Kategorie:OPNsense/Schnittstellen: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Dirkwagner verschob die Seite Netzwerke:Firewall:OPNsense:Netzwerkschnittstellen und grundlegende Firewall-Regeln nach OPNsense:Netzwerkschnittstellen und grundlegende Firewall-Regeln, ohne dabei eine Weiterleitung anzulegen: Textersetzung - „Netzwerke:Firewall:OPNsense“ durch „OPNsense“
Keine Bearbeitungszusammenfassung
 
(31 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
= Netzwerkschnittstellen und grundlegende Firewall-Regeln =
[[Kategorie:OPNsense]]
 
== Beispielhafte Netzwerk-Planung ==
Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus. Diese kann selbstverständlich den eigenen Bedürfnissen angepasst werden.
{| style="border-spacing:0;width:17cm;"
|- style="border:none;padding:0.049cm;"
|| '''Teilnetz (VLAN)'''
|| '''VLAN'''
|| '''Netzwerkteilnehmer'''
|| '''IP/IP-Bereich'''
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 10.1.254.0/24 (10 - LAN MANAGEMENT)
|| 10 untagged virtueller Adapter
|| OPNsense-Interface LAN_MANAGEMENT
|| 10.1.254.1
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
||  
|| 10 untagged + 11 + 12 Switch-Port
|| Management-Interface des Virtualisierungshosts
|| 10.1.254.10
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
||  
|| 10 untagged Switch-Port
|| NAS zur Datensicherung
|| 10.1.254.20
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
||  
|| 10 untagged Switch-Port bzw. 10 untagged virtueller Adapter
|| WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine
|| 10.1.254.30
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
||  
|| 10 untagged + 12 Switch-Port
|| Access-Points zur Nutzung in LAN_CLIENTS
|| 10.1.254.50 - 10.1.254.99
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
||  
|| 10 untagged Switch-Port bzw.10 untagged virtueller Adapter
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.1.254.200 - 10.1.1.254.254
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 10.1.100.0/24 (11 - LAN_SERVER)
|| 11 virtueller Adapter
|| OPNsense-Interface LAN_SERVER
|| 10.1.100.1
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
||  
||  
|| OPNsense virtuelle IPs für HAProxy
|| 10.1.100.2 - 10.1.100.3
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
||  
|| 11 virtueller Adapter
|| Samba-Server
|| 10.1.100.7
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
||  
|| 11 virtueller Adapter
|| Nextcloud-Server
|| 10.1.100.8
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
||  
|| 11 untagged Switch-Port11 virtueller Adapter bzw.
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.100.200 - 10.1.100.254
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|| 10.1.0.0/20 (12 - LAN_CLIENTS)
|| 12 virtueller Adapter
|| OPNsense-Interface LAN_CLIENTS
|| 10.1.0.1
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
||  
|| 12 virtueller Adapter
|| FOG-Server
|| 10.1.1.1
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
||  
|| 12 untagged Switch-Port bzw.12 virtueller Adapter
|| DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.11.1 - 10.1.15.254
|-
|}
Hinweise:* Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.
* Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
* Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.
 
 
 
== Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren ==
 
Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von OPNsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT
* LAN_SERVER
* LAN_CLIENTS
* WAN
 
 
 
Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:
 
 
{| style="border-spacing:0;width:9.324cm;"
|- style="border:none;padding:0.049cm;"
|| Interfaces/LAN_MANAGEMENT* General Configuration
** Haken bei "Enable interface"
** Description: LAN_MANAGEMENT
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.254.1/24
** IPv4 Upstream Gateway: Auto-detect
 
 
 
Interfaces/LAN_SERVER* General Configuration
** Haken bei "Enable interface"
** Description: LAN_SERVER
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.100.1/24
** IPv4 Upstream Gateway: Auto-detect
 
 
 
Interfaces/LAN_CLIENTS* General Configuration
** Haken bei "Enable interface"
** Description: LAN_CLIENTS
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.0.1/24
** IPv4 Upstream Gateway: Auto-detect
 
