Homeoffice, mobile Außendienstmitarbeiter und verteilte Standorte gehören für die meisten Unternehmen längst zum Alltag. Damit einher geht eine zentrale Anforderung: Mitarbeiter müssen von überall sicher auf interne Ressourcen zugreifen können — auf Fileserver, ERP-Systeme, Drucker im Büro oder interne Webapplikationen. Ein professionell eingerichtetes Remote-Access VPN ist dafür die Standardlösung, und OPNsense bietet mit OpenVPN eine ausgereifte, kostenlose und hochflexible Implementierung.
Warum Remote-Access VPN unverzichtbar ist
Ohne VPN gibt es im Wesentlichen zwei Alternativen: Entweder werden Dienste direkt ins Internet exponiert — mit allen damit verbundenen Angriffsflächen — oder Mitarbeiter arbeiten ohne Zugriff auf interne Systeme, was die Produktivität drastisch einschränkt. Ein VPN-Tunnel verschlüsselt den gesamten Datenverkehr zwischen Client und Firmennetz, authentifiziert den Benutzer zuverlässig und verhindert, dass Dritte sensible Daten abgreifen können.
Gerade für KMU ohne eigene Cloud-Infrastruktur ist ein selbst betriebenes VPN auf der OPNsense-Firewall die wirtschaftlichste Lösung: keine monatlichen Lizenzkosten, volle Kontrolle über Nutzer und Zugriffsrechte, und die Sicherheit liegt im eigenen Haus.
OpenVPN vs. WireGuard vs. IPSec
OPNsense unterstützt mehrere VPN-Protokolle. Welches passt am besten?
| Kriterium | OpenVPN | WireGuard | IPSec |
|---|---|---|---|
| Reife / Stabilität | Sehr hoch (seit 2001) | Hoch (seit 2018) | Sehr hoch (RFC-Standard) |
| Konfigurationsaufwand | Mittel | Niedrig | Hoch |
| Client-Software | OpenVPN Connect (alle Plattformen) | Native auf Linux/macOS/iOS/Android | Integriert in OS |
| Performance | Gut | Ausgezeichnet | Gut |
| PKI / Zertifikate | Ja (empfohlen) | Nein (Public Keys) | Optional |
| 2FA / TOTP | Ja | Nein (nativ) | Eingeschränkt |
| NAT-Traversal | Sehr gut | Gut | Problematisch |
| Site-to-Site | Ja | Ja | Ja |
OpenVPN ist nach wie vor die erste Wahl, wenn es um maximale Kompatibilität, Zertifikat-basierte Authentifizierung und Zwei-Faktor-Authentifizierung geht. WireGuard punktet mit schlankem Code und höherer Performance, ist aber für User-basierte PKI-Setups weniger geeignet. IPSec ist der Standard für Site-to-Site-Verbindungen zu Drittsystemen, aber für Road-Warrior-Setups deutlich komplexer zu administrieren.
OPNsense als OpenVPN-Server einrichten
1. Zertifizierungsstelle (CA) anlegen
Der erste Schritt ist der Aufbau einer eigenen Public-Key-Infrastruktur. Unter System > Trust > Authorities eine neue CA anlegen:
Beschreibung: Firmen-VPN-CA
Methode: Create an internal Certificate Authority
Schlüsseltyp: RSA, 4096 Bit
Digest: SHA-256
Gültigkeit: 3650 Tage (10 Jahre)
CN: vpn-ca.firma.deDiese CA wird ausschließlich für VPN-Zertifikate verwendet. Für Webserver-Zertifikate empfiehlt sich eine separate CA.
