OPNSense IPsec VPN mit Windows RADIUS

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
In diesem Tutorial zeigen wir dir, wie du eine IPsec-VPN-Verbindung auf Basis von OPNsense einrichtest – mit Benutzer-Authentifizierung über einen Windows Server RADIUS (NPS). Das Ziel: Ein sicherer Remotezugang für Mitarbeiter oder Admins mit zentral verwalteter Benutzerkontrolle über Active Directory. Du erfährst Schritt für Schritt, wie du die RADIUS-Rolle auf einem Domain Controller installierst, Gruppenrichtlinien setzt, Zertifikate erstellst, die OPNsense-Firewall konfigurierst und anschließend den VPN-Client unter Windows einrichtest.

Voraussetzungen

  • Windows Server (2016/2019/2022) mit Active Directory

  • OPNsense Firewall (aktuelle Version)

  • Grundkenntnisse in Netzwerktechnik und Windows-Server-Administration

  • Zertifikate für VPN-Authentifizierung (intern über OPNsense generiert)

1. RADIUS-Server (NPS) auf dem Domain Controller einrichten

  • Öffne den Server Manager, wähle Add Roles and Features

  • Installiere die Rolle Network Policy and Access Services

  • Nach der Installation: NPS-Konsole starten

  • Lege eine neue Gruppe im Active Directory an, z. B. Access Group IPSEC VPN, und füge autorisierte Benutzer hinzu

RADIUS-Client hinzufügen:

  • Rechter Mausklick auf RADIUS Clients > New

  • Vergib einen Namen, z. B. OPNsense-Firewall

  • IP-Adresse der Firewall eintragen (z. B. 192.168.0.2)

  • Shared Secret definieren

Network Policy anlegen:

  • Neue Policy: IPsec-VPN

  • Bedingung: Mitgliedschaft in Access Group IPSEC VPN

  • Authentifizierungsmethode: EAP-MSCHAPv2

  • Unnötige Methoden entfernen

  • Sichere Verschlüsselung aktivieren (nur „Strong“ und „Strongest“)

2. OPNsense: RADIUS-Server & Zertifikate konfigurieren

RADIUS unter OPNsense hinzufügen

  • System > Access > Servers

  • Typ: RADIUS, IP-Adresse des Domain Controllers (z. B. 192.168.0.3)

  • Protokoll: MSCHAPv2, Shared Secret eintragen

Zertifizierungsstelle (CA) erstellen:

  • System > Trust > Authorities

  • Name vergeben, Lifetime auf z. B. 2920 Tage (8 Jahre) setzen

  • CA-Zertifikat nach Erstellung herunterladen

Serverzertifikat für IPsec-VPN erstellen:

  • System > Trust > Certificates

  • Neues internes Zertifikat, Typ: Server, ausgestellt durch eigene CA

  • Common Name: Domain oder IP (z. B. vpn.example.de)

3. IPsec-VPN auf OPNsense konfigurieren

Mobile Clients aktivieren:

  • VPN > IPsec > Mobile Clients

  • Backend Authentication: RADIUS

  • Virtuelle IP-Adressen z. B. 192.168.199.0/24

  • DNS-Server (z. B. DC) angeben

  • PFS Group: 2048 Bit

Phase 1 konfigurieren:

  • Auth-Methode: RADIUS

  • Identifier: Distinguished Name (vpn.example.de)

  • Zertifikat: IPsec-VPN

  • Encryption: AES256, SHA256, DH Group 14

Phase 2 konfigurieren:

  • Lokales Netz: Manuell als Network (192.168.0.0/24)

  • Protokoll: ESP

  • Verschlüsselung: AES256

4. Firewall-Regeln setzen

Auf dem WAN-Interface:

  • ESP-Protokoll zulassen

  • UDP 500 (ISAKMP) erlauben

  • UDP 4500 (IPsec NAT-T) erlauben

  • Log-Regeln hinzufügen

  • Block-All Regel am Ende zur Protokollierung

Auf dem IPsec-Interface:

  • Alias für VPN-Netz erstellen (192.168.199.0/24)

  • Regel: Source = Alias, Destination = LAN-Netz (ggf. Alias erstellen)

  • Logging aktivieren

  • Block-All Regel auch hier hinzufügen

Phase 2 konfigurieren:

  • Lokales Netz: Manuell als Network (192.168.0.0/24)

