Virtuelle private Netzwerke (VPNs) können für eine Reihe sehr nützlicher Anwendungen genutzt werden. Sie können sich sicher mit jedem öffentlichen WLAN-Hotspot verbinden. Sie können Geoblocking-Einschränkungen auf Ihren bevorzugten Websites überwinden. Und Sie können sich sogar von überall auf der Welt mit Ihrem Heim- oder Büronetzwerk verbinden, als ob Sie direkt an Ihrem Schreibtisch sitzen würden. Diese Anleitung führt Sie durch den Prozess der Einrichtung Ihres eigenen OpenVPN-Servers und der Verbindung mit Ihrem Exemplar von Viscosity.

Wenn Sie Ihren eigenen OpenVPN-Server betreiben, können Sie alles, was Sie im Internet tun, verschlüsseln, sodass Sie Ihr Online-Banking sicher über das kostenlose WLAN in Ihrem Lieblingscafé erledigen können. Alles, was Sie über die VPN-Verbindung senden, wird von Ihrem Gerät verschlüsselt, bis es Ihren OpenVPN-Server zu Hause erreicht. Wenn Sie Ihren OpenVPN-Server für den Zugriff auf Ihr Heim- oder Büronetzwerk einrichten, erhalten Sie vollen Zugriff auf alle Ihre Dateien in Ihrem Netzwerk.

Diese Anleitung führt Sie durch die Schritte zum Einrichten eines OpenVPN-Servers auf einer OPNsense-Instanz, die es Ihnen ermöglicht, von einem entfernten Standort aus sicher auf Ihr Heim-/Büronetzwerk zuzugreifen und optional Ihren gesamten Netzwerkverkehr darüber zu senden, damit Sie auf das Internet zugreifen können auch sicher.

In diesem Leitfaden werden keine Probleme im Zusammenhang mit der Einrichtung Ihres Routers behandelt. Ein Server, auf dem OPNsense ausgeführt wird, fungiert wahrscheinlich selbst als Router, daher gehen wir davon aus, dass der OPNsense-Server mit seiner eigenen IP-Adresse direkt mit dem Internet verbunden ist.

Vorbereitung

Für diese Anleitung gehen wir von Folgendem aus:

• Sie haben bereits die neueste Version von OPNsense installiert (21.1 zum Zeitpunkt des Schreibens)
• OPNsense wurde mit mindestens einer WAN-Schnittstelle und einer LAN-Schnittstelle eingerichtet
• Während dieser Anleitung sind Sie mit Ihrem Client-Gerät über dessen LAN-Schnittstelle mit dem OPNsense-Server verbunden
• Diese Installation von OPNsense ist eine Neuinstallation
• Sie haben bereits eine Kopie von Viscosity auf Ihrem Client-Gerät installiert

Wenn Sie eine Kopie von OPNsense herunterladen und installieren müssen, finden Sie Informationen unter https://opnsense.org/download/. Wir werden nicht auf die Details zum Einrichten einer OPNsense-Instanz eingehen, viele Anleitungen sind online zu finden. Wenn Sie eine andere Version von OPNsense verwenden, gelten sehr wahrscheinlich viele oder sogar alle der in diesem Handbuch beschriebenen Schritte weiterhin. Wenn Sie einen OpenVPN-Server auf einem anderen Betriebssystem einrichten möchten, lesen Sie bitte unsere anderen Anleitungen.

Ihr Client-Gerät muss über die LAN-Schnittstelle mit dem OPNsense-Server verbunden sein. Dies ist notwendig, damit Sie auf die OPNsense-Web-GUI zugreifen können. Die Einzelheiten, wie Sie dies erreichen können, hängen von Ihrer speziellen Netzwerkkonfiguration ab.

Wenn Sie noch keine Kopie von Viscosity auf Ihrem Client installiert haben, lesen Sie bitte diese Einrichtungsanleitung zur Installation von Viscosity (Mac | Windows).

