/
• (1) Buch: Der OPNsense-Praktiker, Enterprise-Firewalls mit Open Source von Markus Stubbig

• beherrscht standardmäßig IPsec, OpenVPN, Wireguard
• IPSec IKEv1 / IKEv2
  - LAN-to-LAN: UK: OPNsense: IPSec VPN
  - IPE v2 Verbindung zu mobilen Clients
• UK: OpenVPN mit OPNsense bietet Zertifikat/Key/User + OTP -Authentifizierung (MFA)
• UK: WireGuard VPN mit OPNsense, Peer-Assistent mit Config-Export und QR-Code
  (sehr schnell, robust und schlank)
• andere Verfahren (Tinc, Cisco OpenConnect) über PlugIn

• Default: Local Database
  - Nutzer werden direkt auf der OPNsense angelegt und verwaltet
  - TOTP kann pro Nutzer generiert werden oder selbst eingegeben werden
  
  
• RADIUS
  - einfache Kopplung per Windows Network Policy Server (NPS) zu Windows AD u.a. per Private Share
  - AD-Gruppe definiert einfach und zentral Berechtigunge-Gruppe der OPNsense
  - User erscheinen nicht sichtbar in der OPNsense (kein TOTP einbindbar)
  - mit FreeRadius können User und TOTP nur über separate PlugIn erstellt und synchronisiert werden
  - OPNsense kann FreeRadius Server per PlugIn selbst hosten (kein TOTP)
  
  
• LDAP (OpenLDAP, Microsoft AD, Novell eDirectory)
  - User werden direkt in die OPNsense importiert (veraltet!)
    1) LDAP ohne TOTP einrichten -> "Automatic user creation" (jeden User einzeln testen + rein holen)
    2) User wird importiert, TOTP kann festgelegt werden
    3) LDAP mit TOTP einrichten
  - TOTP kann pro LDAP-User automatisch erzeugt oder manuell in der OPNsense festgelegt werden (veraltet?)
    (https://www.youtube.com/watch?v=ovyEUm7SirA)
  
  - MS AD fordert LDAP per SSL/TLS und Zertifikat (OPNsense Ver. 26.1)
    - DNS und Firewallregeln (DNS+LDAP) zur Domäne einrichten
    - AD: Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate -> CA-Zertifikat -> exportieren -> Base-64-encoded X.509 (.CER)
      (Domänen-CA und Domaincontroller-> Computerzertifikate)
    - OPNsense Trust -> Authorities: Import CA-Zertifikat (CA und DC!)
    - OPNsense -> Access -> Servers -> LDAP-Server erstellen
    - IP=DNS-Name des DC, SSL - Encrypted, Port 636
    - Bind User DN: CN=AD-Bind-User,OU=User,DC=domain,DC=extension
    - Initial Template = AD
    - Authentication Containers -> Select  (wenn das klappt steht die Verbindung)
    - Extended Query= &(memberOf=CN=FW-OPNsense,OU=Gruppen,DC=domain,DC=extension)  - erlaubt nur Nutzern dieser AD-Gruppe Zugriff
    - Gruppe auf der OPNsense anlegen und als Default Group festlegen
    - "Automatic user creation" anhaken (User-Import aus alten Anleitungen gibt es nicht mehr)
• TOTP auf mehreren Geräten synchron ist möglich über manuelle Seed-Eingabe

• separate Firewall pro Interface (Paketfilter pf von FreeBSD)
  (Ausnahme: Floating Regeln gelten für alle Interfaces)
• Schnittstellen-Gruppen (Firewall -> Groups) erlauben Regeln für mehrere Schnittstellen
• Regeln immer im eingehenden Interface erstellen
• wird jeweils von oben nach unten abgearbeitet (speziell oder schnell abzuarbeitende - allgemein - drop)
  Default=First-Match: Regelwerk wird bei erstem Treffer beendet
• Firewall arbeitet verbindungsorientiert,- Antwortpakete sind automatisch erlaubt
• BLOCKIEREN = ohne Reaktion, für WAN
• ABLEHNEN/REJECT = informiert Sender, für friendly Interfaces
• Regeln möglichst simpel halten und im Kommentarfeld beschreiben
• Ports, Netzwerke und Geräte gruppieren (Aliase)
• zeitbasierte Regeln (Schedules) sind möglich (Freigabe WLAN, Freigabe E-Mail...)
• per Default hat Interface "LAN" eine "allowed all"-Regel, alle anderen Interfaces sind zu
• Best-Practice: Regeln clonen und auf andere Schnittstelle ändern+speichern
• Button "Inspect" (rechts oben in den Regeln) zeigt für jede Regel, wie oft sie aktiv war
• Anti-Spoofing blockt gefälschte IPs
  - OPNsense blockt von Haus aus IP-Adressen an einen Interface, die einem anderen Interface zugeordnet sind
  - eigene Anti-Spoofing-Regel (blockiert alle nicht definierten Netze): Regel LAN - IN - Blocke - Quelle= NICHT(!) "Meine-LAN-Netze"(Alias)
• GeoIP blocking nach Herkunftsland mit kostenlosem Plugin (Registrierung) für jede einzelne Regel möglich (VPN, WEB, Mail..)
• letzte Regel in jedem Interface sollte Deny-All-Regel mit temp. Protokollierung zur Fehlersuche sein
• >1000 Regeln ist "groß" und beeinflusst den Durchsatz (Default: max. 200.000 Regeln)
• Protokollierung von Regeln nur temporär(!) an, dauerhaft nur sparsam einsetzen (Durchsatz und Schreibzugriffe)
• wenn PING erlaubt sein soll: Firewall -> Automatisierung -> Filter: Erlaube - IN - ICMP (pauschal oder pro Interface oder Ziel)
• Liveansicht zum Test nutzen (nur wenn Protokollierung AN)
• Regeln überprüfen: (Firewall -> Diagnose -> Sitzungen) Alter des letzen Zugriffs, Traffic?
• Tip: Zugriff auf LAN (any Destination) soll nicht gleichzeitig Zugriff auf alle anderen lokalen Netze erlauben
  Alias: Lokale_Netzwerke anlegen (alle verwendeten lokalen Netzwerke)
  Regel "Webzugang" Destination = (!)Lokale_Netzwerke (Invert)
  
