OPNsense Forum
International Forums => German - Deutsch => Topic started by: fpausp on October 17, 2017, 07:21:36 am
-
Guten Morgen Forum, bin das erste mal hier und hätte gleich einige Anfängerfragen...
Momentan verwende ich IPFire, den ich jetzt mit OPNsense ersetzen möchte.
Mein Netz besteht aus einem LAN, einem WAN das über Ethernet angebunden ist und einem zweiten LAN (blau) das teilweise mit Wireless-AP's ausgestattet ist und wie bei IPFire üblich keinen Zugang zum LAN bieten soll.
Das alles läuft virtuell auf einem Proxmox Hypervisor. Ich möchte das gleiche mit OPNsense abbilden und bitte deshalb mal um Eure Kommentare...
-
Moin,
ohne jetzt mal die Grundsatzdiskussion über einen virtuelle Firewall zu betrachten ist das kein großes Problem. Komme selbst von ipfire.
Als erstes solltest Du dich von den Farben trennen. :)
Eine OPNsense kann ist nicht auf 4 Netzwerke beschränkt, sondern kann viel mehr Netzwerke verwalten. Seien Diese nun physikalisch oder vLAN Interfaces. Natürlich könnte man die einzelnen Schnittstellen auch als ROT, BLAU, GRÜN, usw. benennen. Ich würde das aber nicht machen -> Alte Zöpfe abschneiden!
Für die Installation der OPNsense benötigst Du zunächst 2 physische Netzwerkinterfaces (WAN und LAN) in der VM.
Wenn Du jetzt ein/mehrere Netzwerkinterface(s) hinzufügst ist das überhaupt kein Problem. Die zusätzlichen Interface(s) lassen sich problemlos über die GUI einrichten (z.B. DMZ oder WLAN).
Und wie bei jeder (guten) Firewall können die zusätzlichen Interfaces zunächst nicht auf andere Netzwerke zugreifen (z.B. LAN). Du musst erst mit FW-Regeln definieren, welches Netz/Dienste wohin kommunzieren dürfen.
Also eigenlich kein großes Problem. :)
Das größte Manko von OPNsense vs ipfire ist m.E. die mangelnde Treiberunterstützung. So muss man sich halt vor den Kauf genau informieren, ob die HW auch mit OPNsense (FreeBSD) läuft. Das Problem dürftest Du meit einer VM ja nicht haben...
-
Hallo monstermania,
Danke für deine Infos... Hab gleich eine konkrete Frage:
You are currently running in LiveCD mode. A reboot will reset the configuration. SSH remote login is enabled for the users "root" and "installer" using the same password.
Welche ISO muss ich verwenden um die Einstellungen permanent zu bekommen ?
-
Hallöchen,
Na, ja, du musst auf der Konsole den User "installer" mit Passwort "opnsense" starten. Dann kannst du auf die Festplatte / Flash-Karte installieren mit allen aktuellen Einstellungen...
Siehe auch "install instructions" aus der 17.7.5 Image Ankündigung von letzter Woche: https://forum.opnsense.org/index.php?topic=6153.0
Grüsse
Franco
-
Hallo franco,
Danke für die Hilfe, bin schon gespannt...
lg
fpausp
-
Die Daumen sind gedrückt. :)
-
Bin ein gutes Stück weiter... Hab jetzt alles unter Proxmox installiert. Ich verwende jetzt LAN, WAN und OPT1 (WLAN). Hab einige Firewall-Rules erstellt damit man von OPT1 nicht ins LAN gelangt usw. VPN-Server wurde angelegt, muss ich aber erst noch testen. Ebenfalls die Portweiterleitung vom WAN nach LAN...
Man möge mir bitte vorerst noch meine Vergleiche zu IPFire verzeihen...
Gibt es eigentlich soetwas wie GeoIP ? Kann man Firewall-Rules auf MAC-Basis erstellen damit ein Client nicht ins Internet darf, mit IP-Adresse läuft es bereits ?