 
 
 
|-
|}
== Firewallregeln für LAN_MANAGEMENT und LAN_SERVER ==
 
Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:
 
 
{| style="border-spacing:0;width:8.862cm;"
|- style="border:none;padding:0.049cm;"
|| Firewall/Aliases → Add* Name: LAN_MANAGEMENT_SERVER
* Type: Networks
* Content:
** 10.1.100.0/24
** 10.1.254.0/24
 
 
 
 
|-
|}
Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:
 
 
{| style="border-spacing:0;width:14.9cm;"
|- style="border:none;padding:0.049cm;"
|| Firewall/Rules/LAN_CLIENTS → Add* Action: Reject
* Interface: LAN_CLIENTS
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_CLIENTS net
* Destination: LAN_MANAGEMENT_SERVER
* Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER
 
 
 
 
|-
|}
Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:
 
 
{| style="border-spacing:0;width:11.15cm;"
|- style="border:none;padding:0.049cm;"
|| Firewall/Rules/LAN_MANAGEMENT → Add* Action: Pass
* Interface: LAN_MANAGEMENT
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_MANAGEMENT net
* Destination: any
* Description: Allow LAN_MANAGEMENT to any rule
 
 
 
Firewall/Rules/LAN_SERVER → Add* Action: Pass
* Interface: LAN_SERVER
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_SERVER net
* Destination: any
* Description: Allow LAN_SERVER to any rule
 
 
 
 
|-
|}
Hinweis: selbstverständlich können Sie die Kommunikation von LAN_MANAGEMENT und LAN_SERVER aus mit entsprechenden Regeln auch restriktiver gestalten.= Konfiguration des DHCP-Servers =
 
== DHCP für LAN_CLIENTS ==
 
Damit im Schulnetz angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.
 
Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:
 
 
{| style="border-spacing:0;width:17cm;"
|- style="border:none;padding:0.049cm;"
|| General Options* Haken bei: Enable DHCP server on the LAN_CLIENTS interface
* Range: z. B. From 10.1.11.1 To 10.1.11.254
 
 
 
NTPSofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.* NTP Servers: z. B. 10.1.0.1
 
 
 
Enable network bootingFolgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:* Haken bei: Enables network booting
* Next-Server (IP Fog-Server): z. B. 10.1.1.1
* Default BIOS file name: undionly.kpxe
* UEFI 32 bit file name: ipxe32.efi
* UEFI 64 bit file name: ipxe.efi
 
 
 
DHCP Static Mappings for this InterfaceSofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:* MAC Address: XX:XX:XX:XX:XX:XX
* IP Address: 10.1.3.1
* Hostname: PRN-EDV-3
* Description: Drucker im Raum EDV 3
 
 
 
 
|-
|}
== DHCP für LAN_MANAGEMENT und LAN_SERVER ==
 
Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.
 
Beispiel-Konfigurationen für DHCPv4 und LAN_MANAGEMENT bzw. LAN_SERVER
 
 
{| style="border-spacing:0;width:15.806cm;"
|- style="border:none;padding:0.049cm;"
|| Services/DHCPv4/LAN_MANAGEMENT* Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
* Range: From 10.1.254.200 To 10.1.254.254
* NTP Servers: 10.1.254.1 (IP OPNsense)
 
 
 
Services/DHCPv4/LAN_SERVER* Enable: Haken bei Enable DHCP server on the LAN_SERVER interface
* Range: From 10.1.100.200 To 10.1.100.254
* NTP Servers: 10.1.100.1
 
 
 
 
|-
|}
 
[[Category:Netzwerke:Router]]
[[Category:Netzwerke:Firewall]]

Aktuelle Version vom 16. Februar 2023, 23:40 Uhr

Abgerufen von „https://wiki.foxtom.de/index.php?title=Kategorie:OPNsense/Schnittstellen&oldid=54747