Die Variante mit einer Securepoint UTM als OpenVPN-Server und einer pfSense als Client wurde in der Vergangenheit bereits im Rahmen dieses Blogs beschrieben (Link). In diesem Beitrag geht es um die umgekehrte Konstellation, d.h eine pfSense läuft als OpenVPN-Server und eine Securepoint UTM als Client.

Da die Securepoint UTM weniger Konfigurationsmöglichkeiten bietet, muss die Server-Seite auf der pfSense entsprechend passend sein.

pfSense – Zertifikate erstellen

  • Auf “System – Cert. Manager” klicken.
  • Bei “CAs” auf “+ Add” klicken und eine neue interne CA erstellen.
  • Zu “Certificates” wechseln und auf “+ Add” klicken.
  • Zuerst ein Zertifikat für den Server und anschließend für den Client erstellen.

Zertifikate für Securepoint UTM vorbereiten

CA-Zertifikat (ohne Schlüssel) und Client-Zertifikat (mit Schlüssel) exportieren. “*.p12” kann für den Import bei Securepoint nicht verwendet werden. Als Vorbereitung für das Importieren des Client-Zertifikats und dessen Schlüssel in die Securepoint UTM müssen diese zusammenkopiert werden:

  • Jeweils die Zertifikat- und die Schlüsseldatei öffnen.
  • Den Inhalt der Schlüssel-Datei kopieren, in die Zertifikat-Datei einfügen und als *.pem-Datei speichern.

pfSense – Site-to-Site Server

  • Auf “VPN – OpenVPN” klicken.
  • Bei “Servers” auf “+ Add” klicken.
  • Bei “Cryptographic Settings” den Haken bei “Enable authentication of TLS packets.” entfernen.
  • Bei “Peer Certificate Authority” die zuvor erstellte CA auswählen.
  • Bei “Server certificate” das zuvor erstellte Server-Zertifikat auswählen.
  • Bei “Encryption Algorithm” “BF-CBC (128-bit)” auswählen.
  • “IPv4 Tunnel Network” und “IPv4 Remote Networks” eintragen.
  • Auf “Save” klicken.

pfSense – Client Specific Overrides

Dieser Schritt ist essentiell, selbst wenn nur ein Client vorhanden ist, andernfalls funktioniert das Routing nicht. Werden mehrere Clients verwendet, muss ein Eintrag pro Client erstellt werden.

  • Auf “VPN – OpenVPN” klicken.
  • Bei “Client Specific Overrides” auf “+ Add” klicken.
  • Bei “Common name” den CN des Client-Zertifikats eintragen.
  • “IPv4 Local Network/s” und “IPv4 Remote Network/s” eintragen.
  • Auf “Save” klicken.

Hinweis: Die Firewall-Regeln nicht vergessen!

Securepoint UTM – Site-to-Site Client

Die Einrichtung der Client-Seite erfolgt gemäss der Hersteller-Anleitung:

Securepoint Wiki – OpenVPN Site to Site V11 – Einrichtung des Clients

Quelle

pfSense – OpenVPN Site-to-Site PKI (SSL)