OPNsense/Shaper: Unterschied zwischen den Versionen

Aktuelle Version vom 28. Mai 2023, 11:34 Uhr

Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen. Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern.

Firewall / Shaper / Settings / Pipes (Leitungen)

Pipe (für die Angabe der Upload-Geschwindigkeit). Haken bei
- enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>
- bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
- mask: <leer lassen>
- description: z. B. : Pipe-Upload
Pipe (für die Angabe der Download-Geschwindigkeit). Haken bei
- enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>
- bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
- mask: <leer lassen>
- description: z. B. : Pipe-Download

Firewall / Shaper / Settings / Queues (Warteschlangen)

Queue (für den Upload). Haken bei
- enabledpipe: <Upload-Pipe auswählen>
- weight: 100
- mask: source
- description: z. B. : Queue-Upload
Queue (für den Download) Haken bei
- enabledpipe: <Download-Pipe auswählen>
- weight: 100
- mask: destination
- description: z. B. : Queue-Download

Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)

Rule (für den Upload) Haken bei
- enabledsequenze: <vergibt das System automatisch>
- interface: WAN
- proto: ip
- source: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B. : 10.1.0.0/20>
- src-port: any
- destination: any
- dst-port: any
- target: <Upload-Queue auswählen>
- description: z. B. : Rule-Upload
Rule (für den Download) Haken bei
- enabled sequenze: <vergibt das System automatisch>
- interface: WAN
- proto: ip
- source: any
- src-port: any
- destination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B. : 10.1.0.0/20>
- dst-port: any
- target: <Download-Queue auswählen>
- description: z. B. : Rule-Download

Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.

@@ Zeile 1: / Zeile 1: @@
-= Internetgeschwindigkeit =
+Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen. Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern.
-* Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen.
-* Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern.
-Firewall / Shaper / Settings / Pipes (Leitungen)
+;Firewall / Shaper / Settings / Pipes (Leitungen)
 # Pipe (für die Angabe der Upload-Geschwindigkeit). Haken bei
 #* enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>
 #* bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
 #* mask: <leer lassen>
-#* description: z. B.: Pipe-Upload
+#* description: z.&nbsp;B.&nbsp;: Pipe-Upload
 # Pipe (für die Angabe der Download-Geschwindigkeit). Haken bei
 #* enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>
 #* bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
 #* mask: <leer lassen>
-#* description: z. B.: Pipe-Download
+#* description: z.&nbsp;B.&nbsp;: Pipe-Download
-Firewall / Shaper / Settings / Queues (Warteschlangen)
+;Firewall / Shaper / Settings / Queues (Warteschlangen)
 # Queue (für den Upload). Haken bei
 #* enabledpipe: <Upload-Pipe auswählen>
 #* weight: 100
 #* mask: source
-#* description: z. B.: Queue-Upload
+#* description: z.&nbsp;B.&nbsp;: Queue-Upload
 # Queue (für den Download) Haken bei
 #* enabledpipe: <Download-Pipe auswählen>
 #* weight: 100
 #* mask: destination
-#* description: z. B.: Queue-Download
+#* description: z.&nbsp;B.&nbsp;: Queue-Download
-Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)
+;Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)
 # Rule (für den Upload) Haken bei
 #* enabledsequenze: <vergibt das System automatisch>
 #* interface: WAN
 #* proto: ip
-#* source: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>
+#* source: <hier das Schulnetzwerk mit Subnetzmaske angeben, z.&nbsp;B.&nbsp;: 10.1.0.0/20>
 #* src-port: any
 #* destination: any
 #* dst-port: any
 #* target: <Upload-Queue auswählen>
-#* description: z. B.: Rule-Upload
+#* description: z.&nbsp;B.&nbsp;: Rule-Upload
 # Rule (für den Download) Haken bei
 #* enabled sequenze: <vergibt das System automatisch>
@@ Zeile 44: / Zeile 42: @@
 #* source: any
 #* src-port: any
-#* destination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>
+#* destination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z.&nbsp;B.&nbsp;: 10.1.0.0/20>
 #* dst-port: any
 #* target: <Download-Queue auswählen>
-#* description: z. B.: Rule-Download
+#* description: z.&nbsp;B.&nbsp;: Rule-Download
-Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.
+Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z.&nbsp;B.&nbsp;für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.
-= Konfiguration des Proxy-Servers =
+[[Kategorie:OPNsense/Firewall]]
-Das Schulnetzkonzept geht davon aus, dass Webaufrufe nur über den Proxy möglich sind.
-* So können Webseitenaufrufe via Port 80 (http) und 443 (https) gefiltert werden.
-** URL-Filter squidGuard
-* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben.
-** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
-Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
-* Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
-* Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
-Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
-Services / Web Proxy / Administration
-* General Proxy Settings
-** Haken bei: Enable Proxy
-** Haken bei: Enable DNS v4 first
-** Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
-* Local Cache Settings.
-** Haken bei Enable local cache
-** Cache size in Megabytes: 10240
-** Haken bei: Enable Windows Update Cache
-*** Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
-*** Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
-* General Forward Settings
-** Proxy Interfaces: LAN_CLIENTS
-** Proxy Port: 3128
-** Haken bei: Enable Transparent HTTP Proxy
-** Haken bei: Enable SSL inspection
-** Haken bei: Log SNI information only
-** SSL Proxy Port: 3129
-** CA to use: z. B.: schulnetz.intra-ca
-*** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
-*** System / Trust / Authorities → Add
-**** Descriptive name: z. B. schulnetz.intra-ca
-**** Method: Create an internal Certificate Authority
-**** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address
-[[Category:Netzwerke:Router]]
-[[Category:Netzwerke:Firewall]]