# VPN Identity Management: Authentifizierung & Authorisierung

TL;DR / Management Summary Ein VPN-Zugang ist nur so sicher wie seine Authentifizierung. Wir verlassen uns niemals auf ein einfaches Passwort. In OPNsense kombinieren wir Zertifikats-basierte Identität (Was der User hat) mit LDAP/AD-Credentials (Was der User weiß) und MFA (Was der User bestätigt). Ein Senior Admin nutzt OPNsense als zentralen Policy-Enforcement-Point und delegiert die Userverwaltung an das Active Directory (Artikel 489).

# 1. Einführung & Vertrauensmodelle

Die Identitäts-Säulen.

OPNsense unterstützt drei Hauptquellen für die Authentifizierung:

  1. Local Database: Gut für kleine Teams (< 10 User).
  2. LDAP (Active Directory): Standard für Enterprise. Nutzt die bestehenden Firmendaten.
  3. RADIUS: Ermöglicht die Anbindung an spezialisierte MFA-Lösungen (Duo, Okta, NPS).

# 2. Zertifikats-Management

Identität in Bits und Bytes.

Jeder VPN-Client sollte ein individuelles Zertifikat erhalten.

# CRL (Certificate Revocation List)

Wenn ein Mitarbeiter das Unternehmen verlässt:

# 3. Deep Dive: AD-Integration (LDAP)

Das Single-Source-of-Truth Prinzip.

Vermeiden Sie doppelte Userverwaltung.

  1. System -> Access -> Servers.
  2. Neuen LDAP-Server hinzufügen (Ihr DC IP).
  3. Search Scope: OU, in der Ihre VPN-User liegen.
  4. Extended Query: memberOf=CN=G-VPN-Users,OU=Groups... (Nur Mitglieder dieser Gruppe dürfen rein).

# 4. Day-2 Operations: Multi-Faktor-Authentifizierung (MFA)

Das Schloss doppelt sichern.

Passwörter werden gestohlen. MFA ist heute Pflicht.

# TOTP (Google Authenticator / Authy)

  1. Plugin os-google-auth installieren.
  2. Im User-Account in OPNsense einen OTP-Seed generieren.
  3. User scannt den QR-Code.
  4. Login-Format: Passwort123456 (Passwort + 6-stelliger Code in einer Zeile).

# Azure MFA Integration

Nutzen Sie den NPS-Server (Artikel 498) und binden Sie OPNsense via RADIUS an. Der User bekommt eine Push-Nachricht auf sein Handy.

# 5. Troubleshooting & “War Stories”

Wenn der Login scheitert.

# Top 3 Fehlerbilder

  1. Symptom: “Authentication failed” trotz korrektem Passwort.

    • Ursache: Zeitunterschied (Drift) zwischen OPNsense und Handy (bei TOTP) oder zwischen OPNsense und DC (bei LDAP).
    • Lösung: NTP-Sync prüfen (Artikel 543).

  2. Symptom: User in der AD-Gruppe kann sich nicht einloggen.

    • Ursache: LDAP-Bind-User hat keine Leserechte oder die msDS-UserPasswordExpiryTime ist abgelaufen.
    • Tool: System -> Access -> Tester zum Debuggen der LDAP-Abfrage nutzen.

  3. Symptom: Gesperrte Zertifikate funktionieren weiterhin.

    • Ursache: Die CRL wurde im OpenVPN-Server nicht verknüpft.
    • Fix: VPN -> OpenVPN -> Server -> Peer Certificate Revocation List auswählen.

# “War Story”: Der “ewige” Account

Wir führten ein Audit bei einem Kunden durch. Das Ergebnis: 15 ehemalige Mitarbeiter hatten noch aktiven VPN-Zugriff, da sie lokale User-Accounts in der OPNsense hatten, die beim Austritt nicht gelöscht wurden. Die Lösung: Wir stellten die Firewall komplett auf LDAP mit Gruppenfilter um. Sobald ein User im Active Directory deaktiviert wird, erlischt in der gleichen Sekunde sein VPN-Zugriff. Lehre: Lokale Accounts auf Netzwerkgeräten sind Gräber für vergessene Berechtigungen. Nutzen Sie immer zentrale Identitätsdienste.

# 6. Monitoring & Reporting

Wer ist wann online?

# Audit Log

System -> Log-Files -> General (Filter: Auth).

# 7. Fazit & Empfehlung

Identitätsmanagement ist das Herz der Zugriffskontrolle.

# Anhang: Cheatsheet

Aufgabe Pfad
LDAP Server System -> Access -> Servers
MFA Setup System -> Access -> Users
Sperrliste System -> Trust -> Revocation
Auth Test System -> Access -> Tester

# Referenzen