|
|
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''topic''' kurze Beschreibung
| | [[Kategorie:OPNsense]] |
| == Beschreibung ==
| |
| == Installation ==
| |
| == Anwendungen ==
| |
| === Fehlerbehebung ===
| |
| == Syntax ==
| |
| === Optionen ===
| |
| === Parameter ===
| |
| === Umgebungsvariablen ===
| |
| === Exit-Status ===
| |
| == Konfiguration ==
| |
| === Dateien ===
| |
| == Sicherheit ==
| |
| == Dokumentation ==
| |
| === RFC ===
| |
| === Man-Pages ===
| |
| === Info-Pages ===
| |
| == Siehe auch ==
| |
| == Links ==
| |
| === Projekt-Homepage ===
| |
| === Weblinks ===
| |
| === Einzelnachweise ===
| |
| <references />
| |
| == Testfragen ==
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 1''
| |
| <div class="mw-collapsible-content">'''Antwort1'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 2''
| |
| <div class="mw-collapsible-content">'''Antwort2'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 3''
| |
| <div class="mw-collapsible-content">'''Antwort3'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 4''
| |
| <div class="mw-collapsible-content">'''Antwort4'''</div>
| |
| </div>
| |
| <div class="toccolours mw-collapsible mw-collapsed">
| |
| ''Testfrage 5''
| |
| <div class="mw-collapsible-content">'''Antwort5'''</div>
| |
| </div>
| |
| | |
| [[Kategorie:Entwurf]] | |
| | |
| = TMP =
| |
| == Netzwerk-Planung ==
| |
| Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus.
| |
| {| style="border-spacing:0;"
| |
| |- style="border:none;padding:0.049cm;"
| |
| || '''Teilnetz (VLAN)'''
| |
| || '''VLAN'''
| |
| || '''Netzwerkteilnehmer'''
| |
| || '''IP/IP-Bereich'''
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| || 10.1.254.0/24 (10 - LAN MANAGEMENT)
| |
| || 10 untagged virtueller Adapter
| |
| || Opnsense-Interface LAN_MANAGEMENT
| |
| || 10.1.254.1
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged + 11 + 12 Switch-Port
| |
| || Management-Interface des Virtualisierungshosts
| |
| || 10.1.254.10
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged Switch-Port
| |
| || NAS zur Datensicherung
| |
| || 10.1.254.20
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged Switch-Port bzw. 10 untagged virtueller Adapter
| |
| || WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine
| |
| || 10.1.254.30
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged + 12 Switch-Port
| |
| || Access-Points zur Nutzung in LAN_CLIENTS
| |
| || 10.1.254.50 - 10.1.254.99
| |
| |- style="background-color:#99cccc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 10 untagged Switch-Port bzw.10 untagged virtueller Adapter
| |
| || DHCP-Bereich (Opnsense: Hardware-Clients)DHCP-Bereich (Opnsense: virtuelle Clients)
| |
| || 10.1.1.254.200 - 10.1.1.254.254
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| || 10.1.100.0/24 (11 - LAN_SERVER)
| |
| || 11 virtueller Adapter
| |
| || Opnsense-Interface LAN_SERVER
| |
| || 10.1.100.1
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| ||
| |
| ||
| |
| || Opnsense virtuelle IPs für HAProxy
| |
| || 10.1.100.2 - 10.1.100.3
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| ||
| |
| || 11 virtueller Adapter
| |
| || Samba-Server
| |
| || 10.1.100.7
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| ||
| |
| || 11 virtueller Adapter
| |
| || Nextcloud-Server
| |
| || 10.1.100.8
| |
| |- style="background-color:#cc9999;border:none;padding:0.049cm;"
| |
| ||
| |
| || 11 untagged Switch-Port11 virtueller Adapter bzw.
| |
| || DHCP-Bereich (Opnsense: Hardware-Clients)DHCP-Bereich (Opnsense: virtuelle Clients)
| |
| || 10.1.100.200 - 10.1.100.254
| |
| |- style="background-color:#ffffcc;border:none;padding:0.049cm;"
| |
| || 10.1.0.0/20 (12 - LAN_CLIENTS)
| |
| || 12 virtueller Adapter
| |
| || Opnsense-Interface LAN_CLIENTS
| |
| || 10.1.0.1
| |
| |- style="background-color:#ffffcc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 12 virtueller Adapter
| |
| || FOG-Server
| |
| || 10.1.1.1
| |
| |- style="background-color:#ffffcc;border:none;padding:0.049cm;"
| |
| ||
| |
| || 12 untagged Switch-Port bzw.12 virtueller Adapter
| |
| || DHCP-Bereich (Opnsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (Opnsense: virtuelle Clients)
| |
| || 10.1.11.1 - 10.1.15.254
| |
| |-
| |
| |}
| |
| | |
| ; Hinweise
| |
| * Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen Opnsense-Interfaces.
| |
| * Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
| |
| * Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.
