Kurz notiert: Möchte man eine OpenVPN-Konfigurationdatei für Apple iOS (iPhone/iPad) oder Google Android für die Verwendung in den jeweiligen Apps vorbereiten, so ist ggf. ein wenig Handarbeit notwendig.
Die Variante mit einer Securepoint UTM als OpenVPN-Server und einer pfSense als Client wurde in der Vergangenheit bereits im Rahmen dieses Blogs beschrieben (Link). In diesem Beitrag geht es um die umgekehrte Konstellation, d.h eine pfSense läuft als OpenVPN-Server und eine Securepoint UTM als Client.
Scheitert nach einem Update des Mac OS X OpenVPN-Clients Tunnelblick oder einer pfSense-Firewall der VPN-Verbindungsaufbau zu einer Securepoint UTM, so kann dies an einem zu kurzem Diffie-Hellman-Schlüssel liegen.
Bei einem Kunden sollte auf der Bestandshardware, ein 2011er Black Dwarf und eine RC100 von 2014, die Securepoint-Firmware durch pfSense ersetzt werden. Hintergrund der Massnahme war der Wunsch kosten zu sparen.
Für ein Kundenszenrario muss ein Site-to-Site VPN (Standortvernetzung) auf Basis von OpenVPN zwischen einer Securepoint UTM RC100 und einer pfSense realisiert werden. Grundsätzlich untersützen beide Firewalls OpenVPN, allerdings unterscheiden sich die Konfigurationsmöglichkeiten.
In den ersten Teilen dieser Beitragsserie ging es zunächst um pfSense als OpenVPN-Client für den vServer mit der öffentlichen IPv4-Adresse, der den OpenVPN-Server stellt. Nun folgt die Variante mit einer Securepoint UTM als OpenVPN-Client.
Seit ein paar Tagen versuche ich folgende Kombi zum Laufen zu bekommen:
Securepoint UTM als Site-to-Site-Client mit einem Debian 10 Buster als Site-to-Site-Server
Ebenso wie bei Securepoint UTMs kann man die Benutzeranmeldung für OpenVPN (SSL-VPN) bei pfSense nicht nur über eine lokale Benutzerdatenbank sondern zusätzlich (oder alternativ) über RADIUS oder LDAP bzw. Active Directory realisieren. Dies spart im Regelfall die mehrfache Verwaltung von Benutzerkonten. Nachfolgend geht es um die Active Directory-Anbindung auf Basis von Windows Server 2019 Standard und pfSense 2.4.4-RELEASE-p2.
Seit ein paar Versionen beherrscht (endlich) auch die Securepoint UTM das Reservieren von IP-Adressen im DHCP-Server.
Quasi als Fortsetzungsartikel zu Wie eine Securepoint UTM RC100 stirbt und man sie wiederbelebt folgt nun die Variante mit einer pfSense auf einem APU-Board von PC Engines. Im Grunde kann man die Diagnose auch auf andere Hardware anwenden.
Bei einer Kundin klappte der VPN-Verbindungsaufbau im Homeoffice nicht mehr. Zum Einsatz kommt auf dem Notebook Windows 8.1, AVG Free AntiVirus, Securepoint SSL VPN Client 1.0.3 und auf der Gegenseite eine pfSense-Firewall.