OPNsense Forum
International Forums => German - Deutsch => Topic started by: BigChris on October 28, 2016, 06:56:37 am
-
Guten Morgen,
ich würde gern umsteigen von IPFire nach OPNsense.
Erstmal bin ich ziemlich erschlagen von der Weboberfläche mit den ganzen Unterpunkten.
Da es für mich als schwierig ausschaut, IPFire neben OPNsense laufen zu lassen, erhoffe ich mir ein bisschen Hilfe um schnell eine erst mal funktionierende Variante in OPNsense zu konfigurieren.
Mein Rechner hat 4 NICs. Eine Intel I340/T4.
Ein Nic soll WAN sein (klar). Das Netz ist 10.10.0.10
Ein Nic LAN (auch klar denke ich) 10.10.10.10
Ein Nic soll die DMZ abbilden (unklar) 10.10.20.10
Zugang von aussen per openvpn auf alle Netze. Netzbereich 10.10.40.10
Bei IPFire war das nun für nicht Vollprofis wie mich quasi vorkonfiguriert und ich habe nur die Karten zugewiesen. Und dann war es erst mal gut.
Hätte jemand Zeit und Lust mir das hier zu erklären?
Gruß
Christian
-
Hallo Christian,
Willkommen. :)
WAN und LAN sind vorkonfiguriert, du musst lediglich die Netze anpassen unter Interfaces: [WAN] und [LAN]. Sollten die Netzwerkarten durcheinander sein, kannst du unter Interfaces: Assignments die Netwerkkarten neu mischen auf den bestehenden Interfaces (Zonen eigentlich).
Als nächstes fügst du ein neues Netzwerk hinzu, auch unter Interfaces: Assignments. Das neue Interface heißt [OPT1] und kann dann auch konfiguriert (und umbenannt werden).
Fehlt eigentlich nur noch das OpenVPN. Einen Server kannst du mittels Wizard erstellen mit einem Knopfdruck auf den Zauberstab unter VPN: OpenVPN: Servers. Solltest du eigene Zertifikate verwenden die du Importieren möchtests, dann muss dies vorher über System: Trust: Authorities oder Certificates passieren.
Es gibt auch ein paar Tutorials für OpenVPN, je nach Anwendungsfall:
https://docs.opnsense.org/manual/how-tos/sslvpn_s2s.html
https://docs.opnsense.org/manual/how-tos/sslvpn_client.html
Wichtig sind am Ende eigentlich nur noch die Regeln unter Firewall: Rules. WAN erlaubt standardmäßig nur Traffic nach außen, LAN erlaubt alles, OPT1 (DMZ) erlaubt gar nichts und OpenVPN erlaubt erstmal auch gar nichts für die Clients. Die einzelnen Policies müssen dann dort erstellt werden damit die angeschlossenen Geräte korrekt kommunizieren können.
Grüsse
Franco
-
OPT1 (DMZ) erlaubt gar nichts
Das ist schon mal nicht schlecht :)
Hier frage ich mich dann, welche Reglen ich brauche. Was es bewirken soll ist:
WAN <--> DMZ <-- LAN
Also die DMZ darf aus dem Internet und dem LAN erreicht werden, aber nicht auf das LAN zugreifen. (Später auch auf OPT2 nicht).
Da dachte ich nun, ich kann einfach eine Regel machen auf Opt 1, erlaube WAN blocke LAN. Aber so ganz habe ich das noch nicht kapiert wie... So einfach scheint es dann doch nicht zu sein?
Könntest du mir dazu noch was sagen?
-
Hmmm, unter Interfaces: [WAN] solltest du "Block private networks" deaktivieren.
Dann unter Firewall: Rules die folgenden Regeln.
WAN:
Pass/Erlauben für Source any -> Destination OPT1 net.
DMZ:
Block Source any -> Destination LAN net
dann Pass Source any -> Destination any
(wichtig ist die Reihenfolge)
Standardmäßig wird Outbound NAT/Masquerading benutzt für LAN und OPT1, vielleicht möchtest du dies lieber deaktivieren (je nach dem wie das vorherige Setup aussah).
-
Standardmäßig wird Outbound NAT/Masquerading benutzt für LAN und OPT1, vielleicht möchtest du dies lieber deaktivieren
Hatte ich schon erwähnt, dass man bei mir ein bisschen Geduld haben muss?
Outbound NAT/Masquerading
Was genau ist das?
Und wo sind Vorteile / Nachteile bzw. Gründe warum ich das abschalten sollte / wollte?
P.S.: Übrigens schon mal vielen Dank für den schnellen Support!
-
Naja, standardmäßig wird alles was nicht WAN ist per NAT nach außen gegeben, wie bei jedem normalen Internet-Router auch, d.h. die Clients hinter der OPNsense sind zwar vielleicht direkt erreichbar, aber melden sich nach außen mit der IP der OPNsense im WAN.
Vielleicht ist das in deinem Fall ungewollt. Deswegen hatte ich es erwähnt. Alles gut. :)