  
• Praktisches Beispiel
  Internetzugang aus "LAN-Buero" (für Gruppe von IPs) erlauben
  
  *Aliase (Firewall -> Aliase):
  1) Internet-Ports definieren
  - Name: _P_WEB_Zugang, Typ: Ports, Inhalt: 53, 853 (DNS), 80, 443 (HTTP/S)
  (ggf. analog Regel für E-Mail, Filezugriff usw.)
  2) Management-Ports definieren
  - Name: _P_Management, Typ: Ports, Inhalt: 22 (SSH), 80, 123 (NTP), 443 (HTTP/S)
  3) Internet-Hosts (im LAN-Buero) definieren
  - Name: _H_BUERO_Internet, Typ: Hosts, Inhalt: 10.12.0.66, 10.12.0.67 (IP der Internet-Hosts)
  4) alle genutzten lokalen Netze definieren
  - Name: _N_Lokale_Netze, Typ= Network, Inhalt: 10.12.0.0/24, 10.12.5.0/24..
  
  *Rules (Firewall -> Regeln -> LAN-Buero):
  1) Management erlaubt
  - Name: Management, Allow - IN - LAN-Buero - IPv4 - TCP/UDP / Source: VLANBuero.NET, Destination: This Firewall, Dest.Ports: _P_Management(Alias)
  2) Internet erlaubt (nur WEB-Ziele, nicht(!) Nachbarnetzwerke)
  - Name: Internetzugang, Allow - IN - LAN-Buero - IPv4 - TCP/UDP / Destination: NICHT(!) _N_Lokale_Netze (Alias), Dest.Ports: _P_WEB_Zugang(Alias)
  3) Drop-All + Protokoll (ganz unten!)
  - Name: Drop-All, Blocke - IN - LAN-Buero - IPv4 - any / Ziel: any, Protocol

V 26.1 (02/2026)

• neue Firewall
  - "Rules(new)" = neue Firewall, Konvertierung erforderlich
  - Speicherort: /usr/local/etc/suricata/conf.d/
  - "Rules" = alten Rules funktionieren weiter
  - NAT Rules und Firewall Rules nutzen die selbe Engine
  - Port Forward = Destination NAT
  - Policy Routing nutzen Normal Rules Editor
• Services / DNSMasq ist jetzt DEFAULT für DHCP
• ISC DHCP ist jetzt ein Plugin (depretched) -> DHCP zu DNSMasq (od. KIA) umziehen!
• IDS / IPS schneller und zuverlässiger
• viele Plugin-Updates aktualisiert

V 25.7.11

• neu: HostWatch Interfaces / Neighbors / Automatic Discovery (-> der default enabled)
  speichert lokal in SQLlite

* Versionsübersicht bei Thomas-Krenn
* OPNsense Roadmap
* OPNsense Blog - Versionen vorgestellt

Ab Fw 10.94 integriert Lancom VPN per Wireguard in die VPN-fähigen Router.
Damit ist VPN besonders zu Android-Geräten wieder deutlich einfacher möglich.

Lancom Router bieten (Stand 02/2026) keine Hardware-Beschleunigung, d.h. Wireguard ist bei Lancom langsamer als IPsec.

Unter Windows ist der Wireguard Client relativ alt und arbeitet nur mit Admin-Rechten.

Wireguard ist OpenSource, trotzdem zählt Lancom die Wireguard-Verbindungen in seinen kostenpflichtigen Verbindungen mit.

Für jede neue Verbindung ist ein neuer Port erforderlich.

Lancom arbeitet wie auch bei IPsec ohne Transfer-Netz, der Client bekommt eine statische IP aus dem Router-LAN.
Der Einsatz eines dedizierten Tunnelnetzes ist üblicher und stabiler.

