Messages

Hi Leute,
ich habe einen Server/NAS der sich in einem eigenen VLAN befindet.
Da laufen auch einige Dienste die über das Internet erreichbar sind. Offen in der Sense ist nur 80 und 443 zu Nginx Proxy IP auf dem Server und alle Anwendungen dahinter.

Mein LAN VLAN:
10.10.0.1 /16
Meine SRV VLAN:
10.1.1.1 /24
LAN darf ins SRV aber SRV darf nicht ins LAN

Mich nervt es nun etwas das alles über die Firewall laufen muss und für mehr Durchsatz müsste ich etwas upgraden.

Wie sieht es mit der Sicherheit aus wenn ich den Server mit ins LAN packe und am Switch per ACL (Access Control List) Regeln aufstelle.
Ich habe deshalb ein /16 Netzwerk da ich viele Geräte im LAN habe und die gerne aufteile in IP Bereiche.
Bei mir hat auch jedes Gerät eine statische IP per DHCP.
Zb Smart-Home hat einen eigenen Bereich wie 10.10.5.XX und PC / Laptop etc auch einen eigenen.
Wenn ich den Server und die Dienste zb 10.10.100.XX in meinem LAN Netzwerk mache und per ACL regel das die 10.10.100.XX Range nirgends hin darf.

Das habe ich bereits erfolgreich getestet im Omada Switch. Wenn ich meinen Laptop die Smart-Home Range sperre gibt es darauf keinen zugriff mehr, auch kein Ping und die Geräte werden nicht mehr gefunden mit "Advanced IP Scanner"

Ist die Sicherheit genug? Normal sollte man Dienste die nach außen erreichbar sind in ein seperates Netzwerk geben das kein Zugriff auf das LAN Netz hat.
Ich weis nicht ob ein "Eindringling" über die OpnSense Gateway (10.10.0.1) diese Regeln austricksen kann und damit die Sicherheit hinüber ist. Theoretisch könnte man die ACL Regeln auch in der OpnSense anwenden und das gleiche per Firewall Regeln speichern das die Server IP nicht zb zu dem IP Bereich der PCs darf, damit ein Eindringling die ACL nicht austrickst und über den Gateway von OpnSense in den gesperrten Bereich kann.

Meinen Tests zufolge:
Wenn eine IP eine ACL Sperre auf einen Bereich hat im eigenen Netzwerk, blockiert der Switch die gesamte Verbindung und alle Ports. Auch routet der Switch nicht mehr an den Gateway weiter wenn z.b.
10.10.100.5 (Server) -> 10.10.1.30 (PC) möchte und es per ACL gesperrt ist.

Ist das eine schlechte Idee im Bezug auf Sicherheit und es wäre besser 2.5Gbe NICs in der Sense upgraden und die VLANs lassen?

Wie funktioniert die Switch ACL?
Ich habe die verbindung zwischen 2 Netzen erlaubt.
Das läuft trotzdem immer über die OpnSense auch wenn ich die zwei Netze über "Switch ACL" erlaubt habe zu kommunizieren.

Wenn ich 2 Netze blockiere. Werden diese geblockt egal welche Regeln in der OpnSense stehen. Da funktioniert es also

...

Danke für die Infos.
So werde ich es auch einrichten.
Setup eigentlich wie man es gewohnt ist
+ zusätzlich ein Management-Netz mit Block-All Regel und ein Schalter für Internet Updates
Allein mein Stand-PC bekommt zugriff auf die Controller-IP

Das ist im Grund das selben Konstrukt wie es Unifi nutzt,  VLAN1 als Management-LAN für Kontroller usw. und das legst du auch auf der OPNSense an.
Du willst ja sicherlich mal Konfigänderungen an deinem Netz machen, dann kannst du dir per Firewall-Regeln Zugriff aus anderen VLAN auf das VLAN1 einrichten.

In das VLAN1 kommen alle OMADA-Geräte rein, da diese darüber mit dem Controller kommunizieren.

Danke das ist ein guter ansatz.
Wie sieht es mit den FW Regeln zu VLAN1 aus? WAN Zugriff blockieren und Zugriff auf VLAN10 + 20 + 30 ebenfalls nehme ich an.

LG und Danke

Ich habe mir ein Omada Setup zugelegt, die Firewall ist mir aber zu basic deshalb bleibe ich bei OpnSense.
Bestehend aus
- Omada Switch
- Omada Controller
- EAP Access Points

Meine Frage betrifft das VLAN1:
VLAN1 default ist der standard auf dem Switch und nicht löschbar (192.168.0.1 default).
Meine Netze sind VLAN10 (Home-LAN), VLAN20 & VLAN30. Das VLAN1 ist nur Managment.
Sollte ich dies auch in der OpnSense einrichten oder bleibt dies nur ganz alleine am Switch?

