====== opnsense ======

opnsense ist ein fork von [[server:pfsense]].


====== Diagnose ======

Packet capture: nterfaces: Diagnostics: Packet Capture

====== Konfiguration ======

System: Settings: Administration ->
  * Protocol: HTTPS 
  * SSL Certificate: (auswählen, ggf. generieren in System: Trust: Certificates)

===== interne CAs/Zertifikate =====

System: Trust: Certificates

Bei CAs auch eine Revocation List erzeugen wo zurückgezogene Zertifikate drin stehen (-> System: Trust: Revocation).

Leider gibt es kein Renew/Re-issues-Button für vorhandene Zertifikate (umständlich).
===== VPN =====

==== openvpn ====

VPN: OpenVPN: Servers
Server Mode:
  * Remote Access (SSL/TLS + User Auth)
  * Backend for authentication: TOTP Server (bietet Benutzername plus Passwort mit 6stelligem 2FA-Code angehängt, was abspeichern vom Passwort unmöglich macht).

==== wireguard ====

[[linux:wireguard]] bietet weniger Optionen (z.B. fehlen 2FA) aber für Punkt-zu-Punkt-Anbindungen von Server und Nutzern ist es gut geeignet.


====== Notfallzugang ======

Web-Konsole, Login auf CLI, Firewall deaktivieren: <code bash>pfctl -d</code>
Anschließend ist Login via http(s) auf WAN möglich. Bei der ersten Firewall-Regelanpassung wird die Firewall automatisch wieder geladen und ist aktiv, manuell prüfen: <code bash>pfctl -e</code>

===== SSH =====

  * SSH Dienst aktivieren: System: Settings: Administration -> Secure Shell Server [x] Enable Secure Shell
  * System -> Access -> Users -> root -> Edit -> "Authorized keys" ergänzen.

===== Addons =====

[[https://docs.opnsense.org/vendor/sunnyvalley/zenarmor.html|Zenarmor (Sensei)]] (Application Control, Network Analytics and TLS Inspection, ...)