![\"pfSense](\"https:\/\/technium.ch\/wp-content\/uploads\/2020\/12\/pfSense_Create_Server_CAs2.png\")
<\/a><\/figure>\n\u00abDescriptive name\u00bb:<\/strong> Geben Sie einen beliebigen Namen f\u00fcr die Beschreibung an.<\/p>\n \u00abMethod\u00bb: <\/strong>W\u00e4hlen Sie hier \u00abCreate an internal Certificate Authority\u00bb aus, um ein neues Zertifikat zu erstellen.<\/p>\n \u00abKey length (bits): <\/strong>Hier k\u00f6nnen Sie die Key L\u00e4nge des Zertifikats ausw\u00e4hlen. Es sollte mindestens 4096 ausgew\u00e4hlt werden. Wir empfehlen 8192!<\/p>\n \u00abDigest Algorithm\u00bb: <\/strong>Hier w\u00e4hlen Sie den Verschl\u00fcsselungs Algorithmus aus. Es kann ohne Probleme der h\u00f6chste Wert, also \u00absha512\u00bb verwendet werden.<\/p>\n \u00abLifetime (days): <\/strong>Dieser Wert kann beim Standard belassen werden.<\/p>\n \u00abCommon Name\u00bb: <\/strong>Hier k\u00f6nnen Sie einen beliebigen Namen (ohne Leer- und Sonderzeichen oder Zahlen au\u00dfer \u00ab-\u00ab) f\u00fcr das Zertifikat angeben.<\/p>\n \u00abCountry Code\u00bb: <\/strong>W\u00e4hlen Sie Ihren L\u00e4ndercode aus.<\/p>\n \u00abState or Province\u00bb: <\/strong>Geben Sie Ihr Bundesland\/Kanton an.<\/p>\n \u00abCity\u00bb: <\/strong>Geben Sie Ihre Stadt an.<\/p>\n \u00abOrganization\u00bb: <\/strong>Dieses Feld kann leer-gelassen werden.<\/p>\n \u00abOrganizational Unit\u00bb:<\/strong> Dieses Feld kann leer-gelassen werden.<\/p>\n Anschlie\u00dfend m\u00fcssen Sie auf \u00abSave\u00bb klicken, um das Zertifikat generieren zu lassen. Dies kann bis zu 5 Minuten dauern.<\/p>\n Klicken Sie unter System -> Cert.Manager -> Certificates auf \u00abAdd\/Sign\u00bb.<\/p>\n \u00abMethod\u00bb:<\/strong> Belassen Sie hier die Auswahl auf \u00abCreate an internal Certificate\u00bb.<\/p>\n \u00abDescriptive Name\u00bb: <\/strong>Geben Sie hier einen Namen Ihrere Wahl an.<\/p>\n \u00abCertificate authority\u00bb:<\/strong> W\u00e4hlen Sie hier die zuvor erstellte CA aus.<\/p>\n \u00abKey length\u00bb: <\/strong>Hier k\u00f6nnen Sie wieder die Key L\u00e4nge des Zertifikats ausw\u00e4hlen. Es sollte mindestens 4096 ausgew\u00e4hlt werden. Wir empfehlen 8192!<\/p>\n \u00abDigest Algorithm\u00bb:<\/strong> Hier w\u00e4hlen Sie wieder den Verschl\u00fcsselungsalgorithmus aus. Es kann ohne Probleme der h\u00f6chste Wert, also \u00absha512\u00bb verwendet werden.<\/p>\n \u00abLifetime (days)\u00bb:<\/strong> Dieser Wert kann wieder bei 3650 belassen werden.<\/p>\n \u00abCommon Name\u00bb:<\/strong> Hier k\u00f6nnen Sie ihre Domain oder IP Addresse angeben, die auf den pfSense Server verweist.<\/p>\n \u00abCountry Code, State or Province, City, Organization und Organizational Unit\u00bb:<\/strong> Diese Werte k\u00f6nnen Sie gleich wie im ersten Schritt ausf\u00fcllen.<\/p>\n \u00abCertificate Type\u00bb:<\/strong> Hier m\u00fcssen Sie \u00abServer Certificate\u00bb ausw\u00e4hlen.<\/p>\n \u00abAlternative Names\u00bb:<\/strong> Geben Sie hier bei der Auswahl \u00abFQDN or Hostname\u00bb ihre Domain an, die auf die pfSense verweist.<\/p>\n Sie haben keine Domain? Dann w\u00e4hlen Sie unter \u00abType\u00bb \u00abIP address\u00bb aus. Dann k\u00f6nnen Sie auch Ihre Public-IP angeben.