Voraussetzungen
Windows Server (2016/2019/2022) mit Active Directory
OPNsense Firewall (aktuelle Version)
Grundkenntnisse in Netzwerktechnik und Windows-Server-Administration
Zertifikate für VPN-Authentifizierung (intern über OPNsense generiert)
1. RADIUS-Server (NPS) auf dem Domain Controller einrichten
Öffne den Server Manager, wähle Add Roles and Features
Installiere die Rolle Network Policy and Access Services
Nach der Installation: NPS-Konsole starten
Lege eine neue Gruppe im Active Directory an, z. B.
Access Group IPSEC VPN, und füge autorisierte Benutzer hinzu
RADIUS-Client hinzufügen:
Rechter Mausklick auf RADIUS Clients > New
Vergib einen Namen, z. B.
OPNsense-FirewallIP-Adresse der Firewall eintragen (z. B.
192.168.0.2)Shared Secret definieren
Network Policy anlegen:
Neue Policy:
IPsec-VPNBedingung: Mitgliedschaft in
Access Group IPSEC VPNAuthentifizierungsmethode: EAP-MSCHAPv2
Unnötige Methoden entfernen
Sichere Verschlüsselung aktivieren (nur „Strong“ und „Strongest“)
2. OPNsense: RADIUS-Server & Zertifikate konfigurieren
RADIUS unter OPNsense hinzufügen
System > Access > Servers
Typ: RADIUS, IP-Adresse des Domain Controllers (z. B.
192.168.0.3)Protokoll: MSCHAPv2, Shared Secret eintragen
Zertifizierungsstelle (CA) erstellen:
System > Trust > Authorities
Name vergeben, Lifetime auf z. B. 2920 Tage (8 Jahre) setzen
CA-Zertifikat nach Erstellung herunterladen
Serverzertifikat für IPsec-VPN erstellen:
System > Trust > Certificates
Neues internes Zertifikat, Typ: Server, ausgestellt durch eigene CA
Common Name: Domain oder IP (z. B.
vpn.example.de)
3. IPsec-VPN auf OPNsense konfigurieren
Mobile Clients aktivieren:
VPN > IPsec > Mobile Clients
Backend Authentication: RADIUS
Virtuelle IP-Adressen z. B.
192.168.199.0/24DNS-Server (z. B. DC) angeben
PFS Group: 2048 Bit
Phase 1 konfigurieren:
Auth-Methode: RADIUS
Identifier: Distinguished Name (
vpn.example.de)Zertifikat:
IPsec-VPNEncryption: AES256, SHA256, DH Group 14
Phase 2 konfigurieren:
Lokales Netz: Manuell als Network (
192.168.0.0/24)Protokoll: ESP
Verschlüsselung: AES256
4. Firewall-Regeln setzen
Auf dem WAN-Interface:
ESP-Protokoll zulassen
UDP 500 (ISAKMP) erlauben
UDP 4500 (IPsec NAT-T) erlauben
Log-Regeln hinzufügen
Block-All Regel am Ende zur Protokollierung
Auf dem IPsec-Interface:
Alias für VPN-Netz erstellen (
192.168.199.0/24)Regel: Source = Alias, Destination = LAN-Netz (ggf. Alias erstellen)
Logging aktivieren
Block-All Regel auch hier hinzufügen
Phase 2 konfigurieren:
Lokales Netz: Manuell als Network (
192.168.0.0/24)Protokoll: ESP
Verschlüsselung: AES256
5. Windows-Client einrichten
CA-Zertifikat installieren
CA-Zertifikat (z. B.
.crt) doppelklickenInstallation unter lokaler Computer > Vertrauenswürdige Stammzertifizierungsstellen
VPN-Verbindung per PowerShell anlegen
Öffne auf dem Client-Computer eine administrative PowerShell und führe die folgenden Befehle aus (Platzhalter bitte entsprechend anpassen):
VPN-Verbindung erstellen
Add-VpnConnection -Name "Company-VPN" -ServerAddress "vpn.example.de" -AllUserConnection -SplitTunneling -AuthenticationMethod Eap -TunnelType Ikev2 -EncryptionLevel Required
VPN-Verschlüsselung setzen
Set-VpnConnectionIPsecConfiguration -ConnectionName "Company-VPN" -AuthenticationTransformConstants SHA256 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -DHGroup Group14 -PfsGroup PFS2048 -PassThru -AllUserConnection
Statische Route zum internen Netz setzen
Add-VpnConnectionRoute -ConnectionName "Company-VPN" -DestinationPrefix "192.168.x.x/24" -PassThru
Fazit
Die Kombination aus OPNsense Firewall, IPsec-VPN und Windows RADIUS (NPS) bietet eine robuste, sichere und zentral verwaltbare Lösung für VPN-Zugriffe. Besonders für Unternehmen mit bestehendem Active Directory ist diese Variante ideal. Auch wenn die Einrichtung etwas Zeit kostet, lohnt sich der Aufwand langfristig durch hohe Sicherheit und gute Skalierbarkeit.
By Adrian