Unterstützung

Leider können wir keinen direkten Support für die Einrichtung eines eigenen OpenVPN-Servers leisten. Wir stellen diesen Leitfaden höflich zur Verfügung, um Ihnen den Einstieg zu erleichtern und Ihre Kopie von Viscosity optimal zu nutzen. Wir haben die Schritte in diesem Handbuch gründlich getestet, um sicherzustellen, dass Sie, wenn Sie die unten aufgeführten Anweisungen befolgen, auf dem besten Weg sind, die Vorteile des Betriebs Ihres eigenen OpenVPN-Servers zu genießen.

OPNsense bietet sowohl Community- als auch kommerziellen Support für sein Produkt. Wenn Sie weitere Informationen oder Hilfe benötigen, werfen Sie einen Blick auf die Optionen unter https://wiki.opnsense.org/support.html

Erste Schritte

Zuerst müssen Sie sich von Ihrem Client-Gerät, das mit der LAN-Schnittstelle des OPNsense-Servers verbunden ist, bei der OPNsense-GUI anmelden. Öffnen Sie einen Browser auf Ihrem Client und navigieren Sie zur IP-Adresse der LAN-Schnittstelle Ihres OPNsense-Servers (https://192.168.1.1 standardmäßig). Sie müssen sich anmelden. Die Standardanmeldeinformationen sind unten, aber Sie sollten aufgefordert worden sein, diese in etwas Persönliches zu ändern, als Sie OPNsense installiert haben:

User: root
Password: opnsense

Diese Einrichtung kann von jedem Benutzerkonto aus durchgeführt werden, wenn Sie verschiedene Benutzer oder Rollen erstellt haben, solange diese über Systemadministratorberechtigungen verfügen.

DNS-Server

Wenn Sie OPNsense als Router verwenden, haben Sie höchstwahrscheinlich bereits DNS eingerichtet. Wenn es sich jedoch um eine Neuinstallation handelt, muss OPNsense zumindest wissen, wo es suchen muss, um DNS-Anfragen weiterzuleiten. Wir können das so einrichten:

1. Klicken Sie auf System> Settings> General auf der linken Seite
2. In den DNS-Servern Stellen Sie die ersten beiden DNS-Server auf 8.8.8.8 und 8.8.4.4 (Google DNS) ein. Wenn Sie andere DNS-Server verwenden möchten, können Sie diese stattdessen hier verwenden.
3. Legen Sie das Gateway verwenden fest Drop-down zu Ihrer WAN-Schnittstelle für jeden Eintrag.
4. Klicken Sie auf Save ganz unten.

Ihr OPNsense-Server sollte jetzt in der Lage sein, DNS aufzulösen. Sie können dies testen, indem Sie eine Eingabeaufforderung unter Windows oder Terminal auf einem Mac öffnen und nslookup sparklabs.com. 192.168.1.1 wobei 192.168.1.1 die IP-Adresse Ihres OPNsense-Servers ist.

OpenVPN-Assistent

Ein OpenVPN-Server kann für die meisten Anwendungsfälle mit dem integrierten Assistenten eingerichtet werden.

1. Klicken Sie auf VPN> OpenVPN> Servers auf der linken Seite.
2. Klicken Sie unten auf der neuen Seite auf das Zauberstab-Symbol links neben Mit einem Assistenten einen neuen Server einrichten .
3. Stellen Sie auf der Seite Auswahl des Authentifizierungstyps sicher, dass Servertyp vorhanden ist auf Lokaler Benutzerzugriff eingestellt ist und klicken Sie auf Weiter.
4. Wir müssen jetzt eine Zertifizierungsstelle (CA) erstellen.
   1. Legen Sie den Beschreibungsnamen fest Feld zu 'OPNsense-CA'.
   2. Belassen Sie die Schlüssellänge auf 2048 Bit und stellen Sie die Lebensdauer ein bis 3650
   3. Die restlichen Felder dienen der Identifizierung des Servers, stellen Sie diese entsprechend für Sie ein.
      
