Messages

Nessuno che abbia mai utilizzato o che voglia utilizzare un blocco internet in base agli utenti?
Nessuno nessuno?
Sono l'unico in italia che cerca di ottenere un po' di sicurezza sulla propria rete?

Ragazzi, c'è qualcuno che riesce ad aiutarmi per questa soluzione?

Grazie in anticipo. :-)

Buon pomeriggio a tutti,
Come detto in altro post, sono nuovo e non capisco bene come funziona OPNsense, ma vorei raggiungere un obbiettivo che credo sia poi la base di qualunque proxy:
voglio riuscire a fare in modo che alcuni utenti in Active Directory abbiano internet completamente aperto, mentre altri utenti devono avere internet completamente bloccato, tranne alcuni specifici siti.

Ho scaricato ed installato "OPNsense 19.7.4_1-amd64"

Con il vecchio firewall "Endian Firewall" che usavo prima, mi trovavo molto bene, ma per esigenze diverse devo cambiare prodotto.
OPNsense mi sembra una buona soluzione, ma non capisco come devo fare per raggiungere quell'obiettivo.

Sono riuscito a fargli vedere tutti i segmenti di rete, sono riuscito a fargli leggere gli utenti di Active Directory, ma non riesco a capire quali sono le altre impostazioni che devo settare.
Qualcuno riesce a darmi una mano?

Grazie in anticipo a tutti.

Buongiorno,
dopo un po' di lettura di documentazione e di ricerche su internet sono riuscito a risolvere il problema da solo.
Dopo 46 visualizzazioni del post mi aspettavo che qualcuno mi desse l'imboccata giusta, ma così non è stato.
Spero di essere d'aiuto a qualcuno con questo post, nel caso riscontrassero la stessa anomalia.

In pratica funziona in questo modo:
I Gateway vanno aggiunti impostando una Priorità, indicando un numero da 1 a 255, dove il numero più basso è il più importante.
L'upstream si setta solo per indicare ad OPNsense qual'è la default route e possono esserci può upstream settati che possono funzionare da bilanciatori o per altre funzioni di alta affidabilità (nel mio caso non è usato l'upstream ma ho solo utilizzato le priorità impostando 254 per la defaultroute).
Una vota indicato il gateway, va (o vanno, se sono più rotte da aggiungere) quindi settata la rotta statica nel menù SISTEMA->INSTRADAMENTI->CONFIGURAZIONE.
Gli instradamenti (o routing statici, come si preferisce dire), vanno inseriti a sentimento, cioè indicando il segmento di rete ed uno dei gateway inseriti in precedenza.

ESEMPIO:
Facciamo conto che la rete è 192.168.1.0/24 e che si abbia un altro segmento remoto che sia 192.168.2.0/24 e che questo segmento sia raggiungibile tramite l'IP 192.168.1.5.
Avrò una gateway che punta al 192.168.1.1 per il traffico internet, ed avrò una secondo gateway che punta al 192.168.65.5 per il traffico verso la rete 192.168.2.0/24; creerò poi una rotta statica che è del tipo 192.168.2.0/24 e con gateway 192.168.1.5.

Fatta in questo modo, io mi aspettavo che funzionasse, essendo un instradamento dietro la LAN, ma invece non funzionava, ed ho capito che andava modificata una regola del firewall.
Non capivo perché funzionasse in quel modo, perché abituato ad Endian Firewall, non avevo bisogno di impostare regole del firewall per i segmenti instradati a mano.

Ad ogni modo, la regola del firewal va creata in: FIREWALL->REGOLE->LAN e va creata una nuova regola dove DIRECTION va settato in OUT; DESTINATION va settato su "Single host or Network" su 192.168.2.0/24 ed il nome della regola a piacere, tanto non viene elaborato.
Salvare ed applicare la regola e provare un ping verso un qualunque host presente sul secondo segmento, dovrebbe funzionare tutto.
Ovviamente questo va ripetuto per ogni segmento remoto da raggiungere, o magari raggruppare con le subnet i segmenti e creare una sola regola ed un solo routing per fare prima.

Spero di essere stato più chiaro possibile nella spiegazione. :-D

Ciao, sono nuovo del forum e non ho molta esperienza con OPNsense, ma posso dirti che con 2 xeon E5620 e 8 GB di RAM, squid riesce a gestire senza problemi più di 200 - 250 client contemporaneamente, molte collegate anche in VPN L2TP.
Ovviamente, la soglia scende se conminci ad integrare servizi del tipo, content filtering o blocco totale con esclusione di alcuni siti.
Ma suppongo si asufficiente ulteriore RAM per gestirli meglio, i miei 8 GB sono limitati dall'hardware che ho al momento a disposizione.
Personalmente ho usato fino a poco fa Endian Firewall (è basato su GNU/Linux), e mi sono trovato bene, poi ho deciso di adottare una soluzione custom, per alcune esigenze che avevamo, ma era difficile gestire tutto da riga di comando, quindi ho deciso di passare a OPN sense, ma sono ancora in fase di test da ormai una settimana ed ho ancora problemi con i routing interni della LAN, sono proprio a "livello ragazzino", diciamo così. :-D
Al momento non riesco ad aggiungere altri segmenti di rete e se non riesco ad aggiungerli non posso provare i miei 550 client. ;-)
Spero di esserti stato d'aiuto anche un minimo ;-)

Buonasera a tutti,
forse sarò io che sono abituato all'utilizzo dei cisco, ma ho un grosso problema che non riesco a risolvere, con i semplici routing:
la mia rete è formata così

Mia LAN: 192.168.65.0/224
router internet 192.168.65.1
Centrostella 192.168.65.10
router verso LAN remotoe: 192.168.65.5
LAN remota1: 192.168.75.0/24
LAN remota 2: 192.168.76.0/24

Voglio che OPNsense lavori con una scheda di rete e che possa gestire anche il traffico delle 2 reti remote.

quello che ho impostato è:
Gateway LAN (upstream) per OPNsense: 192.168.65.1
Gateway LAN (non upstream) per le reti remote: 192.168.65.5

In instradamenti:
rete remote 192.168.75.0/24 gateway 192.168.65.5.
rete remote 192.168.76.0/24 gateway 192.168.65.5.

purtroppo, OPNsense non raggiunge nessuna delle due reti remote, ma va tranquillamente su internet.

Se tolgo il flag da "upstream" da entrambe le reti, allora OPNsense non va su internet ma vede solo i segmenti remoti.
Se metto il fleg su upstrim suo gateway 192.168.65.1 (anche se ci sono gli instradamenti attivi) OPNsense si collega ad internet ma non si collega ad i segmenti remoti; viceversa, se imposto l'upstream su 192.168.65.5, OPNsense, vede le LAN remote ma non vede più internet.

Non so più che fare, è come se gli instradamenti non funzionassero come mi aseptto.

Ho provato anche ad effettuare la stessa configurazione con 2 schede di rete: una WAN ed una LAN, collegando il router internet sulla WAN e staccandolo dalla mia LAN, ma ottengo sempre lo stesso risultato: o vado su internet o vedo i segmenti remoti 75 e 76.

Qualcuno riuscirebbe a darmi una mano?  :'(

Vi ringrazio in anticipo infinitamente.