Benutzer-Werkzeuge

Webseiten-Werkzeuge


technische-dokumentationen:tutorials:site-to-site-vpn-pfsense

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
technische-dokumentationen:tutorials:site-to-site-vpn-pfsense [2023/04/27 10:34] f.pagottotechnische-dokumentationen:tutorials:site-to-site-vpn-pfsense [Unbekanntes Datum] (aktuell) – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1
Zeile 1: Zeile 1:
-====== Tutorial ====== 
- 
-^ Version ^ Status ^ Datum ^ Author ^ URL ^ 
-| 0.1| Erster Entwurf| TT.MM.JJJJ| Vorname Nachname| | 
- 
- 
-===== 1. Kurzfassung ===== 
- 
- 
- 
-===== 2. Tutorial ===== 
- 
-==== 2.1 Zertifikatsstruktur auf Server erstellen ==== 
- 
-Zuerst müssen sie einige Zertifikate auf dem OpenVPN Server erstellen. Dies wird benötigt, um die Verbindung zu erstellen. 
- 
-Erstellen Sie zuerst eine **"Certificate Authority"**. Gehen Sie dafür auf **"System -> Cert. Manager -> CAs"**. Klicken sie Jetzt auf **"+ Add"** 
- 
-Sie werden jetzt in den folgenden Einstellungen landen. 
- 
-{{:technische-dokumentationen:tutorials:pasted:20230424-104051.png}} 
- 
-Tragen Sie folgende Werte ein: 
- 
-**Descriptive name:**   (Beliebiger Name hier) 
- 
-**Method:**             Create an Internal Certificate Authority 
- 
-**Randomized Serial:**  Häkchen setzen in Box 
- 
-**Lifetime (days):**    3650 
- 
-**Common Name:**        (Beliebiger Name hier)  
- 
-Die Werte **"Country Code, State or Province etc."** können ausgefüllt werden, müssen aber nicht. 
- 
-Klicken sie, nachdem sie die Werte ausgefüllt haben, auf **"Save"**.  
- 
-\\ 
- 
-Jetzt müssen sie ein Server Zertifikat erstellen. Gehen Sie dafür auf **"Certificates"**, und klicken Sie danach auf **"+ Add/Sign"**. 
- 
-Sie werden jetzt in den folgenden Einstellungen landen. 
- 
-{{:technische-dokumentationen:tutorials:pasted:20230424-105929.png}} 
- 
-Tragen Sie folgende Werte ein: 
- 
-**Descriptive name:**      (Beliebiger Name hier) 
- 
-**Certificate authority:** Das CA, was sie gerade eben erstellt haben. 
- 
-**Lifetime (days):**       3650 
- 
-**Common Name:**           (Beliebiger Name hier) 
- 
-**Certificate Type:**      Wählen Sie **"Server Certificate"** 
- 
-Die Werte **"Country Code, State or Province etc."** können ausgefüllt werden, müssen aber nicht. 
- 
-Klicken sie, nachdem sie die Werte ausgefüllt haben, auf **"Save"**.  
- 
-\\ 
- 
-Jetzt müssen sie ein User Zertifikat erstellen. Gehen Sie dafür auf **"Certificates"**, und klicken Sie danach auf **"+ Add/Sign"**. 
- 
-Sie werden jetzt in den folgenden Einstellungen landen. 
- 
-{{:technische-dokumentationen:tutorials:pasted:20230424-105929.png}} 
- 
-Tragen Sie folgende Werte ein: 
- 
-**Descriptive name:**      (Beliebiger Name Hier) 
- 
-**Certificate authority:** Das CA, was sie gerade eben erstellt haben. 
- 
-**Lifetime (days):**       3650 
- 
-**Common Name:**           (Beliebiger Name Hier) 
- 
-**Certificate Type:**      Wählen Sie **"User Certificate"** 
- 
-Die Werte **"Country Code, State or Province etc."** können ausgefüllt werden, müssen aber nicht. 
- 
-Klicken sie, nachdem sie die Werte ausgefüllt haben, auf **"Save"**.  
- 
-\\ 
- 
-Jetzt sind alle nötigen Zertifikate erstellt. Jetzt müssen diese noch exportiert werden, damit sie auf der Client Firewall hochgeladen werden können. 
- 
-Gehen Sie zu **"CAs"** und klicken Sie auf {{:technische-dokumentationen:tutorials:pasted:20230424-112503.png}} neben dem vorhin erstellten CA, um das CA zu exportieren. 
- 
-Gehen Sie zurück zu **"Certificates"**. Klicken Sie auf {{:technische-dokumentationen:tutorials:pasted:20230424-112503.png}} neben dem vorhin erstellten Client Zertifikat, um das Client-Zertifikat zu exportieren. 
- 
-Klicken Sie auf {{:technische-dokumentationen:tutorials:pasted:20230424-112924.png}} neben dem vorhin erstellten Client Zertifikat, um den Key des Client-Zertifikats zu exportieren 
- 
-Nachdem alles exportiert ist, sollte es so aussehen: 
- 
-{{:technische-dokumentationen:tutorials:pasted:20230424-114821.png}} 
- 
-Behalten Sie diese, denn sie werden danach benötigt werden.  
- 
-\\ 
- 
-==== 2.2 OpenVPN Server Erstellen ==== 
- 
-Jetzt, wo die Zertifikate erstellt sind, kann nun der Server eingerichtet werden. 
- 
-Gehen Sie dafür auf **" VPN -> OpenVPN -> Servers".** Klicken sie danach auf **"+ Add"**.  
- 
-Sie landen nun in den folgenden Einstellungen, 
- 
