OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest14872 on November 25, 2016, 09:41:20 am
-
Guten Morgen,
ich möchte eine Firewall auf Basis von OPnSense aufsetzen, welche
- 3 Zonen verwalten kann ( Routerzone, Heimnetz und WLAN )
- einzelnen Geräten den Zugriff via MAC steuern kann ( Also vom Heimnetz ins WLAN und umgekehrt )
- einzelnen Geräten, die via WLAN kommen, nur den Internetzugang geben kann
- Den Traffic aufsplittet, einiges via DSL und anderes via LTE ( Habe Magenta Hybrid )
Ich hoffe das ist verständlich. Bei Fragen gerne fragen.
Ich habe einen HP Proliant ML115 mit 2GB RAM, 3 NIC und 120 GB SSD zur Verfügung.
Kann ich dieses mit OPNSense erreichen und wenn ja wie ?
So Long
soleval
-
Hey hey,
klar geht (fast) alles. :)
Ich würde sogar soweit gehen und sagen, dass das die "Basics" einer jeden Firewall sind.
Anhand von Rules und Interfaces Netze und Traffic trennen is ja der Grund weshalb man Firewalls betreibt.
Kurze Ausführung:
1) Q: 3 Zones verwalten?
A: Hierfür hast du ja deine 3 NICs. Eine NIC für den WAN Zugang (z.B. zum Modem DSL Anschluss).
Die zweite für die Verbindung zum WLAN Access Point Router für deine WLAN Geräte (Handy, Laptop, usw.).
Je nachdem wie viele LAN Subnetze, bzw. Rechner du anschließen möchtest, solltest du an der LAN Seite einen Switch anhängen und die Subnetze dann über VLANs von einander abgrenzen, bzw. durch Rules die Kommunikation untereinander kontrollieren.
Ziemlich cool ist an der Stelle immer noch ne 4te NIC die als DMZ für NAS, Webserver usw. dienen kann.
Wäre bei dir ja aber nicht der Fall. :)
2) Q: Kommunikation vom Heimnetz ins WLAN?
A: Wenn ichs richtig verstanden habe, meinst du die Kommunikation zwischen den einzelnen Interfaces (LAN --> WLAN). Das wird über IP Adressen mithilfe von Rules eingegrenzt. (Zumindestens bei FreeBSD) MAC Filterung ist nicht möglich von Interface zu Interface. (Siehe hierzu auch: https://forum.opnsense.org/index.php?topic=2790.0)
3) Q: Internetzugang nicht für alle Geräte?
A: Stichwort: "Captive Portal". Mithilfe eines Captive Portals kannst du dann vereinzelte IP-Adressen und MAC Adressen freischalten. Diese ignorieren dann den Captive Portal redirect. Alle anderen Geräte landen auf der sogenannten Landing Page. Kommt also ein Kumpel zum Zocken vorbei und möchte über dein WLAN ins Netz landet er auf einer Seite zum Anmelden. Ohne Account oder Voucher Code, ist trotz Netzverbindung kein Internetzugang freigeschaltet. In der OPNsense Dokumentation gibt es dazu eine super Anleitung zum nachmachen. :)
4) Q: DSL und LTE splitten?
A: Keine Ahnung muss ich leider passen. Hatte ich keine Erfahrungen mit machen müssen/dürfen.
Hoffe das Hilft. :)
Mfg
Oxygen61
-
Danke für deine Antworten.
Ich muss meine Ausführungen etwas spezifizieren.
Meine aktuelle Ausgangslage.
Alle Geräte befinden sich im 192.168.2.xxx Netz und werden vom Speedport Hybrid unter der .1 mit IP Adressen versorgt. Ich habe zwei Fritzboxen mit fixen IPS .200 und .201 im Netz integriert, wobei die mit .200 am DSL hängt wegen der Telefonie, da dieses in meiner Infrastruktur mit dem Speedport Hybrid nicht funktioniert.
Eine NIC sollte mit dem Router verbunden sein und ins WWW gehen.
