Kategorie:OPNsense/Schnittstellen: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
K Textersetzung - „OPNsense“ durch „Opnsense“
Zeile 58: Zeile 58:
|| 10.1.254.0/24 (10 - LAN MANAGEMENT)
|| 10.1.254.0/24 (10 - LAN MANAGEMENT)
|| 10 untagged virtueller Adapter
|| 10 untagged virtueller Adapter
|| OPNsense-Interface LAN_MANAGEMENT
|| Opnsense-Interface LAN_MANAGEMENT
|| 10.1.254.1
|| 10.1.254.1
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
|- style="background-color:#99cccc;border:none;padding:0.049cm;"
Zeile 83: Zeile 83:
||   
||   
|| 10 untagged Switch-Port bzw.10 untagged virtueller Adapter
|| 10 untagged Switch-Port bzw.10 untagged virtueller Adapter
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| DHCP-Bereich (Opnsense: Hardware-Clients)DHCP-Bereich (Opnsense: virtuelle Clients)
|| 10.1.1.254.200 - 10.1.1.254.254
|| 10.1.1.254.200 - 10.1.1.254.254
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|| 10.1.100.0/24 (11 - LAN_SERVER)
|| 10.1.100.0/24 (11 - LAN_SERVER)
|| 11 virtueller Adapter
|| 11 virtueller Adapter
|| OPNsense-Interface LAN_SERVER
|| Opnsense-Interface LAN_SERVER
|| 10.1.100.1
|| 10.1.100.1
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
||   
||   
||   
||   
|| OPNsense virtuelle IPs für HAProxy
|| Opnsense virtuelle IPs für HAProxy
|| 10.1.100.2 - 10.1.100.3
|| 10.1.100.2 - 10.1.100.3
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
|- style="background-color:#cc9999;border:none;padding:0.049cm;"
Zeile 108: Zeile 108:
||   
||   
|| 11 untagged Switch-Port11 virtueller Adapter bzw.
|| 11 untagged Switch-Port11 virtueller Adapter bzw.
|| DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients)
|| DHCP-Bereich (Opnsense: Hardware-Clients)DHCP-Bereich (Opnsense: virtuelle Clients)
|| 10.1.100.200 - 10.1.100.254
|| 10.1.100.200 - 10.1.100.254
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|| 10.1.0.0/20 (12 - LAN_CLIENTS)
|| 10.1.0.0/20 (12 - LAN_CLIENTS)
|| 12 virtueller Adapter
|| 12 virtueller Adapter
|| OPNsense-Interface LAN_CLIENTS
|| Opnsense-Interface LAN_CLIENTS
|| 10.1.0.1
|| 10.1.0.1
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
|- style="background-color:#ffffcc;border:none;padding:0.049cm;"
Zeile 123: Zeile 123:
||   
||   
|| 12 untagged Switch-Port bzw.12 virtueller Adapter
|| 12 untagged Switch-Port bzw.12 virtueller Adapter
|| DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients)
|| DHCP-Bereich (Opnsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (Opnsense: virtuelle Clients)
|| 10.1.11.1 - 10.1.15.254
|| 10.1.11.1 - 10.1.15.254
|-
|-
Zeile 129: Zeile 129:


; Hinweise
; Hinweise
* Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.  
* Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen Opnsense-Interfaces.  
* Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.  
* Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.  
* Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.
* Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.


== Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren ==
== Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren ==
Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von OPNsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT  
Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von Opnsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT  
* LAN_SERVER  
* LAN_SERVER  
* LAN_CLIENTS  
* LAN_CLIENTS  
Zeile 219: Zeile 219:


;NTP
;NTP
Sofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.
Sofern Sie Opnsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.
* NTP Servers: z. B. 10.1.0.1  
* NTP Servers: z. B. 10.1.0.1  


Zeile 244: Zeile 244:
* Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface  
* Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface  
* Range: From 10.1.254.200 To 10.1.254.254  
* Range: From 10.1.254.200 To 10.1.254.254  
* NTP Servers: 10.1.254.1 (IP OPNsense)  
* NTP Servers: 10.1.254.1 (IP Opnsense)  


; Services/DHCPv4/LAN_SERVER
; Services/DHCPv4/LAN_SERVER

Version vom 9. September 2022, 22:56 Uhr

topic kurze Beschreibung

Beschreibung

Installation

Anwendungen

Fehlerbehebung

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Konfiguration

Dateien

Sicherheit

Dokumentation

RFC

Man-Pages

Info-Pages

Siehe auch

Links

Projekt-Homepage

Weblinks

Einzelnachweise

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5

TMP

Netzwerk-Planung

Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus.

