OPNsense/Shaper: Unterschied zwischen den Versionen
KKeine Bearbeitungszusammenfassung |
|||
| Zeile 1: | Zeile 1: | ||
= Internetgeschwindigkeit = | = Internetgeschwindigkeit = | ||
Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen. Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern. | * Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen. | ||
* Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern. | |||
Firewall / Shaper / Settings / Pipes (Leitungen) | |||
# Pipe (für die Angabe der Upload-Geschwindigkeit)Haken bei enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>mask: <leer lassen>description: z. B.: Pipe-Upload | |||
# Pipe (für die Angabe der Download-Geschwindigkeit) Haken bei enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>mask: <leer lassen>description: z. B.: Pipe-Download | |||
Firewall / Shaper / Settings / Queues (Warteschlangen)# Queue (für den Upload)Haken bei enabledpipe: <Upload-Pipe auswählen>weight: 100mask: sourcedescription: z. B.: Queue-Upload | Firewall / Shaper / Settings / Queues (Warteschlangen)# Queue (für den Upload)Haken bei enabledpipe: <Upload-Pipe auswählen>weight: 100mask: sourcedescription: z. B.: Queue-Upload | ||
# Queue (für den Download)Haken bei enabledpipe: <Download-Pipe auswählen>weight: 100mask: destinationdescription: z. B.: Queue-Download | # Queue (für den Download)Haken bei enabledpipe: <Download-Pipe auswählen>weight: 100mask: destinationdescription: z. B.: Queue-Download | ||
Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung) | |||
# Rule (für den Upload)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>src-port: anydestination: anydst-port: anytarget: <Upload-Queue auswählen>description: z. B.: Rule-Upload | |||
Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)# Rule (für den Upload)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>src-port: anydestination: anydst-port: anytarget: <Upload-Queue auswählen>description: z. B.: Rule-Upload | |||
# Rule (für den Download)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: anysrc-port: anydestination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>dst-port: anytarget: <Download-Queue auswählen>description: z. B.: Rule-Download | # Rule (für den Download)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: anysrc-port: anydestination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>dst-port: anytarget: <Download-Queue auswählen>description: z. B.: Rule-Download | ||
Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä. | |||
= Konfiguration des Proxy-Servers = | |||
* Das Schulnetzkonzept geht davon aus, dass der Aufruf von Webseiten nur über den zwischengeschalteten Proxy möglich ist. | |||
* Nur dann können mithilfe des URL-Filters squidGuard (s. weiter unten) Webseitenaufrufe via Port 80 (http) bzw. Port 443 (https) effektiv gefiltert werden. | |||
* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben. | |||
* Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen. | |||
Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication): | |||
* Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt. | |||
* Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden. | |||
Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication): Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt. Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden. | |||
Folgende Anpassungen an den Default-Einstellungen sind zu tätigen: | Folgende Anpassungen an den Default-Einstellungen sind zu tätigen: | ||
Services / Web Proxy / Administration* General Proxy Settings | |||
** Haken bei: Enable Proxy | ** Haken bei: Enable Proxy | ||
** Haken bei: Enable DNS v4 first | ** Haken bei: Enable DNS v4 first | ||
| Zeile 53: | Zeile 48: | ||
**** Method: Create an internal Certificate Authority | **** Method: Create an internal Certificate Authority | ||
**** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address | **** Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address | ||
[[Category:Netzwerke:Router]] | [[Category:Netzwerke:Router]] | ||
[[Category:Netzwerke:Firewall]] | [[Category:Netzwerke:Firewall]] | ||
Version vom 14. Mai 2022, 20:15 Uhr
Internetgeschwindigkeit
- Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen.
- Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern.
Firewall / Shaper / Settings / Pipes (Leitungen)
- Pipe (für die Angabe der Upload-Geschwindigkeit)Haken bei enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>mask: <leer lassen>description: z. B.: Pipe-Upload
- Pipe (für die Angabe der Download-Geschwindigkeit) Haken bei enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>mask: <leer lassen>description: z. B.: Pipe-Download
Firewall / Shaper / Settings / Queues (Warteschlangen)# Queue (für den Upload)Haken bei enabledpipe: <Upload-Pipe auswählen>weight: 100mask: sourcedescription: z. B.: Queue-Upload
- Queue (für den Download)Haken bei enabledpipe: <Download-Pipe auswählen>weight: 100mask: destinationdescription: z. B.: Queue-Download
Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)
- Rule (für den Upload)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>src-port: anydestination: anydst-port: anytarget: <Upload-Queue auswählen>description: z. B.: Rule-Upload
- Rule (für den Download)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: anysrc-port: anydestination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>dst-port: anytarget: <Download-Queue auswählen>description: z. B.: Rule-Download
Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.
Konfiguration des Proxy-Servers
- Das Schulnetzkonzept geht davon aus, dass der Aufruf von Webseiten nur über den zwischengeschalteten Proxy möglich ist.
- Nur dann können mithilfe des URL-Filters squidGuard (s. weiter unten) Webseitenaufrufe via Port 80 (http) bzw. Port 443 (https) effektiv gefiltert werden.
- Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben.
- Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
- Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
- Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
Services / Web Proxy / Administration* General Proxy Settings
- Haken bei: Enable Proxy
- Haken bei: Enable DNS v4 first
- Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
- Local Cache Settings
- Haken bei: Enable local cache
- Cache size in Megabytes: 10240
- Haken bei: Enable Windows Update Cache (speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit. Dies verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, sofern Sie keinen eigenen WSUS-Server für Windows-Updates im Einsatz haben.)
- General Forward Settings
- Proxy Interfaces: LAN_CLIENTS
- Proxy Port: 3128
- Haken bei: Enable Transparent HTTP Proxy
- Haken bei: Enable SSL inspection
- Haken bei: Log SNI information only
- SSL Proxy Port: 3129
- CA to use: z. B.: schulnetz.intra-caSofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
- System / Trust / Authorities → Add
- Descriptive name: z. B. schulnetz.intra-ca
- Method: Create an internal Certificate Authority
- Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address
- System / Trust / Authorities → Add