OPNsense als VPN-Gateway

[sm-vm]

Hallo Forum, 

ich würde gerne eine OPNsense als WireGuard-VPN-Gateway betreiben. Mein Kunde hat seine eigene Infrastruktur, aber ich möchte für einen bestimmten Dienst das VPN nutzen. Ja, ich könnte auch einfach einen WireGuard-Client verwenden, aber meine Frage ist, ob meine geplante Lösung so funktionieren würde. 

Konkret möchte ich in einer virtuellen Maschine eine OPNsense mit nur einem Netzwerkanschluss einrichten. Es gäbe also nur LAN, das heißt, die OPNsense würde lediglich eine IP-Adresse erhalten (z. B. 192.168.178.100). Auf meinen PCs würde ich dann per Routing die Route zu der jeweiligen Adresse im VPN setzen. 

Wie seht ihr das? Wäre es sinnvoller, zusätzlich eine virtuelle WAN-Schnittstelle einzurichten, die ebenfalls im Netzwerk läuft (z. B. mit der IP 192.168.178.99)? Falls der LAN-Anschluss ausreichen würde, wie müsste ich das am besten konfigurieren? Dazu habe ich bisher nur wenig gefunden. 

Viele Grüße 

[viragomann]

Hallo,

ein Router macht erst ab 2 Netwerksegmente und damit 2 Interfaces Sinn. In deinem Fall wäre eines in deinem Netzwerk, so dass OPNsense mit deinem Rechner kommunizieren kann, das andere wäre das Wireguard Interface.

Also ja, wie es du siehst, reicht ein Netzwerkanschluss. Tatsächlich wären es aber doch zwei.
Ein zweites Interface im selben Subnetz ist allenfalls keine gute Idee.

Welches Interface du verwendet ist grundsätzlich egal, ich würde aber LAN nehmen.
Das Inteface einfach mit der IP konfigurieren und da auch das Upstream Gateway angeben. Mag ungewöhnlich sein am LAN und es ist oft auch eine Fehlerquelle, aber hier ist es erforderlich.

Die Regeln sind noch zu konfigurieren. Sonst ist da nichts Besonderes.

Ich habe nicht ganz verstanden, was du genau mit dem VPN-Gateway bezwecken möchtest. Du wirst auf deinen Geräten wahrscheinlich noch Routen für die Remoteseite benötigen, die auf die OPNsense zeigen.
Ist es aber ausschließlich für eingehende Verbindungen gedacht, könntest du den Traffic auf auf die OPNsense IP natten (outbound NAT).

[Patrick M. Hausen]

Ich habe das genau so am laufen - eine phys. Schnittstelle, LAN. Defaultroute auf die Fritzbox, die den Internetzugang bereitstellt. Die OPNsense hat einen WireGuard-Tunnel in unser Rechenzentrum und stellt darüber für die Kolleg*innen in Frankfurt IPv6 bereit.

Außerdem ist die OPNsense in dem Netz DHCP-Server, DNS-Server (wir haben unsere Active-Directory-Zonen als secondary zones in BIND).

Die Firewall habe ich global deaktiviert, das ist im Wesentlichen ein VPN-Router. Das musst du aber nicht so halten.

Du kannst das aber alles abschalten, und wahrscheinlich solltest du das zumindest für NAT auch tun.