Traffic mittels Balancing entweder zum DSL oder LTE routen ( Dann müsste ja mindestens eine Fritzbox hier dran oder ? ). ( 192.168.1.xxx )
Eine weitere NIC soll das heimische Netz (HEIM) speisen, welches DHCP Adressen vom OPNSense bekommen soll ( 192.168.2.xxx )
Und die dritte NIC soll über eine Richtfunkstrecke eine andere Lokation mit IP Adressen eines anderen Subnetzes versorgen, hier sind alles WLAN Clienten. Wobei allerdings in diesem Netz niemand ausser den bekannten aus HEIM ins Netz von HEIM gucken darf. Alle anderen dürfen nur bestimmte Dienste im Internet aufrufen. ( 192.168.3.xxx )
Aktuell habe ich alles bei mir CAT6 verkabelt mit einigen Hubs und einem HP managed Switch.
Hoffe dieses ist etwas verständlicher ?
-
Hey hey,
tut mir echt leid aber so wirklich verständlicher ist das wirklich nicht.
Was in solchen Situationen immer SEHR hilfreich ist ist ein kleiner Netzplan.
Also ein Bildchen wo du vielleicht auch erst einmal selber schaust, welches Gerät soll an welches Interface und wie soll das Netz überhaupt aussehen. (ich weiß sowas nervt aber es ist wichtig um einen Durchblick zu haben)
--> visio oder draw.io sind dafür ganz gut :)
Ansonsten, soweit ich das richtig verstanden habe, möchtest du die Firewall nicht direkt am Internet dranne haben. Diese soll nur die Pakete per "Load Balancing" an entweder die eine Fritzbox oder an die andere schicken, richtig? Hierfür gibt es zwei Möglichkeiten. Entweder klassisches Load Balancing über Multi WANs (also eine Gruppe von möglichen Gateways, die die OPNsense ansprechen kann zum balancen oder bei Ausfall eines Geräts für den "Failover"). Oder auf der anderen Seite, falls vorher bekannt ist, welche Geräte/Netze mit welcher Fritzbox sprechen sollen, ein Default Gateway einrichten und die restlichen Netze die nicht über das Default Gateway gehen sollen per statischer Route den Weg zur anderen Fritzbox (Gateway) zeigen lassen.
Zum Thema DHCP. Ja OPNsense unterstützt Dynamisches DHCP und statisches DHCP per MAC. Heißt du kannst theoretisch bei 3 Netzkarten, also bei drei Interfaces, 3 DHCP Server einrichten, die dann in dem, an dem Interface angeschlossenem Netz, gewünschte IPs verteilen.
Wer von wo nach wohin Kommunizieren darf, kann über die Rules der Firewall geregelt werden.
Keine Ahnung ob ich auch nur eine einzige Frage von dir beantworten konnte (Fühlt sich grad nich so danach an :P) dann tut es mir echt leid. Soen kleines Bildchen würde ich sehr begrüßen :) Vielleicht klären sich dann ja auch schon die ersten Denkfehler von selbst. :)
Viel Glück und viel Spaß ;)
Mfg
Oxygen61
-
Cool, draw.io kannte ich noch garnicht :)
Nun denn, hier dann einmal meine Zeichenversuche ( hatte in Kunst immer ne 4 ), ich hoffe es ist erkennbar was ich möchte
-
Hey hey,
das ist schon sehr speziell der Aufbau. Grundlegend sollte das alles funktionieren.
Dein Routing ist halt wie gesagt entweder umsetzbar mit Multi WAN Gateways, wo das Load Balancing die OPNsense übernimmt oder halt die Umsetzung mit dem Default Gateway und der statischen Route, wo du halt strikt festlegst, welche Netze sollen welches Gateway benutzen.
Das was bei dir das als "Heimnetz" markiert ist, wird ja sehr höchstwahrscheinlich ein Switch sein. Jetzt stellt sich mir die Frage, wie die Heimnetzclients also Handys und Laptops die über den AP ihre Verbindung beziehen die IP von NIC2 kriegen sollen, wenn der AP doch physisch garnicht an NIC2 hängt. :P
Vielleicht überseh ich da gerade etwas oder stehe auf dem Schlauch, aber ich glaube solange der AP nicht zu mindestens über nen Switch mit NIC2 kommunizieren kann, wird der Aufbau so nicht funktionieren.
