Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
sysbetr:opnsense_remote [2020/04/03 19:30] – angelegt cbsysbetr:opnsense_remote [2020/04/18 14:46] – [Schritt 2: Internetzugriff] cb
Zeile 1: Zeile 1:
 ====Remotezugang zu einer OPNsense-Firewall==== ====Remotezugang zu einer OPNsense-Firewall====
 +Bisher konnte ich meine Remotezugangswünsche immer mit einem ssh-Zugang auf eine Linuxfirewall lösen: 
 +
 +    * Remotelogin von zu Hause
 +    * Vernetzung zweier Standorte (Zentrale+Satellit)
 +
 +Dies möchte ich natürlich auch mit OPNsense erreichen. Ich unterscheide dabei:
 +    * OPNsense-Firewall FW
 +    * ArbeitsPC (kommt über LAN an die Firewall), dieser kann natürlich vorläufig mit einer bereits bestehenden Fernsteuerlösung von zu Hause bedient werden.
 +    * HomePC (kommt nur über Internet an die Firewall), dies kann natürlich einfach ein PC sein, der über einen anderen Zugang in's Internet geht, z.B. mobil.
 +    * Router (z.B. DSL-Fritzbox)
 + {{:sysbetr:remotezugang.png?nolink|}}
 +
 +===Schritt 1: SSH mit Key===
 +==Vorbereitung am ArbeitsPC==
 +
 +    * Wenn noch nicht geschehen einen Ssh-Key anlegen. Ohne weitere Wahl heißt liegt dann in ~/.ssh die Datei id_rsa. Außerdem wird der public key in id_rsa.pub abgelegt.
 +
 +==FW: geeigneten User anlegen==
 +
 +    * Webinterface nutzen
 +    * System->Access->Users
 +    * Button +Add
 +    * ausfüllen, 
 +    * am Ende den ssh key aus der Datei id_rsa.pub per copy&paste einfügen
 +
 +==FW: SSH-Dienst einrichten==
 +
 +    * System->Settings->Administration
 +    * Haken bei: Enable Secure Shell
 +    * **kein** Haken bei: Permit root login
 +    * **kein** Haken bei: Permit password login
 +    * alle Interfaces
 +    * einen anderen SSH-Port wählen, z.B. 34121
 +    * SAVE
 +
 +==ArbeitsPC: Testen des Zugangs==
 +    * Aufruf mit
 +
 +         ssh -i id_rsa name@firewall -p 34121
 +         
 +    * es darf keine Passwortnachfrage kommen
 +
 +**Nun haben wir den Stand, dass die FW mit ssh erreicht wird. Aber vom Internet ist noch kein Zugriff möglich.**
 +===Schritt 2: Internetzugriff===
 +==Router==
 +    * Der Router muss eine Portweiterleitung des Ports 34121 machen, wenn die Firewall nicht bereits ein "Exposed-Host" ist
 +    * Jetzt muss man sich auch entscheiden, für welche Protokolle (IPv4 und/oder IPv6) man dies möchte. Beides ist sinnvoll.
 +
 +==FW: Firewall-Regel ergänzen==
 +Die OPNsense-Firewall benötigt eine Regel, um den Zugriff auf Port 34121 zu erlauben:
 +    * Firewall->Rules->WAN
 +    * Add
 +    * Direction: in
 +    * TCP/IP: deine Wahl
 +    * Protocol: TCP
 +    * Destination: This Firewall
 +    * Destination Port Range: from->other: 34121 to->other: 34121
 +    * Save, Apply Changes
 +Eine exotische Einstellung verhindert weiterhin die Funktion, daher nach [[https://forum.opnsense.org/index.php?topic=9784.0|Forumseintrag]]:
 +    * Firewall->Settings->Advanced
 +    * Haken bei: Disable reply-to 
 +==Dynamischer DNS-Eintrag==
 +Der Router oder die Firewall müssen einen dynamischen DNS-Eintrag [[sysbetr:dyndns|aktualisieren]]. Das kann OPNsense selbst, womit IPv6 möglich ist. 
 +==HomePC==
 +Teste den Zugang mit demselben Key und User wie oben
 +
 +{{tag> HowTo Firewall Remotezugang SSH Portnummer SSH-Key}}