|
|
(27 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| = Netzwerkschnittstellen und grundlegende Firewall-Regeln =
| |
|
| |
| == Beispielhafte Netzwerk-Planung ==
| |
| Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus. Diese kann selbstverständlich den eigenen Bedürfnissen angepasst werden.
| |
| {| style="border-spacing:0;width:17cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| || '''Teilnetz (VLAN)'''
| |
| || '''VLAN'''
| |
| || '''Netzwerkteilnehmer'''
| |
| || '''IP/IP-Bereich'''
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| || 10.1.254.0/24 (10 - LAN MANAGEMENT)
| |
| || 10 untagged virtueller Adapter
| |
| || OPNsense-Interface LAN_MANAGEMENT
| |
| || 10.1.254.1
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged + 11 + 12 Switch-Port
| |
| || Management-Interface des Virtualisierungshosts
| |
| || 10.1.254.10
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged Switch-Port
| |
| || NAS zur Datensicherung
| |
| || 10.1.254.20
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged Switch-Port bzw. 10 untagged virtueller Adapter
| |
| || WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine
| |
| || 10.1.254.30
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged + 12 Switch-Port
| |
| || Access-Points zur Nutzung in LAN_CLIENTS
| |
| || 10.1.254.50 - 10.1.254.99
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged Switch-Port bzw.10 untagged virtueller Adapter
| |
| || DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
| |
| || 10.1.1.254.200 - 10.1.1.254.254
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| || 10.1.100.0/24 (11 - LAN_SERVER)
| |
| || 11 virtueller Adapter
| |
| || OPNsense-Interface LAN_SERVER
| |
| || 10.1.100.1
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| ||
| |
| ||
| |
| || OPNsense virtuelle IPs für HAProxy
| |
| || 10.1.100.2 - 10.1.100.3
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| ||
| |
| || 11 virtueller Adapter
| |
| || Samba-Server
| |
| || 10.1.100.7
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| ||
| |
| || 11 virtueller Adapter
| |
| || Nextcloud-Server
| |
| || 10.1.100.8
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| ||
| |
| || 11 untagged Switch-Port11 virtueller Adapter bzw.
| |
| || DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
| |
| || 10.1.100.200 - 10.1.100.254
| |
| |- style="background-color:#ffffcc;border:none;padding:0.049cm;"
| |
| || 10.1.0.0/20 (12 - LAN_CLIENTS)
| |
| || 12 virtueller Adapter
| |
| || OPNsense-Interface LAN_CLIENTS
| |
| || 10.1.0.1
| |
| |- style="background-color:#ffffcc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 12 virtueller Adapter
| |
| || FOG-Server
| |
| || 10.1.1.1
| |
| |- style="background-color:#ffffcc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 12 untagged Switch-Port bzw.12 virtueller Adapter
| |
| || DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients)
| |
| || 10.1.11.1 - 10.1.15.254
| |
| |-
| |
| |}
| |
| Hinweise:* Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.
| |
| * Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
| |
| * Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.
| |
|
| |
|
| |
|
| |
| == Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren ==
| |
|
| |
| Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von OPNsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT
| |
| * LAN_SERVER
| |
| * LAN_CLIENTS
| |
| * WAN
| |
|
| |
|
| |
|
| |
| Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:
| |
|
| |
|
| |
| {| style="border-spacing:0;width:9.324cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| || Interfaces/LAN_MANAGEMENT* General Configuration
| |
| ** Haken bei "Enable interface"
| |
| ** Description: LAN_MANAGEMENT
| |
| ** IPv4 Configuration Type: static
| |
| * Static IPv4 configuration
| |
| ** IPv4 address: 10.1.254.1/24
| |
| ** IPv4 Upstream Gateway: Auto-detect
| |
|
| |
|
| |
|
| |
| Interfaces/LAN_SERVER* General Configuration
| |
| ** Haken bei "Enable interface"
| |
| ** Description: LAN_SERVER
| |
| ** IPv4 Configuration Type: static
| |
| * Static IPv4 configuration
| |
| ** IPv4 address: 10.1.100.1/24
| |