LANconfig kann einen QR-Code für die Gegenseite erzeugen.

Lancom Router (Test: FW 10.94)

LANconfig 10.94 hat noch keinen Assistenten für Wireguard.
Für jede Verbindung muß ein separater Port verwendet werden!

• VPN -> Wireguard -> WG aktivieren, Cookie Challenge wenn möglich aktivieren (erhöht die Sicherheit)
• Verbindung erstellen
  • Local Private Key: Schlüssel erzeugen
  • Peer Private Key: nicht erforderlich, nur für die QR-Konfig
  • Preshared Key: Optional, bei Bedarf und je nach Gegenstelle erzeugen (R&S Firewall: leer lassen)
• Peer Konfig erzeugen: zeigt den eigenen Public Key (für Gegenseite), Fenster über "X" wieder schließen
  • Peer Public Key: Public Key der Gegenseite eintragen
• IP-Router: IPv4 Route zum Zielnetz hinzu fügen, WG-Router von oben  (Maskierung aus)
• es gibt kein Tunnelnetzwerk bei Lancom
  • Peer: Tunneladdress = Allowed IPs (Pflicht) - bei Lancom über Routing Tabelle
  • Instance: Tunneladdress = optionale Tunneladresse (Gegenseite)

Gegenseite (OPNsense, R&S Firewall)

• WG Instanz erstellen
  • IP-Adresse: freies Tunnelnetz (Bsp. 10.10.10.1) - muß nicht auf der Gegenseite hinterlegt werden
  • Konfiguration wie üblich (Public Key auf Gegenseite hinterlegen)
  • Erlaubte IP-Adressen: Netzwerk(e) der Gegenseite in CIDR-Schreibweise
• WG-Peer (ohne Generator!) erstellen
  • Public Key: Kopiere public key von Lancom Router
  • Pre-shared key: optional
  • Allowed IPs: Netzwerk(e) der Gegenseite in CIDR-Schreibweise  (keine Transfernetz-Tunneladresse)
  • Endpoint address: 10.1.102.252 (Public WAN IP)
  • Endpoint port: 51820 (o.a.)
  • Instances <von oben>
  • Keepalive interval: 25
• Firewall konfigurieren

• UK: Lancom-R&S Firewall Wireguard
• Lancom KB: Konfiguration Wireguard Client-to-Side Verbindung zwischen Lancom Router und Android Client
• Lancom KB: Konfiguration Wireguard Site-to-Site Verbindung zwischen Lancom Router und R&S Firewall

Beispiel-Daten:
Tunnelnetz: 10.10.10.0/24
Standort A:

• OPNsense-A (Version:25.1.1)
• LAN-A Netz: 192.168.10.0/24
• Tunnelnetz IP: 10.10.10.1/32

1) WireGuard Instance auf OPNsense-A einrichten -> WG-Server

• VPN –> WireGuard –> Instances: “Enable WireGuard” + Apply
• Add Instance
• Name: “wg-server-51820”
• Public/Private-Keypair erzeugen lassen (auf das Zahnradsymbol klicken).
• Listen port: 51820/udp (o.a.)
• Tunnel address: erste IP-Adresse des Transfer-Netzes (Bsp: 10.10.10.1/24)
• Peers: Nothing
• Save.

2) WireGuard Peer auf der OPNsense-A einrichten (Peer generator) -> WG-Client

• VPN –> WireGuard –> Peer generator
• Instance <wg-server-51820> aus Punkt 1 wählen
• Endpoint: 170.5.40.3:51820 (Endpoint address:Port von OPNsense A)
• Name: “Handy-1”
• Public/Private-Keypair erzeugen lassen (auf das Zahnradsymbol klicken).
• Address: 10.10.10.11/32  (Tunnel-IP der Nebenstelle)
• Pre-shared key: optional
• Allowed IPs: 192.168.10.0/24 (Routing-Regel + Access-List, alle IP-Netze der Gegen-Seite, alles durch den Tunnel: 0.0.0.0/0)
• Keepalive interval: 25
• Config kopieren, QR-Code sichern
• Save + Apply

Diese Konfig kann man nun für einen Client nutzen.
Weitere Clients einrichten: Tunnel-Address hoch zählen, neuen Name vergeben, sonst identisch.

3) Assign und Enable WG-Interface "wg"
  (bei Client - Server nicht erforderlich)

- Interface - Assign - WG-Server + Enable
- Interface -> WAN:

• Block private networks: deaktivieren
• Block bogon networks: deaktivieren

4) Firewall
Rule "WireGuard (Group) gilt für alle WireGuard-Instanzen.