Wenn ich das Omada Setup richtig verstanden habe kommt der Controller auch ans VLAN1.
Ebenso die Access Points, da wird der SSID ein VLAN zugewiesen.
Für das Managment müsste ich aber aus dem VLAN10 zugriff auf den Controller haben im VLAN1.
Ist das richtig?

LG

Ok ich hab eine Lösung gefunden:

Unter "/usr/local/etc/nginx/opnsense_http_vhost_plugins"
Die Datei "default.conf" anlegen mit dem Inhalt:

Code Select Expand

server {
    return 404;
}

Ich verstehe nicht wieso das in der GUI nicht funktioniert... Ich hab es mit Servername "_" auch versucht.

[Edit: Hat sich erledigt, ich verwende eine Virtual IP im loopback und weise den DNS auf die Virtual IP]

Hi Leute,
ich hab ein paar Fragen zum Nginx Plugin:

1. Ich hab eine kleine demo Seite erstellt nach dieser Anleitung (Ohne SSL für mein Test):
https://forum.opnsense.org/index.php?topic=19305.0
Als Servername verwende ich "demo.mywebsite.com" mit DNS Eintrag.
Jetzt ist es aber so das egal was man ein gibt wie zb "opnsense.lan" öffnet sich die Seite.
Wieso ist das so? Er dürfte nur das Matchen was ich eingebe...
Wenn man eine zweite Website hinzufügt wird die auch nur über diese Domain angezeigt.
Aber die erste ist über alles aufrufbar. Unter "Statistik" sieht man einen Eintrag mit:
Server zones - Zone *
Das "*" wird wohl auf jede Domain hören, nur wie bekomm ich das weg?

2. Extern ist es klar aber wie ist das Intern wenn ich 2 Netzwerke habe "LAN + Gäste"
Wenn ich intern die Domain im DNS Eintrage möchte, gebe ich den LAN Gateway "192.168.0.1" an, aber dann kann das Gäste Netzwerk nicht zugreifen.
Edit: Hat sich erledigt, ich verwende eine Virtual IP im loopback und weise den DNS auf die Virtual IP

[LAN / DMZ-Server / Gäste]

Hey Leute,
Ich plane einen Umstieg auf 10Gbe LAN, das größte Problem ist wohl DMZ:

Aktuell habe ich 3 Netze LAN / DMZ-Server / Gäste
Gäste ist zu vernachlässigen da reicht eine GBit Schnittstelle die schon vorhanden ist.
Also brauche ich eine Dual 10GBit Karte und zwei 10GBit Switches was sehr in die kosten und Stromverbrauch geht.

Meine Frage:
Server / NAS in eine DMZ zu packen dient der Sicherheit, nur in der DMZ sind offene Ports.
Was wäre wenn ich die DMZ weg lasse und meine Server ins LAN dazu packe und auf OpnSense einen Proxy-Dienst installiere.
Für die Server werden keine externe Ports geöffnet sondern alles externe bearbeitet der OpnSense Proxy der leitet dann an alle interne Ports / Dienste.

Wie sicher ist dieses Setup? Wäre dann eine DMZ trotzdem nötig?
Extern benötige ich nur einige Webhosts, die ich extern nur per HTTPS 443 anspreche.
Aktuell ist auf dem Server selbst der Proxy (nginx) und OpnSense leitet externe Anfragen an die DMZ Server.
So bleibt trotzdem das LAN sicher.

So bräuchte ich nur einen neuen Switch mit 10GBit Ports und spar viel Geld / Strom.

lg

[LAN]

Mach doch bitte mal einen grafischen netzwerkplan, mir fehlt die Info wie du genau ins Internet kommst (Modem?) somit kann ich auch noch nicht nach irgend welchen konfigurieren fragen. Was sagen die Logs?

LAN ist /16 Subnet weil es sich immer mehr Geräte angesammelt haben (Smart Home, IP Cams etc) und die gebe ich zur ordnung alle auf eine eigene Range (zb 10.0.1.X für PCs/Laptops)
DMZ ist direkt ein der Server PC dran
Guest = ein eigenes VLAN für unseren Verein / Vereinsmitglieder

IP konflikt kann ich mir nicht vorstellen, bei mir wird jedes Gerät statisch am DHCP eingetragen und geordnet.

