OPNsense hinter bintec elmeg be.IP plus an NetCom BW

[mbr89]

Hallo zusammen,

es ist jetzt wohl an der Zeit von ZeroShell auf OPNsense umzusteigen.

Habe mir also ein APU4D4, Gehäuse von meconet und Kingston KC600 (256 GB, mSATA) besorgt.



Alles zusammen gebaut - sieht mal soweit nicht schlecht aus ...

Die Kingston 240GB SATA ist "for future use" ...

Auf der Kingston KC600 (256 GB, mSATA) ist OPNsense bereits installiert:

OPNsense 21.7.4-amd64
FreeBSD 12.1-RELEASE-p20-HBSD
OpenSSL 1.1.1l 24 Aug 2021

Nun benötige ich Hilfe beim Konfigurieren.

Netz-Plan -> https://lucid.app/documents/view/396db35c-943b-4296-9188-3c1fcb6e7863

OPNsense Schnittstellen:

LAN              (lan, igb0_vlan90)     10.90.0.254/24
Management (opt2, igb0_vlan50)   10.50.0.254/24
WAN            (wan, igb3)                10.10.10.2/30   ist mit Port 5 an der be.IP plus verbunden
   |- Blockiere private Netze aus
   |- Blockiere Bogon-Netze aus.
   |- IPv4 gateway be_IP_plus   10.10.10.1

be.IP Schnittstellen:

en1-4                         10.10.10.1/255.255.255.252  Port 5 ist mit OPNsense Port igb3 verbunden
en1-3-4(VLAN-ID100)   10.100.0.254/255.255.255.0   Voice VLAN
br0                             94.124.214.0/255.255.255.0   geBridged mit efm35-60 (VDSL)

NetCom BW:
keine PPPOE Einwahl
keine VLANs

OPNsense -> Firewall: NAT: Portweiterleitung
Anti-Aussperrregel

OPNsense -> Firewall: NAT: Ausgehend
Deaktiviere Erstellung ausgehender NAT Regeln (ausgehendes NAT ist deaktiviert)

be.IP plus -> Netzwerk -> Routen:
10.50.0.0   255.255.255.0   10.10.10.2   LAN_EN1-4   Metrik 0   Netzwerkroute via Gateway 10.10.10.2
10.90.0.0   255.255.255.0   10.10.10.2   LAN_EN1-4   Metrik 0   Netzwerkroute via Gateway 10.10.10.2

[mbr89]

Wie muss ich die Firewall-WAN-Reglen in OPNsense anlegen ?



Von der be.IP plus aus kann man OPNsense aus anpingen.
Allerdings kann man von OPNsense aus nicht die be.IP plus anpingen.

[mbr89]

Kann es sein, dass Unbound DNS ein bisschen viel an den wenigen Ressourcen von dem APU nuckelt?

[micneu]

mal auf hochdeutsch, die apus sind zwar sparsam aber scheiße. ich mag die teile nicht.
auf meinen systemen (angefangen bei einem core i3 7100U bis core i7 7500U beide mit 16GB Ram) hatte ich nie probleme. mit meinem aktuellen system core i5 11. Gen. 32GB Ram löuft super

[mbr89]

Ja, das sehen hier wohl einige so ...

Hatte mit Herrn Federle (NRG Systems GmbH) über mein Vorhaben telefoniert,
schon ein bisschen madig, dass er mir den Zahn nicht gleich gezogen hat...

Habe jetzt Unbound DNS deaktiviert und Dnsmasq aktiviert ... so geht es jetzt erst mal

[mbr89]

Ne, also mit der Firewall komm ich nicht klar ...

https://docs.opnsense.org/manual/firewall.html#overview

... was sind denn jetzt Floating rules ?

https://docs.netgate.com/pfsense/en/latest/firewall/floating-rules.html

Trifft das auch für OPNsense zu ?

Wie regle ich den Verkehr zischen den VLANs ?
Gibt es sowas wie Forward-Rules bei ZeroShell?

[Patrick M. Hausen]

Ne, also mit der Firewall komm ich nicht klar ...
... was sind denn jetzt Floating rules ?

