Kategorie:OPNsense/Schnittstellen: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „OPNsense“ durch „Opnsense“
Keine Bearbeitungszusammenfassung
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
[[Kategorie:OPNsense]]
== Beschreibung ==
== Installation ==
== Anwendungen ==
=== Fehlerbehebung ===
== Syntax ==
=== Optionen ===
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==
== Dokumentation ==
=== RFC ===
=== Man-Pages ===
=== Info-Pages ===
== Siehe auch ==
== Links ==
=== Projekt-Homepage ===
=== Weblinks ===
=== Einzelnachweise ===
<references />
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
[[Kategorie:Entwurf]]
 
= TMP =
== Netzwerk-Planung ==
Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus.
{| style="border-spacing:0;"
|- style="border:none;padding:0.049cm;"
|| '''Teilnetz (VLAN)'''
|| '''VLAN'''
|| '''Netzwerkteilnehmer'''
|| '''IP/IP-Bereich'''
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 10.1.254.0/24 (10 - LAN MANAGEMENT)
|| 10 untagged virtueller Adapter
|| Opnsense-Interface LAN_MANAGEMENT
|| 10.1.254.1
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged + 11 + 12 Switch-Port
|| Management-Interface des Virtualisierungshosts
|| 10.1.254.10
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged Switch-Port
|| NAS zur Datensicherung
|| 10.1.254.20
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged Switch-Port bzw. 10 untagged virtueller Adapter
|| WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine
|| 10.1.254.30
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged + 12 Switch-Port
|| Access-Points zur Nutzung in LAN_CLIENTS
|| 10.1.254.50 - 10.1.254.99
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|| 
|| 10 untagged Switch-Port bzw.10 untagged virtueller Adapter
|| DHCP-Bereich (Opnsense: Hardware-Clients)DHCP-Bereich (Opnsense: virtuelle Clients)
|| 10.1.1.254.200 - 10.1.1.254.254
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 10.1.100.0/24 (11 - LAN_SERVER)
|| 11 virtueller Adapter
|| Opnsense-Interface LAN_SERVER
|| 10.1.100.1
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 
|| 
|| Opnsense virtuelle IPs für HAProxy
|| 10.1.100.2 - 10.1.100.3
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 
|| 11 virtueller Adapter
|| Samba-Server
|| 10.1.100.7
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 
|| 11 virtueller Adapter
|| Nextcloud-Server
|| 10.1.100.8
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 
|| 11 untagged Switch-Port11 virtueller Adapter bzw.
|| DHCP-Bereich (Opnsense: Hardware-Clients)DHCP-Bereich (Opnsense: virtuelle Clients)
|| 10.1.100.200 - 10.1.100.254
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|| 10.1.0.0/20 (12 - LAN_CLIENTS)
|| 12 virtueller Adapter
|| Opnsense-Interface LAN_CLIENTS
|| 10.1.0.1
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|| 
|| 12 virtueller Adapter
|| FOG-Server
|| 10.1.1.1
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|| 
|| 12 untagged Switch-Port bzw.12 virtueller Adapter
|| DHCP-Bereich (Opnsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (Opnsense: virtuelle Clients)
|| 10.1.11.1 - 10.1.15.254
|-
|}
 
; Hinweise
* Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen Opnsense-Interfaces.
* Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
* Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.
 
== Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren ==
Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von Opnsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT
* LAN_SERVER
* LAN_CLIENTS
* WAN
 
Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:
 
Interfaces/LAN_MANAGEMENT
* General Configuration
** Haken bei "Enable interface"
** Description: LAN_MANAGEMENT
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.254.1/24
** IPv4 Upstream Gateway: Auto-detect
 
Interfaces/LAN_SERVER
* General Configuration
** Haken bei "Enable interface"
** Description: LAN_SERVER
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.100.1/24
** IPv4 Upstream Gateway: Auto-detect
 
Interfaces/LAN_CLIENTS
* General Configuration
** Haken bei "Enable interface"
** Description: LAN_CLIENTS
** IPv4 Configuration Type: static
* Static IPv4 configuration
** IPv4 address: 10.1.0.1/24
** IPv4 Upstream Gateway: Auto-detect
 
== Firewallregeln für LAN_MANAGEMENT und LAN_SERVER ==
Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:
 
;Firewall/Aliases → Add
* Name: LAN_MANAGEMENT_SERVER
* Type: Networks
* Content:
** 10.1.100.0/24
** 10.1.254.0/24
 
Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:
 
;Firewall/Rules/LAN_CLIENTS → Add
* Action: Reject
* Interface: LAN_CLIENTS
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_CLIENTS net
* Destination: LAN_MANAGEMENT_SERVER
* Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER
 
Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:
 
;Firewall/Rules/LAN_MANAGEMENT → Add* Action: Pass
* Interface: LAN_MANAGEMENT
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_MANAGEMENT net
* Destination: any
* Description: Allow LAN_MANAGEMENT to any rule
 
;Firewall/Rules/LAN_SERVER → Add
* Action: Pass
* Interface: LAN_SERVER
* TCP/IP Version: IPv4+IPv6
* Protocol: any
* Source: LAN_SERVER net
* Destination: any
* Description: Allow LAN_SERVER to any rule
 
= Konfiguration des DHCP-Servers =
== DHCP für LAN_CLIENTS ==
Damit angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.
 
Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:
 
;General Options
* Haken bei: Enable DHCP server on the LAN_CLIENTS interface
* Range: z. B. From 10.1.11.1 To 10.1.11.254
 
;NTP
Sofern Sie Opnsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.
* NTP Servers: z. B. 10.1.0.1
 
;Enable network booting
Folgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:
* Haken bei: Enables network booting
* Next-Server (IP Fog-Server): z. B. 10.1.1.1
* Default BIOS file name: undionly.kpxe
* UEFI 32 bit file name: ipxe32.efi
* UEFI 64 bit file name: ipxe.efi
 
; DHCP Static Mappings for this Interface
Sofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:
* MAC Address: XX:XX:XX:XX:XX:XX
* IP Address: 10.1.3.1
* Hostname: PRN-EDV-3
* Description: Drucker im Raum EDV 3
 
== DHCP für LAN_MANAGEMENT und LAN_SERVER ==
Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.
 
=== Beispiel-Konfigurationen ===
; Services/DHCPv4/LAN_MANAGEMENT
* Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
* Range: From 10.1.254.200 To 10.1.254.254
* NTP Servers: 10.1.254.1 (IP Opnsense)
 
; Services/DHCPv4/LAN_SERVER
* Enable: Haken bei Enable DHCP server on the LAN_SERVER interface
* Range: From 10.1.100.200 To 10.1.100.254
* NTP Servers: 10.1.100.1
 
[[Kategorie:Opnsense]]

Aktuelle Version vom 16. Februar 2023, 23:40 Uhr