Remotezugang zu einer OPNsense-Firewall
Bisher konnte ich meine Remotezugangswünsche als Administrator (aber auch für einen Kollegen auf einen Win10-Rechner per RDP), immer mit einem ssh-Zugang auf eine Linuxfirewall lösen:
Dies möchte ich natürlich auch mit OPNsense erreichen. Ich unterscheide dabei:
OPNsense-Firewall FW
ArbeitsPC (kommt über
LAN an die Firewall), dieser kann natürlich vorläufig mit einer bereits bestehenden Fernsteuerlösung von zu Hause bedient werden.
HomePC (kommt nur über Internet an die Firewall), dies kann natürlich einfach ein PC sein, der über einen anderen Zugang in's Internet geht, z.B. mobil.
Router (z.B. DSL-Fritzbox)
Anmerkung: Natürlich kann man auch mit einem VPN arbeiten - war aber für mich bisher nicht nötig.
Schritt 1: SSH mit Key
Vorbereitung am ArbeitsPC
FW: geeigneten User anlegen
FW: SSH-Dienst einrichten
System→Settings→Administration
Haken bei: Enable Secure Shell
kein Haken bei: Permit root login
kein Haken bei: Permit password login
alle Interfaces
einen anderen SSH-Port wählen, z.B. 34121
SAVE
ArbeitsPC: Testen des Zugangs
ssh -i id_rsa name@firewall -p 34121
* es darf keine Passwortnachfrage kommen
Nun haben wir den Stand, dass die FW mit ssh erreicht wird. Aber vom Internet ist noch kein Zugriff möglich.
Schritt 2: Internetzugriff
Router
Der Router muss eine Portweiterleitung des Ports 34121 machen, wenn die Firewall nicht bereits ein „Exposed-Host“ ist
Jetzt muss man sich auch entscheiden, für welche Protokolle (IPv4 und/oder IPv6) man dies möchte. Beides ist sinnvoll.
FW: Firewall-Regel ergänzen
Die OPNsense-Firewall benötigt eine Regel, um den Zugriff auf Port 34121 zu erlauben:
Eine exotische Einstellung verhindert weiterhin die Funktion, daher nach Forumseintrag:
Dynamischer DNS-Eintrag
Der Router oder die Firewall müssen einen dynamischen DNS-Eintrag aktualisieren. Das kann OPNsense selbst, womit IPv6 möglich ist.
HomePC
Teste den Zugang mit demselben Key und User wie oben