Firewall:
LAN
IPv4 *    LAN Netzwerk    *    *    *    *    *
alles erlaubt zu jeden Netz
DMZ
IPv4 *    DMZ Netzwerk    *    DMZ Adresse    *    *    *    Erlaube DMZ Gateway    
IPv4 *    *    *    *    *    WAN1_GWv4    *    Erlaube DMZ Internet
darf nur ins Internet sonst nichts
GUEST
IPv4 TCP    GUEST Netzwerk    *    SRV1_Adresse    Webservice_Ports     *    *    Erlaube Webserver    
IPv4 *    GUEST Netzwerk    *    GUEST Adresse    *    *    *    Erlaube Gateway    
IPv4 *    *    *    *    *    WAN1_GWv4    *    Erlaube Internet
darf nur ins Internet + zum DMZ Server

Das man mehrmals etwas öffnen muss bis er Verbindet ist auf allen PCs / Laptops und auch im Guest Netzwerk nicht nur im LAN.
Mir ist heute etwas aufgefallen als ich den FireTV Stick abgesteckt habe:
Dieser ist per LAN-Kabel verbunden, zuerst hat er normal Internet und der DHCP hat für den Stick auch eine statische IP-Adresse, als ich ihn abgesteckt und gleich wieder angesteckt habe, hat der Stick keine verbindung mehr aufbauen können zum Internet (die selbe IP hat er aber bekommen und kein anderes Gerät hat die IP bekommen, also gab gab es kein physischen konflikt)
Er konnte aber nicht ins Internet verbinden, bis ich irgendeine freie LAN IP manuell eingetipp habe, da ging dann alles. Als würde es wirklich einen IP Konflikt geben obwohl es das selbe Gerät mit selber MAC ist.

Welche Protokolle würdet ihr gerne sehen und wo findet man diese? Ich bin noch neu in OpnSense.
Danke

[OpnSense Router:]

Hallo Leute,

Jeden Morgen / Mittag wenn ich am PC gehe, funktioniert das Netzwerk  / Internet nicht. Ich bekomme zwar eine Lokale IP etc aber ich muss zb 5x Google öffnen bis die Seite auf gemacht werden kann, alle anderen Seiten ebenso, auch per CMD Ping auf 8.8.8.8 muss ich erst mehrmals darauf Pingen bis eine Antwort kommt. Komisch ist auch das ich meinen lokalen Server nicht öffnen kann, einfach nichts funktioniert für 10 Min, dann geht alles normal, und das jeden Tag aufs neue. Der DMZ Server selbst hat immer verbindung, der läuft aber auch 24/7 (Homepage hosting).

Woran liegt das? In OpnSense zeigt es keine Fehler an. Am PC liegt es nicht den mit OpenWrt Routern kommt es nie zu solchen Problemen.
OpnSense Router:
HP EliteDesk
8GB DDR4 Ram
Intel(R) Core(TM) i5-7500 CPU @ 3.40GHz (4 cores)
Version: OPNsense 20.1.8_1-amd64

Netzwerkkarten:
Intel 82576 2 Port PCI-E (WAN)
Intel I350-T4 4 Port (LAN, DMZ)

Besonders spezial Settings hab ich nicht eingestellt, es ist großteils original Config außer:
1x WAN Netzwerk
3x LAN Netzwerke (LAN, DMZ, Guests)
eingerichtet

Unbound DNS Weiterleitungs-Modus aktivieren (1.1.1.1, 1.0.0.1)

Hardware CRC + Hardware TSO aktiviert

Das ist im grunde alles, ich habe den Router auch mehrmals neu aufgesetzt.

Ok es ist manchmal echt eine kunst OPNsense zu installieren.
UEFI, Secure Boot und Legacy müssen deaktiviert werden damit das System überhaupt funktioniert.
Dachte OPNsense unterstützt UEFI Modus, aber auf 3 verschiedenen Systemen funktioniert da gar nichts :/
Schade so Bootet das ding viel langsamer

Hi Leute,
Ich habe mir jetzt einen HP EliteDesk 800 G3 SFF / i5-7500 / 8GB DDR4 + Intel I350-T4 PCI-E Ethernet

Jedes mal bleibt die installation stehen bei "Swap Partition" egal ob yes oder no danach tut sich nichts mehr...
Nach Google dachte ich es könnte an der M.2 SSD liegen (Samsung SSD PM961 256GB).
Jetzt versuche ich eine SATA SSD und genau das selbe...
Komischerweise ist die SSD von meinen Test Setup aus einen anderen PC, wenn ich nicht die Installation Boote sondern die SSD mit der alten installation von meinem AMD FX-4100 dann startet OPNsense korrekt, aber wieso geht die installation nicht?

