# OPNsense OpenVPN: Flexibler Remote-Access für Roadwarriors
TL;DR / Management Summary OpenVPN ist seit Jahrzehnten der Standard für SSL-basierte VPNs. Es ist extrem flexibel, kann über TCP oder UDP laufen und kommt durch fast jede Firewall. Ein Senior Admin nutzt OpenVPN in OPNsense zur Anbindung mobiler Mitarbeiter, integriert es in das Active Directory (LDAP) und nutzt das Client Export Plugin, um fertige Installationspakete für Windows, macOS und Linux zu generieren.
# 1. Einführung & Architektur
SSL-VPN Power.
OpenVPN nutzt die OpenSSL-Bibliothek zur Verschlüsselung.
- Protokoll: UDP (Port 1194) empfohlen für beste Performance.
- Auth: Kombination aus Zertifikaten (Muss) und User-Passwort (Soll).
- Virtual IP: OPNsense weist jedem Client eine IP aus einem separaten Tunnel-Netz zu (z.B.
10.50.0.0/24).
# 2. Einrichtung in der Praxis
In 5 Schritten zum mobilen Office.
# Schritt 1: PKI & Zertifikate
Nutzen Sie den Zertifikatsmanager (Artikel 520) in OPNsense.
- Erstellen Sie eine interne CA (z.B.
OPNsense-VPN-CA). - Erstellen Sie ein Server-Zertifikat.
# Schritt 2: Server-Konfiguration
VPN -> OpenVPN -> Servers.
- Backend for Auth:
Local DatabaseoderLDAP(Artikel 581). - Protocol:
UDP. - Interface:
WAN. - IPv4 Tunnel Network:
10.50.8.0/24. - IPv4 Local Network:
10.0.0.0/24(Ihr Firmennetz).
# Schritt 3: Client Export Plugin
Installieren Sie os-openvpn-exporter.
- Pfad:
VPN -> OpenVPN -> Client Export. - Vorteil: Generiert eine
.ovpnDatei inklusive Zertifikaten, die der User nur noch doppelt anklicken muss.
# 4. Deep Dive: Split-Tunneling vs. Redirect-Gateway
Wohin mit dem Traffic?
- Split-Tunneling (Standard): Nur Traffic für
10.0.0.0/24geht durch das VPN. Der User nutzt sein privates Internet für YouTube etc. - Redirect-Gateway (Full Tunnel): Der gesamte Internet-Traffic fließt über die Firewall.
- Vorteil: Höchste Sicherheit (Firmen-Filter greifen).
- Nachteil: Hohe Last auf dem Firmen-Upload.
# 5. Troubleshooting & “War Stories”
Wenn der Tunnel nicht steht.
# Top 3 Fehlerbilder
-
Symptom: “TLS Error: TLS key negotiation failed”.
- Ursache: WAN-IP hat sich geändert (DynDNS-Problem) oder Port 1194/UDP ist blockiert.
- Lösung: Log-File
/var/log/openvpn.logprüfen.
-
Symptom: VPN verbindet, aber kein Zugriff auf Server.
- Ursache: Die Firewall-Regel am OpenVPN Interface fehlt.
- Lösung: Regel
Source: Any->Destination: Anyzum Testen anlegen.
-
Symptom: Zwei User bekommen die gleiche IP.
- Ursache: “Duplicate CN” (Common Name) im Zertifikat oder falsche Pool-Einstellung.
# “War Story”: Der “Hotel-WiFi” Teufel
Ein Geschäftsführer war im Ausland und sein VPN (UDP 1194) wurde vom Hotel-WLAN blockiert. Die Lösung: Wir hatten einen zweiten OpenVPN-Server auf TCP Port 443 (HTTPS) konfiguriert. Für den Hotel-Router sah der VPN-Traffic wie normaler Web-Traffic aus. Lehre: Betreiben Sie für Notfälle immer einen VPN-Endpunkt auf Port 443 TCP. Es ist langsamer, kommt aber überall durch.
# 6. Monitoring & Alerting
Aktive Sessions.
# Connection Dashboard
VPN -> OpenVPN -> Connection Status.
- KPI: Anzahl der aktiven User.
- KPI: Real-time Bandbreitennutzung pro User.
# 7. Fazit & Empfehlung
OpenVPN ist das Arbeitstier für KMUs.
- Empfehlung: Nutzen Sie Zwei-Faktor-Authentifizierung (MFA) via TOTP (Google Authenticator Plugin).
- Strategie: Migrieren Sie für Power-User (Admins) auf WireGuard (Artikel 566) und behalten Sie OpenVPN als stabilen Standard für die breite Belegschaft.
# Anhang: Cheatsheet
| Aufgabe | Pfad |
|---|---|
| Server Settings | VPN -> OpenVPN -> Servers |
| Client Export | VPN -> OpenVPN -> Client Export |
| Benutzer-Zertifikate | System -> Trust -> Certificates |
| VPN Firewall | Firewall -> Rules -> OpenVPN |