Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
sysbetr:opnsense_remote [2020/04/06 18:01]
cb [Schritt 2: Internetzugriff]
sysbetr:opnsense_remote [2020/05/05 12:07] (aktuell)
Zeile 1: Zeile 1:
-====Remotezugang zu einer OPNsense-Firewall==== +Dies Systembetreuungs-Seiten sind umgezogen zu **[[https://systembetreuung.bienmueller.de/dokuwiki/doku.php|Systembetreuung in der Praxis]]**!
-Bisher konnte ich meine Remotezugangswünsche immer mit einem ssh-Zugang auf eine Linuxfirewall lösen+
  
-    Remotelogin von zu Hause +Diese Seite finden Sie dort als **[[https://systembetreuung.bienmueller.de/dokuwiki/doku.php/opnsense_remote]]**
-    Vernetzung zweier Standorte (Zentrale+Satellit)+
  
-Dies möchte ich natürlich auch mit OPNsense erreichen. Ich unterscheide dabei: 
-    * OPNsense-Firewall FW 
-    * ArbeitsPC (kommt über LAN an die Firewall), dieser kann natürlich vorläufig mit einer bereits bestehenden Fernsteuerlösung von zu Hause bedient werden. 
-    * HomePC (kommt nur über Internet an die Firewall), dies kann natürlich einfach ein PC sein, der über einen anderen Zugang in's Internet geht, z.B. mobil. 
-    * Router (z.B. DSL-Fritzbox) 
- {{:sysbetr:remotezugang.png?nolink|}} 
- 
-===Schritt 1: SSH mit Key=== 
-==Vorbereitung am ArbeitsPC== 
- 
-    * Wenn noch nicht geschehen einen Ssh-Key anlegen. Ohne weitere Wahl heißt liegt dann in ~/.ssh die Datei id_rsa. Außerdem wird der public key in id_rsa.pub abgelegt. 
- 
-==FW: geeigneten User anlegen== 
- 
-    * Webinterface nutzen 
-    * System->Access->Users 
-    * Button +Add 
-    * ausfüllen,  
-    * am Ende den ssh key aus der Datei id_rsa.pub per copy&paste einfügen 
- 
-==FW: SSH-Dienst einrichten== 
- 
-    * System->Settings->Administration 
-    * Haken bei: Enable Secure Shell 
-    * **kein** Haken bei: Permit root login 
-    * **kein** Haken bei: Permit password login 
-    * alle Interfaces 
-    * einen anderen SSH-Port wählen, z.B. 34121 
-    * SAVE 
- 
-==ArbeitsPC: Testen des Zugangs== 
-    * Aufruf mit 
- 
-         ssh -i id_rsa name@firewall -p 34121 
-          
-    * es darf keine Passwortnachfrage kommen 
- 
-**Nun haben wir den Stand, dass die FW mit ssh erreicht wird. Aber vom Internet ist noch kein Zugriff möglich.** 
-===Schritt 2: Internetzugriff=== 
-==Router== 
-    * Der Router muss eine Portweiterleitung des Ports 34121 machen, wenn die Firewall nicht bereits ein "Exposed-Host" ist 
-    * Jetzt muss man sich auch entscheiden, für welche Protokolle (IPv4 und/oder IPv6) man dies möchte. Beides ist sinnvoll. 
- 
-==FW: Firewall-Regel ergänzen== 
-Die OPNsense-Firewall benötigt eine Regel, um den Zugriff auf Port 34121 zu erlauben: 
-    * Firewall->Rules->WAN 
-    * Add 
-    * Direction: in 
-    * TCP/IP: deine Wahl 
-    * Protocol: TCP 
-    * Destination: This Firewall 
-    * Destination Port Range: from->other: 34121 to->other: 34121 
-    * Save, Apply Changes 
-Eine exotische Einstellung verhindert weiterhin die Funktion, daher nach [[https://forum.opnsense.org/index.php?topic=9784.0|Forumseintrag]]: 
-    * Firewall->Settings->Advanced 
-    * Haken bei: Disable reply-to  
-==Dynamischer DNS-Eintrag== 
-Der Router oder die Firewall müssen einen dynamischen DNS-Eintrag [[sysbetr:dyndns|aktualisieren]]. Das kann OPNsense selbst, womit IPv6 möglich ist.  
-==HomePC== 
-Teste den Zugang mit demselben Key und User wie oben 
- 
-{{tag>Firewall Remotezugang SSH Portnummer SSH-Key}}