Teilnetz (VLAN) VLAN Netzwerkteilnehmer IP/IP-Bereich
10.1.254.0/24 (10 - LAN MANAGEMENT) 10 untagged virtueller Adapter Opnsense-Interface LAN_MANAGEMENT 10.1.254.1
10 untagged + 11 + 12 Switch-Port Management-Interface des Virtualisierungshosts 10.1.254.10
10 untagged Switch-Port NAS zur Datensicherung 10.1.254.20
10 untagged Switch-Port bzw. 10 untagged virtueller Adapter WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine 10.1.254.30
10 untagged + 12 Switch-Port Access-Points zur Nutzung in LAN_CLIENTS 10.1.254.50 - 10.1.254.99
10 untagged Switch-Port bzw.10 untagged virtueller Adapter DHCP-Bereich (Opnsense: Hardware-Clients)DHCP-Bereich (Opnsense: virtuelle Clients) 10.1.1.254.200 - 10.1.1.254.254
10.1.100.0/24 (11 - LAN_SERVER) 11 virtueller Adapter Opnsense-Interface LAN_SERVER 10.1.100.1
Opnsense virtuelle IPs für HAProxy 10.1.100.2 - 10.1.100.3
11 virtueller Adapter Samba-Server 10.1.100.7
11 virtueller Adapter Nextcloud-Server 10.1.100.8
11 untagged Switch-Port11 virtueller Adapter bzw. DHCP-Bereich (Opnsense: Hardware-Clients)DHCP-Bereich (Opnsense: virtuelle Clients) 10.1.100.200 - 10.1.100.254
10.1.0.0/20 (12 - LAN_CLIENTS) 12 virtueller Adapter Opnsense-Interface LAN_CLIENTS 10.1.0.1
12 virtueller Adapter FOG-Server 10.1.1.1
12 untagged Switch-Port bzw.12 virtueller Adapter DHCP-Bereich (Opnsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (Opnsense: virtuelle Clients) 10.1.11.1 - 10.1.15.254
Hinweise
  • Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen Opnsense-Interfaces.
  • Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
  • Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.

Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren

Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von Opnsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT

  • LAN_SERVER
  • LAN_CLIENTS
  • WAN

Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:

Interfaces/LAN_MANAGEMENT

  • General Configuration
    • Haken bei "Enable interface"
    • Description: LAN_MANAGEMENT
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.254.1/24
    • IPv4 Upstream Gateway: Auto-detect

Interfaces/LAN_SERVER

  • General Configuration
    • Haken bei "Enable interface"
    • Description: LAN_SERVER
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.100.1/24
    • IPv4 Upstream Gateway: Auto-detect

Interfaces/LAN_CLIENTS

  • General Configuration
    • Haken bei "Enable interface"
    • Description: LAN_CLIENTS
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.0.1/24
    • IPv4 Upstream Gateway: Auto-detect

Firewallregeln für LAN_MANAGEMENT und LAN_SERVER

Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:

Firewall/Aliases → Add
  • Name: LAN_MANAGEMENT_SERVER
  • Type: Networks
  • Content:
    • 10.1.100.0/24
    • 10.1.254.0/24

Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:

Firewall/Rules/LAN_CLIENTS → Add
  • Action: Reject
  • Interface: LAN_CLIENTS
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_CLIENTS net
  • Destination: LAN_MANAGEMENT_SERVER
  • Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER

Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:

Firewall/Rules/LAN_MANAGEMENT → Add* Action
Pass
  • Interface: LAN_MANAGEMENT
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_MANAGEMENT net
  • Destination: any
  • Description: Allow LAN_MANAGEMENT to any rule
Firewall/Rules/LAN_SERVER → Add
  • Action: Pass
  • Interface: LAN_SERVER
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_SERVER net
  • Destination: any
  • Description: Allow LAN_SERVER to any rule

Konfiguration des DHCP-Servers

DHCP für LAN_CLIENTS

Damit angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.

Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:

General Options
  • Haken bei: Enable DHCP server on the LAN_CLIENTS interface
  • Range: z. B. From 10.1.11.1 To 10.1.11.254
NTP

Sofern Sie Opnsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.

  • NTP Servers: z. B. 10.1.0.1
Enable network booting

Folgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:

  • Haken bei: Enables network booting
  • Next-Server (IP Fog-Server): z. B. 10.1.1.1
  • Default BIOS file name: undionly.kpxe
  • UEFI 32 bit file name: ipxe32.efi
  • UEFI 64 bit file name: ipxe.efi
DHCP Static Mappings for this Interface

Sofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:

  • MAC Address: XX:XX:XX:XX:XX:XX
  • IP Address: 10.1.3.1
  • Hostname: PRN-EDV-3
  • Description: Drucker im Raum EDV 3

DHCP für LAN_MANAGEMENT und LAN_SERVER

Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.

Beispiel-Konfigurationen

Services/DHCPv4/LAN_MANAGEMENT
  • Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
  • Range: From 10.1.254.200 To 10.1.254.254
  • NTP Servers: 10.1.254.1 (IP Opnsense)
Services/DHCPv4/LAN_SERVER
  • Enable: Haken bei Enable DHCP server on the LAN_SERVER interface
  • Range: From 10.1.100.200 To 10.1.100.254
  • NTP Servers: 10.1.100.1