OPNsense hinter bintec elmeg be.IP plus an NetCom BW

Started by mbr89, November 08, 2021, 03:32:51 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
November 08, 2021, 03:32:51 PM Last Edit: November 09, 2021, 04:23:44 PM by mbr89
Hallo zusammen,

es ist jetzt wohl an der Zeit von ZeroShell auf OPNsense umzusteigen.

Habe mir also ein APU4D4, Gehäuse von meconet und Kingston KC600 (256 GB, mSATA) besorgt.



Alles zusammen gebaut - sieht mal soweit nicht schlecht aus ...

Die Kingston 240GB SATA ist "for future use" ...

Auf der Kingston KC600 (256 GB, mSATA) ist OPNsense bereits installiert:

OPNsense 21.7.4-amd64
FreeBSD 12.1-RELEASE-p20-HBSD
OpenSSL 1.1.1l 24 Aug 2021

Nun benötige ich Hilfe beim Konfigurieren.

Netz-Plan -> https://lucid.app/documents/view/396db35c-943b-4296-9188-3c1fcb6e7863

OPNsense Schnittstellen:

LAN              (lan, igb0_vlan90)     10.90.0.254/24
Management (opt2, igb0_vlan50)   10.50.0.254/24
WAN            (wan, igb3)                10.10.10.2/30   ist mit Port 5 an der be.IP plus verbunden
   |- Blockiere private Netze aus
   |- Blockiere Bogon-Netze aus.
   |- IPv4 gateway be_IP_plus   10.10.10.1

be.IP Schnittstellen:

en1-4                         10.10.10.1/255.255.255.252  Port 5 ist mit OPNsense Port igb3 verbunden
en1-3-4(VLAN-ID100)   10.100.0.254/255.255.255.0   Voice VLAN
br0                             94.124.214.0/255.255.255.0   geBridged mit efm35-60 (VDSL)

NetCom BW:
keine PPPOE Einwahl
keine VLANs

OPNsense -> Firewall: NAT: Portweiterleitung
Anti-Aussperrregel

OPNsense -> Firewall: NAT: Ausgehend
Deaktiviere Erstellung ausgehender NAT Regeln (ausgehendes NAT ist deaktiviert)

be.IP plus -> Netzwerk -> Routen:
10.50.0.0   255.255.255.0   10.10.10.2   LAN_EN1-4   Metrik 0   Netzwerkroute via Gateway 10.10.10.2
10.90.0.0   255.255.255.0   10.10.10.2   LAN_EN1-4   Metrik 0   Netzwerkroute via Gateway 10.10.10.2
November 08, 2021, 03:47:16 PM #1 Last Edit: November 09, 2021, 12:09:52 PM by mbr89
Wie muss ich die Firewall-WAN-Reglen in OPNsense anlegen ?



Von der be.IP plus aus kann man OPNsense aus anpingen.
Allerdings kann man von OPNsense aus nicht die be.IP plus anpingen.



November 09, 2021, 04:22:09 PM #2
Kann es sein, dass Unbound DNS ein bisschen viel an den wenigen Ressourcen von dem APU nuckelt?
November 09, 2021, 08:32:31 PM #3 Last Edit: November 09, 2021, 08:35:09 PM by micneu
mal auf hochdeutsch, die apus sind zwar sparsam aber scheiße. ich mag die teile nicht.
auf meinen systemen (angefangen bei einem core i3 7100U bis core i7 7500U beide mit 16GB Ram) hatte ich nie probleme. mit meinem aktuellen system core i5 11. Gen. 32GB Ram löuft super
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
November 12, 2021, 09:54:09 PM #4 Last Edit: November 12, 2021, 09:58:22 PM by mbr89
Ja, das sehen hier wohl einige so ...

Hatte mit Herrn Federle (NRG Systems GmbH) über mein Vorhaben telefoniert,
schon ein bisschen madig, dass er mir den Zahn nicht gleich gezogen hat...

Habe jetzt Unbound DNS deaktiviert und Dnsmasq aktiviert ... so geht es jetzt erst mal
November 13, 2021, 11:21:34 PM #5 Last Edit: November 13, 2021, 11:32:57 PM by mbr89
Ne, also mit der Firewall komm ich nicht klar ...

https://docs.opnsense.org/manual/firewall.html#overview

... was sind denn jetzt Floating rules ?

https://docs.netgate.com/pfsense/en/latest/firewall/floating-rules.html

Trifft das auch für OPNsense zu ?

Wie regle ich den Verkehr zischen den VLANs ?
Gibt es sowas wie Forward-Rules bei ZeroShell?

November 14, 2021, 11:02:24 AM #6
Quote from: mbr89 on November 13, 2021, 11:21:34 PM
Ne, also mit der Firewall komm ich nicht klar ...
... was sind denn jetzt Floating rules ?