• Zugriff von der Gegenstelle zum LAN:
  Rule ALLOW, Interface: "wg" (wenn Interface Assigned) oder "WireGuard (Group)",
  Source: "WG net" oder “Single host or Network” auswählen und IP-Netz der Gegensteite (192.168.0.0/24)
• Zugriff vom LAN auf die Gegenstelle erlauben
  Rule ALLOW, Interface: LAN
  Source: “Single host or Network” auswählen und lokales IP-Netz (192.168.100.0/24)
  Destination: “Single host or Network” auswählen und IP-Netz der Gegenseite (192.168.0.0/24)
• Nur für die Server-Seite:
  Rule ALLOW, Interface: WAN, Protocol: UDP,
  Source: “Single host or Network” auswählen und wenn vorhanden: feste öffentliche IP der Gegenstelle eintragen. Bei dynamischen Adressen “WAN network” auswählen.
  Destination: "WAN address" oder “Single host or Network” auswählen und lokales IP-Netz (192.168.100.0/24)
  Dest.Port= 51820

“Normalization rule” anlegen

• Firewall –> Settings –> Normalization:”  Add Setting
• Interface: WireGuard (Group)
• Direction, Protocol, Source, Destination: any
• Description: “Wireguard MSS Clamping Site A”
• Max mss: 1380 oder weniger (“subtract at least 40 bytes from the Wireguard MTU”)
• Save + Apply changes

5) Test

• VPN -> WireGuard -> Status zeigt:
  * Wireguard-Server Instance (up)
  * WG Peer(s) (zeigt bei Verbindung last Handshake und Traffic)
  
  

Standort B: (Beispiel-Daten)

• OPNsense-B (FW: 25.1.1)
• LAN-B Netz: 192.168.20.0/24
• Tunnelnetz IP: 10.10.10.2/32

1) WireGuard Instance auf OPNsense-A einrichten - Server A
  siehe Punkt 1) oben

2) WireGuard Instance auf OPNsense-B einrichten - Server B

• VPN –> WireGuard –> Instances: “Enable WireGuard” + Apply
• Add Instance
• Name: “wg-server-b”
• Public/Private-Keypair erzeugen lassen (auf das Zahnradsymbol klicken).
• Listen port: 51820/udp (o.a.)
• Tunnel address: freie IP-Adresse des Transfer-Netzes (Bsp: 10.10.10.2/24)
• Save.

3) WireGuard Peer auf der OPNsense-A einrichten (ohne Peer generator)
  (Client für OPNsense B)

• VPN –> WireGuard –> Peers
• Name: “wg-peer-zu-opnsense-b”
• Public Key: Kopiere public key von Instanz der OPNsense-B
• Pre-shared key: optional
• Allowed IPs: 10.10.10.2/32 and 192.168.20.0/24 (Tunnel-Adresse und LAN address range der OPNsense-B) => Routen zur Seite B
• Endpoint address: 10.1.102.252 (Public WAN IP)
• Endpoint port: 51820 (o.a.)
• Instances <wg-server-51820>
• Keepalive interval: 25
• Save + Apply

4) WireGuard Peer auf der OPNsense-B einrichten (ohne Peer generator)
  (Client für OPNsense A)

• wie Punkt 3)
• Name: “wg-peer-zu-opnsense-a”
• Public Key: Kopiere public key von Instanz der OPNsense-A
• Allowed IPs: 10.10.10.1/32 und 192.168.10.0/24 => Routen zur Seite A
• Instances <wg-server-b>

5) Assign und Enable WG-Interface "wg"
  (wie Punkt 3) oben, auf beiden Seiten)

6) Firewall
  (wie Punkt 4) oben, auf beiden Seiten)

7) Test

• VPN -> WireGuard -> Status - wie oben (auf beiden Seiten)
• PING auf Transfernetz und LAN Gegenseite

• Hub&Spoke: ein Hub (WG-Master) hat mehrere Peers
  - einfach konfigurierbar
  - nur der Master muß statische IP haben
  - fällt der Master aus, gehen keine Verbindungen
• Mesh: jeder Node ist Master und hat Verbindungen zu allen Peers
  - mehr Konfigurationsaufwand
  - statische IP bei allen Teilnehmern erforderlich
  - alle Teilnehmer nutzen ein gemeinsames Transfernetz und Port
  - redundant
• Quelle: https://www.zenarmor.com/docs/de/netzwerksicherheitstutorials/wie-konfiguriert-man-ein-wireguard-mesh-vpn

• UK: OPNsense Firewall
• https://www.bedv.ch/opnsense-wireguard-site-to-site-vpn-einrichten/

Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems

OEM-Partner:
• Antivirus: Avira / DE -> US
• Antispam, Contentfilter, URL-Filter: Bitdefender / Ro

Gerätetypen: UF-60 (5 User)  ... UF-760 (200 User), auch als Virtual Appliances

Grundsätzliches:
* Alle (je nach Modell: 4...256) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion rechts in der Web-Oberfläche muß mit "Activate" aktiviert werden.
- Button blau ist nicht aktiviert.
* Regeln des Netzwerks werden auf untergeordnete Hosts oder Bereiche vererbt, dort können aber abweichende Regeln festgelegt werden.
* Passwort+Support-PW ändern: Firewall->Administrator-> Benutzer wählen "Kennwort-Änderung erforderlich nach nächster Anmeldung"
* RESET Button macht nur Neustart. Werks-Reset siehe unten.

Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= https://192.168.1.254:3438
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
- WAN: Default Gateway aktivieren, IP eingeben
- Network / DNS: ggf. DNS-Server hinterlegen
- Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen
Tip:
* alle Einträge lassen sich bequem über die Suche finden
* Desktopregeln als PDF exportieren (Managementbericht/Export)
* Ansicht kann gefiltert werden über Tag, IP, Port oder Interface
* es können mehrere Nutzer mit granularen Rechten angelegt werden

DNS
Viele Funktionen der Firewall arbeiten auf DNS-Basis. Zu langsames DNS führt häufig zu Funktionsfehlern.
- DNS-Informationen der Firewall von einem potenten DNS-Server holen, nicht vom vorgeschalteten Router
- direkten DNS-Verkehr über die Firewall blocken (manche Dienste haben fest verdrahtete DNS-Einträge und irgnorieren sonst die Firewall)
- DNS-Cache deaktivieren

Firewall-Konfiguration:
* für interne Zugriffe auf die Firewall ist keine Regel erforderlich (DNS, NTP, HTTP/S...)
* Objekte im Schaubild rechts anlegen:
- Create Internet Objekt erstellt WAN-Objekt. Activate.
- Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
  (Aktions-Pfeil: LAN-Objekt zu WAN, NAT genauso)
- rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
- rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.

• Host für einzelne Geräte/IP
• IP-Bereich für Bereiche (Drucker, Notebooks, IoT...)
• Host-/Netzwerk-Gruppe erlaubt mehrere IP/Geräte in einem Objekt

• DROP-Regeln gehen vor ALLOW-Regeln und lassen sich auch in Vererbung nicht überschreiben
• Regeln vererben sich über Netzwerk -> IP-Range -> Host
• Priorität: Host größer als IP-Range größer als Netzwerk

Dienste
Neben den vordefinierten Diensten können eigene Dienste auch mit mehreren Ports und Protokollen angelegt werden.
Mit Dienst-Gruppen können mehrere Dienste zusammengefasst werden.

NAT (Network Adress Translation)
- wird in jeder Desktop-Verbindungsregel einzeln gesteuert
- ist bei Regeln zum WAN per Default aktiviert
- Achtung bei Regeln zu einzelnen Servern im WAN (DNS o.ä.): NAT setzen, Regel meist nicht bidirektional lassen!

Portforwarding wird im Protokoll der Desktop-Verbindung (Hostobjekt zu WAN) konfiguriert.
Bsp: Dienst HTTP, Verbindungsrichtung drehen (von außen nach innen), NAT aus, DMZ/Port-Weiterleitung aktivieren
Quellport ist das Dienstobjekt, abweichender Zielport kann definiert werden.
Portforwardings können auch für Dienstgruppen eingerichtet werden.

Proxy-Konfiguration:
Der Proxy ist ein klassischer Man-in-the-middle und bricht gültige Zertifikatsketten auf.
Er ist für viele Funktionen unerläßlich, aber er ist eine Dauerbaustelle für Admins und ständiges Ärgernis der Anwender.
• Antivirus funktioniert nur mit aktivem Proxy (HTTP/S, FTP, EMail)
• URL-/ Contentfilter funktioniert nur mit aktivem Proxy (HTTP/S)
• Webstatistik geht nur mit Proxy
• Spamfilter, Blacklist/Whitelist funktioniert nur mit aktivem Proxy (EMail)
• Applicationfilter, IDS und IPS funktionieren auch ohne Proxy.

Hinweis:
* Der Proxy muss global und pro Verbindung aktiviert werden.
* Keine Firewall-Regel darf TCP Port 443 enthalten, sonst wird der HTTPS-Proxy ausgehebelt.

Proxy-Whitelist Syntax: "domain.com" -> nur Domain ohne Subdomains, ".domain.com" -> Domain incl Subdomains

Der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Weitere Proxy-Ausnahmen:
- Seiten mit Ende-Ende-Zertifikat (Grundbuch, KSA, Onlinebanking, MS WSUS, Windows Aktivierung, Firmwareupdates (VMWare, Lancom)...)
- Signal Desktop Client (.signal.org und .whispersystems.org)
- Microsoft Server- oder Office- Aktivierung

Zertifikate
• Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite). Das eigene Zertifikat der Firewall muß also auf alle Clients ausgerollt und im Browser als vertrauenswürdig hinterlegt werden (Eport PEM, in CRT umbenennen).
• Let`s Encrypt Zertifikate für Reverse Proxy und externes Portal (-> FX 10.10).


Einbinden des LCOS Root CA und LCOS Proxy-Zertifikates manuell oder per GPO:
• LCOS Root CA als vertrauenswürdige Stamm-CA
• LCOS HTTPS Proxy als vertrauenswürdiger Herausgeber
Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen


Einbinden manuell in Firefox: als Zertifizierungsstelle importieren.
Firewall-Zertifikate werden beim Reset gelöscht -> sichern!

