Hallo zusammen,
es ist jetzt wohl an der Zeit von ZeroShell auf OPNsense umzusteigen.
Habe mir also ein APU4D4, Gehäuse von meconet und Kingston KC600 (256 GB, mSATA) besorgt.
(https://forum.opnsense.org/index.php?action=dlattach;topic=25489.0;attach=19408;image)
Alles zusammen gebaut - sieht mal soweit nicht schlecht aus ...
Die Kingston 240GB SATA ist "for future use" ...
Auf der Kingston KC600 (256 GB, mSATA) ist OPNsense bereits installiert:
OPNsense 21.7.4-amd64
FreeBSD 12.1-RELEASE-p20-HBSD
OpenSSL 1.1.1l 24 Aug 2021
Nun benötige ich Hilfe beim Konfigurieren.
Netz-Plan -> https://lucid.app/documents/view/396db35c-943b-4296-9188-3c1fcb6e7863
OPNsense Schnittstellen:
LAN (lan, igb0_vlan90) 10.90.0.254/24
Management (opt2, igb0_vlan50) 10.50.0.254/24
WAN (wan, igb3) 10.10.10.2/30 ist mit Port 5 an der be.IP plus verbunden
|- Blockiere private Netze aus
|- Blockiere Bogon-Netze aus.
|- IPv4 gateway be_IP_plus 10.10.10.1
be.IP Schnittstellen:
en1-4 10.10.10.1/255.255.255.252 Port 5 ist mit OPNsense Port igb3 verbunden
en1-3-4(VLAN-ID100) 10.100.0.254/255.255.255.0 Voice VLAN
br0 94.124.214.0/255.255.255.0 geBridged mit efm35-60 (VDSL)
NetCom BW:
keine PPPOE Einwahl
keine VLANs
OPNsense -> Firewall: NAT: Portweiterleitung
Anti-Aussperrregel
OPNsense -> Firewall: NAT: Ausgehend
Deaktiviere Erstellung ausgehender NAT Regeln (ausgehendes NAT ist deaktiviert)
be.IP plus -> Netzwerk -> Routen:
10.50.0.0 255.255.255.0 10.10.10.2 LAN_EN1-4 Metrik 0 Netzwerkroute via Gateway 10.10.10.2
10.90.0.0 255.255.255.0 10.10.10.2 LAN_EN1-4 Metrik 0 Netzwerkroute via Gateway 10.10.10.2
Wie muss ich die Firewall-WAN-Reglen in OPNsense anlegen ?
(https://forum.opnsense.org/index.php?action=dlattach;topic=25489.0;attach=19425;image)
Von der be.IP plus aus kann man OPNsense aus anpingen.
Allerdings kann man von OPNsense aus nicht die be.IP plus anpingen.
(https://forum.opnsense.org/index.php?action=dlattach;topic=25489.0;attach=19410;image)
Kann es sein, dass Unbound DNS ein bisschen viel an den wenigen Ressourcen von dem APU nuckelt?
mal auf hochdeutsch, die apus sind zwar sparsam aber scheiße. ich mag die teile nicht.
auf meinen systemen (angefangen bei einem core i3 7100U bis core i7 7500U beide mit 16GB Ram) hatte ich nie probleme. mit meinem aktuellen system core i5 11. Gen. 32GB Ram löuft super
Ja, das sehen hier wohl einige so ...
Hatte mit Herrn Federle (NRG Systems GmbH) über mein Vorhaben telefoniert,
schon ein bisschen madig, dass er mir den Zahn nicht gleich gezogen hat...
Habe jetzt Unbound DNS deaktiviert und Dnsmasq aktiviert ... so geht es jetzt erst mal
Ne, also mit der Firewall komm ich nicht klar ...
https://docs.opnsense.org/manual/firewall.html#overview
... was sind denn jetzt Floating rules ?
https://docs.netgate.com/pfsense/en/latest/firewall/floating-rules.html
Trifft das auch für OPNsense zu ?
Wie regle ich den Verkehr zischen den VLANs ?
Gibt es sowas wie Forward-Rules bei ZeroShell?
Quote from: mbr89 on November 13, 2021, 11:21:34 PM
Ne, also mit der Firewall komm ich nicht klar ...
... was sind denn jetzt Floating rules ?
Regeln die nicht fest einem Interface zugeordnet sind. Möchtest Du z.B. auf allen Interfaces "ping" erlauben, wäre eine Floating Rule dafür einfacher einzurichten als eine für jedes Interface.
