VPN mittels OPNSense

Hi Zusammen,

Ich habe es soeben hinbekommen, ein gegen das LDAP authentifiziertes VPN auf meiner OPNSense einzurichten. Hat da jemand Interesse dran? Dann setzt ich mich in nächster Zeit vielleicht mal an ne Anleitung :wink:
Das Ganze ist super einfach einzurichten und funktioniert mit allen denkbaren Geräten (Android, Apfel, Microsoft) dank guten Client Apps und unter Ubuntu ist der Client sogar schon eingebaut :slight_smile:
Auch Beschränkung auf bestimmte LDAP Gruppen klappt, soweit ich das beurteilen kann.

VG, Dorian

2 Like

Hallo Dorian,

ich halte VPN in der LMN 7 für notwendig, deshalb sollte man VPN zu den Features von LMN 7 hinzufügen.

Gruß und Danke für Dein Engagement

Alois

Hi, ich finde das auch super, fände aber Wireguard noch besser. Wir haben unter der OPNSense mittlerweile seit über einem Jahr alles über Wireguard eingerichtet und sind damit sehr zufrieden. Es ist wirklich viel performanter als OpenVPN und auch total einfach einzurichten. Wenn das auch mit LDAPS kombiniert werden könnte, wäre das der Knaller… kannst du das abschätzen, Dorian?

Viele Grüße,
Michael

Hi Michael,

Leider ist WireGuard nicht für Authentifizierung mittels ldap konzipiert.
Hier mehr Details: WireGuard user authentication - Server Fault

VG, Dorian

Hallo Dorian,
das wäre super, wenn Du das dokumentieren könntest ! Das Feature fehlte uns bislang in der Beschreibung / Handhabung - super.
Danke.
VG
Chris

+1
Ich hätte auch Interesse. Danke für deine Mühen!
Grüße
Michael

Hi. Also ist das „per Design“ nicht möglich? Wäre es denn denkbar, dass die WebUI (genau wie sie das schon zu 6.x- und IPFire-Zeiten gemacht hat), einen Teil der Arbeit übernimmt und das Client-Cert im User-Dir ablegt, während das Server-Cert auf der OPNSense abgelegt wird? Oder steht dem irgendwas im Wege?

Viele Grüße,
Michael

Hi Michael,

Leider nein, man müsste sich einen Workaround überlegen, in dem der Nutzer sein publickey mit der WebUI hochlädt.

Möglich ist das sicher, aber dadurch, dass OpenVPN ja out of the box funktioniert und WireGuard dadurch „nur“ eine Performance Verbesserung wäre, ist die Priorität sowas einzubauen meiner Meinung nach nicht extrem hoch, wir haben ja noch genug andere Baustellen. :wink:

VG, Dorian

Jein – es soll angeblich rund ein Faktor 4 sein, den Wireguard die Nase vorn hat … auch ich finde Wireguard wirklich spürbar flotter im Vergleich zu VPN. Deshalb würde ich nicht gerne zu OpenVPN zurückkehren. Wenn es „nur“ darum geht, den public key auf die OPNSense zu befördern, klingt das aber nicht völlig unlösbar :slight_smile: . Ich weiß aber nicht, ob man die Wireguard-Zugänge ggf per API verwalten kann?

Viele Grüße,
Michael

Hi Michael,

Ich schlage Folgendes vor:
Du kannst ja mal testen, ob das WireGuard Plugin für die OPNsense das tut, was du brauchst (installieren unter System > Firmware > Erweiterungen). Wenn das klappt, können wir mal schauen, ob die OPNsense API es zulässt, die Einträge für clients zu machen. Wenn das auch klappt, dann können wir auf die WebUI Entwickler zugehen und sie bitten, es einzubauen :slight_smile:

Vg, Dorian

Ja klar klappt das – sogar super gut! Ich „verwalte“ hier im Moment 13 Wireguard-Zugänge über die OPNSense. Die habe ich -sagen wir mal- „halb-automatisch“ angelegt (vgl hier → V7: Wireguard nochmal weitergedacht )

Wenn man das automatisieren oder für weitere User in die WebUI einbauen könnte, wäre das sicher eine gute Sache… ich weiß natürlich, dass Wireguard noch jung ist. Wir hatten aber (im Gegensatz zu VPN) bisher nie Probleme damit…

Viele Grüße,
Michael

Hi Michael,

Den Thread kannte ich noch nich, ich schau mir das am Donnerstag oder Freitag mal genauer an :slight_smile:
In deinem Eingangspost habe ich es nicht ganz verstanden, deshalb nochmal die Frage:
In deiner Anleitung: Haben die Lehrer und Schüler bei dir Zugang zur Opnsense? Wo generieren sie die Keys?

VG, Dorian

Hallo Dorian,

ich vermute, in der WebUI. So war das zumindest bis zur 6.2.

Viele Grüße
Steffen

Bisher hat da niemand Zugriff… Ich habe das bisher für die Kollegen, die den Zugang benötigen, alles selbst eingestellt…

Hallo Michael,

schade, dass das demnach nicht mehr über die WebUI abgebildet wird und die User das nicht mehr selbst machen können.

Viele Grüße
Steffen

??? Wieso das???

Hallo Michael,

Entlastung für dich :thinking:

Viele Grüße
Steffen

Hallo,

nur weil die WebUI das jetzt nicht kann, heißt das ja nicht, dass sie das nie können wird.
Die alte LMN konnte das ja auch nicht in ihren frühen Tagen: das kam irgend wann dazu.
Ich halte es durchaus für möglich, dass das mal wird.

LG

Holger

Sorry … hatte Dich falsch verstanden. Ich dachte, dass du die WebUI kennst.

Genau … es ist wahrscheinlich sogar gut, wenn die WebUI das macht!? Da könnte ein User seinen Zugang „anfordern“ und den Rest müsste dann auf der OPNSense vermutlich ein Cronjob mit root-Rechten erledigen…

Ich schau mir am Donnerstag oder so mal die opnsense api an, vielleicht geht das ja auch darüber, das weiß ich noch nicht.