<\/p>\n Klicken Sie anschlie\u00dfend auf \u00abSave\u00bb.<\/p>\n Klicken Sie unter System -> User Manager -> Users auf \u00abAdd\u00bb.<\/p>\n \u00abDisabled\u00bb: <\/strong>Hier k\u00f6nnen Sie festlegen, ob sich der Benutzer an der pfSense Weboberfl\u00e4che und am VPN anmelden kann. Wenn dieses Feld angehakt ist, wird dem Benutzer beim Versuch einer Verbindung einen \u00abUser authentication Error\u00bb erhalten.<\/p>\n \u00abUsername\u00bb: <\/strong>Geben Sie hier den gew\u00fcnschten Benutzernamen an.<\/p>\n \u00abPassword\u00bb: <\/strong>Geben Sie hier das Passwort f\u00fcr den Benutzer an.<\/p>\n \u00abFull name\u00bb: <\/strong>Hier k\u00f6nnen Sie den vollen Namen des Benutzers angeben. Allerdings ist dies kein Pflichtfeld.<\/p>\n \u00abExpiration date\u00bb: <\/strong>Hier k\u00f6nnen Sie einen Zeitraum festlegen, ob und wann der Benutzer deaktiviert werden soll.<\/p>\n Die Felder \u00abCustom Settings\u00bb <\/strong>und \u00abGroup membership\u00bb <\/strong>m\u00fcssen nicht ge\u00e4ndert werden. Wir belassen diese auf den Standardwerten.<\/p>\n \u00abClick to create a user certificate\u00bb: <\/strong>Dieses Feld muss ausgew\u00e4hlt werden, da wir so direkt f\u00fcr diesen Benutzer ein Zertifikat erstellen k\u00f6nnen.<\/p>\n \u00abDescriptive name\u00bb: <\/strong>Hier m\u00fcssen Sie wieder einen Namen Ihrer Wahl f\u00fcr das Zertifikat eintragen.<\/p>\n \u00abCertificate authority\u00bb: <\/strong>Hier m\u00fcssen Sie wieder die gerade erstellte pfSense Authority ausw\u00e4hlen.<\/p>\n \u00abKey length\u00bb: <\/strong>Die Key L\u00e4nge k\u00f6nnen Sie wie bei den anderen Zertifikaten frei w\u00e4hlen. H\u00f6her ist immer besser, dauert jedoch l\u00e4nger beim erzeugen und verbinden.<\/p>\n Die restlichen Felder belassen wir bei den Standards.<\/p>\n Klicken Sie unter VPN -> OpenVPN -> Servers -> Add<\/p>\n Bei \u00abServer mode\u00bb stehen verschiedene M\u00f6glichkeiten zur Auswahl. \u00abRemote Access (SSL\/TLS)\u00bb f\u00fcr die Authentifizierung wird nur die Zertifikats-Datei ben\u00f6tigt. Der Benutzer muss sich nicht mit einem Namen und Kennwort anmelden. Diese Methode ist, wenn man die Zertifikats-Datei sicher teilt und aufbewahrt, ziemlich sicher, da es unrealistisch ist, dass ein Angreifer einen 8192 Zeichen langen Key err\u00e4t.<\/p>\n \u00abRemote Access (User Auth)\u00bb Hier gibt es keine Zertifikats-Datei. Der User loggt sich nur mit Benutzername und Passwort in das VPN-Netzwerk ein. Diese Methode k\u00f6nnen wir nicht empfehlen, da es einfach(er) ist, das Passwort zu erraten.<\/p>\n \u00abRemote Access (SSL\/TLS + User Auth)\u00bb Dies ist die sicherste Methode, sich mit dem VPN zu verbinden. Hier wird neben der Zertifikats-Datei auch noch ein Benutzername und ein Passwort abgefragt.<\/p>\n W\u00e4hlen Sie die Methode, die Ihnen am meisten zusagt. Wir fahren mit \u00abRemote Access (SSL\/TLS + User Auth)\u00bb fort.<\/p>\n \u00abProtocol\u00bb und \u00abDevice mode\u00bb k\u00f6nnen Sie bei den Standard Werten belassen.<\/p>\n \u00abInterface\u00bb muss auf \u00abWAN\u00bb festgelegt werden.