FAQs

OPNsense (5)

Wichtig: Auf den Seiten „Local“, „Endpoints“, „General“ nach Änderungen jeweils „Save“ klicken


Server (MeinWGServer)

Local

Name: MeinWGServer
Public Key: , wird nach dem Speichern automatisch generiert
Private Key: , wird nach dem Speichern automatisch generiert
Listen Port: 51820 (oder was auch immer)
DNS Server: 80.80.80.80 oder so
Tunnel Address: Das VPN Netz, Bsp: 2a00:d08:a000:x::1/64
Peers: Müssen wir erst erstellen und dann auswählen

Endpoints

Name: MeinWGZuhause
Public Key: , da kommt danach der Public Key von "Remote Site" rein
Shared Secret: 
Allowed IPs: 2a00:d08:a000:x::2/64
Rest leer lassen
"Save"
-> Zurück zu "Local" -> MeinWGServer editieren -> bei "Peers": "MeinWGZuhause" anwählen -> Save

Remote Site (MeinWGZuhause)

Local

Name: MeinWGZuhause
Public Key: , wird nach dem Speichern automatisch generiert
Private Key: , wird nach dem Speichern automatisch generiert
Listen Port: 51821
Tunnel Address: 2a00:d08:a000:x::2/64
Peers: Müssen wir erst erstellen und dann auswählen

Endpoints

Name: MeinWGServer
Public Key: Vom Server -> Local -> MeinWGServer -> Edit -> "Public Key" kopieren und einfügen
Allowed IPs: ::/0
Endpoint Address: 
Endpoint Port 51820
Rest leer lassen
"Save"
-> Zurück zu "Local" -> MeinWGZuhause editieren -> bei "Peers": "MeinWGZuhause" anwählen -> Save

Jetzt braucht der Server noch den Public Key von der Remote Site (MeinWGZuhause)

Von Remote Site (MeinWGZuhause) -> Local -> MeinWGZuhause -> Edit -> "Public Key" kopieren
Auf Server (MeinWGServer) -> Endpoints -> MeinWGZuhause -> Edit -> "Public Key"  einfügen

Noch etwas Kleinarbeit:

  • Auf der „Server Firewall“ auf dem WAN Interface Port 51820/UDP zulassen
  • Auf beiden Firewalls unter „Firewall“ auf dem Wireguard Interface IPv4/IPv6 auf Durchzug stellen
  • Auf der „Remote Site“ Interfaces -> Assignments -> wg0 hinzufügen
    • Erstelltes OPTx Interface wählen -> Description: WG
    • IPv6 Configuration Type -> Static IPv6
    • IPv6 address -> 2a00:d08:a000:x::2/64
  • Auf der „Remote Site“
    • LAN: IPv6 Configuration Type -> Static IPv6
    • IPv6 address -> 2a00:d08:a000:x::3/64
    • Services -> Router Advertisements
      • Router Advertisements -> Router Only
      • RA Interface -> LAN (static)
      • Advertise Default Gateway [x]
      • Advertise Routes 2a00:d08:a000:x::/64
Category: OPNsense

How to install NRPE on a OPNsense Firewall:

  • pkg install nrpe3-3.2.1
  • Create /etc/rc.conf.local  add nrpe3_enable=”YES”
  • Edit configfile: /usr/local/etc/nrpe.cfg
  • Create a Firewall Rule for Port 5666/TCP
  • Start the servive: service nrpe3 start
Category: OPNsense
  • System: Settings: Miscellaneous „Use /dev/crypto“ [x] Enable old userland device for cryptographic acceleration
  • VPN: OpenVPN: Servers: Edit Server: „Hardware Crypto“: BSD cryptodev engine
  • Encryption algorithm: „AES-256-CBC“
Category: OPNsense

Im .ovpn File können folgende Anpassungen gemacht werden (Zeilen hinzufügen):

Verwenden des wintun Adapters (schnellere Verbindung, schnellerer Verbindungsaufbau) nur mit OpenVPN Client >2.5:

windows-driver wintun

Spezifischen TAP / wintun Adapter verwenden:

dev-node ADAPTERNAME

Category: OPNsense

Swisscom Router Einstellungen

Phase 1 Einstellungen

Phase 2 Einstellungen

Category: OPNsense