Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
sysbetr:opnsense_remote [2020/04/03 19:48] cbsysbetr:opnsense_remote [2020/04/18 14:46] – [Schritt 2: Internetzugriff] cb
Zeile 1: Zeile 1:
 ====Remotezugang zu einer OPNsense-Firewall==== ====Remotezugang zu einer OPNsense-Firewall====
-Bisher konnte ich meine Remote-Zugangs-Probleme immer mit einem ssh-Zugang lösen: +Bisher konnte ich meine Remotezugangswünsche immer mit einem ssh-Zugang auf eine Linuxfirewall lösen: 
  
-* Remotelogin von zu Hause +    * Remotelogin von zu Hause 
-* Vernetzung zweier Standorte (Zentrale+Satellit)+    * Vernetzung zweier Standorte (Zentrale+Satellit)
  
-Dies möchte ich natürlich auch mit OPNsense erreichen:+Dies möchte ich natürlich auch mit OPNsense erreichen. Ich unterscheide dabei: 
 +    * OPNsense-Firewall FW 
 +    * ArbeitsPC (kommt über LAN an die Firewall), dieser kann natürlich vorläufig mit einer bereits bestehenden Fernsteuerlösung von zu Hause bedient werden. 
 +    * HomePC (kommt nur über Internet an die Firewall), dies kann natürlich einfach ein PC sein, der über einen anderen Zugang in's Internet geht, z.B. mobil. 
 +    * Router (z.B. DSL-Fritzbox) 
 + {{:sysbetr:remotezugang.png?nolink|}}
  
-===Vorbereitung=== +===Schritt 1: SSH mit Key=== 
-    * Wenn noch nicht geschehen auf der Arbeitsmaschine einen Ssh-Key anlegen. Ohne weitere Wahl heißt liegt dann in ~/.ssh die Datei id_rsa. Außerdem wird der public key in id_rsa.pub abgelegt.+==Vorbereitung am ArbeitsPC==
  
-===geeigneten User anlegen=== +    Wenn noch nicht geschehen einen Ssh-Key anlegen. Ohne weitere Wahl heißt liegt dann in ~/.ssh die Datei id_rsa. Außerdem wird der public key in id_rsa.pub abgelegt.
-    *System->Access->Users +
-    *Button Add, ausfüllen, am Ende den ssh key aus der Datei id_rsa.pub per copy&paste einfügen+
  
 +==FW: geeigneten User anlegen==
 +
 +    * Webinterface nutzen
 +    * System->Access->Users
 +    * Button +Add
 +    * ausfüllen, 
 +    * am Ende den ssh key aus der Datei id_rsa.pub per copy&paste einfügen
 +
 +==FW: SSH-Dienst einrichten==
  
-===SSH-Dienst=== 
-Aktiviere und konfiguriere SSH-Daemon: 
     * System->Settings->Administration     * System->Settings->Administration
-    * Haken bei Enable Secure Shell +    * Haken beiEnable Secure Shell 
-    * **kein** Haken bei Permit root login +    * **kein** Haken beiPermit root login 
-    * **kein** Haken bei Permit password login+    * **kein** Haken beiPermit password login 
 +    * alle Interfaces
     * einen anderen SSH-Port wählen, z.B. 34121     * einen anderen SSH-Port wählen, z.B. 34121
     * SAVE     * SAVE
-Testen! 
-    * von einer Maschine, die in demselben Netzwerk steht, mit 
  
 +==ArbeitsPC: Testen des Zugangs==
 +    * Aufruf mit
  
          ssh -i id_rsa name@firewall -p 34121          ssh -i id_rsa name@firewall -p 34121
Zeile 31: Zeile 42:
     * es darf keine Passwortnachfrage kommen     * es darf keine Passwortnachfrage kommen
  
-===Remotezugang=== +**Nun haben wir den Stand, dass die FW mit ssh erreicht wird. Aber vom Internet ist noch kein Zugriff möglich.** 
-Um aus dem Internet zugreifen zu können muss man von außen hereingelassen werden: +===Schritt 2: Internetzugriff=== 
-    * Der **Router** muss eine Portweiterleitung machen oder die Firewall ist ein Exposed-Host +==Router== 
-    * Die OPNsense-Firewall benötigt eine Regel, um den Zugriff auf Port 34121 zu erlauben: +    * Der Router muss eine Portweiterleitung des Ports 34121 machen, wenn die Firewall nicht bereits ein "Exposed-Host" ist 
-      * Firewall->Rules->WAN +    * Jetzt muss man sich auch entscheiden, für welche Protokolle (IPv4 und/oder IPv6) man dies möchte. Beides ist sinnvoll. 
-      * Add + 
-      * Direction: in +==FW: Firewall-Regel ergänzen== 
-      * TCP/IP: deine Wahl +Die OPNsense-Firewall benötigt eine Regel, um den Zugriff auf Port 34121 zu erlauben: 
-      +    * Firewall->Rules->WAN 
 +    * Add 
 +    * Direction: in 
 +    * TCP/IP: deine Wahl 
 +    Protocol: TCP 
 +    * Destination: This Firewall 
 +    * Destination Port Range: from->other: 34121 to->other: 34121 
 +    * Save, Apply Changes 
 +Eine exotische Einstellung verhindert weiterhin die Funktion, daher nach [[https://forum.opnsense.org/index.php?topic=9784.0|Forumseintrag]]: 
 +    * Firewall->Settings->Advanced 
 +    * Haken bei: Disable reply-to  
 +==Dynamischer DNS-Eintrag== 
 +Der Router oder die Firewall müssen einen dynamischen DNS-Eintrag [[sysbetr:dyndns|aktualisieren]]. Das kann OPNsense selbst, womit IPv6 möglich ist.  
 +==HomePC== 
 +Teste den Zugang mit demselben Key und User wie oben 
 + 
 +{{tag> HowTo Firewall Remotezugang SSH Portnummer SSH-Key}}