EPDDI basiert auf OpenVPN. Das bedeutet, dass die Routerhardware mindestens zwei Schnittstellen braucht, ein Ethernet, um die RFP anzuschließen und ein Interface, das Richtung Internet geht.

Im Beispiel wurde ein Mini-PC mit 4 Etherneischnittstellen und einem LTE-USB-Stick genutzt, der sich im FreeBSD der OpnSense als ue0 angemeldet und automatisch die Internetverbindung hergestellt hat. Die Einrichtung des Sticks sei dem geneigten Leser zur Übung überlassen (lies: es gibt da zu viele Unterschiede, um eine allgemeingültige Anleitung zu erstellen).

EPDDI-Router-Konfiguration im guru3 anzeigen lassen:

Ethernet-Interface für die RFP anlegen (hier igc2) und statische IPv4 einstellen: aus der EPDDI-Router-Config “Your Router IP” und Netzmaske aus “Assigned Network” eintragen und Description eingeben (hier: Eventphone).

Root-Zertifikat importieren: System → Trust → Authorities, das Plus klicken und unter Method “Import an existing CA certificate” auswählen und das Zertifikat von der Webseite pasten (VPN Server CA Certificate).

Anschließend Certificate Signing Request (CSR) erstellen: System → Trust → Certificates und Plus klicken, Method “import an existing certificate” auswählen:

Alles ausfüllen, dann den CSR kopieren, im guru3 als CSR eintragen und das Client-Zertifikat im guru3 erzeugen, anschließend kopieren und in der OpnSense unter System → Trust → Certificates mit dem Plus einfügen.

Plus klicken unter OpenVPN → Instances und ausfüllen:

Als local network das im guru3 zugewiesene eintragen, TUN-Interface auswählen, und als Data Ciphers AES-256-CBC eintragen.

Das erzeugt ein ovpnc-Interface, hier ovpnc1. Dieses unter Interfaces → Assignment mit der Description EPDDI versehen.

Services → DHCRelay → Configuration auswählen und unter Destinations das Plus auswählen. Als Name EPDDI und als Server 10.161.0.1 eintragen, speichern.

Unter Relays das Plus klicken, das Interface auswählen, das wir oben angelegt haben (im Beispiel: “Eventphone”), als Destination den EPDDI-Server auswählen. Alle DHCP-Broadcasts, die jetzt auf dem Eventphone-Interface sichtbar sind, werden vom Relay in Unicast zu 10.161.0.1 gewandelt und weitergeleitet.