Remotezugang zu einer OPNsense-Firewall

Bisher konnte ich meine Remotezugangswünsche als Administrator (aber auch für einen Kollegen auf einen Win10-Rechner per RDP), immer mit einem ssh-Zugang auf eine Linuxfirewall lösen:

  • Remotelogin von zu Hause
  • Vernetzung zweier Standorte (Zentrale+Satellit)

Dies möchte ich natürlich auch mit OPNsense erreichen. Ich unterscheide dabei:

  • OPNsense-Firewall FW
  • ArbeitsPC (kommt über LAN an die Firewall), dieser kann natürlich vorläufig mit einer bereits bestehenden Fernsteuerlösung von zu Hause bedient werden.
  • HomePC (kommt nur über Internet an die Firewall), dies kann natürlich einfach ein PC sein, der über einen anderen Zugang in's Internet geht, z.B. mobil.
  • Router (z.B. DSL-Fritzbox)

Anmerkung: Natürlich kann man auch mit einem VPN arbeiten - war aber für mich bisher nicht nötig.

Schritt 1: SSH mit Key

Vorbereitung am ArbeitsPC
  • Wenn noch nicht geschehen einen Ssh-Key anlegen. Ohne weitere Wahl heißt liegt dann in ~/.ssh die Datei id_rsa. Außerdem wird der public key in id_rsa.pub abgelegt.
FW: geeigneten User anlegen
  • Webinterface nutzen
  • System→Access→Users
  • Button +Add
  • ausfüllen,
  • am Ende den ssh key aus der Datei id_rsa.pub per copy&paste einfügen
FW: SSH-Dienst einrichten
  • System→Settings→Administration
  • Haken bei: Enable Secure Shell
  • kein Haken bei: Permit root login
  • kein Haken bei: Permit password login
  • alle Interfaces
  • einen anderen SSH-Port wählen, z.B. 34121
  • SAVE
ArbeitsPC: Testen des Zugangs
  • Aufruf mit
       ssh -i id_rsa name@firewall -p 34121
       
  * es darf keine Passwortnachfrage kommen

Nun haben wir den Stand, dass die FW mit ssh erreicht wird. Aber vom Internet ist noch kein Zugriff möglich.

Schritt 2: Internetzugriff

Router
  • Der Router muss eine Portweiterleitung des Ports 34121 machen, wenn die Firewall nicht bereits ein „Exposed-Host“ ist
  • Jetzt muss man sich auch entscheiden, für welche Protokolle (IPv4 und/oder IPv6) man dies möchte. Beides ist sinnvoll.
FW: Firewall-Regel ergänzen

Die OPNsense-Firewall benötigt eine Regel, um den Zugriff auf Port 34121 zu erlauben:

  • Firewall→Rules→WAN
  • Add
  • Direction: in
  • TCP/IP: deine Wahl
  • Protocol: TCP
  • Destination: This Firewall
  • Destination Port Range: from→other: 34121 to→other: 34121
  • Save, Apply Changes

Eine exotische Einstellung verhindert weiterhin die Funktion, daher nach Forumseintrag:

  • Firewall→Settings→Advanced
  • Haken bei: Disable reply-to
Dynamischer DNS-Eintrag

Der Router oder die Firewall müssen einen dynamischen DNS-Eintrag aktualisieren. Das kann OPNsense selbst, womit IPv6 möglich ist.

HomePC

Teste den Zugang mit demselben Key und User wie oben