Zertifikat für HTTPS-Webzugriff erstellen: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32983640

* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.

Unter Advanced: Proxy aktivieren.


* Import Zertifikate in Mobilgeräte ist problematisch.
ggf. IP-Bereich als Objekt definieren, HTTPS ohne Proxy

* E-Mail Proxy: POP3/SMTP- und IMAP-Proxy
* HTTP-, HTTPS-Proxy

URL-/Contentfilter
Um URL- und Contentfilter für HTTP- und HTTPS-Verbindungen zu verwenden, wird der HTTP-Proxy benötigt.
URL/Contentfilter wird für jede Firewall-Verbindung konfiguriert.
Um URL- und Contentfilter für DNS-Anfragen zu verwenden, muss der Web-Filter-Modus auf „DNS“ oder „Proxy und DNS“ gesetzt werden.
Falls Ausnahmen/Override erlaubt sein soll, in "Einstellungen" zentral erlauben.
- vordefinierte Kategorien
- eigene URL-Blacklist
- Blacklists für Dateiendungen (\.exe$)
- eigene URL-Whitelist
Konfiguration des BPjM-Moduls im Content Filter: URL/Contentfilter-Regel in Verbindung aktivieren, WEB-Filter-Modus= DNS
-> https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=128418084

UTM / Applikation Firewall:
Per Default: aus.
Vorteil: funktioniert ohne Proxy.
Nachteil: Der Application-Filter liefert keine definierte Block-Seite wie der Content-Filter, sondern der geblockte Aufruf schlägt fehl.
Dienst aktivieren, Filter-Profil erstellen, in Desktop-Verbindung Profil als Whitelist oder Blacklist definieren.

Die R&S Application Firewall wird u.a. auch von Barracuda genutzt und ist sehr leistungsstark.
Sie kann auch verschlüsselten Traffic über Layer-7 Mustererkennung verarbeiten und erkennt die Anwendung (Aliexpress, AmazonShopping, Apple Maps, Bitcoin, eBay, Facebook, Office365, GoToMeeting, Dropbox, OneDrive, Games, Modebus, Mail, Messenger, News, Peer-to-peer, RemoteControl, Tunnel, Streaming u.v.a.m.).
Unabhängig vom Application-Filter muß der entsprechende Port frei gegeben sein (Verbindungsregel), wenn die Applikation erlaubt sein soll.

Tip:
* Intrusion Detection (IDS) aktivieren, Intrusion Prevention (IPS) aber erst nach Hinzufügen der Ausnahmen! (IDS-Protokoll)
* Fehler, gesperrte Aufrufe usw. im Systemlog. Type=Error, Message=IP eingrenzen

Reverse Proxy
Will man über nur eine externe IP-Adresse verschiedene interne Ziele bei gleichem Port erreichen, nutzt man Reverse Proxy.
Der Reverse Proxy löst verschiedene Domain Namen auf einer IP-Adresse auf und routet sie an verschiedene interne Server.

• mehrere Domainnamen (mail.domain.de und web.domain.de) verweisen auf die selbe externe IP-Adresse
• im Router ist eine Portfreigabe von Port 443 und/oder 80 auf den Server eingerichtet auf dem der Reverse Proxy läuft
• der Reverse Proxy wertet die angefragte Domain aus und leitet dann beispielsweise entweder zum Exchange oder Webserver weiter

VPN Verbindung:
Die R&S Firewall erlaubt beliebig viele (!) IPSec VPN-Verbindungen IKE v1 und IKE v2.
Außerdem unterstützt die Firewall VPN Open-SSL / OpenVPN.
Seit FX 10.12 unterstützt die UF auch Wireguard.
Anleitung Wireguard: Lancom WiKi
Die Einrichtung des Advanced VPN-Client von Lancom (NCP) per IPSec wird in der Lancom KB beschrieben.
Anleitung für OpenVPN:
• https://blog.hartinger.net/openvpn-einrichten-bei-einer-lancom-unified-firewall/
• https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=42108821

• IPSec-Einstellungen: IPSec aktivieren
• virt. IP-Pools: Default IP-Pool konfigurieren (DNS) oder eigenen Pool anlegen
• Verbindung anlegen, Vorlage wählen, Tunnel und Authentifizierung konf.
• VPN-Verbinung: Konfig. exportieren
• Desktop-Objekt: VPN-Host erstellen
• Desktop-Verbindung(en) VPN-Host zu LAN-oder-Host definieren, Dienste frei geben

Netzwerksegmentierung/VLAN
Die Firewall kann intern nicht arbeiten, wenn alle Geräte im gleichen Netzwerk sind.
Routing über Netzsegmente ist erforderlich.
Da die physischen Ports beschränkt sind, heißt die Lösung VLAN.

