Geht das mit opnsense? (MultiWAN, Bandbreite, Proxy,..)

[snakeaj]

Hallo!

Ich bin auf der Suche nach einer Lösung für ein Gästenetz (50 Urlaubsgäste) und frage mich ob es mit opnsense möglich ist das zu realisieren.

Ich habe einen DSL Anschluss (16/2MBit) und einen LTE Anschluss (50/30) mit unlimitiertem Datenvolumen.
Den Gästen möchte ich die zur Verfügung gestellte Bandbreite limitieren (z.b. max 3 MBit down, 0,5MBit up).

Eine Anmeldeseite (Captive Portal) wäre wünschenswert sowie ein Proxy um den einen oder anderen Download einzusparen (Cache:Fotos,..) und diverse Inhalte (Blacklists) zu sperren.

Gerne würde ich auch protokollieren welcher Client welche Seiten besucht hat bzw. was er so angestellt hat.
Einen Syslogserver habe ich bereits wo meine Geräte (APs, Switch,..) geloggt werden.

Was meint ihr? geht das mit opnsense problemlos oder seht ihr Probleme?

Vielen Dank für euere Meinung
Alexander

[monstermania]

Hallo!

Ich bin auf der Suche nach einer Lösung für ein Gästenetz (50 Urlaubsgäste) und frage mich ob es mit opnsense möglich ist das zu realisieren.

Ich habe einen DSL Anschluss (16/2MBit) und einen LTE Anschluss (50/30) mit unlimitiertem Datenvolumen.
Den Gästen möchte ich die zur Verfügung gestellte Bandbreite limitieren (z.b. max 3 MBit down, 0,5MBit up).

Mit Multwan und Limitierungen habe ich mich noch nicht beschäftigt. Dazu kann ich daher keine Aussage treffen.

Eine Anmeldeseite (Captive Portal) wäre wünschenswert sowie ein Proxy um den einen oder anderen Download einzusparen (Cache:Fotos,..) und diverse Inhalte (Blacklists) zu sperren.

Captive Portal ist Standard.
Musst halt eine elegante Lösung für das Erstellen der Vouchers finden. Hängt natürlich auch immer davon ab, welchen Aufwand Du da betreiben willst (z.B. Laufzeit der Vouchers).

Zum Proxy ist zu sagen, dass mit Bordmitteln nur eine Proxykonfiguration möglich ist, die dann für alle User greift (z.B. Sperrlisten). Einzelne Gruppen für den Proxy (z.B. Mitarbeiter, Gäste) mit unterschiedlichen Sperrlisten gehen nicht (zumindest nicht per GUI).
Virenprüfung mit dem Proxy ist möglich (ICAP). Es wird allerdings ein ICAP-Serverdienst benötigt, der idealerweise nicht auf der OPNSense laufen sollte.

Gerne würde ich auch protokollieren welcher Client welche Seiten besucht hat bzw. was er so angestellt hat.
Einen Syslogserver habe ich bereits wo meine Geräte (APs, Switch,..) geloggt werden.

Sollte problemlos gehen (Standard)

Was meint ihr? geht das mit opnsense problemlos oder seht ihr Probleme?

Wie immer. 
Kommt darauf an, ob Dir die Funktionalität von OPNSense ausreicht. Wenn Du damit klarkommst, dass der Proxy sich nicht individuell für unterschiedliche Benutzergruppen konfigurieren lässt + die Einschränkungen des Proxy beim AV-Schutz ist OPNSense auf jedem Fall eine gute Wahl!

[fabian]

Wenn Du damit klarkommst, dass der Proxy sich nicht individuell für unterschiedliche Benutzergruppen konfigurieren lässt + die Einschränkungen des Proxy beim AV-Schutz ist OPNSense auf jedem Fall eine gute Wahl!

Wo hat OPNsense bezüglich ICAP irgendwelche Einschränkungen (mit Ausnahme davon, dass man beide Typen unterstützen muss)?

[monstermania]

Sorry, das mit der Einschränkung bez. ICAP bezog sich darauf, dass man halt noch einen zusätzlichen Serverdienst bzw. möglichst einen extra Server benötigt der die AV-Prüfung macht.
Andere Lösungen bieten z.B. eine Integration direkt auf der Firewall in der GUI (z.B. ipfire, pfsense)

[fabian]

Sorry, das mit der Einschränkung bez. ICAP bezog sich darauf, dass man halt noch einen zusätzlichen Serverdienst bzw. möglichst einen extra Server benötigt der die AV-Prüfung macht.
Andere Lösungen bieten z.B. eine Integration direkt auf der Firewall in der GUI (z.B. ipfire, pfsense)

Wenn das geht, dann ist da drauf irgendein Scanner - wenn freie Software, vermutlich ClamAV - installiert, und die URL ist hart programmiert. Als ich die ICAP-Konfigurationsoberfläche für den Proxy erstellt habe, war es mir wichtig, dass ich da schnell meine eigenen Skripte einbinden kann. Dabei ist es egal, ob ein AV-Scanner oder ein Skript zur Inhaltsanpassung als ICAP-Server verwendet wird. Da es so offen ist, kann man auch problemlos einen kostenpflichtigen Scanner verwenden, da diese oftmals ICAP unterstützen.

[monstermania]

Wenn das geht, dann ist da drauf irgendein Scanner - wenn freie Software, vermutlich ClamAV - installiert...
...Da es so offen ist, kann man auch problemlos einen kostenpflichtigen Scanner verwenden, da diese oftmals ICAP unterstützen.

