opnsense ist ein fork von pfsense.

Packet capture: nterfaces: Diagnostics: Packet Capture

System: Settings: Administration →

• Protocol: HTTPS
• SSL Certificate: (auswählen, ggf. generieren in System: Trust: Certificates)

System: Trust: Certificates

Bei CAs auch eine Revocation List erzeugen wo zurückgezogene Zertifikate drin stehen (→ System: Trust: Revocation).

Leider gibt es kein Renew/Re-issues-Button für vorhandene Zertifikate (umständlich).

VPN: OpenVPN: Servers Server Mode:

• Remote Access (SSL/TLS + User Auth)
• Backend for authentication: TOTP Server (bietet Benutzername plus Passwort mit 6stelligem 2FA-Code angehängt, was abspeichern vom Passwort unmöglich macht).

wireguard bietet weniger Optionen (z.B. fehlen 2FA) aber für Punkt-zu-Punkt-Anbindungen von Server und Nutzern ist es gut geeignet.

Web-Konsole, Login auf CLI, Firewall deaktivieren:

pfctl -d

Anschließend ist Login via http(s) auf WAN möglich. Bei der ersten Firewall-Regelanpassung wird die Firewall automatisch wieder geladen und ist aktiv, manuell prüfen:

pfctl -e

• SSH Dienst aktivieren: System: Settings: Administration → Secure Shell Server [x] Enable Secure Shell
• System → Access → Users → root → Edit → „Authorized keys“ ergänzen.

Zenarmor (Sensei) (Application Control, Network Analytics and TLS Inspection, …)