Show Posts
1
German - Deutsch / opnsense als Bridge, ich bräuchte etwas Hilfe
« on: January 26, 2023, 01:24:34 pm »
Hallo, folgendes,
ich habe ein opnsense als Bridge mit 2 Interfaces nach Anleitung https://docs.opnsense.org/manual/how-tos/lan_bridge.html frisch aufgesetzt. Bridges arbeiten ja wie Switches auf ISO-OSI 2 bzw. entsprechen einander.
Zusätzlich hat der entstandene Bridge Adapter BR0 aber eine IP Adresse aus dem Lan Netz bekommen und so entspricht das eher einer Managed Bridge/Switch. Dies mache ich weil da auch Dienste drauf laufen sollen welche an eine IP gebunden werden müssen. Funktionierendes Beispiel bei mir ist z.b. unbound. Soweit funktioniert auch alles bestens. Der Aufbau ist wie folgt:
|fritzbox|-----|opnsense|------|pc|, alles im 192.168.178.0/24er Netz, die opnsens hat statisch die 192.168.178.254, die pcs beziehen dynamische ips.
Ich kann so von beiden Seiten der opnsense an die BR0 (über LAN und WAN If) um den Firewall Rechner zu administrieren da ich per Wlan der Fritz über das WAN If komme und von dem PC aus über das LAN If.
LAN und WAN haben keine IP Adressen und durch die System Tunables wird die Bearbeitung von Regeln von den Member IF auf das Bridge IF umgelegt. Zusätzlich aber unnötiger Weise hab ich auf alle If (auch auf BR0 und Lo) "All in Allow" Regeln gelegt da ich derzeit nichts filtern sondern nur metern möchte. Die Regelverarbeitung auf LAN und WAN sollte aber eh wegen der System Tunables umgangen werden. Unbound ist an die Bridge gebunden und läuft prima.
Jetzt zu meinen Fragen:
Da dies alles so prima läuft würde ich gerne auch ein transparenten Webproxy nutzen.
Also habe ich mir den Webproxy zunächst auf BR0 eingerichtet und im Browser eingestellt. Nach etwas Fummelei und der Erkenntnis das der SSL Port 3129 nicht funktioniert (egal was man da einstellt, sockstat melden keinen 2. LISTEN Port obwohl squid das kann), man aber HTTP und HTTPS beides über 3128 laufen lassen kann, habe ich den so zum laufen bekommen. Nun folgte die Umstellung auf Transparent - also Häkchen rein für Transparent, an die Lo statt an die BR0 gebunden und dann fehlt eigentlich nur die NAT Regel welche den http Trafic aus dem Datenstrom der Bridge fängt und auf lo umleitet.
Die automatische Regel welche einem da im Hilfetext angeboten wird lauscht dann auf dem LAN und fängt http ab um es nach lo umzuleiten. Nur leider funktioniert das so nicht. Auch nicht wenn man statt auf LAN auf BR0 lauscht. In der genannten Anleitung wird beschrieben das man outbound Nat ausschalten soll aber die Regel nutzt ja letztlich outbound Nat für die Umleitung auch wenn sie unter Portforwarding landet. Da Regeln auf den an der Bridge beteiligten Adaptern aber eh nicht ausgeführt werden kann es sich nur um die BR0 drehen. Da scheint aber nur das Regelwerk in den Floating Rules zu greifen.... wo man allerdings keine NAT Regel rein bekommt...
Wer hat also eine Idee wie ich die Regel einstellen muss so das der transparent Webproxy funktioniert?
ich habe ein opnsense als Bridge mit 2 Interfaces nach Anleitung https://docs.opnsense.org/manual/how-tos/lan_bridge.html frisch aufgesetzt. Bridges arbeiten ja wie Switches auf ISO-OSI 2 bzw. entsprechen einander.
Zusätzlich hat der entstandene Bridge Adapter BR0 aber eine IP Adresse aus dem Lan Netz bekommen und so entspricht das eher einer Managed Bridge/Switch. Dies mache ich weil da auch Dienste drauf laufen sollen welche an eine IP gebunden werden müssen. Funktionierendes Beispiel bei mir ist z.b. unbound. Soweit funktioniert auch alles bestens. Der Aufbau ist wie folgt:
|fritzbox|-----|opnsense|------|pc|, alles im 192.168.178.0/24er Netz, die opnsens hat statisch die 192.168.178.254, die pcs beziehen dynamische ips.
Ich kann so von beiden Seiten der opnsense an die BR0 (über LAN und WAN If) um den Firewall Rechner zu administrieren da ich per Wlan der Fritz über das WAN If komme und von dem PC aus über das LAN If.
LAN und WAN haben keine IP Adressen und durch die System Tunables wird die Bearbeitung von Regeln von den Member IF auf das Bridge IF umgelegt. Zusätzlich aber unnötiger Weise hab ich auf alle If (auch auf BR0 und Lo) "All in Allow" Regeln gelegt da ich derzeit nichts filtern sondern nur metern möchte. Die Regelverarbeitung auf LAN und WAN sollte aber eh wegen der System Tunables umgangen werden. Unbound ist an die Bridge gebunden und läuft prima.
Jetzt zu meinen Fragen:
Da dies alles so prima läuft würde ich gerne auch ein transparenten Webproxy nutzen.
Also habe ich mir den Webproxy zunächst auf BR0 eingerichtet und im Browser eingestellt. Nach etwas Fummelei und der Erkenntnis das der SSL Port 3129 nicht funktioniert (egal was man da einstellt, sockstat melden keinen 2. LISTEN Port obwohl squid das kann), man aber HTTP und HTTPS beides über 3128 laufen lassen kann, habe ich den so zum laufen bekommen. Nun folgte die Umstellung auf Transparent - also Häkchen rein für Transparent, an die Lo statt an die BR0 gebunden und dann fehlt eigentlich nur die NAT Regel welche den http Trafic aus dem Datenstrom der Bridge fängt und auf lo umleitet.
Die automatische Regel welche einem da im Hilfetext angeboten wird lauscht dann auf dem LAN und fängt http ab um es nach lo umzuleiten. Nur leider funktioniert das so nicht. Auch nicht wenn man statt auf LAN auf BR0 lauscht. In der genannten Anleitung wird beschrieben das man outbound Nat ausschalten soll aber die Regel nutzt ja letztlich outbound Nat für die Umleitung auch wenn sie unter Portforwarding landet. Da Regeln auf den an der Bridge beteiligten Adaptern aber eh nicht ausgeführt werden kann es sich nur um die BR0 drehen. Da scheint aber nur das Regelwerk in den Floating Rules zu greifen.... wo man allerdings keine NAT Regel rein bekommt...
Wer hat also eine Idee wie ich die Regel einstellen muss so das der transparent Webproxy funktioniert?