      
      
      
5. Klicken Sie auf Neue CA hinzufügen um fortzufahren.
6. Klicken Sie auf Neues Zertifikat hinzufügen auf der nächsten Seite.
7. Klicken Sie auf Serverzertifikat hinzufügen Seite, legen Sie den Beschreibenden Namen fest zum Server , belassen Sie die Schlüssellänge auf 2048 Bit und stellen Sie die Lebensdauer ein bis 3650. Die restlichen Informationen sollten bereits vorausgefüllt sein.
8. Klicken Sie auf Neues Zertifikat erstellen um fortzufahren.
9. Die nächste Seite sollte Server-Setup sein , stellen Sie Folgendes ein:
   1. Legen Sie die Schnittstelle fest ins WAN.
   2. Stellen Sie das Protokoll sicher ist UDP und Port ist 1194.
   3. Legen Sie eine Beschreibung fest, zum Beispiel "Mein Server".
   4. Ändern Sie die DH-Parameterlänge bis 2048 mindestens. Wenn Sie auf moderner Hardware laufen, setzen Sie dies auf 4096 (Sie werden lange warten, wenn Sie es nicht tun).
   5. Verschlüsselungsalgorithmus ändern zu 'AES-256-CBC (256 Bit Schlüssel, 128 Bit Block)'
   6. Ändern Sie den Auth-Digest-Algorithmus mindestens auf 'SHA256 (256-Bit)'. Wenn Sie mit moderner Hardware arbeiten, ändern Sie dies in „SHA512“ (bei älterer Hardware können Verbindungsprobleme auftreten).
   7. Im IPv4-Tunnelnetzwerk geben Sie „10.0.8.0/24“ ein
   8. Um den Zugriff auf Computer im lokalen Netzwerk zuzulassen, geben Sie Ihren lokalen IP-Bereich im Lokalen Netzwerk ein Einstellung. Es wird wahrscheinlich so etwas wie 192.168.1.0/24 sein.
   9. Legen Sie die Komprimierung fest auf 'Deaktiviert'.
   10. Legen Sie DNS-Server 1 fest bis 10.0.8.1.
10. Alle anderen Einstellungen können auf Standard belassen werden. Klicken Sie auf Weiter .
11. Auf der Firewall-Regelkonfiguration , aktivieren Sie sowohl die Firewall-Regel und OpenVPN-Regel Kontrollkästchen und klicken Sie auf Weiter . Wenn Sie eine nicht standardmäßige Einrichtung haben, müssen Sie überprüfen, was am Ende des Assistenten hinzugefügt wird.
12. Sie sollten jetzt Ihre Konfiguration ist jetzt abgeschlossen. sehen . Herzlichen Glückwunsch, wir haben es fast geschafft! Klicken Sie auf Fertig stellen .

Benutzer-Setup

Standardmäßig erfordert die Verbindung mit einem OPNsense OpenVPN-Server sowohl ein Benutzerzertifikat als auch Benutzername und Passwort. Dies ist eine bewährte Vorgehensweise, und wir werden diese Standardeinstellung für jeden Benutzer verwenden, der eine Verbindung herstellen möchte. Wir müssen für jede Person, der Sie Zugriff auf Ihren Server gewähren möchten, ein Benutzerkonto erstellen. Sie können auch vorhandene Benutzer verwenden, wenn Sie möchten, aber Sie müssen sicherstellen, dass ein Zertifikat für sie generiert wird, indem die CA verwendet wird, die wir während des Assistenten erstellt haben.

Erstellen eines neuen Benutzers

So erstellen Sie einen neuen Benutzer:

1. Klicken Sie auf System> Access> Users auf der linken Seite.
2. Klicken Sie auf Hinzufügen oben rechts auf der Benutzerseite.
3. Geben Sie einen Benutzernamen ein , Passwort , und aktivieren Sie das Kontrollkästchen Klicken Sie hier, um ein Benutzerzertifikat zu erstellen weiter unten.
4. Füllen Sie alle anderen Felder aus, die Sie möchten, aber sie sind nicht erforderlich.
5. Klicken Sie auf Speichern.
6. Sie werden zu einer Zertifikatsseite weitergeleitet. Wählen Sie unter Methode die Option "Internes Zertifikat erstellen". Dropdown-Feld. Die Seite ordnet sich neu an.
7. Stellen Sie die Zertifizierungsstelle sicher ist der Name, den wir während des Assistenten erstellt haben, der „OPNsense-CA“ und Type lauten sollte ist 'Client-Zertifikat'.
8. Lebensdauer (Tage) ändern bis 3650.
   