-
Moin,
zum Thema GeoIP schau Dir mal die Doku an:
https://wiki.opnsense.org/manual/aliases.html?highlight=geoip
Du kannst FW-Rules für Aliase erstellen. Und natürlich kannst Du diese Aliase auch an die MAC-Adresse binden.
Gruß
Dirk
-
@monstermania wo hast du denn das mit den MAC Adressen gefunden?
-
@monstermania wo hast du denn das mit den MAC Adressen gefunden?
Ähm,
sozusagen von hinten durch die Brust ins Auge...
1. Einrichtung einer statischen DHCP-Lease im DHCP-Server des Interfaces
2. Alias für die auf die statischen Devices anlegen
3. FW Regel für die Alias erstellen
Ist zwar etwas umständlich, funktioniert aber ganz wunderbar.
-
oO nicht wirklich??
Das ist doch keine Sicherheit.
-
Danke für die Infos... hab folgendes gelesen:
GeoIP’s
While it is possible to use geoIP lists in aliases by importing or using the url feature, OPNsense has a much more advanced way of blocking or allowing traffic based on the geographical location (country) by utilizing the netmap enabled Inline Intrusion Prevention System see also IPS GeoIP Blocking
Verwendet das jemand von Euch ?
oO nicht wirklich??
Das ist doch keine Sicherheit.
Was wäre denn sicherer ?
-
oO nicht wirklich??
Das ist doch keine Sicherheit.
Könntest Du das etwas mehr ausführen und mir/uns Deine Aussage erläutern?
-
Das GeoIP Alias Feature ist eigentlich ziemlich gut, genauer einsetzbar als das von Suricata. Bekommt auch noch eine hübschere UI in einer nächsten 17.7.x.
Generell gilt: Suricata GeoIP blockieren Pakete bevor sie die Firewall erreichen, aber können nur grob genutzt werden. Die Firewall-Aliase können beliebig angelegt und flexibel Regeln verwendet werden.
Grüsse
Franco
-
naja das statische zuweisen einer IP mittels DHCP und dieser IP dann etwas zu erlauben oder zu verbieten, bietet in etwa die gleiche Sicherheit wie eine verschlossene Tür an der der Schlüssel steckt. Der Client kann sich ja einfach manuell eine andere IP geben um das zu umgehen.
Um auf Layer2 zu filtern könntest du ipfw und sysctl net.link.ether.ipfw=1 verwenden. Aber das geht auf jeden Fall nicht mit der GUI.
Wenn du diese Art Sicherheit dringend benötigst könntest du alternativ auch auf Switchebene 802.1x in verbindung mit Freeradius nutzen.
bzgl. GeoIP solltest du immer versuchen den Ressourcen schonensten Weg gehen. Also anstatt x Länder mit GeoIP zu blocken. Solltest du den Zugriff lieber gleich nur von denen erlauben die du möchtest.
Da dürfte aber der Firewall Alias sicher auch Ressourcen schonender sein als suricata
-
naja das statische zuweisen einer IP mittels DHCP und dieser IP dann etwas zu erlauben oder zu verbieten, bietet in etwa die gleiche Sicherheit wie eine verschlossene Tür an der der Schlüssel steckt. Der Client kann sich ja einfach manuell eine andere IP geben um das zu umgehen.
Wenn du diese Art Sicherheit dringend benötigst könntest du alternativ auch auf Switchebene 802.1x in verbindung mit Freeradius nutzen.
OK,
kommt darauf an, wie weit Du die Sicherheit treiben möchtest. In einem größeren/komplexeren Netz stimme ich Dir da auch vollkommen zu!
Bei einem privaten Heimnetz mit wenigen selbst genutzten Devices ist das m.E. eine Option und durchaus ein Sicherheitsgewinn. Insbesondere, wenn man z.B. von einer FritzBox kommt bieten sich hier doch ganz andere Möglichkeiten.
-
Das Vergeben einer statischen IP mittels DHCP die man dann mit Regeln versehen kann ist definitiv nicht das selbe wie das Filtern auf MAC-Adressen Basis (Layer2).
Was die Fritzbox kann oder nicht spielt dabei doch gar keine Rolle.
OPNsense kann (derzeit mit der GUI) kein Layer2 filtern.