Quote from: mbr89 on November 13, 2021, 11:21:34 PM
Wie regle ich den Verkehr zischen den VLANs ?
Gibt es sowas wie Forward-Rules bei ZeroShell?
Was ist ZeroShell? Was meinst Du mit "Verkehr regeln"? Wenn z.B. VLAN A auf VLAN B Port 80 zugreifen soll, legst Du bei VLAN A eine Regel an:
Action: pass
Direction: in
Protocol: TCP
Source: VLAN A net
Source Port: any
Destination: VLAN B net
Destination Port: HTTP
Fertig. Du brauchst praktisch immer nur "in" Regeln, an dem Interface, vom dem aus die Verbindung aufgebaut wird. Alles andere (Pakete zurück etc.) macht die State Enginge der Firewall automatisch.
-> https://zeroshell.org/ ... von da versuche ich gerade zu OPNsense zumigrieren
Quote
Regeln die nicht fest einem Interface zugeordnet sind. Möchtest Du z.B. auf allen Interfaces "ping" erlauben, wäre eine Floating Rule dafür einfacher einzurichten als eine für jedes Interface.
Ah ok, jetzt hab ich es begriffen
Quote
Was meinst Du mit "Verkehr regeln"? Wenn z.B. VLAN A auf VLAN B Port 80 zugreifen soll, legst Du bei VLAN A eine Regel an:
Action: pass
Direction: in
Protocol: TCP
Source: VLAN A net
Source Port: any
Destination: VLAN B net
Destination Port: HTTP
Fertig. Du brauchst praktisch immer nur "in" Regeln, an dem Interface, vom dem aus die Verbindung aufgebaut wird. Alles andere (Pakete zurück etc.) macht die State Enginge der Firewall automatisch.
Mal sehen, ob ich das auch richtig verstanden habe ... um bei deinem Beispiel zu bleiben ... wenn ich jetzt von VLAN B nach VLAN A auf Port 80 zugreifen möchte lege ich die Regel bei VLAN B an ?
Quote from: mbr89 on November 14, 2021, 01:21:07 PM
Mal sehen, ob ich das auch richtig verstanden habe ... um bei deinem Beispiel zu bleiben ... wenn ich jetzt von VLAN B nach VLAN A auf Port 80 zugreifen möchte lege ich die Regel bei VLAN B an ?
Natürlich ;)
Per default ist auf allen Interfaces "in" alles geblockt. OK, im Auslieferzustand existiert eine "allow all" Regel auf LAN, damit man mal loslegen kann. Also es ist alles geblockt, für das es nicht ausdrücklich eine Regel gibt.
Um nun neue Dinge zu erlauben, legst Du immer auf dem Interface wo die Verbindung her kommt, eine "allow" Regel in Richtung "in" an. Der Rest passiert wie gesagt automatisch.
So funktioniert aber eingentlich jede Firewall ;)
Quote from: pmhausen on November 14, 2021, 02:04:51 PM
Natürlich ;)
Per default ist auf allen Interfaces "in" alles geblockt. OK, im Auslieferzustand existiert eine "allow all" Regel auf LAN, damit man mal loslegen kann. Also es ist alles geblockt, für das es nicht ausdrücklich eine Regel gibt.
Um nun neue Dinge zu erlauben, legst Du immer auf dem Interface wo die Verbindung her kommt, eine "allow" Regel in Richtung "in" an. Der Rest passiert wie gesagt automatisch.
So funktioniert aber eingentlich jede Firewall ;)
Es wurde zwar hier im Forum schon gesagt aber ich wiederhole es gerne ... Man kommt sich beim Umstieg auf OPNsense beim Konfiguration der Firewall, wenn man es dann verstanden hat, wie ein Idiot vor ;D
Gibt es eigentlich einen Weg auf OPNsense einen Reverse-Proxy laufen zualssen ohne den Web-Gui Port zu ändern?
Das Web-Gui läuft ja nur auf den Schnittstellen LAN und MANAGEMENT.
ja, habe den haprxy auf einem anderen interface laufen
Wo kann man das im HAProxy plugin einstellen ?
mit ein wenig googlen hättestr du es auch gefunden
https://docs.opnsense.org/manual/how-tos/haproxy.html
Und was genau ist da jetzt der Unterschied zu dem was die HAProxy-Integration im ACME Client schon selber angelegt hat ?
Kann man jetzt nicht einfach auf dem WAN-Interface eine Regel anlegen die das an den Port 43580 weiterreicht ?