Es ist echt ein Krampf ich kaufe jetzt extra den EliteDesk weil die installation auf dem ASRock Q1900M nicht funktioniert und dann geht die auf einem relativ neuen HP Board auch nicht.

Der installer selbst hängt nicht weil wenn man den Poweroff Button drückt erscheinen befehle für shutdown und er fährt herunter. Ich hab auch die Manuelle Installation versucht da bleibt es bei "Eine Partition erstellen?" danach hängen wenn ich Skippe

Update:
Ich hab ein altes Mainboard mit einem AMD FX-4100 raus gekramt und OPNsense installiert.

Jetzt kommt die volle Bandbreite an (es liegt wohl am PI das da nur ~10MBit/s durch gehen).
Aufgefallen ist mir das mit der OnBoard Karte (Realtek RTL8111GR) Seiten 5-10 Sekunden brauchen bis sie sich öffnen, aber Bandbreite kommt die volle durch, auch Ping, komisch... Aber das steht ja das Realtek nicht zu empfehlen ist...
Mit der 2 Port Intel 82576 PCI-E NIC laden Seiten sofort und volle Bandbreite.

Weiteres:
Jetzt konnte ich anhand der Switch LEDs mir genauer ansehen wie mit dem Traffic gearbeitet wird.
Der gesamte Traffic zwischen den VLANs (WAN, LAN, SRV, Gäste) läuft über die Single NIC, alles innerhalb eines VLANs kann direkt kommunizieren und belastet die Single NIC nicht,
also ist es wohl besser wenn man mehrere Netzwerkanschlüsse direkt am Server hat, zumindest für jedes VLAN + WAN mindestens 1 Anschluss um solle Bandbreite zwischen den VLANs und WAN zu haben?

bzw.: Für jedes Netzwerk 1 physischen Anschluss und dann an diesen einen Switch ist wohl das beste Setup für maximale Bandbreite oder? Hat es einen Vorteil wenn jedes Gerät einen physischen Anschluss hat statt einen Switch?

moin, wo hast du das image her für den pi?
bitte mal den link.

Hier im Forum:
https://forum.opnsense.org/index.php?topic=14875.0

[TP-Link TL-SG116E Unmanaged Pro Switch]

Hi Leute,
Ich möchte von OpenWrt zu OPNsense wechseln aber hab ein paar fragen zum Hardware aufbau da ich ganz frisch mich mit OPNsense beschäftige :)

Sollte man umbedingt eine physikalische WAN Schnittstelle haben oder ist WAN per VLAN Switch kein Problem?
Was ist der nachteil bei VLAN WAN? Wird der gesamte Traffic über den OPNsense LAN Port über die Firewall geleitet und somit eher ein Flaschenhals?

Ich habe mir einen TP-Link TL-SG116E Unmanaged Pro Switch gekauft.
Port 1 = Tagged zu allen VLANs (zu OPNsense NIC)
4 VLANs:
WAN, LAN, Servers, Gäste

Ich teste da etwas herum mit OPNsense 20.1 auf dem Raspberry PI 3 B+
Jetzt ist es so der LAN Speed zwischen Geräten ist super bei 1GBit/s aber Internet (WAN) kommt nur 5-8 MBit/s durch von 150 MBit/s.
Ich dachte wenn das super funktioniert kaufe ich einfach einen Mini-PC mit Single NIC und der VLAN Switch (da ich sowieso wenn es funktioniert mal dual WAN probieren möchte und pro NIC wirds teuer da dachte ich ist es mit VLAN super)
Liegt das nun am Raspberry oder ist VLAN keine gute Wahl für WAN Ports?

Bitte um Rat, das spart mir wsl. den doppel Kauf, fragt mich auch ruhig aus was ihr wissen möchtet  :D
Ich bin dieser Anleitung gefolgt was den TP-Link Switch und das Taggen von Ports betrifft:
https://www.joe0.com/2019/11/16/converting-single-nic-mini-pc-into-pfsense-router-firewall-by-using-virtual-lan-configuration-on-a-managed-switch/

PS: VPN brauch ich nicht, mir ist aber ein hoher durchsatz bei LAN und WAN wichtig
Den Raspberry verwende ich deshalb weil ich ein ASRock Q1900M (Intel Celeron J1900) zuhause liegen habe und das als OPNsense Gerät verwenden wollte, aber dann festgestellt habe das OPNsense gar nicht darauf funktioniert... Also zuerst mit PI testen und dann Mini-PC kaufen