Table of Contents
Einrichtung von EPDDI auf einer OpnSense
EPDDI basiert auf OpenVPN. Das bedeutet, dass die Routerhardware mindestens zwei Schnittstellen braucht, ein Ethernet, um die RFP anzuschließen und ein Interface, das Richtung Internet geht.
Im Beispiel wurde ein Mini-PC mit 4 Etherneischnittstellen und einem LTE-USB-Stick genutzt, der sich im FreeBSD der OpnSense als ue0 angemeldet und automatisch die Internetverbindung hergestellt hat. Die Einrichtung des Sticks sei dem geneigten Leser zur Übung überlassen (lies: es gibt da zu viele Unterschiede, um eine allgemeingültige Anleitung zu erstellen).
Vorbereitungen
Interface für die RFP erzeugen
EPDDI-Router-Konfiguration im guru3 anzeigen lassen:
Ethernet-Interface für die RFP anlegen (hier igc2) und statische IPv4 einstellen: aus der EPDDI-Router-Config “Your Router IP” und Netzmaske aus “Assigned Network” eintragen und Description eingeben (hier: Eventphone).
Client-Zertifikat erzeugen lassen
Root-Zertifikat importieren: System → Trust → Authorities, das Plus klicken und unter Method “Import an existing CA certificate” auswählen und das Zertifikat von der Webseite pasten (VPN Server CA Certificate).
Anschließend Certificate Signing Request (CSR) erstellen: System → Trust → Certificates und Plus klicken, Method “import an existing certificate” auswählen:
Alles ausfüllen, dann den CSR kopieren, im guru3 als CSR eintragen und das Client-Zertifikat im guru3 erzeugen, anschließend kopieren und in der OpnSense unter System → Trust → Certificates mit dem Plus einfügen.
OpenVPN konfigurieren
Plus klicken unter OpenVPN → Instances und ausfüllen:
Als local network das im guru3 zugewiesene eintragen, TUN-Interface auswählen, und als Data Ciphers AES-256-CBC eintragen.
Das erzeugt ein ovpnc-Interface, hier ovpnc1. Dieses unter Interfaces → Assignment mit der Description EPDDI versehen und enablen.
DHCP Relay konfigurieren
Services → DHCRelay → Configuration auswählen und unter Destinations das Plus auswählen. Als Name EPDDI und als Server 10.161.0.1 eintragen, speichern.
Unter Relays das Plus klicken, das Interface auswählen, das wir oben angelegt haben (im Beispiel: “Eventphone”), als Destination den EPDDI-Server auswählen. Alle DHCP-Broadcasts, die jetzt auf dem Eventphone-Interface sichtbar sind, werden vom Relay in Unicast zu 10.161.0.1 gewandelt und weitergeleitet.