  • Protokoll: ESP

  • Verschlüsselung: AES256

5. Windows-Client einrichten

CA-Zertifikat installieren

  • CA-Zertifikat (z. B. .crt) doppelklicken

  • Installation unter lokaler Computer > Vertrauenswürdige Stammzertifizierungsstellen

VPN-Verbindung per PowerShell anlegen

Öffne auf dem Client-Computer eine administrative PowerShell und führe die folgenden Befehle aus (Platzhalter bitte entsprechend anpassen):

VPN-Verbindung erstellen

					Add-VpnConnection -Name "Company-VPN" -ServerAddress "vpn.example.de" -AllUserConnection -SplitTunneling -AuthenticationMethod Eap -TunnelType Ikev2 -EncryptionLevel Required

VPN-Verschlüsselung setzen

					Set-VpnConnectionIPsecConfiguration -ConnectionName "Company-VPN" -AuthenticationTransformConstants SHA256 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -DHGroup Group14 -PfsGroup PFS2048 -PassThru -AllUserConnection

Statische Route zum internen Netz setzen

					Add-VpnConnectionRoute -ConnectionName "Company-VPN" -DestinationPrefix "192.168.x.x/24" -PassThru

Fazit

Die Kombination aus OPNsense Firewall, IPsec-VPN und Windows RADIUS (NPS) bietet eine robuste, sichere und zentral verwaltbare Lösung für VPN-Zugriffe. Besonders für Unternehmen mit bestehendem Active Directory ist diese Variante ideal. Auch wenn die Einrichtung etwas Zeit kostet, lohnt sich der Aufwand langfristig durch hohe Sicherheit und gute Skalierbarkeit.

IT-Sicherheit für Unternehmen – Die wichtigsten Maßnahmen

Die IT-Sicherheit für Unternehmen ist ein essenzielles Thema für jede Unternehmensgröße. Hackerangriffe, Datenverluste und Systemausfälle können enorme wirtschaftliche Folgen haben. Dieses Tutorial zeigt Ihnen, welche grundlegenden Maßnahmen Sie ergreifen sollten, um die IT-Sicherheit für Ihr Unternehmen zu verbessern.

1. Starke Passwörter und Multi-Faktor-Authentifizierung

Warum sind starke Passwörter wichtig?

Passwörter sind oft die erste Verteidigungslinie gegen unbefugten Zugriff und ein essenzieller Bestandteil der IT-Sicherheit für Unternehmen. Ein schwaches Passwort kann in Sekunden geknackt werden.

Best Practices:

  • Nutzen Sie mindestens 12 Zeichen mit Buchstaben, Zahlen und Sonderzeichen.
  • Verwenden Sie keine persönlichen Informationen wie Namen oder Geburtstage.
  • Passwort-Manager helfen bei der sicheren Verwaltung von Zugangsdaten.
  • Multi-Faktor-Authentifizierung (MFA) aktivieren, um eine zweite Sicherheitsebene hinzuzufügen.

Empfohlenes Tool: Bitwarden, 1Password oder Microsoft Authenticator

2. Regelmäßige Updates und Patch-Management

Warum sind Updates wichtig?

Veraltete Software stellt eine große Gefahr für die IT-Sicherheit von Unternehmen dar. Sicherheitslücken können von Hackern ausgenutzt werden, um unbefugten Zugriff zu erlangen.

Best Practices:

  • Automatische Updates für Betriebssysteme und Software aktivieren.
  • Regelmäßige Überprüfung von Systemen auf veraltete Software.
  • Patch-Management-Systeme nutzen, um Updates effizient zu verwalten.

Empfohlene Tools: WSUS, Baramundi, ManageEngine Patch Manager

3. Firewalls und Netzwerksicherheit

Eine Firewall ist ein essenzielles Sicherheitsinstrument für Unternehmen, da sie als Schutzbarriere zwischen dem internen Unternehmensnetzwerk und potenziellen Bedrohungen aus dem Internet fungiert. Sie kontrolliert und filtert den ein- und ausgehenden Datenverkehr nach definierten Sicherheitsrichtlinien, um unautorisierte Zugriffe zu verhindern. Ohne eine Firewall wäre ein Unternehmensnetzwerk anfällig für Cyberangriffe, Datenlecks und unbefugten Zugriff auf vertrauliche Informationen.