-
> Der Client kann sich ja einfach manuell eine andere IP geben um das zu umgehen.
Wenngleich man dem durchaus zustimmen kann, dass das Handling so an sich nicht viel zusätzliche Sicherheit bringt, muss ein Client die Rechte erstmal haben, an seinem Interface herumzuspielen. Kann er das nicht ist das auch nicht so einfach auszuhebeln. Von mobilen Geräten mal abgesehen (schonmal Leute gesehen die an Smartphones mit statischer IP rumspielen?) Also alles eine Frage des Rahmens und des geforderten Setups.
Zumal man dir erwidern könnte, dass es DANN genauso sinnbefreit ist, auf Layer 2 die MAC zu filtern, die kann ich nämlich auch "recht einfach" ändern...
-
yep. so ist es. Daher schrieb ich 802.1x
-
Für FreeRADIUS gibts ein Plugin. Damit sollte 802.1X gehen. Der Switch muss es halt können.
-
hallo NilsS,
Danke für deine Infos, werde das später mal testen... Vorher möchte ich noch den VPN-Zugang ins LAN schaffen.
Hab heute versucht mit dem OpenVPN Community Client und dem Standard Configurations - Archive eine Verbindung herzustellen, hat leider nicht geklappt.
Wie kann man denn das bei BSD debugen ?
lg
-
OK, OpenVPN läuft schon via LAN, werd morgen den Test übers WAN machen...
# Loggen:
clog -f /var/log/openvpn.log
-
> OK, OpenVPN läuft schon via LAN, werd morgen den Test übers WAN machen...
Wie testest du denn ob OpenVPN IN das LAN läuft wenn du selbst IM LAN sitzt? Das macht doch gar keinen Sinn!?
-
Wie testest du denn ob OpenVPN IN das LAN läuft wenn du selbst IM LAN sitzt? Das macht doch gar keinen Sinn!?
Das war nur als Teilschritt gedacht... Habs jetzt via WAN getestet und läuft soweit...
Hat jemand von Euch vielleicht einen Tipp wo man HowTo-Sammlungen (Deutsch/Englisch) finden kann ?
-
Guten Morgen,
muss man OPNsense nach einem update rebooten oder geht es vielleicht auch anders ?
-
Normalerweise geschieht dies wenn es nötig ist automatisch durch den Updateprozess, falls du dich jetzt aber auf letztes Update und die KRACK Patches beziehst scheint der Reboot nur empfohlen aber muss manuell durchgeführt werden.
-
Etwas genauer zum Firmware Reboot:
Prinzipiell lässt sich mit dem Reboot alles sauber neu starten. Wir führen diesen aber nur zwingend bei OS-Updates (FreeBSD) aus. Das hat auch mit Riskostreuung und Usability zu tun. Wenn nur Pakete erneuert werden müssen die Services neu gestartet werden, die Updates erhalten haben. Das ist schwierig zu automatisieren ohne Services temporär zu unterbrechen. Noch schwieriger ist es beim Update von Shared Libraries die von (ggf. mehreren) Services genutzt werden, v.a. weil hier ohne Aufwand nicht ersichtlich ist welche Services überhaupt betroffen sind. In diesen Fällen ist die einzige sinnvolle Methode der Neustart zu einem vom Nutzer gewählten günstigen Zeitpunkt und bleibt eine reine Empfehlung.
Grüsse
Franco
-
Vielen Dank für Eure Antworten...
Hätte noch eine Frage zu WPA2 Enterprise.
Hab das momentan mit meinem Nethserver (Active Directory) und einem SynologyNAS (RadiusServer) und zwei AccessPoints (DD-WRT) realisiert.
Wie ist den das unter OPNsense gedacht ?
-
Den Radiusteil könntest du auch auf OPNsense nutzen, jedoch müsstest du für die AD Nutzung selbst an die Konfiguration machen. Das Plugin kann derzeit nur lokale Nutzer mit Cleartext Passwort.
-
Wäre cool wenn man den AD-Server nutzen könnte, um nur einmal die user pflegen zu müssen...