Sie sind hier: Home > Access > Wiki > OpenVPN-Tunnel (IPv4) mit pfSense 2.4(Anleitung)

• Seite
• Diskussion

• Quelltext anzeigen
• Versionen/Autoren

Aus Portunity Wiki

Version vom 16:45, 23. Mai 2019 (Quelltext anzeigen) Mah@portunity (Diskussion | Beiträge) (→Interface Hinzufügen) ← Zum vorherigen Versionsunterschied		Aktuelle Version vom 16:32, 2. Jun. 2021 (Quelltext anzeigen) Mgr@portunity (Diskussion | Beiträge) (→Openvpn Client Hinzufügen)
(Der Versionsvergleich bezieht 19 dazwischenliegende Versionen mit ein.)
Zeile 1:		Zeile 1:
		+	{{VPN2021-todo}}
	Diese Anleitung zeigt Ihnen, wie Sie auf einer pfSense unseren openVPN-Tunnel einrichten.<br>		Diese Anleitung zeigt Ihnen, wie Sie auf einer pfSense unseren openVPN-Tunnel einrichten.<br>
Zeile 7:		Zeile 8:
	<br>		<br>
-	Als erstes laden Sie sich bitte die, ''fertige OpenVPN'' Konfiguration für Windows, aus der ISP-Suite runter.	+	Als erstes laden Sie sich bitte die fertige OpenVPN-Konfiguration aus der ISPSuite runter.
	<br>		<br>
Zeile 15:		Zeile 16:
	Dazu unter '''System''' > '''Cert. Manager''' ein '''CA''' mit klick auf '''+Add''' Hinzufügen.<br>		Dazu unter '''System''' > '''Cert. Manager''' ein '''CA''' mit klick auf '''+Add''' Hinzufügen.<br>
-	* Method: Import an existing Certificate Authority<br>	+	* '''Method:''' Import an existing Certificate Authority<br>
-	* Descriptive name: Ist beliebig. Bei uns im Beispiel PortunityCA<br>	+	* '''Descriptive name:''' Ist beliebig. Bei uns im Beispiel PortunityCA<br>
-	* Certificate data: Dort bitte den Inhalt der '''ca.crt''' Datei aus der Fertigen OpenVPN für Windows einfügen<br>	+	* '''Certificate data:''' Dort bitte den Inhalt der '''ca.crt''' Datei aus der Fertigen OpenVPN für Windows einfügen<br>
	[[Image:System-Certificate-Manager-CAs-Edit.png | 700px]]		[[Image:System-Certificate-Manager-CAs-Edit.png | 700px]]
	<br>		<br>
Zeile 24:		Zeile 25:
	<br>		<br>
-	== Anlagen der Authentifikations Datei ==	+	== Anlegen der Authentifikations Datei ==
	<br>		<br>
	Um die Zugangsdaten in einer Datei zu hinterlegen, wählen Sie bitte unter '''Diagnostics''' > '''Edit File''' aus und tragen dort als Pfad <br>		Um die Zugangsdaten in einer Datei zu hinterlegen, wählen Sie bitte unter '''Diagnostics''' > '''Edit File''' aus und tragen dort als Pfad <br>
Zeile 51:		Zeile 52:
	* '''Password:''' Ihr Produkt-Passwort <br>		* '''Password:''' Ihr Produkt-Passwort <br>
	* '''TLS Configuration:''' Haken setzen <br>		* '''TLS Configuration:''' Haken setzen <br>
-	* '''Automatically generate a TLS Key: Haken entfernen ''' <br>	+	* '''Automatically generate a TLS Key:''' Haken entfernen <br>
-	* '''TLS Key: Hier bitte den Inhalt aus der '''ta.key''' einfügen <br>	+	* '''TLS Key:''' Hier bitte den Inhalt aus der '''ta.key''' einfügen <br>
	* '''TLS Key Usage Mode:''' TLS Authentication <br>		* '''TLS Key Usage Mode:''' TLS Authentication <br>