| ** IPv4 Upstream Gateway: Auto-detect
| |
|
| |
|
| |
|
| |
| Interfaces/LAN_CLIENTS* General Configuration
| |
| ** Haken bei "Enable interface"
| |
| ** Description: LAN_CLIENTS
| |
| ** IPv4 Configuration Type: static
| |
| * Static IPv4 configuration
| |
| ** IPv4 address: 10.1.0.1/24
| |
| ** IPv4 Upstream Gateway: Auto-detect
| |
|
| |
|
| |
|
| |
|
| |
| |-
| |
| |}
| |
| == Firewallregeln für LAN_MANAGEMENT und LAN_SERVER ==
| |
|
| |
| Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:
| |
|
| |
|
| |
| {| style="border-spacing:0;width:8.862cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| || Firewall/Aliases → Add* Name: LAN_MANAGEMENT_SERVER
| |
| * Type: Networks
| |
| * Content:
| |
| ** 10.1.100.0/24
| |
| ** 10.1.254.0/24
| |
|
| |
|
| |
|
| |
|
| |
| |-
| |
| |}
| |
| Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:
| |
|
| |
|
| |
| {| style="border-spacing:0;width:14.9cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| || Firewall/Rules/LAN_CLIENTS → Add* Action: Reject
| |
| * Interface: LAN_CLIENTS
| |
| * TCP/IP Version: IPv4+IPv6
| |
| * Protocol: any
| |
| * Source: LAN_CLIENTS net
| |
| * Destination: LAN_MANAGEMENT_SERVER
| |
| * Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER
| |
|
| |
|
| |
|
| |
|
| |
| |-
| |
| |}
| |
| Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:
| |
|
| |
|
| |
| {| style="border-spacing:0;width:11.15cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| || Firewall/Rules/LAN_MANAGEMENT → Add* Action: Pass
| |
| * Interface: LAN_MANAGEMENT
| |
| * TCP/IP Version: IPv4+IPv6
| |
| * Protocol: any
| |
| * Source: LAN_MANAGEMENT net
| |
| * Destination: any
| |
| * Description: Allow LAN_MANAGEMENT to any rule
| |
|
| |
|
| |
|
| |
| Firewall/Rules/LAN_SERVER → Add* Action: Pass
| |
| * Interface: LAN_SERVER
| |
| * TCP/IP Version: IPv4+IPv6
| |
| * Protocol: any
| |
| * Source: LAN_SERVER net
| |
| * Destination: any
| |
| * Description: Allow LAN_SERVER to any rule
| |
|
| |
|
| |
|
| |
|
| |
| |-
| |
| |}
| |
| Hinweis: selbstverständlich können Sie die Kommunikation von LAN_MANAGEMENT und LAN_SERVER aus mit entsprechenden Regeln auch restriktiver gestalten.= Konfiguration des DHCP-Servers =
| |
|
| |
| == DHCP für LAN_CLIENTS ==
| |
|
| |
| Damit im Schulnetz angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.
| |
|
| |
| Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:
| |
|
| |
|
| |
| {| style="border-spacing:0;width:17cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| || General Options* Haken bei: Enable DHCP server on the LAN_CLIENTS interface
| |
| * Range: z. B. From 10.1.11.1 To 10.1.11.254
| |
|
| |
|
| |
|
| |
| NTPSofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.* NTP Servers: z. B. 10.1.0.1
| |
|
| |
|
| |
|
| |
| Enable network bootingFolgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:* Haken bei: Enables network booting
| |
| * Next-Server (IP Fog-Server): z. B. 10.1.1.1
| |
| * Default BIOS file name: undionly.kpxe
| |
| * UEFI 32 bit file name: ipxe32.efi
| |
| * UEFI 64 bit file name: ipxe.efi
| |
|
| |
|
| |
|
| |
| DHCP Static Mappings for this InterfaceSofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:* MAC Address: XX:XX:XX:XX:XX:XX
| |
| * IP Address: 10.1.3.1
| |
| * Hostname: PRN-EDV-3
| |
| * Description: Drucker im Raum EDV 3
| |
|
| |
|
| |
|
| |
|
| |
| |-
| |
| |}
| |
| == DHCP für LAN_MANAGEMENT und LAN_SERVER ==
| |
|
| |
| Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.
| |
|
| |
| Beispiel-Konfigurationen für DHCPv4 und LAN_MANAGEMENT bzw. LAN_SERVER
| |
|
| |
|
| |
| {| style="border-spacing:0;width:15.806cm;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| || Services/DHCPv4/LAN_MANAGEMENT* Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
| |
| * Range: From 10.1.254.200 To 10.1.254.254
| |
| * NTP Servers: 10.1.254.1 (IP OPNsense)
| |
|
| |
|
| |
|
| |
| Services/DHCPv4/LAN_SERVER* Enable: Haken bei Enable DHCP server on the LAN_SERVER interface
| |
| * Range: From 10.1.100.200 To 10.1.100.254
| |
| * NTP Servers: 10.1.100.1
| |
|
| |
|
| |
|
| |
|
| |
| |-
| |
| |}
| |
|
| |
| [[Kategorie:OPNsense]] | | [[Kategorie:OPNsense]] |