   
   
   
9. Klicken Sie auf Speichern.
10. Sie werden zurück zur Seite "Benutzer erstellen" geleitet. Benutzerzertifikate sollten jetzt einen Eintrag haben, klicken Sie unten erneut auf "Speichern".
11. Ein blaues Kästchen sollte über dem Kästchen mit 'Die Änderungen wurden erfolgreich angewendet.' erscheinen. Wir haben einen neuen Benutzer hinzugefügt, den wir jetzt verwenden können.

Erstellen eines Zertifikats für einen bestehenden Benutzer

So erstellen Sie ein Zertifikat für einen bestehenden Benutzer:

1. Klicken Sie auf System> Access> Users auf der linken Seite.
2. Klicken Sie auf die Bearbeitungsschaltfläche (ein Stift) neben dem Benutzer.
3. Klicken Sie in den Benutzerzertifikaten unter Name auf das Pluszeichen (+). Feld.
4. Sie werden zu einer Zertifikatsseite weitergeleitet. Wählen Sie unter Methode die Option "Internes Zertifikat erstellen". Dropdown-Feld. Die Seite ordnet sich neu an.
5. Stellen Sie die Zertifizierungsstelle sicher ist der Name, den wir während des Assistenten erstellt haben, der „OPNsense-CA“ und Type lauten sollte ist 'Client-Zertifikat'.
6. Lebensdauer (Tage) ändern bis 3650.
7. Klicken Sie auf Speichern.
8. Sie werden zurück zur Seite "Benutzer erstellen" geleitet. Benutzerzertifikate sollten jetzt einen Eintrag haben, klicken Sie unten erneut auf "Speichern".
9. Ein blaues Kästchen sollte über dem Kästchen mit 'Die Änderungen wurden erfolgreich angewendet.' erscheinen. Wir haben einen neuen Benutzer hinzugefügt, den wir jetzt verwenden können.

Benutzergruppen (optional)

Wenn Sie Benutzer für verschiedene Aufgaben auf Ihrem OPNsense-Server haben, denen Sie keinen Zugriff auf das VPN gewähren möchten, können Sie eine Benutzergruppe erstellen, um den Zugriff auf Ihren VPN-Server zu steuern. So erstellen Sie eine Gruppe:

1. Klicken Sie auf System> Access> Groups auf der linken Seite.
2. Klicken Sie unten rechts auf der Benutzerseite auf das Pluszeichen (+), um einen neuen Benutzer hinzuzufügen.
3. Legen Sie den Gruppennamen fest zu 'VPN', können Sie auch eine Beschreibung festlegen, die Sie wiedererkennen, etwa 'VPN-Server-Zugriffsgruppe'.
4. Sie können der Gruppe jetzt Benutzer hinzufügen, aber klicken Sie auf ihren Namen in der linken Liste und dann auf den Rechtspfeil.
5. Klicken Sie auf Speichern

Jetzt müssen wir nur dieser Gruppe Zugriff auf den Server gewähren. Dazu:

1. Klicken Sie auf VPN> OpenVPN> Servers auf der linken Seite.
2. Klicken Sie auf die Bearbeiten-Schaltfläche (Bleistift) neben Ihrem OpenVPN-Server.
3. Ändern Sie die Lokale Gruppe erzwingen zu 'VPN' (oder wie Sie Ihre VPN-Gruppe benannt haben, falls etwas anderes).
4. Scrollen Sie nach unten und klicken Sie auf Speichern .

Einrichten der Viskosität

Wenn Sie es bis hierher geschafft haben, sollten Sie sich jetzt mit Ihrem OpenVPN-Server verbinden können, herzlichen Glückwunsch! Wir können jetzt die Viskosität einrichten.

