Topics

Hallo,

ich verwende für den Business Einsatz OpnSense mit folgender Netz Segmentierung:
LAN (Management/Admin Netz für IT VLAN 1)
CLI (Clients Mitarbeiter VLAN 100)
GUEST (Gäste Netz VLAN 9)

und einem TP-Link Access Point (AP) der 4x WLAN Netze (nach VLANs) erstellen kann mit WPA2 Enterprise Authentifizierung.

Ich würde nun gerne möglichst sichere und getrennte WLAN Netze aufbauen für CLI und LAN. Da das Thema Radius mir neu ist, war mein erster Ansatz Freeradius auf der OpnSense zu installieren und EAP-TLS mit eigener CA auszuprobieren, bis ich auf das Problem gestoßen bin, dass ich so anscheinend nicht die Authentifizierung zwischen LAN (nur IT) und CLI Usern trennen kann.
Geht das irgendwie anders nach Gruppen mit LDAP und EAP-TTLS?
Ich habe hier in Freeradius nur keine Möglichkeit gefunden unterschiedliche LDAP Filter für Clients (den AP) zu setzen. Im AP kann ich für jedes WLAN Netz nur einen eigenen Radius Server angeben aber auch nicht filtern.

Grundsätzlich die Frage wie würdet ihr den Zugriff auf das Admin Netz (LAN) absichern aus dem WLAN?

Ich bin noch am zweifeln, ob das generell eine gute Idee ist oder ob Admin Notebooks zur Administration besser in ein "nicht sicherheitsrelevantes Netz" sich einloggen und daraus eine VPN Verbindung zum Admin Netz aufbauen. Wie macht ihr das und was würdet ihr empfehlen?
Gibt ja auch noch andere Möglichkeiten mit Captive Portal etc.

Hallo zusammen,

ich habe das Problem wenn immer ein Gateway in meiner Gateway Gruppe (Loadbalacing + Failover) down geht, werden anscheinend alle Verbindungen über alle Netzwerke hinweg resettet.

Also auch Verbindungen zwischen intern getrennten Netzsegmente zu Datenbankservern etc., was mir etwas Probleme macht, sowie auch alle Verbindungen von außen über die noch funktionalen Gateways z. B RDP-Verbindungen etc.

Ist das normal bzw. kann man das effektiv verhindern ohne Nachteile zu haben? Hat dazu jemand eine Idee?
Zu welchen Einstellungen / Logs braucht ihr Informationen. Das Problem besteht schon seit Anfang an wo ich die Firewall erstmalig Konfiguriert habe (einige Monate her)

Setup:

- OPNsense 21.1.2-amd64
- mehrere physische 1Gbit WAN IFaces +
- 10Gbit Iface für verschiedene VLAN Netze

Hello,

since the update I can no longer access the web interface cause of SSL_ERROR_INTERNAL_ERROR_ALERT (Firefox), Chrome says ERR_SSL_PROTOCOL_ERROR.
The Webinterface uses a lets encrypt cert.
I have still access through SSH.

Is there a quick solution for this problem, maybe disable https, but without reset all my network interfaces? or renew cert...?

Thanks

Hallo zusammen,

ich habe 3x Leitungen von einem ISP. Da ich gerne ein Double NAT vermeiden möchte, sind alle drei per Modem angeschlossen mittels PPPOE Einwahl (momentan getrennt an drei Ports). Das Problem ist hierbei, dass der Provider für alle Leitungen die gleiche Gateway IP zuweist.

Ich nehme an, dass mein Load Balancing / Failover im LAN vermutlich wohl so nicht klappen dürfte, richtig?
Daher die Frage, wie sollte man so eine Situation am Besten handhaben?

___

Eine weitere Frage wäre noch: Ich möchte die drei Modems mittels VLANs an einem Port an die Firewall anschließen. Geht das überhaupt grundsätzlich, ich hatte damit Probleme bei folgendem Aufbau:
Es verbindet sich so nur das pppoe0 an igb0. Hat jemand eine Idee warum die anderen sich nicht verbinden können? Wenn ich es an 3 physische Ports anschließe geht es.

Firewall Schnittstellen:
igb0: angeschlossen an SW Port 1
igb0 zugewiesen an ppoe0
igb0_vlan2 zugewiesen an pppoe1
igb0_vlan3 zugewiesen an pppoe2

Modem 1: [SW Port 6]
Modem 2: [SW Port 7]
Modem 3: [SW Port 8]

Switch Konfiguration
Port1: [Tagged] VLANs 2,3 und [Untagged] VLAN 1
Port6: [Untagged] VLAN 1
Port7: [Untagged] VLAN 2 und PVID 2
Port8: [Untagged] VLAN 3 und PVID 3

Viele Grüße

Hallo zusammen,

ich hätte zwei Fragen:

1) Ich würde gerne ein oder mehrere OpenVPN Instanzen (Firewall Intern) auf mehreren Gateways erreichbar machen um die Last zu verteilen (gerade jetzt zu Corona Zeiten mit viel Homeoffice).

Ist das überhaupt mit der Firewall möglich, da die Firewall ja intern immer nur ein default Gateway hat?
Hat damit jemand Erfahrung, ich bin mehr oder weniger noch eher Einsteiger in der Thematik.

Wir haben folgende Leitungen, die jeweils an einer Fritzbox hängen (verschiedene IPs im gleichen Netz) und aktuell alle gebündelt an einem WAN-Port an der Firewall angeschlossen sind:

- 2x Vodafon Kabel 1000mbit
- 3x DSL Anschlüsse 100mbit

- OPNSense ist noch nicht produktiv im Einsatz
- OPNSense 20.7.3
- NICs: WAN, LAN, DMZ
- Gateways: 192.168.0.[103-107] / 24 (5 Fritzboxen)
- LAN verwendet Gateway Gruppe zur Lastverteilung / Failover

Vermutlich macht es Sinn die einzelnen Gateways zukünftig auf eigene physikalische Ports zu legen, dafür muss ich noch eine weitere Netzwerkkarte einbauen.

2) Ich habe festgestellt, dass das Monitoring mit PING auf die einzeln hinterlegten Monitor IPs der Gateways überhaupt nichts bringt, wenn eine Leitung ausfällt, da anscheinend der Ping immer vom default Gateway gemacht wird und so lange das nicht down ist, werden weiterhin alle Gateways als online angezeigt und weiterhin verwendet, was dann natürlich problematisch ist beim Loadbalancing hinsichtlich Konnektivität zum Internet... Benötigt man also für jedes Gateway eine eigene NIC um das UP Monitoring praktikabel zu machen?

Als Monitoring IPs verwende ich verschiedene öffentliche DNS Server. Ein Ping auf die öffentliche Adresse des jeweiligen Gateways wäre schwierig wg. wechselnden IPs.

Viele Grüße
George