Hallo zusammen.
Ich habe folgende Aufgabenstellung (umzusetzen auf einer LES Network 6L von Thomas Krenn):
Ein einzelner Rechner soll in seinen Möglichkeiten beschränkt werden. Er soll im lokalen Netz (keine VLANs) nur Zugriff auf die Domänencontroller (LDAP, DNS), dem lokalen WSUS (HTTPS) und ein NAS (SMB) bekommen. Der Rechner wird bspw. an Port 1 angeschlossen. Von Port 6 aus geht es ins lokale Netz (WAN).
An Port 3 bspw. soll ein Notebook angeschlossen werden, das vollen Zugriff ins restliche Netz (über WAN) bekommen soll, ohne Einschränkung. Hier soll quasi ein weiterer LAN-Port verfügbar gemacht werden.
Wie gehe ich am besten vor? Ist ja ähnlich einer DMZ-Lösung, nur dass ich den Zugriff in die DMZ nicht beschränken möchte, sondern der Weg aus ihr heraus.
Danke im Voraus
Andreas
Solange der Rechner im LAN ist, kann er dort alles erreichen, daran kann OpnSense erst einmal nichts ändern.
Der normale weg wäre also, den Rechner in ein eigenes (V)LAN zu tun, mit einem eigenen Subnetz - das kann im Extremfall auch nur ein einzelnes, direkt mit dem Rechner verbundenes Interface sein. OpnSense würde dann als Router fungieren und kann somit den gesamten Verkehr filtern.
Der Rechner hat dann allerdings keine IP im LAN mehr, sondern eine in dem neuen (V)LAN.
Ansonsten gäbe es theoretisch die Möglichkeit, eine transparente Bridge einzurichten, siehe OpnSense Dokumentation. Die Topologie ist die selbe, ich weiß allerdings nicht, ob ein Mischbetrieb möglich ist, also OpnSense als Hauptrouter und gleichzeitig transparente Bridge für ein einzelnes Interface. Und OpnSense ausschließlich für einen einzelnen Rechner zu verwenden, klingt ein wenig nach Overkill.
OK, ich gebe dem Rechner eine IP aus einem anderen Netzwerk. Dann müsste ich Regeln definieren welche Ziele er erreichen darf und über welche Ports. Also bspw. definiere ich einen Alias für die DC und eine Regel auf dem LAN-Port an dem der Rechner hängt. Dann bräuchte es aber auch ein NAT outgoing oder sehe ich das falsch?
Wenn alle beteiligten Geräte in allen angeschlossenen Netzen jeweils die OPNsense als Default-Gateway haben, braucht es für die interne Kommunikation kein NAT. Soll der eingeschränkte Rechner auch ins Internet, brauchst du für IPv4 wahrscheinlich NAT auf WAN.
Ja, das ist die Frage.
Um es nochmal zu verdeutlichen. Bisher hing der Rechner mit Kabel ganz normal im lokalen Netz. Dieses Kabel stecke ich jetzt meinetwegen in LANPort 1 der OPNsense und dafür diese Über LANPort 6 ins lokale Netz. Zwichen den beiden Ports braucht es jetzt Regeln (logisch) aber ich denke auch NAT, da der Rechner ja aus einem anderen Netzwerk kommt und über die OPNsense meinetwegen DNS-Anfragen an die DC im lokalen Netz machen muss.
Nö, dafür sorgt Routing. An welchem Port der OPNsense hängt dein LAN denn jetzt?
Oder ist dein zentraler Router/Firewall gar nicht OPNsense und die soll jetzt zusätzlich ins Netzwerk, um diesen einen Rechner zu trennen?
Ja, was ich als lokales Netz bezeichne, ist das Netzwerk einer Fakultät. Innerhalb der Hochschule ist dieses Netz schon ein VLAN und der Weg heraus geht über einen zentralen Router. Die OPNsense soll nur diesen einen Rechner in seinem Möglichkeiten einschränken, also nur Zugriffe auf bestimmte Ziele im LAN erlauben und keinen Internetzugang.. Der Rechner hängt an Port 1 , das LAN an Port 6. Rechner die evtl. freien Zugang ins LAN haben dürfen, sollen an die Ports 2-5.
Dann ist das vorhandene VLAN aus OPNsense-Sicht "WAN" und der einzelne Rechner kommt an das OPNsense-"LAN". Da ist NAT schon voreingestellt. Auch kann sich die OPNsense am "WAN"-Anschluss leicht per DHCP ihre Adresse in dem VLAN holen.
Weshalb du weitere Rechner an die OPNsense anschließen möchtest, verstehe ich nicht. Ich nehme an, die Fakultät hat einen Switch ;-)
Eine OPNsense als solchen zu mißbrauchen ist außer in kleinen Heim-Setups in der Regel nicht ratsam.
Liebe Grüße
Patrick
Na ja, in dem Raum in dem der Rechner steht, gibt es nur einen einzigen LAN-Anschluss. Man wollte so zusätzliche Anschlüsse gewinnen, ohne extra Switch.
Nimm einen kleinen 5 Port Switch.