	* '''Peer Certification Authority: PortunityCA''' < das vorher erstellte Zertifikat <br>		* '''Peer Certification Authority: PortunityCA''' < das vorher erstellte Zertifikat <br>
-	* '''Client Certificate:''' none (Username and/or PAssword required)<br>	+	* '''Client Certificate:''' none (Username and/or Password required)<br>
-	* '''Encryption Algorithm:''' BF-CBC (128 bit key by default, 64 bit block)<br>	+	* '''Encryption Algorithm:''' AES-128-GCM (128-bit), alternativ AES-128-CBC<br>
-	* '''Enable NCP:''' Haken enternen <br>	+	* '''Enable NCP:''' Haken setzen<br>
-	* '''Auth digest algorithm:''' SHA1 (160-bit)<br>	+	* '''Auth digest algorithm: ''' SHA1 (160-bit)<br>
-	* '''Compression:''' Enable Compression (stub v2)[compress stub-v2] <br>	+	* '''Hardware Crypto: '''Einschalten, wenn verfügbar'''<br>
		+	* '''Compression:''' Disable Compression, retain compression packet framing<br>
	* ''' Custom Options:''' <br>		* ''' Custom Options:''' <br>
	<pre>		<pre>
	client;		client;
-	tun-mtu 1440;	+	link-mtu 1440;
-	fragment 1400;	+
	mssfix;		mssfix;
	auth-retry interact;		auth-retry interact;
	persist-key;		persist-key;
	persist-tun;		persist-tun;
-	ns-cert-type server;	+	remote-cert-tls server;
	verb 0;		verb 0;
	auth-user-pass /conf/portunity.login;		auth-user-pass /conf/portunity.login;
Zeile 78:		Zeile 79:
	<br>		<br>
	<br>		<br>
		+	[[Image:VPN-OpenVPN-Clients Edit1.png |700px]]
		+	<br>
		+	[[Image:VPN-OpenVPN-Clients Edit2.png |700px]]
		+	<br>
		+
	== Interface Hinzufügen ==		== Interface Hinzufügen ==
	<br>		<br>
	Jetzt müssen wir nur noch das erstellte Profil als Interface anlegen.		Jetzt müssen wir nur noch das erstellte Profil als Interface anlegen.
	<br>		<br>
-	Dazu bitte unter '''Interfaces''' > '''Assignments''' das neue Interface bei uns im Beispiel '''ovpnc1(portunityOpenVPN)''' mit '''+Add''' Hinzufügen und über die Einstellung (Klick auf ''OPT1'') setzzen wir den Haken bei '''Enable Interface'''.	+	Dazu bitte unter '''Interfaces''' > '''Assignments''' das neue Interface bei uns im Beispiel '''ovpnc1(portunityOpenVPN)''' mit '''+Add''' Hinzufügen und über die Einstellung (Klick auf ''OPT1'') setzen wir den Haken bei '''Enable Interface'''.
	<br>		<br>
-	Das Ganze wird wieder mit klick auf '''Save'' gesichert und mit einen anschließenden klick auf '''Apply Changes''' bestätigt.	+	Das Ganze wird wieder mit klick auf '''Save''' gesichert und mit einen anschließenden klick auf '''Apply Changes''' bestätigt.
	<br>		<br>
-	[[Image: Diagnostics-Edit-File-Zugansdaten.png|px700]]	+	[[Image: Status Dashboard.png|700px]]
	<br>		<br>
		+	Wenn Sie jetzt zum Dashboard der Pfsense wechseln sehen Sie unter Interfaces
		+	Ihren aufgebauten Tunnel mit der dazugehörigen IP.
		+
		+	[[Kategorie:Access]]
		+	[[Category:Access_Anleitungen]]
		+	[[Category:VPN-Tunnel (Tarif)]]

---

Aktuelle Version vom 16:32, 2. Jun. 2021

Diese Anleitung zeigt Ihnen, wie Sie auf einer pfSense unseren openVPN-Tunnel einrichten.

