Kategorie:OPNsense/Schnittstellen: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Netzwerk-Planung ==
Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus.
{| style="border-spacing:0;"
|- style="border:none;padding:0.049cm;"
|| '''Teilnetz (VLAN)'''
|| '''VLAN'''
|| '''Netzwerkteilnehmer'''
|| '''IP/IP-Bereich'''
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 10.1.254.0/24 (10 - LAN MANAGEMENT)
|| 10 untagged virtueller Adapter
|| OPNsense-Interface LAN_MANAGEMENT
|| 10.1.254.1
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged + 11 + 12 Switch-Port
|| Management-Interface des Virtualisierungshosts
|| 10.1.254.10
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged Switch-Port
|| NAS zur Datensicherung
|| 10.1.254.20
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged Switch-Port bzw. 10 untagged virtueller Adapter
|| WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine
|| 10.1.254.30
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged + 12 Switch-Port
|| Access-Points zur Nutzung in LAN_CLIENTS
|| 10.1.254.50 - 10.1.254.99
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged Switch-Port bzw.10 untagged virtueller Adapter
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.1.254.200 - 10.1.1.254.254
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 10.1.100.0/24 (11 - LAN_SERVER)
|| 11 virtueller Adapter
|| OPNsense-Interface LAN_SERVER
|| 10.1.100.1
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 
|| 
|| OPNsense virtuelle IPs für HAProxy
|| 10.1.100.2 - 10.1.100.3
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 
|| 11 virtueller Adapter
|| Samba-Server
|| 10.1.100.7
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 
|| 11 virtueller Adapter
|| Nextcloud-Server
|| 10.1.100.8
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 
|| 11 untagged Switch-Port11 virtueller Adapter bzw.
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.100.200 - 10.1.100.254
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|| 10.1.0.0/20 (12 - LAN_CLIENTS)
|| 12 virtueller Adapter
|| OPNsense-Interface LAN_CLIENTS
|| 10.1.0.1
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|| 
|| 12 virtueller Adapter
|| FOG-Server
|| 10.1.1.1
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|| 
|| 12 untagged Switch-Port bzw.12 virtueller Adapter
|| DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.11.1 - 10.1.15.254
|-
|}
; Hinweise
* Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.
* Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
* Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.
== Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren ==
Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von OPNsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT
* LAN_SERVER
* LAN_CLIENTS
* WAN
Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:
Interfaces/LAN_MANAGEMENT
* General Configuration
** Haken bei "Enable interface"
** Description: LAN_MANAGEMENT
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.254.1/24
** IPv4 Upstream Gateway: Auto-detect
Interfaces/LAN_SERVER
* General Configuration
** Haken bei "Enable interface"
** Description: LAN_SERVER
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.100.1/24
** IPv4 Upstream Gateway: Auto-detect
Interfaces/LAN_CLIENTS
* General Configuration
** Haken bei "Enable interface"
** Description: LAN_CLIENTS
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.0.1/24
** IPv4 Upstream Gateway: Auto-detect
== Firewallregeln für LAN_MANAGEMENT und LAN_SERVER ==
Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:
;Firewall/Aliases → Add
* Name: LAN_MANAGEMENT_SERVER
* Type: Networks
* Content:
** 10.1.100.0/24
** 10.1.254.0/24
Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:
;Firewall/Rules/LAN_CLIENTS → Add
* Action: Reject
* Interface: LAN_CLIENTS
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_CLIENTS net
* Destination: LAN_MANAGEMENT_SERVER
* Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER
Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:
;Firewall/Rules/LAN_MANAGEMENT → Add* Action: Pass
* Interface: LAN_MANAGEMENT
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_MANAGEMENT net
* Destination: any
* Description: Allow LAN_MANAGEMENT to any rule
;Firewall/Rules/LAN_SERVER → Add
* Action: Pass
* Interface: LAN_SERVER
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_SERVER net
* Destination: any
* Description: Allow LAN_SERVER to any rule
'''Hinweis'''
selbstverständlich können Sie die Kommunikation von LAN_MANAGEMENT und LAN_SERVER aus mit entsprechenden Regeln auch restriktiver gestalten.
= Konfiguration des DHCP-Servers =
== DHCP für LAN_CLIENTS ==
Damit im Schulnetz angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.
Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:
General Options
* Haken bei: Enable DHCP server on the LAN_CLIENTS interface
* Range: z. B. From 10.1.11.1 To 10.1.11.254
NTP
Sofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.
* NTP Servers: z. B. 10.1.0.1
Enable network booting
Folgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:
* Haken bei: Enables network booting
* Next-Server (IP Fog-Server): z. B. 10.1.1.1
* Default BIOS file name: undionly.kpxe
* UEFI 32 bit file name: ipxe32.efi
* UEFI 64 bit file name: ipxe.efi
DHCP Static Mappings for this InterfaceSofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:
* MAC Address: XX:XX:XX:XX:XX:XX
* IP Address: 10.1.3.1
* Hostname: PRN-EDV-3
* Description: Drucker im Raum EDV 3
== DHCP für LAN_MANAGEMENT und LAN_SERVER ==
Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.
Beispiel-Konfigurationen für DHCPv4 und LAN_MANAGEMENT bzw. LAN_SERVER
Services/DHCPv4/LAN_MANAGEMENT
* Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
* Range: From 10.1.254.200 To 10.1.254.254
* NTP Servers: 10.1.254.1 (IP OPNsense)
Services/DHCPv4/LAN_SERVER
* Enable: Haken bei Enable DHCP server on the LAN_SERVER interface
* Range: From 10.1.100.200 To 10.1.100.254
* NTP Servers: 10.1.100.1
[[Kategorie:OPNsense]]
[[Kategorie:OPNsense]]

Aktuelle Version vom 16. Februar 2023, 23:40 Uhr