• Netzwerk / VLAN interfaces anlegen
• Netzwerk / Verbindungen / Netzwerkverbindungen anlegen (Name, VLAN-Interface wählen, IP festlegen)
• Desktop-Objekt: Netzwerk erstellen, Name festlegen, VLAN-Interface und Netzwerk-IP auswählen

Routing
Die Firewall arbeitet auch als Router.
Unter Netzwerk / Routing können individuelle Routen (beispielsweise zu Transfer-Netzen hinter anderen Routern) angelegt werden.
Routen zwischen Netzwerkobjekten werden automatisch erstellt und sind verborgen (Nicht konfigurierbare Tabellen anzeigen).
Unabhängig vom Routing muß zu dem Netz auch eine Firewallregel angelegt werden.
Weitere interne Netze: ggf. RDP, DNS, SMB.. frei geben!

"Routing" zu anderen Routern im gleichen Netz (bei Lancom-Routern mit ICMP-Redirect) ist mir bei den UF nicht gelungen.
Lösung: Anderen VPN-Router in getrenntes Transfer-Netz hinter die UF.

Monitoring
Die Firewall kann max. 8 GB Monitordaten auf die interne HD speichern. Nach 6GB werden die ältesten Daten automatisch überschrieben.
Die letzten 500 Ereignisse werden angezeigt, für mehr Ereignisse: filtern.
• Alarmprotokoll: Traffic, geblockte Verbindungen
Im Alarmprotokoll können für jedes Ereignis individuell Regeln erstellt werden, wenn das Protokoll als Rohdaten gespeichert wird.

Backup / Daten
Im GUI-Backup ist nur der Config-Pfad enthalten, es fehlen die Zertifikate.
Das Backup erfolgt als passwortgeschützte ZIP-Datei, die sich wieder entpacken läßt.

SSH-Backup:

ssh gpadmin@Firewall-Internal-IP
sudo bash
cd /tmp
zip -r backup.zip /opt/gateprotect/etc

Datenpfade:
/opt/gateprotect/etc - Configuration
/opt/gateprotect/keys - Zertifikate
/opt/gateprotect/license - Lizenz

Dateien:
gprules.ini -> Firewal Rules
gpnetworkd.json -< Netzwerkkonfiguration, Interfaces, Routen ...

Fehlersuche
• Monitoring & Statistiken > Einstellungen: bsp: "Blockierter eingehender Verkehr" -> Rohdaten speichern
• Fehler provozieren
• Alarmprotokoll: Einträge "Connection Blocked" suchen
• Zahnrad rechts: neue Regel aus Eintrag erstellen

Werksreset:
Werksreset löscht auch die Lizenz aus dem Gerät! Lizenz vorher sichern!

• einfach über GUI (wenn Ports erreichbar und Passwort bekannt)
• wenn nichts mehr geht: USB-Stick -> automatische Installation (LCOS FX-ISO + UF-USB-Stick-Creator)
  Firewall geht danach aus. USB-Stick abziehen(!) und neu starten.

Versionshistorie:

• Release-Update FX 10.13 RU2  (05.12.2023)

• When using an IPSec connection and port forwarding at the same time, packets sent via the IPSec connection for the ports used in port forwarding were sent to the port forwarding destination instead of the actual destination. This led to restricted communication via the VPN connection.
• If the mail proxy was activated in the configuration of the Unified Firewall after an update to LCOS FX 10.13 Rel or 10.13 RU1, a mail server (e. g. Microsoft Exchange) could no longer receive e-mails. If the inbound proxy (SMTP-IN) was deactivated, e-mail reception worked again.
• An update to the Squid proxy has fixed a vulnerability in the web proxy that allowed attackers to smuggle data through the proxy using request/response packets in HTTPS 1.1 or ICAP.

• Relase-Update FX 10.13 RU1 (01.11.2023 - zurück gezogen / 10.11.2023):

• Erweiterung des WEB-GUI der Firewall: Desktop-Verbindungen zeigen auch geerbte Berechtigungen

• Release-Update FX 10.12 RU3 (09/2023):

• Schlüssel zum Betrieb der Avira Antivirus Engine wurden aktualisiert (keine Funktion ab 10/2023 ohne dieses Update!)
• Sicherheitslücke im Border Gateway Protokoll (BGP) behoben (CVE-2023-38802)
• diverse Fehlerkorrekturen in RU2

• Release-Update FX 10.12 RU1 (07/2023):

• Wireguard VPN
• Hardware-Monitoring (CPU, RAM, Festplatte) mit Zuordnung des Ressourcenverbrauches zu Features und Prozessen
• automat. E-Mail-Versand von Security Reportings
• DNS-basierte Firewall-Regeln (Regeln mit Host-Namen statt IP-Adressen)

• Release-Update FX 10.11 (02/2023):

• Wechsel des OEM-Partners für Antispam, Contentfilter und URL-Filter von Cyren/US (in Insolvenz) in Bitdefender/Ro

• Release-Update FX 10.10 (01/2023):

