Beginnerprobleme mit 21.1

[chrismaster]

Hallo ich teste gerade OPNSENSE aus und bin ziemlich am Anfang.
Nun hab ich mir folgende Anschlüsse für die OPNSENSE gedacht.

Code: [Select]

WAN1 mit statischer IP    WAN2 Fritzbox mit dynamic IP      LAN1                     LAN2
Public/30 Subnet          192.168.111.1/24 Subnet           192.168.122.1/24       192.168.133.1/24
        :                        :                                 :                     :
       extern               extern/intern                        Office                 DMZ
        :                        :                                 :                     :
    .---+------------------------+---------------------------------+---------------------+---.
    |                                       OPNSENSE 21.1                                     |
    '-----------------------------------------------------------------------------------------'
 

WAN1 ist ein Glasfaseranschluß mit statischer öffentlicher IP von einem Single User Modem.
WAN2 ist eine Fritzbox mit eigenem Glasfaseranschluß und dynamischer IP auf dem auch ein kleineres Netzwerk hängt. Das kann ich nicht verändern.
LAN1 ist ein Firmennetzwerk.
LAN2 soll eine DMZ werden.

Was will ich erreichen:
A)
LAN1/Office soll standardmäßig über WAN1 ins Netz kommen. 80/443 soll über Squid nach WAN2 gehen.
B)
Von WAN1 einige Ports nach DMZ weitergeleitet
C)
OPENVPN von WAN1 ins LAN1
D)
OPENVPN von WAN2 ins LAN1 (Problem mit dynamischer IP ist klar und Fritzbox müssen die Ports geforwarded werden.

Momentan hab ich alles installiert und die IPs vergeben.
Mittels Ping aus opnsense hab ich getestet ob WAN1 und WAN2 funktionieren, das tun sie.
Squid hab ich auf LAN1 lauschen lassen und wenn ich jedoch am PC den Proxy vorgebe, dann kommt keine Verbindung zustande. Auch komme ich dann nicht einmal auf die Weboberfläche von opnsense.

Ich installiere nun opnsense nochmals und versuche es nochmals.
Nun stellt sich eben auch die Frage, ob ich da kompletten Humbug mache, oder meine Überlegungen schon Sinn machen?
Auch frage ich mich, was ist WAN2? Das ist eigentlich LAN und WAN. Gibt es da Probleme?
Danke
Chris

[lfirewall1243]

Erstmal eine Frage:
Brauchst du Squid?

Das meiste kannst du am Ende über einzelne Gateways und die hinterlegung der Gateways in den FW Regeln umsetzen

[chrismaster]

Die Überlegung hinter Squid ist, dass die PCs in LAN1 keinen direkten Internetzugang bekommen.
Bisher habe ich Squid auf einem Server in LAN1/Office. So konnte ich einfach 80/433 zwischen WAN1 und WAN2 hinausleiten, je nach Bedarf. Der Sicherheitsgewinn mit Squid wird wohl nicht groß sein, aber das war auch eine Überlegung.

[lfirewall1243]

Die Überlegung hinter Squid ist, dass die PCs in LAN1 keinen direkten Internetzugang bekommen.
Bisher habe ich Squid auf einem Server in LAN1/Office. So konnte ich einfach 80/433 zwischen WAN1 und WAN2 hinausleiten, je nach Bedarf. Der Sicherheitsgewinn mit Squid wird wohl nicht groß sein, aber das war auch eine Überlegung.

Kein direkten Internetzugang heißt?

Wenn es nur ums blocken geht etc. brauchst du eigentlich kein Squid. Lässt sich für den Anfang einfacher über Regeln realisieren

[chrismaster]

Mit kein direkter Internetzugang meine ich, dass man nur über Squid ins Internet kommt. Aktuell mit dem Squid im Lan1 sind auch manche Webmailer gesperrt. Ursprünglich wollte ich auch Teamviewer damit blockieren, da bin ich aber komplett gescheitert. Aber das ist eine andere Geschichte.
Ist Squid auf der opnSense Firewall grundsätzlich ein schwieriges Thema? Weil dann belasse ich den in Zukunft einfach auf einem eigenem PC im LAN1. Das hat sehr gut funktioniert.

[lfirewall1243]

Es ist halt die Frage wie du Blocken möchtest.

Sobald der Squid nämlich in deine HTTPs Pakete schauen soll wird es komplexer, du muss für alle Clients ein Zertifikat als Vertrauenswürdig hinterlegen sowie bei Firefox noch eine Umstellung machen - und am Ende haben alle Möglichen Anwendungen Probleme, da diese eine ManInTheMiddle Attacke erkennen.

Also du möchtest, dass Clients aus LAN1 über WAN2 Surfen.
Aber du recht einfach bestimmte Domains bzw. IP-Adressen für diese Clients blocken kannst. Lässt sich ohne Proxy bewerkstelligen, außer das du im Proxy auch Wildcard Domains hinterlegen kannt z.B. "*.youtube.de". Bei den Aliasen müsstest du alle Subdomains händisch hinterlegen.


Eine weitere Alternative wäre noch UnboundDNS zu nutzen dort kannst du dann Blacklisten hinterlegen, welche z.B. auch für das blockieren von Werbung dienen.


So oder so wahrscheinlich alles einfacher als per Proxy.

Für das Routing legst du einfach eine LAN Regel mit dem Ziel 80 und eine mit 443 an, dort setzt du unten das Gateway von Standard auf WAN2. Damit sollte der Traffic dann über WAN2 rausgehen, alles andere weiterhin über das Standardgateway der Firewall

[JeGr]

IP und DNS Denylisten > Squid mit Injection. Solang man nur erlaubt/blockt an Hand von Domains sollte das auch ohne Aufbrechen via TLS Termination gehen (war mir so), wenn tiefer gefiltert oder reingesehen werden soll eher doof. Aufbrechen von TLS sollte man vermeiden/unterlassen IMHO.

Andere Alternative statt Unbound DNS Blocking wäre das neue AdGuard Home aus dem Community Repo von Michael. Also quasi eine Art PiHole. Damit sollte dann auch Blocking von wildcards gehen.

[chrismaster]

Aufbrechen von TLS Termination muss nicht sein.
Den Proxy hab ich nun auch soweit, dass ich über die Priorität der GW steuern kann über welche WAN es gehen soll.
Kann ich nun gezielt steuern, dass der Proxy über GW1 oder GW2 geht. Weil über die Gateways steuer ich ja die gesamte opnsense FW?
Danke
Chris

[lfirewall1243]

Das hättest du besser mit Policy Based Routing (Firewall Regeln) sowie Traffic Shaping Lösen können.

Dort kannst du dann für bestimmte Regeln die Gateway Gruppe hinterlegen.

Ob man das im Proxy so hinterlegen kann -  keine Ahnung