Best Practices:

  • Kombination aus Hardware- und Software-Firewalls: Eine Kombination beider Firewall-Typen bietet eine zusätzliche Sicherheitsebene.
  • Regelmäßige Überprüfung und Anpassung der Firewall-Regeln: Firewalls sollten kontinuierlich überwacht und angepasst werden, um neue Bedrohungen zu berücksichtigen.
  • Blockierung unnötiger Ports und Dienste: Um die Angriffsfläche zu minimieren, sollten nicht benötigte Ports geschlossen und ungenutzte Dienste deaktiviert werden.
  • Implementierung eines Intrusion Detection/Prevention Systems (IDS/IPS): Diese Systeme erkennen und verhindern Angriffsversuche auf das Unternehmensnetzwerk.

4. Datensicherung und Disaster Recovery

Datenverlust durch Cyberangriffe, Hardware-Ausfälle oder menschliche Fehler kann katastrophale Folgen für die IT-Sicherheit in Unternehmen haben. Ein zuverlässiges Backup-System ist daher unerlässlich, um kritische Daten im Ernstfall schnell wiederherstellen zu können und Betriebsunterbrechungen zu minimieren.

Best Practices:

  • Die 3-2-1-Regel befolgen:
    • 3 Kopien der Daten aufbewahren.
    • 2 verschiedene Speichermedien nutzen (z. B. lokale Festplatte und Cloud-Speicher).
    • 1 Kopie extern oder offline lagern, um Schutz vor Cyberangriffen wie Ransomware zu gewährleisten.
  • Regelmäßige Backups einplanen:
    • Mindestens tägliche oder wöchentliche Backups durchführen, abhängig von der Unternehmensgröße und den kritischen Daten.
    • Sicherstellen, dass alle geschäftskritischen Systeme und Daten gesichert werden.
  • Cloud-Backups als zusätzliche Sicherung nutzen:
    • Cloud-Speicherlösungen bieten eine flexible und sichere Möglichkeit zur Datensicherung.
    • Cloud-Dienste ermöglichen eine schnelle Wiederherstellung im Notfall und bieten Schutz vor physischen Schäden (z. B. Brand oder Wasserschäden im Rechenzentrum).
  • Wiederherstellung regelmäßig testen:
    Es reicht nicht aus, nur Backups zu erstellen – sie müssen regelmäßig überprüft und getestet werden, um sicherzustellen, dass sie im Notfall auch wiederherstellbar sind.
  • Notfallpläne sollten definiert und mit den IT-Teams regelmäßig simuliert werden.

5. Mitarbeiterschulungen zur IT-Sicherheit

Warum sind Schulungen und Awareness wichtig?

Menschen sind oft das schwächste Glied in der IT-Sicherheit für Unternehmen. Schulungen helfen, Sicherheitsrisiken durch menschliche Fehler zu minimieren.

Best Practices:

  • Regelmäßige Schulungen zu Phishing, Social Engineering und sicheren Passwortpraktiken.
  • Simulierte Phishing-Tests zur Sensibilisierung.
  • Klare Richtlinien zur IT-Nutzung im Unternehmen erstellen.

Die IT-Sicherheit für Unternehmen ist ein fortlaufender Prozess und keine einmalige Aufgabe. In der heutigen digitalen Welt sind Unternehmen ständig neuen Bedrohungen ausgesetzt, und ein wirksames Sicherheitskonzept erfordert kontinuierliche Aufmerksamkeit. Die Implementierung starker Passwörter, regelmäßiger Updates, Netzwerkschutz, Backups und Schulungen sind essenzielle Maßnahmen, um die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen und Unternehmensdaten zu schützen.

Doch IT-Sicherheit ist mehr als nur eine technische Herausforderung – sie ist ein strategischer Erfolgsfaktor. Unternehmen, die proaktiv Sicherheitsmaßnahmen ergreifen, minimieren nicht nur Risiken, sondern stärken auch das Vertrauen von Kunden und Partnern.

Möchten Sie die IT-Sicherheit in Ihrem Unternehmen verbessern?
Unser Expertenteam unterstützt Sie dabei, maßgeschneiderte Sicherheitslösungen zu implementieren und Ihre IT-Infrastruktur optimal zu schützen.

Kontaktieren Sie uns noch heute für eine unverbindliche Beratung!