Da hat jemand anderes bestimmt schon mehr praktische Erfahrung mit solch einem Aufbau machen können und kann dir weiterhelfen. Sorry! :(
Mfg
Oxygen61
EDIT: Ahh :) im .png haste jetzt die Verbindung eingezeichnet. :P
Wie gesagt. DHCP Server kannst du für jede NIC einstellen. Sollte also kein Problem sein.
Wegen der MAC Zuordnung wirst du es erstmal mit IPs probieren müssen. Kommst du da an deine Grenzen und brauchst Freischaltungen für MAC Adressen, wirst du um ein Captive Portal nicht dran vorbei kommen.
-
Einfach ist langweilig und das kann jeder :)
Das Heimnetz ist als "Wolke" zu betrachten ,wo sich alle meine Geräte tummeln.
Die FB2 stellt den WLAN-AP bereit und nur den und lotst den Datenverkehr zum OPN.
Ihre Telefoniedaten bekommt die FB2 von der FB1 ( hoffe das ist verständlich ). Etwaige kabelgebundene Geräte im Heimnetz sollen via Switch mit OPN kommunizieren.
//EDIT : jetzt steht da oben nur noch das PNG und Verwirrungen sollten weg sein :)
Danke für die vielen Tipps hier
-
Okay. Naja das klingt doch ordentlich. :)
Dann war das mein Denkfehler durch die Pfeile. FB1 soll zwar die Telefoniedaten zu FB2 schicken, FB2 ist aber über den Switch mit der Wolke, also auch mit NIC2, verbunden. Dann sollte das wiederum alles glatt gehen.
Wie hast du vor die IPs für die Geräte im Heimnetz zu vergeben? Dynamisch oder statisches mapping?
Bei statischen Adressen kannst du ja dann "über umwege indirekt" ja doch MAC Adressen Filterung betreiben, bloß halt mit festen IPs. Dann sollten auch deine Einschränkungen die du in deinem Netz umsetzen willst, gut umsetzbar sein. :)
-
Das ist in der Tat eine gute Frage.
Ich denke, bis auf das was am WLAN AP kommt, werde ich alles statisch setzen.
Da sich die Geräte im Heimnetz selten ändern, sollte dies die einfachste Methode sein.
Und auch darum, weil du zufällig die Vereinfachung der Verwaltung erwähnt hast :)
Muss ich OPN via Web adminstrieren oder kann ich das auch an dem Rechner ?
Denn ich habe aktuell keine LAN Kabel mehr ;)
-
Denke das mit dem statischem Mapping ist ganz gut, das werde ich bei mir daheim wohl auch demnächst mal umsetzen. So brauch man nicht mehr ganze Subnetze erlauben, sondern kann jedes Gerät völlig für sich einzeln mit Regeln für bestimmte Dienste freischalten.
Ja ich meine man muss es sich ja nicht schwerer machen als es ohne hin schon is.
Dafür gibt es das statische DHCP :)
Installationsmöglichkeiten gibt es für OPNsense mittlerweile so viele,
dass ich komplett den Überblick verloren habe.
Ich hatte meins per CD installiert (ganz altmodisch) und dann mit nem Laptop über den Browser die LAN Administrations-IP eingegeben im Browser, die ich während der Installation eingab (per LAN-KABEL :'( :'( )
Also z.B.: h t t p s : / / 1 9 2 . 1 6 8 . 0 . 1
Dann öffnet sich der Login Bildschirm der OPNsense.
Zusätzlich noch SSH, damit man nich immer zur Kiste hinlaufen muss, wenn man mal was in der Konsole machen möchte. Aber ja, die generelle Administration erfolgt über die Weboberfläche.
An der Stelle sei vielleicht auch nochmal der größte Unterschied zwischen pfSense und OPNsense herauszustellen. Bzw. Einer der zwei Gründe warum ich gewechselt hatte vor ner Zeit:
Das Backend (configd) ist vom Frontend (Weboberfläche) getrennt.