• Zertifikatsverwaltung > Let's Encrypt: können im Reverse Proxy Frontend bei aktiviertem SSL-Modus und im externen Portal der Benutzerauthentifizierung verwendet werden

• Release-Update FX 10.9 (08/2022):

• URL- / Content-Filter auf Basis von DNS ohne SSL-Inspection
  DNS-Abfragen, die über den DNS-Server der LANCOM R&S®Unified Firewall laufen, werden klassifiziert und gemäß ihrer Kategorien oder konfigurierter Black und Whitelists gefiltert. In den Desktop-Verbindungen wurde unter dem Tab "URL-/ Content-Filter" ein neues Auswahlfeld für den Web-Filter-Modus hinzugefügt. Es werden die gleichen Profile genutzt wie beim URL-/ Content-Filter über den HTTP-/ HTTPS-Proxy.
  - gefiltert wird auf der Domain, nicht auf der URL
  - es wird keine Blockpage angezeigt und ist nicht möglich, den Override-Modus zu nutzen
  - gefiltert wird nur, wenn die DNS Anfrage durch die Firewall geht
• BGP: unter Netzwerk > Routing: neuer Menü-Eintrag BGP
  Monitoring & Statistiken > BGP-Status
  

• Release-Update FX 10.5 (06/2020):

• IMAP-Proxy
• Content-Filter für ausgewählte Seite kann temporär deaktiviert werden
• individuelles Routing für mittels PACE2 DPI Engine erkannte Protokolle und Applikationen (über VPN, andere Internetanschlüsse, am Proxy vorbei..)

• LCOS FX 10.13 Benutzerhandbuch: https://www.lancom-systems.de/fileadmin/download/documentation/manuals/MA_LCOS-FX-10-13-User-Manual_DE.pdf
• Lancom LCOS
• Lancom Firewall FAQ: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925347
• Firewall Downloads (ISO, USB-Installer, MIBs): https://my.lancom-systems.de/mylancom/lizenzportal/downloads/
• Authentifizierung per Single Sign On an der Firewall: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=54952158
• Lancom VLAN (Router, Switche)

Pocket-Gehäuse, lüfterlos, industrietauglich, VESA-Halterung

• Glovary Firewall Quad Core N100, DDR5 8GB RAM 256GB NVMe SSD, AES-NI, TypeC Port
• DDR5 SO-DIMM 4800 MHz
• 6 x 2.5GbE i226V LAN
• 12V/36W DC Klinke
• 2x HDMI, 4x USB, 1x USB 3.2, 1x USB-C, TF Card Slot
• großer On/Off Taster, kl. Reset-Taster
• Fanless Alu-Gußgehäuse mit Kühlrippen, Betriebstemperaturbereich zwischen 0 und 60 °C.
  Für niedrigere Temperaturen sind an der Unterseite des Geräts vorgebohrte Lüfterlöcher für die Installation eines 12-V-4-Pin-Lüfters (80 x 80 x 10 mm) vorhanden. Im Lieferumfang sind ein 12-V-4-Pin-Lüfterkabel und Schrauben zur Lüfterbefestigung enthalten.
• incl. VESA Montageplatte
• Entf/F2-Taste -> BIOS, F7-Taste -> Boot-Menue
• CPUs ab 11. Generation unterstützen BIOS-Zugriff nur im UEFI-Modus
• Beim erstmaligen Einsetzen oder Austauschen eines neuen Speichersticks dauert es 5–10 Minuten, bis das Gerät den Speicherstick erkennt.
  Nach erfolgreicher Erkennung bootet das Gerät normal. Bitte haben Sie etwas Geduld.
• Sollte der Mini-PC nach längerem Gebrauch nicht mehr starten, drücken Sie bitte die BIOS-Reset-Taste am I/O-Panel oder entfernen Sie den Akku vom Motherboard, um ihn zu entladen. Setzen Sie ihn anschließend wieder ein, um den PC neu zu starten.
• Glovary bietet 1 Jahr Garantie und technischen Online-Support. Bei Problemen mit der Systeminstallation oder Treibern kontaktieren Sie uns bitte direkt.
• 

Pocket-Gehäuse, lüfterlos, industrietauglich, VESA-Halterung, Power-Klemmbuchse, 2x SFP+

• 2 x i226V 2.5GbE LAN, 2 x 10GbE SFP+
• 12V DC Klinke + 2pin Phoenix Klemmbuchse
• 1 x DDR5 SO-DIMM memory 4800MHz, 1 x M.2 2280 NVMe SSD slot, 1 x SATA 3.0 for 2.5" SSD/HDD (SATA 3.0 Cable Included)
• VESA Wallmount Platte
• 

Bsp: Industriegehäuse, lüfterlos, DIN-RAIL Halterung für Hutschienenmontage, 24V Schraubstecker

Bsp: 19" Firewall mit RJ45- und SFP+ Ports

• UK: OPNsense Firewall
• UK: VPN-Strategie mit 2FA