OPNsense/Schnittstellen/tmp: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite OPNsense/Schnittstellen/TMP nach OPNsense/Schnittstellen/tmp, ohne dabei eine Weiterleitung anzulegen
K Textersetzung - „bzw.  “ durch „bzw. “
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 25: Zeile 25:
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
||   
||   
|| 10 untagged Switch-Port bzw. 10 untagged virtueller Adapter
|| 10 untagged Switch-Port bzw. 10 untagged virtueller Adapter
|| WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine
|| WLAN-Controller als Hardware bzw. WLAN-Controller als virtuelle Maschine
|| 10.1.254.30
|| 10.1.254.30
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
Zeile 35: Zeile 35:
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
||   
||   
|| 10 untagged Switch-Port bzw.10 untagged virtueller Adapter
|| 10 untagged Switch-Port bzw. 10 untagged virtueller Adapter
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.1.254.200 - 10.1.1.254.254
|| 10.1.1.254.200 - 10.1.1.254.254
Zeile 60: Zeile 60:
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
||   
||   
|| 11 untagged Switch-Port11 virtueller Adapter bzw.
|| 11 untagged Switch-Port11 virtueller Adapter bzw. 
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.100.200 - 10.1.100.254
|| 10.1.100.200 - 10.1.100.254
Zeile 75: Zeile 75:
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
||   
||   
|| 12 untagged Switch-Port bzw.12 virtueller Adapter
|| 12 untagged Switch-Port bzw. 12 virtueller Adapter
|| DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients)
|| DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients)
|| 10.1.11.1 - 10.1.15.254
|| 10.1.11.1 - 10.1.15.254
Zeile 169: Zeile 169:
;General Options
;General Options
* Haken bei: Enable DHCP server on the LAN_CLIENTS interface  
* Haken bei: Enable DHCP server on the LAN_CLIENTS interface  
* Range: z. B. From 10.1.11.1 To 10.1.11.254  
* Range: z. B. From 10.1.11.1 To 10.1.11.254  


;NTP
;NTP
Sofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.
Sofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.
* NTP Servers: z. B. 10.1.0.1  
* NTP Servers: z. B. 10.1.0.1  


;Enable network booting
;Enable network booting
Folgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:
Folgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:
* Haken bei: Enables network booting  
* Haken bei: Enables network booting  
* Next-Server (IP Fog-Server): z. B. 10.1.1.1  
* Next-Server (IP Fog-Server): z. B. 10.1.1.1  
* Default BIOS file name: undionly.kpxe  
* Default BIOS file name: undionly.kpxe  
* UEFI 32 bit file name: ipxe32.efi  
* UEFI 32 bit file name: ipxe32.efi  
Zeile 184: Zeile 184:


; DHCP Static Mappings for this Interface
; DHCP Static Mappings for this Interface
Sofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:
Sofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B. :
* MAC Address: XX:XX:XX:XX:XX:XX  
* MAC Address: XX:XX:XX:XX:XX:XX  
* IP Address: 10.1.3.1  
* IP Address: 10.1.3.1  

Aktuelle Version vom 28. Mai 2023, 22:13 Uhr

TMP

Netzwerk-Planung

Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus.

Teilnetz (VLAN) VLAN Netzwerkteilnehmer IP/IP-Bereich
10.1.254.0/24 (10 - LAN MANAGEMENT) 10 untagged virtueller Adapter OPNsense-Interface LAN_MANAGEMENT 10.1.254.1
10 untagged + 11 + 12 Switch-Port Management-Interface des Virtualisierungshosts 10.1.254.10
10 untagged Switch-Port NAS zur Datensicherung 10.1.254.20
10 untagged Switch-Port bzw. 10 untagged virtueller Adapter WLAN-Controller als Hardware bzw. WLAN-Controller als virtuelle Maschine 10.1.254.30
10 untagged + 12 Switch-Port Access-Points zur Nutzung in LAN_CLIENTS 10.1.254.50 - 10.1.254.99
10 untagged Switch-Port bzw. 10 untagged virtueller Adapter DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients) 10.1.1.254.200 - 10.1.1.254.254
10.1.100.0/24 (11 - LAN_SERVER) 11 virtueller Adapter OPNsense-Interface LAN_SERVER 10.1.100.1
OPNsense virtuelle IPs für HAProxy 10.1.100.2 - 10.1.100.3
11 virtueller Adapter Samba-Server 10.1.100.7
11 virtueller Adapter Nextcloud-Server 10.1.100.8
11 untagged Switch-Port11 virtueller Adapter bzw.  DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients) 10.1.100.200 - 10.1.100.254
10.1.0.0/20 (12 - LAN_CLIENTS) 12 virtueller Adapter OPNsense-Interface LAN_CLIENTS 10.1.0.1
12 virtueller Adapter FOG-Server 10.1.1.1
12 untagged Switch-Port bzw. 12 virtueller Adapter DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients) 10.1.11.1 - 10.1.15.254
Hinweise
  • Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.
  • Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
  • Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.

Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren

Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von OPNsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT

  • LAN_SERVER
  • LAN_CLIENTS
  • WAN

Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:

Interfaces/LAN_MANAGEMENT

  • General Configuration
    • Haken bei "Enable interface"
    • Description: LAN_MANAGEMENT
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.254.1/24
    • IPv4 Upstream Gateway: Auto-detect

Interfaces/LAN_SERVER

  • General Configuration
    • Haken bei "Enable interface"
    • Description: LAN_SERVER
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.100.1/24
    • IPv4 Upstream Gateway: Auto-detect

Interfaces/LAN_CLIENTS

  • General Configuration
    • Haken bei "Enable interface"
    • Description: LAN_CLIENTS
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.0.1/24
    • IPv4 Upstream Gateway: Auto-detect

Firewallregeln für LAN_MANAGEMENT und LAN_SERVER

Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:

Firewall/Aliases → Add
  • Name: LAN_MANAGEMENT_SERVER
  • Type: Networks
  • Content:
    • 10.1.100.0/24
    • 10.1.254.0/24

Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:

Firewall/Rules/LAN_CLIENTS → Add
  • Action: Reject
  • Interface: LAN_CLIENTS
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_CLIENTS net
  • Destination: LAN_MANAGEMENT_SERVER
  • Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER

Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:

Firewall/Rules/LAN_MANAGEMENT → Add* Action
Pass
  • Interface: LAN_MANAGEMENT
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_MANAGEMENT net
  • Destination: any
  • Description: Allow LAN_MANAGEMENT to any rule
Firewall/Rules/LAN_SERVER → Add
  • Action: Pass
  • Interface: LAN_SERVER
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_SERVER net
  • Destination: any
  • Description: Allow LAN_SERVER to any rule

Konfiguration des DHCP-Servers

DHCP für LAN_CLIENTS

Damit angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.

Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:

General Options
  • Haken bei: Enable DHCP server on the LAN_CLIENTS interface
  • Range: z. B. From 10.1.11.1 To 10.1.11.254
NTP

Sofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.

  • NTP Servers: z. B. 10.1.0.1
Enable network booting

Folgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:

  • Haken bei: Enables network booting
  • Next-Server (IP Fog-Server): z. B. 10.1.1.1
  • Default BIOS file name: undionly.kpxe
  • UEFI 32 bit file name: ipxe32.efi
  • UEFI 64 bit file name: ipxe.efi
DHCP Static Mappings for this Interface

Sofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B. :

  • MAC Address: XX:XX:XX:XX:XX:XX
  • IP Address: 10.1.3.1
  • Hostname: PRN-EDV-3
  • Description: Drucker im Raum EDV 3

DHCP für LAN_MANAGEMENT und LAN_SERVER

Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.

Beispiel-Konfigurationen

Services/DHCPv4/LAN_MANAGEMENT
  • Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
  • Range: From 10.1.254.200 To 10.1.254.254
  • NTP Servers: 10.1.254.1 (IP OPNsense)
Services/DHCPv4/LAN_SERVER
  • Enable: Haken bei Enable DHCP server on the LAN_SERVER interface
  • Range: From 10.1.100.200 To 10.1.100.254
  • NTP Servers: 10.1.100.1