2. Server-Zertifikat erstellen
Unter System > Trust > Certificates ein neues Zertifikat für den VPN-Server ausstellen:
Methode: Create an internal Certificate
Ausstellende CA: Firmen-VPN-CA
Typ: Server Certificate
CN: openvpn-server
Gültigkeit: 825 Tage3. OpenVPN-Server konfigurieren
Unter VPN > OpenVPN > Servers einen neuen Server anlegen. Die wichtigsten Parameter:
Server Mode: Remote Access (SSL/TLS + User Auth)
Protocol: UDP on IPv4 only
Interface: WAN
Lokaler Port: 1194
TLS-Auth: Aktiviert (tls-auth HMAC)
Peer Cert. Auth: Firmen-VPN-CA
Server Cert.: openvpn-server
Tunnel Network: 10.8.0.0/24
Local Network: 192.168.10.0/24tun vs. tap: Für Remote-Access-Szenarien immer tun verwenden. Der tun-Modus arbeitet auf Layer 3 (IP-Routing) und ist effizienter. tap emuliert einen Ethernet-Adapter auf Layer 2 und wird nur dann benötigt, wenn Broadcast-Traffic (z. B. für bestimmte Legacy-Protokolle) durch den Tunnel übertragen werden muss.
Client-Zertifikate erstellen und exportieren
Für jeden VPN-Benutzer wird ein individuelles Zertifikat ausgestellt. Unter System > Trust > Certificates für jeden User ein Client-Zertifikat anlegen:
Methode: Create an internal Certificate
Ausstellende CA: Firmen-VPN-CA
Typ: Client Certificate
CN: max.mustermann
Gültigkeit: 365 TageDas Client-Zertifikat wird zusammen mit der Client-Konfiguration über das OpenVPN Client Export-Plugin exportiert (installierbar über System > Firmware > Plugins, Paket os-openvpn-client-export). Das Plugin generiert fertige .ovpn-Dateien, die direkt in OpenVPN Connect importiert werden können — inklusive CA, Zertifikat, privatem Schlüssel und Server-Konfiguration in einer einzigen Datei.
Split Tunneling vs. Full Tunnel
Eine der wichtigsten Designentscheidungen beim VPN-Setup betrifft das Routing:
Full Tunnel: Der gesamte Internet-Traffic des Clients läuft durch den VPN-Tunnel. Das maximiert die Kontrolle und ermöglicht zentrales Logging und Filtering. Nachteil: erhöhte Last auf der Firewall und langsamere Internetverbindung für den Client.
Split Tunneling: Nur der Traffic zu internen Netzen wird durch den Tunnel geleitet. Internet-Traffic geht direkt vom Client-Standort ins Netz. Das entlastet die Firewall und verbessert die Client-Performance erheblich.
In OPNsense wird Split Tunneling über die Option “Redirect Gateway” gesteuert. Ist sie deaktiviert, gilt Split Tunneling; nur die unter Local Networks definierten Subnetze werden über den Tunnel geroutet.
DNS über den Tunnel pushen
Damit Clients auch interne Hostnamen auflösen können, wird der interne DNS-Server über den Tunnel gepusht. Im OpenVPN-Server unter Advanced folgende Optionen eintragen:
push "dhcp-option DNS 192.168.10.1"
push "dhcp-option DOMAIN firma.internal"
push "dhcp-option DOMAIN-SEARCH firma.internal"Der interne DNS-Server (häufig der OPNsense Unbound DNS Resolver selbst) muss dabei eingehende Anfragen aus dem VPN-Tunnel-Subnetz (10.8.0.0/24) erlauben — entsprechende Firewall-Regeln auf dem OpenVPN-Interface nicht vergessen.
Zwei-Faktor-Authentifizierung mit TOTP
Ein Benutzerzertifikat allein ist kein ausreichender Schutz, wenn der private Schlüssel kompromittiert wird. TOTP (Time-based One-Time Password) als zweiter Faktor schließt diese Lücke erheblich.
OPNsense unterstützt TOTP nativ über den lokalen Authentifizierungsserver. Einrichtung unter System > Access > Servers: einen neuen Server vom Typ Local + TOTP anlegen. Im OpenVPN-Server diesen als Backend-Auth eintragen.