Hallo Fabian,
was ClamAV angeht halte ich die Erkennungsleistung aus eigener Erfahrung auch für zweifelhaft. Ich würde mich auf jedem Fall nicht allein auf ClamAV verlassen wollen. Trotzdem ist das halt bei anderen Firewall- bzw. UTM-Projekten im Standard enthalten bzw. lässt sich als Paket nachinstallieren.
Bei OPNSense gibt es das halt nicht (Out-of-the-Box). Punkt!!!

Und nein, ich brauche und will kein ClamAV Plugin für die OPNSense!

[snakeaj]

Hallo!

Danke für eure Infos und Einschätzungen.
Der Virenschutz ist nett, aber kein must-have, da die meisten Gäste sowieso Tablet oder Smartphone verwenden.

Ein KO-Kriterium ist die Bandbreitenbeschränkung mit MultiWAN.

Das sind die einzigen beiden Funktionen die ich gerade mit meinem TP-Link Router problemlos seit Jahren am Laufen habe und durch die opnsense ersetzen möchte.

Beim Captive Portal würde ich keine Vouchers verwenden wollen sondern nur ein paar AGBs anzeigen und mir das abhacken lassen wollen. So zur Infor für den Gast.

Multi-WAN + Traffic Shaper? + Squid mit Cache läuft also?

danke & LG
Alexander

[fabian]

Beim Captive Portal würde ich keine Vouchers verwenden wollen sondern nur ein paar AGBs anzeigen und mir das abhacken lassen wollen. So zur Infor für den Gast.

Das geht mit einem eigenen Template definitiv. Du kannst dir dafür das Standardtemplate Herunterladen und entsprechend anpassen.

[snakeaj]

Hallo!

Ich habe jetzt Squid mit einem WAN laut Anleitung konfiguriert.

ABER
- wie kann ich feststellen ob auch wirklich was gecached wird? sehe ich das wo? kann ich das testen?

- wenn ich die Blackliste aus der Anleitung ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz verwende, dann kommt beim Neustart die Meldung, dass squid nicht gestartet werden kann, weil eine .adult Adresse entfernt werden muss. deaktiviere ich die BL, dann startet squid wieder ohne Probleme.

MultiWAN - habe ich auch laut Anleitung konfiguriert und MultiWAN klappt auch (ich habe im CMD mehrere Pings, Tracert und Nslookups) ausgeführt und habe die unterschiedlichen Routen gesehen (WAN1, WAN2)

ABER
- Webseiten konnte ich keine öffnen (wie gesagt nslookup OK, ping OK)
- Schuld war Squid - als ich diesen deaktiviert habe, gings wieder

--> ich vermute, dass ich bei Squid irgendetwas wegen dem Gateway bzw. der GatewayGRUPPE ändern muss?
die NAT Regel? dort sehe ich aber kein Gateway :-/

Jetzt habe ich den Status, dass ich MultiWAN ohne squid verwenden kann oder nur ein WAN und dafür mit squid.

Bandbreitenbeschränkung mache ich dann, wenn die anderen beiden Funktionen laufen.

Danke

[fabian]

- wie kann ich feststellen ob auch wirklich was gecached wird? sehe ich das wo? kann ich das testen?

Ja, Squid fügt dafür einen HTTP-Header ein, der angibt, ob die Anfrage aus dem Cache beantwortet wurde. Das sieht der User nicht, aber mit curl -v URL oder im Netzwerk-Tab der Entwicklertools des Browsers sollte man diese Zeile sehen

- wenn ich die Blackliste aus der Anleitung ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz verwende, dann kommt beim Neustart die Meldung, dass squid nicht gestartet werden kann, weil eine .adult Adresse entfernt werden muss. deaktiviere ich die BL, dann startet squid wieder ohne Probleme.

Bitte hierfür ein Issue auf GitHub aufmachen. Das Problem kann auftreten, wenn eine Subdomain und eine Hauptdomain in einer Liste vorkommen. Diese müssten ausgefiltert werden.

[snakeaj]

Jetzt habe ich den Status, dass ich MultiWAN ohne squid verwenden kann oder nur ein WAN und dafür mit squid.

Und squid mit MultiWAN geht garnicht oder mache ich etwas falsch?

BTW - wie kann ich von der letzten 16er Version auf die 17er aktualisieren?
Geth das über das GUI? Finde zwar die Releasenotes usw aber keinen "Update Button"
In der Wiki steht zwar viel über die Installation, aber über Updates/Upgrades konnte ich nichts finden :-(

Danke

[snakeaj]

soll ich ein neues Topic aufmachen - immerhin ist ein Teil der ersten Fragen ja beantwortet.

[franco]

Auf der Konsole im Menu folgendes durchführen:

Option 8 auswählen. Tippe:

# opnsense-update -t opnsense-devel
# exit

Option 12 auswählen. Tippe:

17.1.rc1

Und schon geht das Update los. Falls nicht ggf. von LibreSSL auf OpenSSL wechseln von der GUI oder den Fehler hier posten.

Nächste Woche Dienstag wird das finale Update freigeschalten, aber ist auch dann nur über die Konsole erreichbar (Option 12).


Grüsse
Franco

[snakeaj]

danke franco.

hab meine Probleme hier neu angelegt in der Hoffnung mehr Support zu erhalten.

https://forum.opnsense.org/index.php?topic=4350.0