-{{:technische-dokumentationen:tutorials:pasted:20230424-140124.png}} 
- 
-Tragen Sie folgende Werte ein: 
- 
-**Description:**            (Belibiger Name) 
- 
-**Sever mode:**              Peer to Peer ( SSL/TLS ) 
- 
-**Device mode:**             tun - Layer 3 Tunnel Mode 
- 
-**Protocol:**                UDP on IPv4 only 
- 
-**Interface:**               WAN 
- 
-**Local port:**              1195 (Wenn mehr Server erstellt werden müssen, einfach mehr Ports ab 1195 nutzen) 
- 
-**TLS Configuration:**       Häkchen setzen neben "Use a TLS Key" und "Automatically generate a TLS Key." 
- 
-**Peer Certificate 
-Authority: **                Wählen Sie das CA, dass Sie vorhin erstellt haben. 
- 
-**Server Certificate:**      Wählen Sie das Server-Zertifikat, dass Sie vorhin erstellt haben. 
- 
-**IPv4 Tunnel Network:**     Geben Sie eine IP-Adresse mit Subnetz /30 ein- 
- 
-**IPv4 Local network(s):** 
-   
-Geben Sie hier den CIDR der Netzwerke ein, von wo der Client aus, zugreifen darf. (z. B. VLAN 10 IP: 172.16.10.1 = CIDR: 172.16.10.0) Wenn es mehrere Netzwerke sind, separieren Sie den CIDR mit einem Komma. 
- 
-**Dies sieht dann etwa so aus:** \\ 
-{{:technische-dokumentationen:tutorials:pasted:20230424-144746.png}} 
- 
-**IPv4 Remote network(s):**  Gleich wie bei "Local network(s)" Stattdessen sind es die Netzwerke, von dem der Server aus Zugreifen kann 
- 
-Klicken Sie danach auf **"Save"**  
- 
-\\ 
- 
-Folgend darauf, klicken Sie auf {{:technische-dokumentationen:tutorials:pasted:20230425-103129.png}}, um den OpenVPN Server zu bearbeiten. Scrollen sie runter zur Box **"TLS Key"**. Diese sieht so aus: 
- 
-{{:technische-dokumentationen:tutorials:pasted:20230425-103408.png}} 
- 
-Kopieren Sie jetzt den ganzen Inhalt der Box und fügen Sie ihn in eine Textdatei ein. Was Sie gerade kopiert haben, ist den TLS Schlüssel. Dieser wird für die Client-Instanz benötigt. Speichern Sie am besten deshalb die Textdatei bei den vorhin heruntergeladenen Zertifikaten ab. 
- 
-==== 2.3 Firewall Rules auf Server konfigurieren ==== 
- 
-Jetzt ist schon fast auf dem Server alles nötige eingerichtet. Noch müssen Sie die nötigen Firewall Rules konfigurieren. 
- 
-Als Erstes konfigurieren Sie die WAN rule. Diese wird benötigt, sodass sich die Client-Firewall mit dem Server verbinden kann. 
- 
-Gehen Sie auf **"Firewall -> Rules -> WAN"**. Klicken sie auf **"^Add"**. 
- 
-Sie gelangen nun auf das Rule kreierungs interface. 
- 
-{{:technische-dokumentationen:tutorials:pasted:20230427-094941.png}} 
- 
-Tragen Sie die folgenden werte ein: 
- 
-**"Protocol:"**               Wählen Sie **"UDP"** aus. 
- 
-**"Source:"**                 Wählen Sie **"any"** aus. 
- 
-**"Destination:"**            Wählen Sie **"WAN adress"** aus. 
- 
-**"Destination Port Range:"** Geben Sie den im OpenVPN Server spezifizierten Port an. 
- 
-**"Description:"**            Geben Sie eine beliebige Beschreibung ein. 
- 
-Klicken Sie danach auf **"Save"** 
- 
-\\ 
- 
-Jetzt müssen Sie noch die OpenVPN Rule Konfigurieren. 
- 
-Gehen Sie dafür auf **"Firewall -> Rules -> OpenVPN"**. Danach klicken Sie auf **"^Add"**. 
- 
-Wieder landen Sie im Rule kreierungs interface. 
- 
-Tragen Sie hier folgende Werte ein: 
- 
-**"Protocol:"**     Wählen Sie **"any"** aus. 
- 
-**"Source:"**       Wählen Sie **"any"** aus. 
- 
-**"Destination:"**  Wählen Sie **"any** aus. 
- 
-**"Description:"**  Geben Sie eine beliebige Beschreibung ein. 
- 
-Klicken Sie auf **"Save"** \\ 
- 
-Vergessen Sie nicht nachher auf **"Apply Changes"** zu Klicken! 
- 
-Jetzt sind alle nötigen Parameter auf dem Server konfiguriert. 
- 
-\\ 
- 
-==== 2.4 Zertifikate auf Client Firewall einrichten ==== 
- 
-Jetzt haben Sie alles, was für den Server benötigt wird, konfiguriert. Nun geht es an die Client-Firewall. 
- 
-//**Wichtig:** Bedenken Sie, dass die Zertifikate, die vorhin erstellt worden sind, auf die Client-Firewall hochgeladen werden müssen. 
-Versuchen Sie deshalb sicherzustellen, dass Sie auf dem Gerät, über wo Sie auf die Client-Firewall zugreifen, die Zertifikate genutzt werden können.// 
- 
-Loggen Sie sich in die Client-Firewall ein. 
- 
-Navigieren Sie zu **"System -> Cert. Manager -> CAs"**.  
- 
-===== 3. Quellenverzeichnis ===== 
- 
  
technische-dokumentationen/tutorials/site-to-site-vpn-pfsense.1682584479.txt.gz · Zuletzt geändert: 2023/04/27 10:34 von f.pagotto