<\/p>\n Bei \u00abLocal port\u00bb muss der Port angegeben werden, mit dem die VPN-Verbindung aufgebaut wird. Standard ist hier \u00ab1194\u00bb. Wir \u00e4ndern diesen ab, da dies eine h\u00f6here Sicherheit verspricht. \u00abDescription\u00bb: Hier sollten Sie zur Identifikation des Servers eine treffende Beschreibung angeben.<\/p>\n Unter \u00abCryptographic Settings\u00bb muss der Haken bei \u00abUse a TLS Key\u00bb und bei \u00abAutomatically generate a TLS Key.\u00bb gesetzt sein. So wird beim erstellen des Servers automatisch ein TLS-Cert generiert.<\/p>\n Die Werte und Haken f\u00fcr \u00abTLS keydir direction\u00bb, \u00abPeer Certificate Revocation list\u00bb, \u00abECDH Curve\u00bb und \u00abEnable NCP\u00bb belassen wir bei den Standard-Werten.<\/p>\n Unter \u00abPeer Certificate Authority\u00bb m\u00fcssen Sie wieder Ihre im ersten Schritt erstellte CA angeben.<\/p>\n Bei \u00abServer certificate\u00bb muss das eben erstellte Server-Zertifikat ausgew\u00e4hlt werden. Bitte beachten Sie hier, dass Sie nicht das Benutzer-Zertifikat ausw\u00e4hlen.<\/p>\n Die \u00abDH Parameter Length\u00bb setzen wir auf den h\u00f6chst-m\u00f6glichen Wert, also \u00ab8192 bit\u00bb.<\/p>\n F\u00fcr den Wert \u00abEncryption Algorithm\u00bb muss man erw\u00e4hnen, dass in einem Test von uns MacBooks mit Tunnelblick nicht authentifizieren konnte, trotz das die OpenSSL Version auf 5.0.0 gestellt wurde. Als kompatibelster Wert erwies sich bei uns \u00abAES-128-GCM\u00bb. Wenn Sie kein MacBook verwenden, k\u00f6nnen Sie auch \u00abAES-256-GCM\u00bb verwenden. In unserem Test konnten sich iPhone und Windows Ger\u00e4te mit OpenVPN Software authentifizieren.<\/p>\n Die restlichen Werte belassen wir wieder bei den Standards, bis auf \u00abAuth digest algorithm\u00bb. Diese k\u00f6nnen Sie ohne Probleme auf den h\u00f6chst m\u00f6glichen Wert setzen.<\/p>\n Im n\u00e4chsten Abschnitt \u00abTunnel Settings\u00bb aktivieren wir zuerst die Haken \u00abRedirect IPv4 Gateway\u00bb und \u00abRedirect IPv6 Gateway\u00bb. So wird der gesamte Client-Verkehr durch die VPN-Verbindung geroutet.<\/p>\n F\u00fcr das Feld \u00abIPv4 Tunnel Network\u00bb m\u00fcssen sie eine IP mit Subnetzmaske angeben also \u00abX.X.X.X\/xx\u00bb. In unserem Beispiel also \u00ab10.1.1.1\/24\u00bb. Dieses Netz liegt nicht innerhalb eines anderen Interface und ist somit ein extra Netzwerk, dass (erst einmal) nichts mit den anderen zu tun hat.<\/p>\n \u00abCompression\u00bb muss auf \u00abOmit Preference (Use OpenVPN Default)\u00bb gestellt sein.<\/p>\n Au\u00dferdem muss noch der Haken bei \u00abInter-client communication\u00bb gesetzt werden.<\/p>\n Unter \u00abClient Settings\u00bb muss nur der \u00abDynamic IP\u00bb Haken gesetzt werden.<\/p>\nServer Zertifikat erstellen<\/h3>\n
<\/a><\/figure>\nUser und User-Cert anlegen<\/h3>\n
<\/a><\/figure>\npfSense OpenVPN Server erstellen<\/h2>\n
<\/a><\/figure>\n
\nDiese Unterscheiden sich in folgenden Punkten<\/p>\n<\/a><\/figure>\n
\nSuchen Sie sich einen Port aus, der nach M\u00f6glichkeit nicht auf der Liste der Standardisierten Ports<\/a> steht.<\/p>\n<\/a><\/figure>\n<\/a><\/figure>\n<\/a><\/figure>\n<\/a><\/figure>\n