====== Einrichtung von EPDDI auf einer OpnSense ======
EPDDI basiert auf OpenVPN. Das bedeutet, dass die Routerhardware mindestens zwei Schnittstellen braucht, ein Ethernet, um die RFP anzuschließen und ein Interface, das Richtung Internet geht.

Im Beispiel wurde ein Mini-PC mit 4 Etherneischnittstellen und einem LTE-USB-Stick genutzt, der sich im FreeBSD der OpnSense als ue0 angemeldet und automatisch die Internetverbindung hergestellt hat. Die Einrichtung des Sticks sei dem geneigten Leser zur Übung überlassen (lies: es gibt da zu viele Unterschiede, um eine allgemeingültige Anleitung zu erstellen).

===== Vorbereitungen =====
==== Interface für die RFP erzeugen ====

EPDDI-Router-Konfiguration im guru3 anzeigen lassen:

{{:opnsense_if_config.png?400| }}

Ethernet-Interface für die RFP anlegen (hier ''igc2'') und statische IPv4 einstellen: aus der EPDDI-Router-Config "Your Router IP" und Netzmaske aus "Assigned Network" eintragen und Description eingeben (hier: Eventphone).

{{:opnsense_if_eventphone_config.png?400| }}

==== Client-Zertifikat erzeugen lassen ====
Root-Zertifikat importieren: ''System -> Trust -> Authorities'', das Plus klicken und unter ''Method'' "Import an existing CA certificate" auswählen und das Zertifikat von der Webseite pasten (''VPN Server CA Certificate'').

{{:ca_import.png?400|}}

Anschließend Certificate Signing Request (CSR) erstellen: ''System -> Trust -> Certificates'' und Plus klicken, Method "import an existing certificate" auswählen:

Alles ausfüllen, dann den CSR kopieren, im guru3 als CSR eintragen und das Client-Zertifikat im guru3 erzeugen, anschließend kopieren und in der OpnSense unter ''System -> Trust -> Certificates'' mit dem Plus einfügen. 

{{:import_cert.png?400|}}

===== OpenVPN konfigurieren =====
Plus klicken unter ''OpenVPN -> Instances'' und ausfüllen: 
{{:openvpn-config.png}}

Als ''local network'' das im guru3 zugewiesene eintragen, ''TUN''-Interface auswählen, und als Data Ciphers ''AES-256-CBC'' eintragen.

Das erzeugt ein ''ovpnc''-Interface, hier ''ovpnc1''. Dieses unter ''Interfaces -> Assignment'' mit der Description ''EPDDI'' versehen und enablen. 

===== DHCP Relay konfigurieren =====
''Services -> DHCRelay -> Configuration'' auswählen und unter ''Destinations'' das Plus auswählen. Als Name ''EPDDI'' und als Server ''10.161.0.1'' eintragen, speichern.

Unter ''Relays'' das Plus klicken, das Interface auswählen, das wir oben angelegt haben (im Beispiel: "Eventphone"), als Destination den ''EPDDI''-Server auswählen. Alle DHCP-Broadcasts, die jetzt auf dem ''Eventphone''-Interface sichtbar sind, werden vom Relay in Unicast zu ''10.161.0.1'' gewandelt und weitergeleitet.