Das Frontend soll am Ende keine root Rechte mehr besitzen, was sonst en unschönes Sicherheitsproblem wär.:
https://docs.opnsense.org/development/architecture.html
-
Thema DHCP mit statischen Adressen für MACs: Bei pfsense war es früher so, wenn man an EINEM Interface einer bestimmte MAC eine statische IP zugewiesen hat (und unbekannten MAC keine), dann bekam diese MAC auch auf ALLEN ANDEREN Interfaces eine IP (kein Witz!). So könnte theoretisch ein Rechner in ein Netz wandern, wo er nie und nimmer rein sollte.
Ich habe nicht im Blick, ob sich das jemals geändert hat...
-
Hey Hey,
ja diesen Forums Post hab ich auch noch im Kopf. Franco hatte dazu damals mal was geschrieben, dass das einfach ein Grundproblem von FreeBSD sei und daher auch bei OPNsense zu finden sei und nicht behoben werden kann.
Nur waren dazwischen jetzt fast 2 oder 3 Major Updates. Keine Ahnung ob sich an dieser Aussage jemals mal etwas geändert hatte.
Würde mich auch sehr interessieren, ob dieses Problem irgendwann mal gelöst werden konnte.
FreeBSD hat ja jetzt nun auch schon des öfteren geupgradet. Wenn OPNsense auf Version 17.1 upgradet, dann upgradet ja auch FreeBSD von 10 auf Version 11. Jetzt bräuchte man mal jemanden der da Einsicht hat. :)
-
Mal ne doofe Frage am Abend.
Wie installiere ich auf der SSD ?
Hab mir das Image mit cdrom gezogen, finde aber keinen Punkt um auf SSD zu installieren.
Habe immer nur das Livesystem.
Was mache ich falsch ?
-
Bin grad nich auf Arbeit und hab daher leider grade keine OPNsense Kiste rumstehen
(Ja ich weiß, ich bin faul und hab den Change zu Hause noch nich umgesetzt :P)
Per CD kannst du irgendwann mal "I" drücken für Invoke Installer hieß das glaube...
Dann über Quick/Easy Install wählst du deine Festplatte aus (er wird dir so oder so nur eine Platte vorschlagen)...
Am Ende der Reboot..... In dem Moment in dem er anfängt dann neu zu starten nimmst du die CD raus und lässt ihn von der Platte booten (er kann ja nichts anderes mehr booten - die CD fehlt ja jetzt)
Sollte so funktionieren. :)
Hier auch das "get-started" von der Homepage: https://opnsense.org/users/get-started/
-
Hallo,
das man da irgendwie I tippen soll, hab ich auch gelesen. Aber das wird mir nicht angezeigt. Kann nur 0 oder 1 drücken und dann bootet er von der DVD ( war etwas zuviel für ne CD ). In dem Menü mit den 13 Auswahlpunkten hab ich nix von Installation gelesen.
Ist es u.U möglich, dass opn das SATA des Rechners nicht erkennt, da das CD Laufwerk an IDE hängt ?
-
Das Menü für die Installation kommt vor dem Menü mit den 13 Punkten. Du musst rechtzeitig "I" drücken (Timeout).
-
Danke Euch.
War zu spät gestern >:(
Fehler 40 war es, hatte immer C für das Livesystem gedrückt.
Nun ist es auf SSD installiert
-
Hey hey,
is mir auch schon passiert. Geht alles relativ fix bei der Installation. :)
Vielleicht ises dir nich aufgefallen (so wie mir letztens)
aber man kann bei den 13 Auswahlmöglichkeiten auch mit der "99" den Invoke Installer auslösen.
Ansonsten wie Fabian schon meinte.. schnell sein :P
Grüße
Oxygen61
-
Bis 16.7 ist doch der Installer der der auch automatisch gestartet wird? :D
Ab 17.1 ändert sich das: da gibt es dann einen "early installer", den man per Knopfdruck starten kann (wie aktuell), aber wenn nichts gedrückt wird, dann wird das Live-System gebootet und danach kann der installer durch Login mit "installer" als user und "opnsense" als Passwort gestartet werden.
Grüße
Franco