Verbindung von OPNsense exportieren

Zuerst müssen Sie die Konfiguration von OPNsense herunterladen. OPNsense macht dies extrem einfach, indem es einsatzbereite Verbindungen für verschiedene Geräte bereitstellt, einschließlich Verbindungen, die speziell für Viscosity vorbereitet sind. So gelangen Sie zu diesen:

1. Klicken Sie auf VPN> OpenVPN> Client Export auf der linken Seite.
2. Klicken Sie unter Client-Installationspakete auf das Dropdown-Feld Exportieren neben dem Benutzer, für den Sie eine Konfiguration exportieren möchten, und wählen Sie „Viscosity Bundle“ aus. Eine Visz-Verbindung wird heruntergeladen.

Verbindung in Viskosität importieren

Die Benutzeroberfläche der Mac- und Windows-Versionen von Viscosity ist absichtlich sehr ähnlich. Daher konzentrieren wir uns in unserem Leitfaden auf die Mac-Version und weisen auf etwaige Unterschiede zur Windows-Version hin, sobald diese auftreten.

Wenn Sie Viscosity noch nicht ausgeführt haben, starten Sie Viscosity jetzt. In der Mac-Version In der Menüleiste wird das Viskositätssymbol angezeigt. In der Windows-Version Sie sehen das Viskositätssymbol in der Taskleiste.

Klicken Sie auf das Viskositätssymbol in der Menüleiste (Windows :system tray) und wählen Sie 'Einstellungen...':

Dies zeigt Ihnen die Liste der verfügbaren VPN-Verbindungen. Wir gehen davon aus, dass Sie Viscosity kürzlich installiert haben, daher ist diese Liste leer. Klicken Sie auf die Schaltfläche „+“ und wählen Sie Import Connection> From File... :

Navigieren Sie zum Speicherort der Viscosity-Konfigurationsdatei und öffnen Sie sie. Sie sehen eine Popup-Meldung, die anzeigt, dass die Verbindung importiert wurde.

Doppelklicken Sie nun auf die Verbindung im Fenster Einstellungen, um die Verbindungseinstellungen aufzurufen. Wenn Sie die richtige von OPNsense exportierte Verbindung verwendet haben, müssen Sie nur den Verbindungsnamen in einen Namen ändern, den Sie wiedererkennen, und überprüfen, ob die Serveradresse korrekt ist.

Speichern Sie die Verbindung und Sie sollten sich jetzt verbinden können.

(Optional) Zulassen des Zugriffs auf das Internet

Standardmäßig erlaubt die VPN-Verbindung den Zugriff auf den Dateiserver und andere Computer im Heim-/Büronetzwerk (LAN). Wenn Sie jedoch auch den gesamten Internetverkehr über die VPN-Verbindung senden möchten, müssen Sie die Verbindung abschließend bearbeiten:

1. Doppelklicken Sie im Fenster Viskositätseinstellungen auf Ihre Verbindung, um den Verbindungseditor zu öffnen
2. Klicken Sie auf Netzwerk Registerkarte.
3. Klicken Sie auf das Dropdown-Menü "Gesamter Datenverkehr" und wählen Sie die Option "Gesamten Datenverkehr über VPN-Verbindung senden". Es ist nicht erforderlich, ein Standard-Gateway einzugeben.
4. Klicken Sie auf Save Schaltfläche.

Herstellen und Verwenden Ihrer VPN-Verbindung

Sie können jetzt eine Verbindung herstellen. Klicken Sie auf das Viskositätssymbol in der macOS-Menüleiste oder der Windows-Taskleiste, um das Viskositätsmenü zu öffnen, wählen Sie die importierte Verbindung aus und Viscosity stellt eine Verbindung her.

Um zu überprüfen, ob das VPN betriebsbereit ist, können Sie das Fenster „Details“ im Menü „Viskosität“ öffnen. Dadurch können Sie Verbindungsdetails, Datenverkehr und das OpenVPN-Protokoll anzeigen.

Das war's, Sie haben Ihren eigenen OpenVPN-Server eingerichtet. Herzlichen Glückwunsch, Sie können jetzt die Vorteile des Betriebs Ihres eigenen OpenVPN-Servers genießen!