Inhaltsverzeichnis 1 Version 2 Einrichtung des Zertifikates 3 Anlegen der Authentifikations Datei 4 Openvpn Client Hinzufügen 5 Interface Hinzufügen

Version

• Firmware: 2.4.4-RELEASE-p3
  
• Datum: 23.05.2019

Als erstes laden Sie sich bitte die fertige OpenVPN-Konfiguration aus der ISPSuite runter.

Einrichtung des Zertifikates

Nachdem Sie sich in die pfsense eingeloggt haben, fügen wir das benötigte Zertifikat ein.

Dazu unter System > Cert. Manager ein CA mit klick auf +Add Hinzufügen.

• Method: Import an existing Certificate Authority
  
• Descriptive name: Ist beliebig. Bei uns im Beispiel PortunityCA
  
• Certificate data: Dort bitte den Inhalt der ca.crt Datei aus der Fertigen OpenVPN für Windows einfügen
  

Mit Klick auf Save speichern wir das Zertifikat.

Anlegen der Authentifikations Datei

Um die Zugangsdaten in einer Datei zu hinterlegen, wählen Sie bitte unter Diagnostics > Edit File aus und tragen dort als Pfad

 /conf/portunity.login 

ein und fügen dort, wie im Bild zusehen, Ihr Produkt-Loginname in die erste Zeile und das Produkt-Passwort eine zeile darunter ein.
Mit Save speichern.

Openvpn Client Hinzufügen

Nachdem wir das Zertifikat gespeichert und die Zugangsdaten Hinterlegt haben gehen wir in die VPN > OpenVPN Einstellungen.

Dort wählen wir Clients aus und fügen mit +Add einen neuen Client hinzu.

• Server mode: Peer to Peer (SSL/TLS)
  
• Protocol: UPD on IPv4 only
  
• Device mode: tun-Layer 3 Tunnel
  
• Interface: WAN
  
• Serverhost or address: Hier Tragen Sie Ihren OpenVPN-Server aus der ISPSuite ein.
  
• Description: Beliebig dient zur Wiedererkennung, bei uns im Beispiel PortunityOpenVPN
  
• Username: Ihr Produkt-Loginname
  
• Password: Ihr Produkt-Passwort
  
• TLS Configuration: Haken setzen
  
• Automatically generate a TLS Key: Haken entfernen
  
• TLS Key: Hier bitte den Inhalt aus der ta.key einfügen
  
• TLS Key Usage Mode: TLS Authentication
  
• Peer Certification Authority: PortunityCA < das vorher erstellte Zertifikat
  
• Client Certificate: none (Username and/or Password required)
  
• Encryption Algorithm: AES-128-GCM (128-bit), alternativ AES-128-CBC
  
• Enable NCP: Haken setzen
  
• Auth digest algorithm: SHA1 (160-bit)
  
• Hardware Crypto: Einschalten, wenn verfügbar
  
• Compression: Disable Compression, retain compression packet framing
  
• Custom Options:
  

client;
link-mtu 1440;
mssfix;
auth-retry interact;
persist-key;
persist-tun;
remote-cert-tls server;
verb 0;
auth-user-pass /conf/portunity.login;
redirect-gateway;

Anschließend mit Save Speichern.

Interface Hinzufügen

Jetzt müssen wir nur noch das erstellte Profil als Interface anlegen.
Dazu bitte unter Interfaces > Assignments das neue Interface bei uns im Beispiel ovpnc1(portunityOpenVPN) mit +Add Hinzufügen und über die Einstellung (Klick auf OPT1) setzen wir den Haken bei Enable Interface.
Das Ganze wird wieder mit klick auf Save gesichert und mit einen anschließenden klick auf Apply Changes bestätigt.

Wenn Sie jetzt zum Dashboard der Pfsense wechseln sehen Sie unter Interfaces Ihren aufgebauten Tunnel mit der dazugehörigen IP.