Jeder Benutzer scannt beim ersten Login einen QR-Code (unter System > Access > Users generierbar) mit einer Authenticator-App wie Google Authenticator oder Bitwarden Authenticator. Beim VPN-Login wird dann das aktuell gültige 6-stellige TOTP-Token zusammen mit dem Passwort eingegeben:
Benutzername: max.mustermann
Passwort: Passwort + TOTP-Token (z. B. "geheim123456789")Client-Software: OpenVPN Connect
Für Endanwender empfiehlt sich OpenVPN Connect — der offizielle Client von OpenVPN Technologies, verfügbar für Windows, macOS, iOS und Android. Die importierte .ovpn-Datei enthält alle nötigen Parameter; der Benutzer muss lediglich Benutzername und Passwort (inkl. TOTP) eingeben.
Alternativ eignet sich auf Windows OpenVPN GUI (Open Source), auf Linux der native openvpn-Befehl, und auf macOS Tunnelblick. Alle diese Clients unterstützen die von OPNsense exportierten Konfigurationsdateien ohne weitere Anpassungen.
Site-to-Site OpenVPN
Neben dem Remote-Access-Betrieb eignet sich OPNsense OpenVPN auch für Site-to-Site-Verbindungen zwischen Standorten. Hierbei agiert eine OPNsense als Server, die andere als Client. Der Modus Peer to Peer (SSL/TLS) wird verwendet, und beide Seiten erhalten feste Tunnel-IPs. Über den Tunnel können dann die jeweiligen Netzwerke der Gegenstelle als statische Routen eingepflegt werden — entweder manuell oder per iroute-Direktive.
Aktive Verbindungen überwachen
OPNsense zeigt alle aktiven VPN-Verbindungen unter VPN > OpenVPN > Connection Status in Echtzeit an. Sichtbar sind Connected Clients, zugewiesene Tunnel-IPs, Datenvolumen und Verbindungsdauer. Über die OPNsense-API lassen sich diese Daten auch maschinell abfragen.
Integration mit DATAZONE Control
Für den professionellen Betrieb reicht eine manuelle Prüfung im Webinterface nicht aus. Mit DATAZONE Control lässt sich das OpenVPN-Setup dauerhaft überwachen:
- Dienststatus — Läuft der OpenVPN-Server-Prozess? Ist der Port erreichbar?
- Verbindungsanzahl — Wie viele Clients sind aktiv verbunden? Abweichungen von Erwartungswerten lösen Alerts aus.
- Zertifikatslaufzeiten — Warnung bei ablaufenden Client- oder Server-Zertifikaten, bevor sie VPN-Ausfälle verursachen.
- Logs und Anomalien — Fehlgeschlagene Authentifizierungsversuche werden erkannt und gemeldet.
In Kombination mit dem DATAZONE Control Patch Management bleibt die OPNsense-Installation stets aktuell, und Sicherheitslücken im OpenVPN-Stack werden zeitnah geschlossen.
Fazit
OPNsense OpenVPN bietet KMU eine vollwertige, kostenfreie Remote-Access-Lösung auf Enterprise-Niveau. Die Kombination aus PKI-basierter Zertifikatauthentifizierung, TOTP-Zweifaktor und Split Tunneling macht das Setup sowohl sicher als auch benutzerfreundlich. Entscheidend für den Langzeitbetrieb sind konsequentes Zertifikatsmanagement, regelmäßige Updates und aktives Monitoring — damit der VPN-Zugang immer dann funktioniert, wenn er gebraucht wird.
Sie möchten Remote-Access VPN für Ihre Mitarbeiter professionell einrichten? Wir planen und implementieren OpenVPN auf OPNsense — inklusive PKI, 2FA und Monitoring. Erfahren Sie mehr auf unserer OPNsense-Seite oder kontaktieren Sie uns direkt.
Mehr zu diesen Themen:
Weitere Artikel
Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept
Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.
OPNsense Suricata Custom Rules: Eigene IDS/IPS-Signaturen schreiben und optimieren
Suricata Custom Rules auf OPNsense: Rule-Syntax, eigene Signaturen für interne Services, Performance-Tuning, Suppress-Lists und EVE-JSON-Logging.
Proxmox Cluster-Netzwerk richtig planen: Corosync, Migration, Storage und Management
Proxmox Cluster-Netzwerk designen: Corosync-Ring, Migration-Network, Storage-Network für Ceph/iSCSI, Management-VLAN, Bonding/LACP und MTU 9000 — mit Beispiel-Topologien.