# OPNsense VPN Security: Härtung der Krypto-Tunnel
TL;DR / Management Summary Ein VPN bietet den Schlüssel zum gesamten LAN. Wenn die Verschlüsselung schwach oder die Authentifizierung kompromittiert ist, ist die Firewall wirkungslos. Wir setzen auf moderne Ciphers (AES-GCM, ChaCha20), deaktivieren veraltete Protokolle (PPTP, L2TP) und erzwingen für jeden User Multi-Faktor-Authentifizierung (MFA). Ein Senior Admin nutzt zudem Connection Limits, um Brute-Force Angriffe auf den VPN-Dienst bereits am WAN-Port zu drosseln.
# 1. Auswahl der sicheren Algorithmen
Sagen Sie ‘Nein’ zu Legacy-Krypto.
Vermeiden Sie Algorithmen, die theoretisch oder praktisch als gebrochen gelten.
# Empfohlene Cipher-Suites (2024+)
- Verschlüsselung:
AES-256-GCM(Hardware-beschleunigt) oderChaCha20-Poly1305. - Hashing:
SHA-256,SHA-512. Vermeiden SieMD5undSHA-1. - Key Exchange:
Diffie-HellmanGruppe 14 (2048-bit) oder höher, besserCurve25519(Elliptic Curve).
# 2. Authentifizierungs-Härtung
Mehr als nur ein Passwort.
# 1. MFA Pflicht
Nutzen Sie das Plugin os-google-auth für TOTP (Artikel 569). Ein VPN ohne MFA ist in der heutigen Bedrohungslage fahrlässig.
# 2. Zertifikats-Sicherheit
Nutzen Sie starke Schlüssellängen (RSA 4096 oder ECDSA 256/384).
- Sicherheit: Verwenden Sie für die VPN-CA ein separates Passwort und speichern Sie den Root-Key niemals auf einem Gerät, das permanent am Internet hängt.
# 3. Deep Dive: VPN Kill-Switch & Data Leaks
Verhinderung von Tunnel-Umgehungen.
# DNS Leak Protection
Stellen Sie sicher, dass VPN-Clients ausschließlich den DNS der Firma nutzen (Artikel 579).
- Konfiguration: Aktivieren Sie in OpenVPN “Force DNS cache update” und “Block DNS outside the tunnel” (via Client-Script).
# IPv6 Leakage
Wenn Ihr LAN nur IPv4 nutzt, der Client aber eine öffentliche IPv6 Adresse vom Home-Router bekommt, fließen manche Anfragen am Tunnel vorbei.
- Lösung: Blockieren Sie IPv6 auf dem VPN-Interface der OPNsense oder konfigurieren Sie einen IPv6-Blackhole-Tunnel, der allen IPv6-Traffic ins Leere laufen lässt.
# 4. Day-2 Operations: VPN Auditing
Den Tunnel überwachen.
# 1. Brute-Force Schutz
Nutzen Sie die OPNsense Firewall-Regeln (Artikel 590), um die Anzahl der Verbindungsversuche auf Port 1194 (OpenVPN) oder 500 (IPsec) zu limitieren.
- Limit: Max. 10 Verbindungen pro Minute pro IP.
# 2. Session Monitoring
Prüfen Sie regelmäßig die aktiven Sessions auf ungewöhnliche Zeiten (z.B. Login eines Buchhalters um 3 Uhr morgens aus einem fernen Land).
# 5. Troubleshooting & “War Stories”
Wenn die Sicherheit die Arbeit blockiert.
# Top 3 Fehlerbilder
-
Symptom: “TLS Error: Unknown Cipher” im Log.
- Ursache: Mismatch zwischen Client und Server (z.B. Client ist zu alt).
- Lösung: Client-Software auf den neuesten Stand bringen.
-
Symptom: VPN bricht bei großen Datei-Transfers ab.
- Ursache: Die Verschlüsselung überlastet die CPU des Routers am Client-Ende.
- Fix: Nutzen Sie
AES-128-GCMstattAES-256-CBC. GCM ist effizienter und für die meisten Zwecke sicher genug.
-
Symptom: MFA Code wird nicht akzeptiert.
- Ursache: Zeit-Drift (Uhrzeit auf Firewall oder Handy falsch).
# “War Story”: Der “Double-Agent” im Netz
Ein Mitarbeiter verlor sein entsperrtes Handy mit dem gespeicherten VPN-Zertifikat und der TOTP-App. Die Rettung: Da der Admin das User-Zertifikat sofort in der OPNsense CRL gesperrt hatte, war der Zugriff bereits blockiert, bevor der Finder das Handy nutzen konnte. Zusätzlich wurde der LDAP-Account im Active Directory deaktiviert. Lehre: Ein zweistufiger Sperrprozess (Zertifikat + Account) ist die beste Versicherung gegen physischen Verlust von Endgeräten.
# 6. Monitoring & Alerting
Security KPIs.
# VPN Alarme
Nutzen Sie das Log-Monitoring (Artikel 584) für:
- Muster: 5 fehlgeschlagene Logins für denselben Account innerhalb von 1 Minute ->
HIGH ALERT. - Muster: Erfolgreicher Login von einem gesperrten Land (GeoIP).
# 7. Fazit & Empfehlung
VPN-Sicherheit ist ein dynamischer Prozess.
- Empfehlung: Deaktivieren Sie alle ungenutzten VPN-Dienste. Wenn Sie WireGuard nutzen, schalten Sie OpenVPN ab.
- Zukunft: Planen Sie den Übergang zu Zero Trust Network Access (ZTNA) Lösungen, bei denen der Zugriff nicht mehr netzwerkweit, sondern Applikations-spezifisch erfolgt.
# Anhang: Cheatsheet für Ciphers
| Protokoll | Empfohlene Cipher | Zu vermeiden |
|---|---|---|
| OpenVPN | AES-256-GCM | BF-CBC, DES, 3DES |
| IPsec (IKEv2) | AES-GCM (16) | MD5, SHA1 |
| WireGuard | ChaCha20-Poly1305 | (Keine Wahl, fest verbaut) |