Ich habe es soeben hinbekommen, ein gegen das LDAP authentifiziertes VPN auf meiner OPNSense einzurichten. Hat da jemand Interesse dran? Dann setzt ich mich in nächster Zeit vielleicht mal an ne Anleitung
Das Ganze ist super einfach einzurichten und funktioniert mit allen denkbaren Geräten (Android, Apfel, Microsoft) dank guten Client Apps und unter Ubuntu ist der Client sogar schon eingebaut
Auch Beschränkung auf bestimmte LDAP Gruppen klappt, soweit ich das beurteilen kann.
Hi, ich finde das auch super, fände aber Wireguard noch besser. Wir haben unter der OPNSense mittlerweile seit über einem Jahr alles über Wireguard eingerichtet und sind damit sehr zufrieden. Es ist wirklich viel performanter als OpenVPN und auch total einfach einzurichten. Wenn das auch mit LDAPS kombiniert werden könnte, wäre das der Knaller… kannst du das abschätzen, Dorian?
Hallo Dorian,
das wäre super, wenn Du das dokumentieren könntest ! Das Feature fehlte uns bislang in der Beschreibung / Handhabung - super.
Danke.
VG
Chris
Hi. Also ist das „per Design“ nicht möglich? Wäre es denn denkbar, dass die WebUI (genau wie sie das schon zu 6.x- und IPFire-Zeiten gemacht hat), einen Teil der Arbeit übernimmt und das Client-Cert im User-Dir ablegt, während das Server-Cert auf der OPNSense abgelegt wird? Oder steht dem irgendwas im Wege?
Leider nein, man müsste sich einen Workaround überlegen, in dem der Nutzer sein publickey mit der WebUI hochlädt.
Möglich ist das sicher, aber dadurch, dass OpenVPN ja out of the box funktioniert und WireGuard dadurch „nur“ eine Performance Verbesserung wäre, ist die Priorität sowas einzubauen meiner Meinung nach nicht extrem hoch, wir haben ja noch genug andere Baustellen.
Jein – es soll angeblich rund ein Faktor 4 sein, den Wireguard die Nase vorn hat … auch ich finde Wireguard wirklich spürbar flotter im Vergleich zu VPN. Deshalb würde ich nicht gerne zu OpenVPN zurückkehren. Wenn es „nur“ darum geht, den public key auf die OPNSense zu befördern, klingt das aber nicht völlig unlösbar . Ich weiß aber nicht, ob man die Wireguard-Zugänge ggf per API verwalten kann?
Ich schlage Folgendes vor:
Du kannst ja mal testen, ob das WireGuard Plugin für die OPNsense das tut, was du brauchst (installieren unter System > Firmware > Erweiterungen). Wenn das klappt, können wir mal schauen, ob die OPNsense API es zulässt, die Einträge für clients zu machen. Wenn das auch klappt, dann können wir auf die WebUI Entwickler zugehen und sie bitten, es einzubauen
Ja klar klappt das – sogar super gut! Ich „verwalte“ hier im Moment 13 Wireguard-Zugänge über die OPNSense. Die habe ich -sagen wir mal- „halb-automatisch“ angelegt (vgl hier → V7: Wireguard nochmal weitergedacht )
Wenn man das automatisieren oder für weitere User in die WebUI einbauen könnte, wäre das sicher eine gute Sache… ich weiß natürlich, dass Wireguard noch jung ist. Wir hatten aber (im Gegensatz zu VPN) bisher nie Probleme damit…
Den Thread kannte ich noch nich, ich schau mir das am Donnerstag oder Freitag mal genauer an
In deinem Eingangspost habe ich es nicht ganz verstanden, deshalb nochmal die Frage:
In deiner Anleitung: Haben die Lehrer und Schüler bei dir Zugang zur Opnsense? Wo generieren sie die Keys?
nur weil die WebUI das jetzt nicht kann, heißt das ja nicht, dass sie das nie können wird.
Die alte LMN konnte das ja auch nicht in ihren frühen Tagen: das kam irgend wann dazu.
Ich halte es durchaus für möglich, dass das mal wird.
Sorry … hatte Dich falsch verstanden. Ich dachte, dass du die WebUI kennst.
Genau … es ist wahrscheinlich sogar gut, wenn die WebUI das macht!? Da könnte ein User seinen Zugang „anfordern“ und den Rest müsste dann auf der OPNSense vermutlich ein Cronjob mit root-Rechten erledigen…