Admin Intelligence
Ihre Linux Server
Administratoren

Persönlich – kompetent – schnell

Linux Server Administration Cloud & Virtualisierung Monitoring & Backup Kosteneffizienz & Transparenz Open Source Lösungen IT-Security
Kostenlos beraten lassen Unsere Leistungen
DACH-Region Hosting in Deutschland
OPNsense VPN Tunnel einrichten hetzner

OPNsense VPN Tunnel zu Hetzner einrichten

von

Eine sichere Verbindung zwischen Ihrem lokalen Netzwerk und Ihren Servern bei Hetzner ist für viele Unternehmen essentiell. Mit einem OPNsense VPN Tunnel können Sie zwei separate Netzwerke verschlüsselt miteinander verbinden, ohne dass jeder Server eine eigene öffentliche IP benötigt. OPNsense bei Hetzner bietet dafür eine flexible und robuste Lösung. In diesem Beitrag zeigen wir Ihnen, wie Sie einen Site-to-Site VPN Tunnel mit OPNsense zu Hetzner aufbauen.

Voraussetzungen für einen OPNsense VPN Tunnel

Bevor Sie einen OPNsense VPN Tunnel zu Hetzner einrichten, müssen mehrere Komponenten vorhanden sein. Sie benötigen zwei OPNsense-Instanzen oder eine lokale, IPsec fähige Firewall (z.B. ebenfalls mit OPNsense) sowie einen Hetzner-Server, auf dem OPNsense installiert ist. Diese beiden Instanzen werden dann mittels eines Site-to-Site Tunnels verbunden. Dazu benötigen beide Systeme eine öffentliche und statische IP-Adresse, damit die OPNsense VPN Hetzner-Verbindung aufgebaut werden kann.

Hetzner Cloud Server-Übersicht: OPNsense Firewall-Server mit privater IP 10.0.0.2 im privaten Netzwerk für VPN-Gateway

Wie in unserem vorherigen Artikel über private Netzwerke bei Hetzner beschrieben, kann OPNsense auch als Gateway für mehrere Server mit privaten IPs fungieren. Ein OPNsense VPN Tunnel erweitert dieses Konzept, indem er zwei solche Infrastrukturen sicher verbindet.

Site-to-Site VPN mit IPSec konfigurieren

IPSec ist das Standardprotokoll für OPNsense VPN Tunnel und bietet auf OPNsense eine bewährte Methode für sichere Netzwerk-zu-Netzwerk-Kommunikation. Der Tunnel verschlüsselt alle Daten zwischen beiden Netzwerken, sodass Sie unbesorgt über das öffentliche Internet kommunizieren können.

Die Konfiguration des OPNsense VPN zu Hetzner beginnt auf der OPNsense-Instanz bei Hetzner. Navigieren Sie zu VPN > IPSec und erstellen Sie eine neue Phase-1-Verbindung. Geben Sie die öffentliche IP-Adresse der Remote-Firewall (Ihre lokale Firewall) ein und wählen Sie eine sichere Verschlüsselungsmethode wie IKEv2 aus. Nach der Phase-1-Konfiguration definieren Sie die Phase-2-Parameter, die festlegen, welche Netzwerk-Subnetze durch den Tunnel verschlüsselt werden.

Für die Phase-2 geben Sie das lokale Subnet (z.B. Ihr privates Hetzner-Netzwerk) und das Remote-Subnet (Ihr lokales Netzwerk) an. Dies ermöglicht beiden Seiten, genau zu verstehen, welcher Datenverkehr durch den OPNsense VPN Tunnel fließen soll.

Auf Ihrer lokalen Firewall müssen diese Werte ebenfalls hinterlegt werden, allerdings genau umgedreht.

Ebenso müssen auf beiden Seiten die Verschlüsselungsalgorithmen gleich gehalten werden, damit beide Firewalls (OPNsense bei Hetzner sowie Ihre lokale Firewall) wissen, wie die Daten verschlüsselt werden sollen.

OPNsense IPSec Status Übersicht: Aktiver Phase-1 und Phase-2 VPN Tunnel zu Hetzner mit IKEv2 Verschlüsselung und Datenverkehr-Statistiken
Windows Ping-Test: Erfolgreiche Verbindung zu OPNsense Firewall 10.0.0.2 über IPSec VPN Tunnel mit stabiler Latenz

Firewall-Regeln für den VPN-Tunnel

Ein häufig übersehener Schritt ist die Konfiguration der Firewall-Regeln auf beiden OPNsense-Instanzen. Der OPNsense VPN Tunnel zu Hetzner funktioniert nur, wenn der Datenverkehr explizit erlaubt ist. Gehen Sie zu Firewall > Regeln und erstellen Sie Regeln auf der IPSec-Schnittstelle, die den verschlüsselten Traffic zulassen.

