VPN mittels OPNSense

dorian · 21. Februar 2021 um 20:34

Hi Zusammen,

Ich habe es soeben hinbekommen, ein gegen das LDAP authentifiziertes VPN auf meiner OPNSense einzurichten. Hat da jemand Interesse dran? Dann setzt ich mich in nächster Zeit vielleicht mal an ne Anleitung
Das Ganze ist super einfach einzurichten und funktioniert mit allen denkbaren Geräten (Android, Apfel, Microsoft) dank guten Client Apps und unter Ubuntu ist der Client sogar schon eingebaut
Auch Beschränkung auf bestimmte LDAP Gruppen klappt, soweit ich das beurteilen kann.

VG, Dorian

alois · 21. Februar 2021 um 21:01

Hallo Dorian,

ich halte VPN in der LMN 7 für notwendig, deshalb sollte man VPN zu den Features von LMN 7 hinzufügen.

Gruß und Danke für Dein Engagement

Alois

Michael · 22. Februar 2021 um 06:30

Hi, ich finde das auch super, fände aber Wireguard noch besser. Wir haben unter der OPNSense mittlerweile seit über einem Jahr alles über Wireguard eingerichtet und sind damit sehr zufrieden. Es ist wirklich viel performanter als OpenVPN und auch total einfach einzurichten. Wenn das auch mit LDAPS kombiniert werden könnte, wäre das der Knaller… kannst du das abschätzen, Dorian?

Viele Grüße,
Michael

dorian · 22. Februar 2021 um 07:11

Hi Michael,

Leider ist WireGuard nicht für Authentifizierung mittels ldap konzipiert.
Hier mehr Details: WireGuard user authentication - Server Fault

VG, Dorian

cweikl · 22. Februar 2021 um 08:08

Hallo Dorian,
das wäre super, wenn Du das dokumentieren könntest ! Das Feature fehlte uns bislang in der Beschreibung / Handhabung - super.
Danke.
VG
Chris

sedding · 22. Februar 2021 um 13:34

+1
Ich hätte auch Interesse. Danke für deine Mühen!
Grüße
Michael

Michael · 22. Februar 2021 um 14:00

Hi. Also ist das „per Design“ nicht möglich? Wäre es denn denkbar, dass die WebUI (genau wie sie das schon zu 6.x- und IPFire-Zeiten gemacht hat), einen Teil der Arbeit übernimmt und das Client-Cert im User-Dir ablegt, während das Server-Cert auf der OPNSense abgelegt wird? Oder steht dem irgendwas im Wege?

Viele Grüße,
Michael

dorian · 22. Februar 2021 um 14:13

Hi Michael,

Leider nein, man müsste sich einen Workaround überlegen, in dem der Nutzer sein publickey mit der WebUI hochlädt.

Möglich ist das sicher, aber dadurch, dass OpenVPN ja out of the box funktioniert und WireGuard dadurch „nur“ eine Performance Verbesserung wäre, ist die Priorität sowas einzubauen meiner Meinung nach nicht extrem hoch, wir haben ja noch genug andere Baustellen.

VG, Dorian

Michael · 22. Februar 2021 um 14:41

Jein – es soll angeblich rund ein Faktor 4 sein, den Wireguard die Nase vorn hat … auch ich finde Wireguard wirklich spürbar flotter im Vergleich zu VPN. Deshalb würde ich nicht gerne zu OpenVPN zurückkehren. Wenn es „nur“ darum geht, den public key auf die OPNSense zu befördern, klingt das aber nicht völlig unlösbar . Ich weiß aber nicht, ob man die Wireguard-Zugänge ggf per API verwalten kann?

Viele Grüße,
Michael

dorian · 22. Februar 2021 um 15:41

Hi Michael,

Ich schlage Folgendes vor:
Du kannst ja mal testen, ob das WireGuard Plugin für die OPNsense das tut, was du brauchst (installieren unter System > Firmware > Erweiterungen). Wenn das klappt, können wir mal schauen, ob die OPNsense API es zulässt, die Einträge für clients zu machen. Wenn das auch klappt, dann können wir auf die WebUI Entwickler zugehen und sie bitten, es einzubauen

Vg, Dorian

Michael · 22. Februar 2021 um 15:57

Ja klar klappt das – sogar super gut! Ich „verwalte“ hier im Moment 13 Wireguard-Zugänge über die OPNSense. Die habe ich -sagen wir mal- „halb-automatisch“ angelegt (vgl hier → V7: Wireguard nochmal weitergedacht )

Wenn man das automatisieren oder für weitere User in die WebUI einbauen könnte, wäre das sicher eine gute Sache… ich weiß natürlich, dass Wireguard noch jung ist. Wir hatten aber (im Gegensatz zu VPN) bisher nie Probleme damit…

Viele Grüße,
Michael

dorian · 22. Februar 2021 um 17:11

Hi Michael,

Den Thread kannte ich noch nich, ich schau mir das am Donnerstag oder Freitag mal genauer an
In deinem Eingangspost habe ich es nicht ganz verstanden, deshalb nochmal die Frage:
In deiner Anleitung: Haben die Lehrer und Schüler bei dir Zugang zur Opnsense? Wo generieren sie die Keys?

VG, Dorian

crazy-to-bike · 22. Februar 2021 um 17:17

Hallo Dorian,

ich vermute, in der WebUI. So war das zumindest bis zur 6.2.

Viele Grüße
Steffen

Michael · 22. Februar 2021 um 17:27

Bisher hat da niemand Zugriff… Ich habe das bisher für die Kollegen, die den Zugang benötigen, alles selbst eingestellt…

crazy-to-bike · 22. Februar 2021 um 17:30

Hallo Michael,

schade, dass das demnach nicht mehr über die WebUI abgebildet wird und die User das nicht mehr selbst machen können.

Viele Grüße
Steffen

Michael · 22. Februar 2021 um 17:31

??? Wieso das???

crazy-to-bike · 22. Februar 2021 um 17:42

Hallo Michael,

Entlastung für dich

Viele Grüße
Steffen

baumhof · 22. Februar 2021 um 18:02

Hallo,

nur weil die WebUI das jetzt nicht kann, heißt das ja nicht, dass sie das nie können wird.
Die alte LMN konnte das ja auch nicht in ihren frühen Tagen: das kam irgend wann dazu.
Ich halte es durchaus für möglich, dass das mal wird.

LG

Holger

Michael · 22. Februar 2021 um 18:13

Sorry … hatte Dich falsch verstanden. Ich dachte, dass du die WebUI kennst.

Genau … es ist wahrscheinlich sogar gut, wenn die WebUI das macht!? Da könnte ein User seinen Zugang „anfordern“ und den Rest müsste dann auf der OPNSense vermutlich ein Cronjob mit root-Rechten erledigen…

dorian · 22. Februar 2021 um 18:39

Ich schau mir am Donnerstag oder so mal die opnsense api an, vielleicht geht das ja auch darüber, das weiß ich noch nicht.