Regeln die nicht fest einem Interface zugeordnet sind. Möchtest Du z.B. auf allen Interfaces "ping" erlauben, wäre eine Floating Rule dafür einfacher einzurichten als eine für jedes Interface.

Quote from: mbr89 on November 13, 2021, 11:21:34 PM
Wie regle ich den Verkehr zischen den VLANs ?
Gibt es sowas wie Forward-Rules bei ZeroShell?
Was ist ZeroShell? Was meinst Du mit "Verkehr regeln"? Wenn z.B. VLAN A auf VLAN B Port 80 zugreifen soll, legst Du bei VLAN A eine Regel an:

Action: pass
Direction: in
Protocol: TCP
Source: VLAN A net
Source Port: any
Destination: VLAN B net
Destination Port: HTTP

Fertig. Du brauchst praktisch immer nur "in" Regeln, an dem Interface, vom dem aus die Verbindung aufgebaut wird. Alles andere (Pakete zurück etc.) macht die State Enginge der Firewall automatisch.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 14, 2021, 01:13:36 PM #7 Last Edit: November 14, 2021, 01:29:37 PM by mbr89
-> https://zeroshell.org/ ... von da versuche ich gerade zu OPNsense zumigrieren
November 14, 2021, 01:21:07 PM #8 Last Edit: November 14, 2021, 01:30:03 PM by mbr89
Quote
Regeln die nicht fest einem Interface zugeordnet sind. Möchtest Du z.B. auf allen Interfaces "ping" erlauben, wäre eine Floating Rule dafür einfacher einzurichten als eine für jedes Interface.

Ah ok, jetzt hab ich es begriffen

Quote
Was meinst Du mit "Verkehr regeln"? Wenn z.B. VLAN A auf VLAN B Port 80 zugreifen soll, legst Du bei VLAN A eine Regel an:

Action: pass
Direction: in
Protocol: TCP
Source: VLAN A net
Source Port: any
Destination: VLAN B net
Destination Port: HTTP

Fertig. Du brauchst praktisch immer nur "in" Regeln, an dem Interface, vom dem aus die Verbindung aufgebaut wird. Alles andere (Pakete zurück etc.) macht die State Enginge der Firewall automatisch.

Mal sehen, ob ich das auch richtig verstanden habe ... um bei deinem Beispiel zu bleiben ... wenn ich jetzt von VLAN B nach VLAN A auf Port 80 zugreifen möchte lege ich die Regel bei VLAN B an ?
November 14, 2021, 02:04:51 PM #9
Quote from: mbr89 on November 14, 2021, 01:21:07 PM
Mal sehen, ob ich das auch richtig verstanden habe ... um bei deinem Beispiel zu bleiben ... wenn ich jetzt von VLAN B nach VLAN A auf Port 80 zugreifen möchte lege ich die Regel bei VLAN B an ?
Natürlich ;)

Per default ist auf allen Interfaces "in" alles geblockt. OK, im Auslieferzustand existiert eine "allow all" Regel auf LAN, damit man mal loslegen kann. Also es ist alles geblockt, für das es nicht ausdrücklich eine Regel gibt.

Um nun neue Dinge zu erlauben, legst Du immer auf dem Interface wo die Verbindung her kommt, eine "allow" Regel in Richtung "in" an. Der Rest passiert wie gesagt automatisch.

So funktioniert aber eingentlich jede Firewall ;)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 15, 2021, 11:58:02 AM #10
Quote from: pmhausen on November 14, 2021, 02:04:51 PM
Natürlich ;)

Per default ist auf allen Interfaces "in" alles geblockt. OK, im Auslieferzustand existiert eine "allow all" Regel auf LAN, damit man mal loslegen kann. Also es ist alles geblockt, für das es nicht ausdrücklich eine Regel gibt.

Um nun neue Dinge zu erlauben, legst Du immer auf dem Interface wo die Verbindung her kommt, eine "allow" Regel in Richtung "in" an. Der Rest passiert wie gesagt automatisch.

So funktioniert aber eingentlich jede Firewall ;)

Es wurde zwar hier im Forum schon gesagt aber ich wiederhole es gerne ... Man kommt sich beim Umstieg auf OPNsense beim Konfiguration der Firewall, wenn man es dann verstanden hat, wie ein Idiot vor  ;D
November 15, 2021, 12:46:38 PM #11
Gibt es eigentlich einen Weg auf OPNsense einen Reverse-Proxy laufen zualssen ohne den Web-Gui Port zu ändern?

Das Web-Gui läuft ja nur auf den Schnittstellen LAN und MANAGEMENT.
November 15, 2021, 01:29:33 PM #12
ja, habe den haprxy auf einem anderen interface laufen
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
November 15, 2021, 02:04:24 PM #13
Wo kann man das im HAProxy plugin einstellen ?
November 15, 2021, 04:23:48 PM #14
mit ein wenig googlen hättestr du es auch gefunden
https://docs.opnsense.org/manual/how-tos/haproxy.html
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
Print
Go Up Pages1 2
User actions