Auf beiden Seiten sollten Sie Regeln für eingehenden und ausgehenden Traffic definieren. Bei der Konfiguration eines OPNsense VPN Tunnel empfehlen wir, zunächst alle Protokolle zu erlauben, um sicherzustellen, dass der Tunnel funktioniert, und dann später restriktive Regeln zu implementieren.

Statische Routen bei Hetzner einrichten

IPSec selbst benötigt keine statischen Routen – der Tunnel funktioniert durch die Phase-2-Definitionen. Allerdings ist eine Konfiguration in der Hetzner Console notwendig: Im privaten Netzwerk bei Hetzner muss eine statische Route hinterlegt werden, die den Traffic für Ihr lokales Netzwerk auf die OPNsense Firewall leitet.

Dies ist essentiell, damit Server im privaten Hetzner-Netzwerk wissen, dass Daten für Ihr lokales Netzwerk über die OPNsense-Instanz geroutet werden müssen. Ohne diese Route in der Hetzner Cloud-Infrastruktur werden die Pakete nicht zum OPNsense VPN Tunnel geleitet und die Kommunikation funktioniert nicht.

In der Hetzner Console navigieren Sie zu Ihrem privaten Netzwerk und definieren dort eine Route mit folgende Parametern: Default Netzwerk (0.0.0.0/0) → Gateway (private IP der OPNsense Firewall im privaten Hetzner-Netzwerk). Nach dieser Konfiguration sollte der OPNsense VPN zu Hetzner vollständig funktionsfähig sein.

Hetzner Console: Statische Route hinzufügen im privaten Netzwerk mit Ziel-IP und Gateway-Konfiguration für OPNsense VPN

In der Community von Hetzner gibt es eine detaillierte Anleitung wie das Netzwerk aufgebaut werden muss.

Monitoring und Troubleshooting

Nach der Einrichtung sollten Sie regelmäßig überprüfen, ob der OPNsense VPN Tunnel zu Hetzner aktiv ist. Im OPNsense Dashboard finden Sie unter VPN > IPSec > Status eine detaillierte Übersicht aller aktiven Tunnel. Ein aktiver Tunnel zeigt, dass die Verbindung erfolgreich aufgebaut wurde.

Falls der Tunnel nicht aktiv wird, überprüfen Sie zunächst die Phase-1- und Phase-2-Parameter. Häufige Probleme sind inkonsistente Verschlüsselungseinstellungen oder falsche Netzwerkangaben. Die OPNsense-Logs unter System > Logs > IPSec helfen bei der Diagnose des OPNsense VPN Problems.

Für eine professionelle Überwachung Ihrer OPNsense-Firewall und des VPN-Tunnels empfehlen wir die Nutzung von Checkmk. Mit dem Checkmk-Plugin zur Überwachung von OPNsense können Sie alle Metriken, Zustände und Security-Ereignisse zentral im Monitoring-Dashboard überwachen. Erfahren Sie mehr über unsere Checkmk Monitoring-Leistungen und wie Sie Ihre Infrastruktur optimal absichern.

Checkmk Monitoring Dashboard: OPNsense VPN Tunnel Überwachung mit Service-Status, Gateway-Health und Netzwerk-Statistiken

Fazit: VPN-Sicherheit mit OPNsense bei Hetzner

Ein OPNsense VPN Tunnel bietet eine sichere, kostengünstige Möglichkeit, mehrere Netzwerke zu verbinden. Sie benötigen keine zusätzlichen öffentlichen IP-Adressen für jeden Server, sparen damit Kosten und profitieren von zentraler Sicherheitskontrolle durch OPNsense.

Falls Sie Unterstützung bei der Einrichtung eines OPNsense VPN Tunnel zu Hetzner benötigen, können Sie sich gerne an unser Team wenden. Wir helfen Ihnen bei der Konfiguration und Optimierung Ihrer Infrastruktur. Schauen Sie sich auch unsere OPNsense Leistungen an oder kontaktieren Sie uns direkt für eine persönliche Beratung.

Weitere OPNsense-Artikel: Entdecken Sie mehr zum Thema in unserem OPNsense Blog, wo wir regelmäßig Tipps, Konfigurationen und Best Practices zu Firewall, VPN, High Availability und Monitoring teilen.