| |
| | |
| == Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren ==
| |
| Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von Opnsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT
| |
| * LAN_SERVER
| |
| * LAN_CLIENTS
| |
| * WAN
| |
| | |
| Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:
| |
| | |
| Interfaces/LAN_MANAGEMENT
| |
| * General Configuration
| |
| ** Haken bei "Enable interface"
| |
| ** Description: LAN_MANAGEMENT
| |
| ** IPv4 Configuration Type: static
| |
| * Static IPv4 configuration
| |
| ** IPv4 address: 10.1.254.1/24
| |
| ** IPv4 Upstream Gateway: Auto-detect
| |
| | |
| Interfaces/LAN_SERVER
| |
| * General Configuration
| |
| ** Haken bei "Enable interface"
| |
| ** Description: LAN_SERVER
| |
| ** IPv4 Configuration Type: static
| |
| * Static IPv4 configuration
| |
| ** IPv4 address: 10.1.100.1/24
| |
| ** IPv4 Upstream Gateway: Auto-detect
| |
| | |
| Interfaces/LAN_CLIENTS
| |
| * General Configuration
| |
| ** Haken bei "Enable interface"
| |
| ** Description: LAN_CLIENTS
| |
| ** IPv4 Configuration Type: static
| |
| * Static IPv4 configuration
| |
| ** IPv4 address: 10.1.0.1/24
| |
| ** IPv4 Upstream Gateway: Auto-detect
| |
| | |
| == Firewallregeln für LAN_MANAGEMENT und LAN_SERVER ==
| |
| Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:
| |
| | |
| ;Firewall/Aliases → Add
| |
| * Name: LAN_MANAGEMENT_SERVER
| |
| * Type: Networks
| |
| * Content:
| |
| ** 10.1.100.0/24
| |
| ** 10.1.254.0/24
| |
| | |
| Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:
| |
| | |
| ;Firewall/Rules/LAN_CLIENTS → Add
| |
| * Action: Reject
| |
| * Interface: LAN_CLIENTS
| |
| * TCP/IP Version: IPv4+IPv6
| |
| * Protocol: any
| |
| * Source: LAN_CLIENTS net
| |
| * Destination: LAN_MANAGEMENT_SERVER
| |
| * Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER
| |
| | |
| Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:
| |
| | |
| ;Firewall/Rules/LAN_MANAGEMENT → Add* Action: Pass
| |
| * Interface: LAN_MANAGEMENT
| |
| * TCP/IP Version: IPv4+IPv6
| |
| * Protocol: any
| |
| * Source: LAN_MANAGEMENT net
| |
| * Destination: any
| |
| * Description: Allow LAN_MANAGEMENT to any rule
| |
| | |
| ;Firewall/Rules/LAN_SERVER → Add
| |
| * Action: Pass
| |
| * Interface: LAN_SERVER
| |
| * TCP/IP Version: IPv4+IPv6
| |
| * Protocol: any
| |
| * Source: LAN_SERVER net
| |
| * Destination: any
| |
| * Description: Allow LAN_SERVER to any rule
| |
| | |
| = Konfiguration des DHCP-Servers =
| |
| == DHCP für LAN_CLIENTS ==
| |
| Damit angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.
| |
| | |
| Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:
| |
| | |
| ;General Options
| |
| * Haken bei: Enable DHCP server on the LAN_CLIENTS interface
| |
| * Range: z. B. From 10.1.11.1 To 10.1.11.254
| |
| | |
| ;NTP
| |
| Sofern Sie Opnsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.
| |
| * NTP Servers: z. B. 10.1.0.1
| |
| | |
| ;Enable network booting
| |
| Folgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:
| |
| * Haken bei: Enables network booting
| |
| * Next-Server (IP Fog-Server): z. B. 10.1.1.1
| |
| * Default BIOS file name: undionly.kpxe
| |
| * UEFI 32 bit file name: ipxe32.efi
| |
| * UEFI 64 bit file name: ipxe.efi
| |
| | |
| ; DHCP Static Mappings for this Interface
| |
| Sofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:
| |
| * MAC Address: XX:XX:XX:XX:XX:XX
| |
| * IP Address: 10.1.3.1
| |
| * Hostname: PRN-EDV-3
| |
| * Description: Drucker im Raum EDV 3
| |
| | |
| == DHCP für LAN_MANAGEMENT und LAN_SERVER ==
| |
| Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.
| |
| | |
| === Beispiel-Konfigurationen ===
| |
| ; Services/DHCPv4/LAN_MANAGEMENT
| |
| * Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
| |
| * Range: From 10.1.254.200 To 10.1.254.254
| |
| * NTP Servers: 10.1.254.1 (IP Opnsense)
| |
| | |
| ; Services/DHCPv4/LAN_SERVER
| |
| * Enable: Haken bei Enable DHCP server on the LAN_SERVER interface
| |
| * Range: From 10.1.100.200 To 10.1.100.254
| |
| * NTP Servers: 10.1.100.1
| |
| | |
| [[Kategorie:Opnsense]]
| |