OPenSense Einrichtung und Netzwerkhilfe

[mHomm]

Hallo zusammen
Mein Netzwerk ist gewachsen über die letzten Jahre, ohne das gross geplant zu haben. Ich nutze eine Fritz!Box , ein Unraid server , Proxmox server (opensense) , smarthome und paar Sachen mehr. Ich möchte gerne Opensense haben mit "basic" Absicherung zum arbeiten und Servern. VPN Verbindung wenn ich nicht zuhause bin wäre super. 
Ich suche jemand der mit helfen kann da ich alleine viel zu lange brauche.  Mit fehlt das opensense wissen und Erfahrung deshalb die suche. Vielleicht kennt jemand euch ein "PRO" oder Firmen die das machen können.
Ich danke für die Hilfe

[Mks]

Hallo,

wenn du Proxmox und Unraid im Einsatz hast sollte sich mit etwas einlesen in OpnSense auch das von dir selbst betreiben lassen.
Für die Basics die du beschreibst gibt es viele Tutorials usw. einfach etwas suchen.
Dann kannst du es in Zukunft auch selbst adaptieren und bist nicht auf andere angewiesen.

lg

[lfirewall1243]

Hallo zusammen
Mein Netzwerk ist gewachsen über die letzten Jahre, ohne das gross geplant zu haben. Ich nutze eine Fritz!Box , ein Unraid server , Proxmox server (opensense) , smarthome und paar Sachen mehr. Ich möchte gerne Opensense haben mit "basic" Absicherung zum arbeiten und Servern. VPN Verbindung wenn ich nicht zuhause bin wäre super. 
Ich suche jemand der mit helfen kann da ich alleine viel zu lange brauche.  Mit fehlt das opensense wissen und Erfahrung deshalb die suche. Vielleicht kennt jemand euch ein "PRO" oder Firmen die das machen können.
Ich danke für die Hilfe

Hi,

also bezahlte Hilfe biete ich bzw. mein Arbeitgeber wohl an (einfach ne PN).
Dennoch sollten sich die Basic Sachen hier im Forum auch kostenfrei und einfach für dich umsetzen lassen.
Ist halt die Frage ob du dir die Zeit nehmen willst. Gerade wenn sich dein Netzwerk schnell erweitert ist ein eigener Überblick nicht schlecht, außer du willst die komplette Wartung aus der Hand geben oder bei Problemen wieder jemanden engagieren müssen -  wie Mks auch schon schrieb.

[ronald]

Hallo,

in einer ähnlichen Situation war ich von einigen Monaten auch.
Gut, ich bilde mir ein etwas Ahnung von Networking zu haben und habe demnach beschlossen es erstmal selbst zu versuchen.
(Das mit der "Ahnung" wird immer mal wieder "disproved", aber ich mache Fortschritte).

Der Schlüssel zum Glück ist eine Planung im Vorfeld.
Was möchtest Du schützen, was soll weiterhin möglich sein?

In meinem Fall war das komplex. Zum einen wollte ich das Büronetzwerk vom WLAN trennen (WLAN ist so sicher wie ein vergammelter Holztür). Zum anderen wollte ich einen VPN Zugang ermöglichen. Und aus ästetischen Gründen war ein Ethernetkabel mitten durchs Wohnzimmer nicht akzeptabel. Mein Internetprovider ist eher ein Vielleicht-Internet-Provider.

Letztendlich bin ich nach der Planung mit einem Setup mit 3 Firewalls und ein Router rausgekommen.
(2 Firewalls hinter den (nun) zwei Internetzugängen (davon einer mit feste IP wg. VPN). Eine Firewall vor dem Büronetzwerk.
Der Router verbindet verkabeltes Netzwerk mit dem WLAN, was privat genutzt wird).

Dann habe ich mir ein Buch über OPNSense gekauft (und gelesen), um den ersten Zugang zum System zu bekommen.
Auch wenn das Buch letztendlich nicht genial ist, bietet es dennoch eine gute Einführung und sorgt dafür, dass nachher die Online Doku sowie auch viele Posts hier einen Sinn ergeben. (Der OPNsense Praktiker).

Beim Aufsetzen habe ich dann erstmal die Firewall ausgeschaltet und habe mich ums prinzipielle Routing sowie das Aufsetzen von VPN gekümmert (schlimmer konnte die Unsicherheit des Netzwerks nicht werden, also in der Entstehungsphase akzeptabel).
Anschliessend habe ich dann die Firewalls (eine nach der andere) scharf geschaltet und dafür gesorgt, dass alles so funktioniert wie ich möchte.

Der letzte Schritt ist dann ein never ending story: Schauen, was durch kommt und eventuell blockieren.
Ich habe feststellen müssen, dass es einige Quasselstrippen in meinem Netzwerk gibt. Die reden jetzt gegen die Wand :-)

Ich hoffe, dass dies Dich motiviert. Aber auch wenn Du jemanden engagierst, wirst Du ihm erzählen müssen, was Du eigentlich erreichen möchtest. Demnach ist zumindest der Schritt absolut notwendig.

Ronald

[chemlud]

Beim Aufsetzen habe ich dann erstmal die Firewall ausgeschaltet und habe mich ums prinzipielle Routing sowie das Aufsetzen von VPN gekümmert (schlimmer konnte die Unsicherheit des Netzwerks nicht werden, also in der Entstehungsphase akzeptabel).
Anschliessend habe ich dann die Firewalls (eine nach der andere) scharf geschaltet und dafür gesorgt, dass alles so funktioniert wie ich möchte.

Ich würde es andersherum machen, zuerst nur das aller notwendigste durchlassen und dann nach und nach die Sonderwünsche freischalten. Nur so hat man die Kontrolle, was wo rein/raus darf und was nicht. Das ist eigentlich der wichtigste Teil des Projekts, das genau für jedes Netz zu planen und mit Aliases und FW-Regeln ordentlich umzusetzen.

[ronald]

An Sich einverstanden, aber da ich ein einzelnes Netzwerk in vier kleineren Netzwerke zerlegt habe, wollte ich mich zuerst um das Routing kümmern.

Beim Aufsetzen der Firewalls ist dann Dein Ansatz natürlich genau richtig. Erstmal nichts durchlassen, und dann eine Service nach der anderen freigeben.

Wenn man aber die Reihenfolge umdreht, und irgendwas funktioniert nicht (was garantiert der Fall ist), ist es erstmal unklar wo der Fehler liegt.

Da mein Netzwerk ursprünglich nur dur NAT "geschützt" war, konnte es nicht schlimmer werden. Sich zuerst ums Routing zu kümmern, mach es nicht schlimmer. Und dabei darf man nicht vergessen, dass ich auf dem Gebiet (wie der OP) kein Profi bin. Die konfigurieren das Routing (in meinem Netzwerk) vermutlich auch noch problemlos nach 8 Maß Bier; ich habe aber auch nach 8 Espresso meine Schwierigkeiten.