====Remotezugang zu einer OPNsense-Firewall====
Bisher konnte ich meine Remotezugangswünsche als Administrator (aber auch für einen Kollegen auf einen Win10-Rechner per RDP), immer mit einem ssh-Zugang auf eine **Linuxfirewall** lösen: 

    * Remotelogin von zu Hause
    * Vernetzung zweier Standorte (Zentrale+Satellit)

Dies möchte ich natürlich auch mit **OPNsense** erreichen. Ich unterscheide dabei:
    * OPNsense-Firewall FW
    * ArbeitsPC (kommt über LAN an die Firewall), dieser kann natürlich vorläufig mit einer bereits bestehenden Fernsteuerlösung von zu Hause bedient werden.
    * HomePC (kommt nur über Internet an die Firewall), dies kann natürlich einfach ein PC sein, der über einen anderen Zugang in's Internet geht, z.B. mobil.
    * Router (z.B. DSL-Fritzbox)
 {{:sysbetr:remotezugang.png?nolink|}}

Anmerkung: Natürlich kann man auch mit einem VPN arbeiten - war aber für mich bisher nicht nötig.

===Schritt 1: SSH mit Key===
==Vorbereitung am ArbeitsPC==

    * Wenn noch nicht geschehen einen Ssh-Key anlegen. Ohne weitere Wahl heißt liegt dann in ~/.ssh die Datei id_rsa. Außerdem wird der public key in id_rsa.pub abgelegt.

==FW: geeigneten User anlegen==

    * Webinterface nutzen
    * System->Access->Users
    * Button +Add
    * ausfüllen, 
    * am Ende den ssh key aus der Datei id_rsa.pub per copy&paste einfügen

==FW: SSH-Dienst einrichten==

    * System->Settings->Administration
    * Haken bei: Enable Secure Shell
    * **kein** Haken bei: Permit root login
    * **kein** Haken bei: Permit password login
    * alle Interfaces
    * einen anderen SSH-Port wählen, z.B. 34121
    * SAVE

==ArbeitsPC: Testen des Zugangs==
    * Aufruf mit

         ssh -i id_rsa name@firewall -p 34121
         
    * es darf keine Passwortnachfrage kommen

**Nun haben wir den Stand, dass die FW mit ssh erreicht wird. Aber vom Internet ist noch kein Zugriff möglich.**
===Schritt 2: Internetzugriff===
==Router==
    * Der Router muss eine Portweiterleitung des Ports 34121 machen, wenn die Firewall nicht bereits ein "Exposed-Host" ist
    * Jetzt muss man sich auch entscheiden, für welche Protokolle (IPv4 und/oder IPv6) man dies möchte. Beides ist sinnvoll.

==FW: Firewall-Regel ergänzen==
Die OPNsense-Firewall benötigt eine Regel, um den Zugriff auf Port 34121 zu erlauben:
    * Firewall->Rules->WAN
    * Add
    * Direction: in
    * TCP/IP: deine Wahl
    * Protocol: TCP
    * Destination: This Firewall
    * Destination Port Range: from->other: 34121 to->other: 34121
    * Save, Apply Changes
Eine exotische Einstellung verhindert weiterhin die Funktion, daher nach [[https://forum.opnsense.org/index.php?topic=9784.0|Forumseintrag]]:
    * Firewall->Settings->Advanced
    * Haken bei: Disable reply-to 
==Dynamischer DNS-Eintrag==
Der Router oder die Firewall müssen einen dynamischen DNS-Eintrag [[dyndns|aktualisieren]]. Das kann OPNsense selbst, womit IPv6 möglich ist. 
==HomePC==
Teste den Zugang mit demselben Key und User wie oben

{{tag> HowTo Firewall Remotezugang SSH Portnummer SSH-Key}}