Starthilfe - Erste Installation und Konfiguration

[fpausp]

Guten Morgen Forum, bin das erste mal hier und hätte gleich einige Anfängerfragen...


Momentan verwende ich IPFire, den ich jetzt mit OPNsense ersetzen möchte.

Mein Netz besteht aus einem LAN, einem WAN das über Ethernet angebunden ist und einem zweiten LAN (blau) das teilweise mit Wireless-AP's ausgestattet ist und wie bei IPFire üblich keinen Zugang zum LAN bieten soll.

Das alles läuft virtuell auf einem Proxmox Hypervisor. Ich möchte das gleiche mit OPNsense abbilden und bitte deshalb mal um Eure Kommentare...

[monstermania]

Moin,
ohne jetzt mal die Grundsatzdiskussion über einen virtuelle Firewall zu betrachten ist das kein großes Problem. Komme selbst von ipfire.

Als erstes solltest Du dich von den Farben trennen. 
Eine OPNsense kann ist nicht auf 4 Netzwerke beschränkt, sondern kann viel mehr Netzwerke verwalten. Seien Diese nun physikalisch oder vLAN Interfaces. Natürlich könnte man die einzelnen Schnittstellen auch als ROT, BLAU, GRÜN, usw. benennen. Ich würde das aber nicht machen -> Alte Zöpfe abschneiden!

Für die Installation der OPNsense benötigst Du zunächst 2 physische Netzwerkinterfaces (WAN und LAN) in der VM.
Wenn Du jetzt ein/mehrere Netzwerkinterface(s) hinzufügst ist das überhaupt kein Problem. Die zusätzlichen Interface(s) lassen sich problemlos über die GUI einrichten (z.B. DMZ oder WLAN). 
Und wie bei jeder (guten) Firewall können die zusätzlichen Interfaces zunächst nicht auf andere Netzwerke zugreifen (z.B. LAN). Du musst erst mit FW-Regeln definieren, welches Netz/Dienste wohin kommunzieren dürfen.

Also eigenlich kein großes Problem. 
Das größte Manko von OPNsense vs ipfire ist m.E. die mangelnde Treiberunterstützung. So muss man sich halt vor den Kauf genau informieren, ob die HW auch mit OPNsense (FreeBSD) läuft. Das Problem dürftest Du meit einer VM ja nicht haben...

[fpausp]

Hallo monstermania,

Danke für deine Infos... Hab gleich eine konkrete Frage:

Code: [Select]

You are currently running in LiveCD mode. A reboot will reset the configuration. SSH remote login is enabled for the users "root" and "installer" using the same password.

Welche ISO muss ich verwenden um die Einstellungen permanent zu bekommen ?

[franco]

Hallöchen,

Na, ja, du musst auf der Konsole den User "installer" mit Passwort "opnsense" starten. Dann kannst du auf die Festplatte / Flash-Karte installieren mit allen aktuellen Einstellungen...

Siehe auch "install instructions" aus der 17.7.5 Image Ankündigung von letzter Woche: https://forum.opnsense.org/index.php?topic=6153.0


Grüsse
Franco

[fpausp]

Hallo franco,

Danke für die Hilfe, bin schon gespannt...

lg
fpausp

[franco]

Die Daumen sind gedrückt.

[fpausp]

Bin ein gutes Stück weiter... Hab jetzt alles unter Proxmox installiert. Ich verwende jetzt LAN, WAN und OPT1 (WLAN). Hab einige Firewall-Rules erstellt damit man von OPT1 nicht ins LAN gelangt usw. VPN-Server wurde angelegt, muss ich aber erst noch testen. Ebenfalls die Portweiterleitung vom WAN nach LAN...

Man möge mir bitte vorerst noch meine Vergleiche zu IPFire verzeihen...

Gibt es eigentlich soetwas wie GeoIP ? Kann man Firewall-Rules auf MAC-Basis erstellen damit ein Client nicht ins Internet darf, mit IP-Adresse läuft es bereits ?

[monstermania]

Moin,
zum Thema GeoIP schau Dir mal die Doku an:
https://wiki.opnsense.org/manual/aliases.html?highlight=geoip

Du kannst FW-Rules für Aliase erstellen. Und natürlich kannst Du diese Aliase auch an die MAC-Adresse binden.

Gruß
Dirk

[NilsS]

@monstermania  wo hast du denn das mit den MAC Adressen gefunden?

[monstermania]

@monstermania  wo hast du denn das mit den MAC Adressen gefunden?

Ähm,
sozusagen von hinten durch die Brust ins Auge...
1. Einrichtung einer statischen DHCP-Lease im DHCP-Server des Interfaces
2. Alias für die auf die statischen Devices anlegen
3. FW Regel für die Alias erstellen

Ist zwar etwas umständlich, funktioniert aber ganz wunderbar.

[NilsS]

oO nicht wirklich??
Das ist doch keine Sicherheit.

[fpausp]

Danke für die Infos... hab folgendes gelesen:

Code: [Select]

GeoIP’s

While it is possible to use geoIP lists in aliases by importing or using the url feature, OPNsense has a much more advanced way of blocking or allowing traffic based on the geographical location (country) by utilizing the netmap enabled Inline Intrusion Prevention System see also IPS GeoIP Blocking

Verwendet das jemand von Euch ?

oO nicht wirklich??
Das ist doch keine Sicherheit.

Was wäre denn sicherer ?

[monstermania]

oO nicht wirklich??
Das ist doch keine Sicherheit.

Könntest Du das etwas mehr ausführen und mir/uns Deine Aussage erläutern?

[franco]

Das GeoIP Alias Feature ist eigentlich ziemlich gut, genauer einsetzbar als das von Suricata. Bekommt auch noch eine hübschere UI in einer nächsten 17.7.x.

Generell gilt: Suricata GeoIP blockieren Pakete bevor sie die Firewall erreichen, aber können nur grob genutzt werden. Die Firewall-Aliase können beliebig angelegt und flexibel Regeln verwendet werden.


Grüsse
Franco

[NilsS]

naja das statische zuweisen einer IP mittels DHCP und dieser IP dann etwas zu erlauben oder zu verbieten, bietet in etwa die gleiche Sicherheit wie eine verschlossene Tür an der der Schlüssel steckt. Der Client kann sich ja einfach manuell eine andere IP geben um das zu umgehen.
Um auf Layer2 zu filtern könntest du ipfw und sysctl net.link.ether.ipfw=1 verwenden. Aber das geht auf jeden Fall nicht mit der GUI.

Wenn du diese Art Sicherheit dringend benötigst könntest du alternativ auch auf Switchebene 802.1x in verbindung mit Freeradius nutzen.

bzgl. GeoIP solltest du immer versuchen den Ressourcen schonensten Weg gehen. Also anstatt x Länder mit GeoIP zu blocken. Solltest du den Zugriff lieber gleich nur von denen erlauben die du möchtest.
Da dürfte aber der Firewall Alias sicher auch Ressourcen schonender sein als suricata