OPNsense/Shaper: Unterschied zwischen den Versionen
| Zeile 52: | Zeile 52: | ||
= Konfiguration des Proxy-Servers = | = Konfiguration des Proxy-Servers = | ||
Das Schulnetzkonzept geht davon aus, dass Webaufrufe nur über den Proxy möglich sind. | |||
* | * So können Webseitenaufrufe via Port 80 (http) und 443 (https) gefiltert werden. | ||
** URL-Filter squidGuard | |||
* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben. | * Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben. | ||
* Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen. | ** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen. | ||
Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication): | Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication): | ||
| Zeile 63: | Zeile 64: | ||
Folgende Anpassungen an den Default-Einstellungen sind zu tätigen: | Folgende Anpassungen an den Default-Einstellungen sind zu tätigen: | ||
Services / Web Proxy / Administration* General Proxy Settings | Services / Web Proxy / Administration | ||
* General Proxy Settings | |||
** Haken bei: Enable Proxy | ** Haken bei: Enable Proxy | ||
** Haken bei: Enable DNS v4 first | ** Haken bei: Enable DNS v4 first | ||
** Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen. | ** Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen. | ||
* Local Cache Settings | * Local Cache Settings. | ||
** Haken bei | ** Haken bei Enable local cache | ||
** Cache size in Megabytes: 10240 | ** Cache size in Megabytes: 10240 | ||
** Haken bei: Enable Windows Update Cache | ** Haken bei: Enable Windows Update Cache | ||
*** Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit. | |||
*** Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden. | |||
* General Forward Settings | * General Forward Settings | ||
** Proxy Interfaces: LAN_CLIENTS | ** Proxy Interfaces: LAN_CLIENTS | ||
| Zeile 78: | Zeile 82: | ||
** Haken bei: Log SNI information only | ** Haken bei: Log SNI information only | ||
** SSL Proxy Port: 3129 | ** SSL Proxy Port: 3129 | ||
** CA to use: z. B.: schulnetz.intra- | ** CA to use: z. B.: schulnetz.intra-ca | ||
*** Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach: | |||
*** System / Trust / Authorities → Add | *** System / Trust / Authorities → Add | ||
**** Descriptive name: z. B. schulnetz.intra-ca | **** Descriptive name: z. B. schulnetz.intra-ca | ||
Version vom 14. Mai 2022, 20:40 Uhr
Internetgeschwindigkeit
- Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen.
- Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern.
Firewall / Shaper / Settings / Pipes (Leitungen)
- Pipe (für die Angabe der Upload-Geschwindigkeit). Haken bei
- enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>
- bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
- mask: <leer lassen>
- description: z. B.: Pipe-Upload
- Pipe (für die Angabe der Download-Geschwindigkeit). Haken bei
- enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>
- bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
- mask: <leer lassen>
- description: z. B.: Pipe-Download
Firewall / Shaper / Settings / Queues (Warteschlangen)
- Queue (für den Upload). Haken bei
- enabledpipe: <Upload-Pipe auswählen>
- weight: 100
- mask: source
- description: z. B.: Queue-Upload
- Queue (für den Download) Haken bei
- enabledpipe: <Download-Pipe auswählen>
- weight: 100
- mask: destination
- description: z. B.: Queue-Download
Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)
- Rule (für den Upload) Haken bei
- enabledsequenze: <vergibt das System automatisch>
- interface: WAN
- proto: ip
- source: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>
- src-port: any
- destination: any
- dst-port: any
- target: <Upload-Queue auswählen>
- description: z. B.: Rule-Upload
- Rule (für den Download) Haken bei
- enabled sequenze: <vergibt das System automatisch>
- interface: WAN
- proto: ip
- source: any
- src-port: any
- destination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>
- dst-port: any
- target: <Download-Queue auswählen>
- description: z. B.: Rule-Download
Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.
Konfiguration des Proxy-Servers
Das Schulnetzkonzept geht davon aus, dass Webaufrufe nur über den Proxy möglich sind.
- So können Webseitenaufrufe via Port 80 (http) und 443 (https) gefiltert werden.
- URL-Filter squidGuard
- Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben.
- Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
- Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
- Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
Services / Web Proxy / Administration
- General Proxy Settings
- Haken bei: Enable Proxy
- Haken bei: Enable DNS v4 first
- Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
- Local Cache Settings.
- Haken bei Enable local cache
- Cache size in Megabytes: 10240
- Haken bei: Enable Windows Update Cache
- Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
- Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
- General Forward Settings
- Proxy Interfaces: LAN_CLIENTS
- Proxy Port: 3128
- Haken bei: Enable Transparent HTTP Proxy
- Haken bei: Enable SSL inspection
- Haken bei: Log SNI information only
- SSL Proxy Port: 3129
- CA to use: z. B.: schulnetz.intra-ca
- Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
- System / Trust / Authorities → Add
- Descriptive name: z. B. schulnetz.intra-ca
- Method: Create an internal Certificate Authority
- Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address