Inhaltsverzeichnis
Remotezugang zu einer OPNsense-Firewall
Bisher konnte ich meine Remotezugangswünsche als Administrator (aber auch für einen Kollegen auf einen Win10-Rechner per RDP), immer mit einem ssh-Zugang auf eine Linuxfirewall lösen:
- Remotelogin von zu Hause
- Vernetzung zweier Standorte (Zentrale+Satellit)
Dies möchte ich natürlich auch mit OPNsense erreichen. Ich unterscheide dabei:
- OPNsense-Firewall FW
- ArbeitsPC (kommt über LAN an die Firewall), dieser kann natürlich vorläufig mit einer bereits bestehenden Fernsteuerlösung von zu Hause bedient werden.
- HomePC (kommt nur über Internet an die Firewall), dies kann natürlich einfach ein PC sein, der über einen anderen Zugang in's Internet geht, z.B. mobil.
- Router (z.B. DSL-Fritzbox)
Anmerkung: Natürlich kann man auch mit einem VPN arbeiten - war aber für mich bisher nicht nötig.
Schritt 1: SSH mit Key
Vorbereitung am ArbeitsPC
- Wenn noch nicht geschehen einen Ssh-Key anlegen. Ohne weitere Wahl heißt liegt dann in ~/.ssh die Datei id_rsa. Außerdem wird der public key in id_rsa.pub abgelegt.
FW: geeigneten User anlegen
- Webinterface nutzen
- System→Access→Users
- Button +Add
- ausfüllen,
- am Ende den ssh key aus der Datei id_rsa.pub per copy&paste einfügen
FW: SSH-Dienst einrichten
- System→Settings→Administration
- Haken bei: Enable Secure Shell
- kein Haken bei: Permit root login
- kein Haken bei: Permit password login
- alle Interfaces
- einen anderen SSH-Port wählen, z.B. 34121
- SAVE
ArbeitsPC: Testen des Zugangs
- Aufruf mit
ssh -i id_rsa name@firewall -p 34121
* es darf keine Passwortnachfrage kommen
Nun haben wir den Stand, dass die FW mit ssh erreicht wird. Aber vom Internet ist noch kein Zugriff möglich.
Schritt 2: Internetzugriff
Router
- Der Router muss eine Portweiterleitung des Ports 34121 machen, wenn die Firewall nicht bereits ein „Exposed-Host“ ist
- Jetzt muss man sich auch entscheiden, für welche Protokolle (IPv4 und/oder IPv6) man dies möchte. Beides ist sinnvoll.
FW: Firewall-Regel ergänzen
Die OPNsense-Firewall benötigt eine Regel, um den Zugriff auf Port 34121 zu erlauben:
- Firewall→Rules→WAN
- Add
- Direction: in
- TCP/IP: deine Wahl
- Protocol: TCP
- Destination: This Firewall
- Destination Port Range: from→other: 34121 to→other: 34121
- Save, Apply Changes
Eine exotische Einstellung verhindert weiterhin die Funktion, daher nach Forumseintrag:
- Firewall→Settings→Advanced
- Haken bei: Disable reply-to
Dynamischer DNS-Eintrag
Der Router oder die Firewall müssen einen dynamischen DNS-Eintrag aktualisieren. Das kann OPNsense selbst, womit IPv6 möglich ist.
HomePC
Teste den Zugang mit demselben Key und User wie oben