OPNSense IPsec VPN mit Windows Server RADIUS

  • Gepostet am

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
In diesem Tutorial zeigen wir dir, wie du eine IPsec-VPN-Verbindung auf Basis von OPNsense einrichtest – mit Benutzer-Authentifizierung über einen Windows Server RADIUS (NPS). Das Ziel: Ein sicherer Remotezugang für Mitarbeiter oder Admins mit zentral verwalteter Benutzerkontrolle über Active Directory. Du erfährst Schritt für Schritt, wie du die RADIUS-Rolle auf einem Domain Controller installierst, Gruppenrichtlinien setzt, Zertifikate erstellst, die OPNsense-Firewall konfigurierst und anschließend den VPN-Client unter Windows einrichtest.

Voraussetzungen

  • Windows Server (2016/2019/2022) mit Active Directory

  • OPNsense Firewall (aktuelle Version)

  • Grundkenntnisse in Netzwerktechnik und Windows-Server-Administration

  • Zertifikate für VPN-Authentifizierung (intern über OPNsense generiert)

1. RADIUS-Server (NPS) auf dem Domain Controller einrichten

  • Öffne den Server Manager, wähle Add Roles and Features

  • Installiere die Rolle Network Policy and Access Services

  • Nach der Installation: NPS-Konsole starten

  • Lege eine neue Gruppe im Active Directory an, z. B. Access Group IPSEC VPN, und füge autorisierte Benutzer hinzu

RADIUS-Client hinzufügen:

  • Rechter Mausklick auf RADIUS Clients > New

  • Vergib einen Namen, z. B. OPNsense-Firewall

  • IP-Adresse der Firewall eintragen (z. B. 192.168.0.2)

  • Shared Secret definieren

Network Policy anlegen:

  • Neue Policy: IPsec-VPN

  • Bedingung: Mitgliedschaft in Access Group IPSEC VPN

  • Authentifizierungsmethode: EAP-MSCHAPv2

  • Unnötige Methoden entfernen

  • Sichere Verschlüsselung aktivieren (nur „Strong“ und „Strongest“)

2. OPNsense: RADIUS-Server & Zertifikate konfigurieren

RADIUS unter OPNsense hinzufügen

  • System > Access > Servers

  • Typ: RADIUS, IP-Adresse des Domain Controllers (z. B. 192.168.0.3)

  • Protokoll: MSCHAPv2, Shared Secret eintragen

Zertifizierungsstelle (CA) erstellen:

  • System > Trust > Authorities

  • Name vergeben, Lifetime auf z. B. 2920 Tage (8 Jahre) setzen

  • CA-Zertifikat nach Erstellung herunterladen

Serverzertifikat für IPsec-VPN erstellen:

  • System > Trust > Certificates

  • Neues internes Zertifikat, Typ: Server, ausgestellt durch eigene CA

  • Common Name: Domain oder IP (z. B. vpn.example.de)

3. IPsec-VPN auf OPNsense konfigurieren

Mobile Clients aktivieren:

  • VPN > IPsec > Mobile Clients

  • Backend Authentication: RADIUS

  • Virtuelle IP-Adressen z. B. 192.168.199.0/24

  • DNS-Server (z. B. DC) angeben

  • PFS Group: 2048 Bit

Phase 1 konfigurieren:

  • Auth-Methode: RADIUS

  • Identifier: Distinguished Name (vpn.example.de)

  • Zertifikat: IPsec-VPN

  • Encryption: AES256, SHA256, DH Group 14

Phase 2 konfigurieren:

  • Lokales Netz: Manuell als Network (192.168.0.0/24)

  • Protokoll: ESP

  • Verschlüsselung: AES256

4. Firewall-Regeln setzen

Auf dem WAN-Interface:

  • ESP-Protokoll zulassen

  • UDP 500 (ISAKMP) erlauben

  • UDP 4500 (IPsec NAT-T) erlauben

  • Log-Regeln hinzufügen

  • Block-All Regel am Ende zur Protokollierung

Auf dem IPsec-Interface:

  • Alias für VPN-Netz erstellen (192.168.199.0/24)

  • Regel: Source = Alias, Destination = LAN-Netz (ggf. Alias erstellen)

  • Logging aktivieren

  • Block-All Regel auch hier hinzufügen

Phase 2 konfigurieren:

  • Lokales Netz: Manuell als Network (192.168.0.0/24)

  • Protokoll: ESP

  • Verschlüsselung: AES256

5. Windows-Client einrichten

CA-Zertifikat installieren

  • CA-Zertifikat (z. B. .crt) doppelklicken

  • Installation unter lokaler Computer > Vertrauenswürdige Stammzertifizierungsstellen

VPN-Verbindung per PowerShell anlegen

Öffne auf dem Client-Computer eine administrative PowerShell und führe die folgenden Befehle aus (Platzhalter bitte entsprechend anpassen):

VPN-Verbindung erstellen

					Add-VpnConnection -Name "Company-VPN" -ServerAddress "vpn.example.de" -AllUserConnection -SplitTunneling -AuthenticationMethod Eap -TunnelType Ikev2 -EncryptionLevel Required

VPN-Verschlüsselung setzen

					Set-VpnConnectionIPsecConfiguration -ConnectionName "Company-VPN" -AuthenticationTransformConstants SHA256 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -DHGroup Group14 -PfsGroup PFS2048 -PassThru -AllUserConnection

Statische Route zum internen Netz setzen

					Add-VpnConnectionRoute -ConnectionName "Company-VPN" -DestinationPrefix "192.168.x.x/24" -PassThru

Fazit

Die Kombination aus OPNsense Firewall, IPsec-VPN und Windows RADIUS (NPS) bietet eine robuste, sichere und zentral verwaltbare Lösung für VPN-Zugriffe. Besonders für Unternehmen mit bestehendem Active Directory ist diese Variante ideal. Auch wenn die Einrichtung etwas Zeit kostet, lohnt sich der Aufwand langfristig durch hohe Sicherheit und gute Skalierbarkeit.

Empfohlene Beiträge

IT-Sicherheit für Unternehmen – Die wichtigsten Maßnahmen
Robocopy – die wichtigsten Funktionen
Netzwerksegmentierung – Beispiel