Regeln die nicht fest einem Interface zugeordnet sind. Möchtest Du z.B. auf allen Interfaces "ping" erlauben, wäre eine Floating Rule dafür einfacher einzurichten als eine für jedes Interface.

Wie regle ich den Verkehr zischen den VLANs ?
Gibt es sowas wie Forward-Rules bei ZeroShell?

Was ist ZeroShell? Was meinst Du mit "Verkehr regeln"? Wenn z.B. VLAN A auf VLAN B Port 80 zugreifen soll, legst Du bei VLAN A eine Regel an:

Action: pass
Direction: in
Protocol: TCP
Source: VLAN A net
Source Port: any
Destination: VLAN B net
Destination Port: HTTP

Fertig. Du brauchst praktisch immer nur "in" Regeln, an dem Interface, vom dem aus die Verbindung aufgebaut wird. Alles andere (Pakete zurück etc.) macht die State Enginge der Firewall automatisch.

[mbr89]

-> https://zeroshell.org/ ... von da versuche ich gerade zu OPNsense zumigrieren

[mbr89]

Regeln die nicht fest einem Interface zugeordnet sind. Möchtest Du z.B. auf allen Interfaces "ping" erlauben, wäre eine Floating Rule dafür einfacher einzurichten als eine für jedes Interface.

Ah ok, jetzt hab ich es begriffen

Was meinst Du mit "Verkehr regeln"? Wenn z.B. VLAN A auf VLAN B Port 80 zugreifen soll, legst Du bei VLAN A eine Regel an:

Action: pass
Direction: in
Protocol: TCP
Source: VLAN A net
Source Port: any
Destination: VLAN B net
Destination Port: HTTP

Fertig. Du brauchst praktisch immer nur "in" Regeln, an dem Interface, vom dem aus die Verbindung aufgebaut wird. Alles andere (Pakete zurück etc.) macht die State Enginge der Firewall automatisch.

Mal sehen, ob ich das auch richtig verstanden habe ... um bei deinem Beispiel zu bleiben ... wenn ich jetzt von VLAN B nach VLAN A auf Port 80 zugreifen möchte lege ich die Regel bei VLAN B an ?

[Patrick M. Hausen]

Mal sehen, ob ich das auch richtig verstanden habe ... um bei deinem Beispiel zu bleiben ... wenn ich jetzt von VLAN B nach VLAN A auf Port 80 zugreifen möchte lege ich die Regel bei VLAN B an ?

Natürlich

Per default ist auf allen Interfaces "in" alles geblockt. OK, im Auslieferzustand existiert eine "allow all" Regel auf LAN, damit man mal loslegen kann. Also es ist alles geblockt, für das es nicht ausdrücklich eine Regel gibt.

Um nun neue Dinge zu erlauben, legst Du immer auf dem Interface wo die Verbindung her kommt, eine "allow" Regel in Richtung "in" an. Der Rest passiert wie gesagt automatisch.

So funktioniert aber eingentlich jede Firewall

[mbr89]

Natürlich

Per default ist auf allen Interfaces "in" alles geblockt. OK, im Auslieferzustand existiert eine "allow all" Regel auf LAN, damit man mal loslegen kann. Also es ist alles geblockt, für das es nicht ausdrücklich eine Regel gibt.

Um nun neue Dinge zu erlauben, legst Du immer auf dem Interface wo die Verbindung her kommt, eine "allow" Regel in Richtung "in" an. Der Rest passiert wie gesagt automatisch.

So funktioniert aber eingentlich jede Firewall

Es wurde zwar hier im Forum schon gesagt aber ich wiederhole es gerne ... Man kommt sich beim Umstieg auf OPNsense beim Konfiguration der Firewall, wenn man es dann verstanden hat, wie ein Idiot vor 

[mbr89]

Gibt es eigentlich einen Weg auf OPNsense einen Reverse-Proxy laufen zualssen ohne den Web-Gui Port zu ändern?

 Das Web-Gui läuft ja nur auf den Schnittstellen LAN und MANAGEMENT.

[micneu]

ja, habe den haprxy auf einem anderen interface laufen

[mbr89]

Wo kann man das im HAProxy plugin einstellen ?

[micneu]

mit ein wenig googlen hättestr du es auch gefunden
https://docs.opnsense.org/manual/how-tos/haproxy.html