OPNsense/Schnittstellen/tmp: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K Dirkwagner verschob die Seite OPNsense/Schnittstellen/TMP nach OPNsense/Schnittstellen/tmp, ohne dabei eine Weiterleitung anzulegen |
(kein Unterschied)
|
Version vom 16. Februar 2023, 23:32 Uhr
TMP
Netzwerk-Planung
Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus.
Teilnetz (VLAN) | VLAN | Netzwerkteilnehmer | IP/IP-Bereich |
10.1.254.0/24 (10 - LAN MANAGEMENT) | 10 untagged virtueller Adapter | OPNsense-Interface LAN_MANAGEMENT | 10.1.254.1 |
10 untagged + 11 + 12 Switch-Port | Management-Interface des Virtualisierungshosts | 10.1.254.10 | |
10 untagged Switch-Port | NAS zur Datensicherung | 10.1.254.20 | |
10 untagged Switch-Port bzw. 10 untagged virtueller Adapter | WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine | 10.1.254.30 | |
10 untagged + 12 Switch-Port | Access-Points zur Nutzung in LAN_CLIENTS | 10.1.254.50 - 10.1.254.99 | |
10 untagged Switch-Port bzw.10 untagged virtueller Adapter | DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients) | 10.1.1.254.200 - 10.1.1.254.254 | |
10.1.100.0/24 (11 - LAN_SERVER) | 11 virtueller Adapter | OPNsense-Interface LAN_SERVER | 10.1.100.1 |
OPNsense virtuelle IPs für HAProxy | 10.1.100.2 - 10.1.100.3 | ||
11 virtueller Adapter | Samba-Server | 10.1.100.7 | |
11 virtueller Adapter | Nextcloud-Server | 10.1.100.8 | |
11 untagged Switch-Port11 virtueller Adapter bzw. | DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients) | 10.1.100.200 - 10.1.100.254 | |
10.1.0.0/20 (12 - LAN_CLIENTS) | 12 virtueller Adapter | OPNsense-Interface LAN_CLIENTS | 10.1.0.1 |
12 virtueller Adapter | FOG-Server | 10.1.1.1 | |
12 untagged Switch-Port bzw.12 virtueller Adapter | DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients) | 10.1.11.1 - 10.1.15.254 |
- Hinweise
- Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.
- Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
- Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.
Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren
Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von OPNsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT
- LAN_SERVER
- LAN_CLIENTS
- WAN
Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:
Interfaces/LAN_MANAGEMENT
- General Configuration
- Haken bei "Enable interface"
- Description: LAN_MANAGEMENT
- IPv4 Configuration Type: static
- Static IPv4 configuration
- IPv4 address: 10.1.254.1/24
- IPv4 Upstream Gateway: Auto-detect
Interfaces/LAN_SERVER
- General Configuration
- Haken bei "Enable interface"
- Description: LAN_SERVER
- IPv4 Configuration Type: static
- Static IPv4 configuration
- IPv4 address: 10.1.100.1/24
- IPv4 Upstream Gateway: Auto-detect
Interfaces/LAN_CLIENTS
- General Configuration
- Haken bei "Enable interface"
- Description: LAN_CLIENTS
- IPv4 Configuration Type: static
- Static IPv4 configuration
- IPv4 address: 10.1.0.1/24
- IPv4 Upstream Gateway: Auto-detect
Firewallregeln für LAN_MANAGEMENT und LAN_SERVER
Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:
- Firewall/Aliases → Add
- Name: LAN_MANAGEMENT_SERVER
- Type: Networks
- Content:
- 10.1.100.0/24
- 10.1.254.0/24
Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:
- Firewall/Rules/LAN_CLIENTS → Add
- Action: Reject
- Interface: LAN_CLIENTS
- TCP/IP Version: IPv4+IPv6
- Protocol: any
- Source: LAN_CLIENTS net
- Destination: LAN_MANAGEMENT_SERVER
- Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER
Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:
- Firewall/Rules/LAN_MANAGEMENT → Add* Action
- Pass
- Interface: LAN_MANAGEMENT
- TCP/IP Version: IPv4+IPv6
- Protocol: any
- Source: LAN_MANAGEMENT net
- Destination: any
- Description: Allow LAN_MANAGEMENT to any rule
- Firewall/Rules/LAN_SERVER → Add
- Action: Pass
- Interface: LAN_SERVER
- TCP/IP Version: IPv4+IPv6
- Protocol: any
- Source: LAN_SERVER net
- Destination: any
- Description: Allow LAN_SERVER to any rule
Konfiguration des DHCP-Servers
DHCP für LAN_CLIENTS
Damit angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.
Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:
- General Options
- Haken bei: Enable DHCP server on the LAN_CLIENTS interface
- Range: z. B. From 10.1.11.1 To 10.1.11.254
- NTP
Sofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.
- NTP Servers: z. B. 10.1.0.1
- Enable network booting
Folgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:
- Haken bei: Enables network booting
- Next-Server (IP Fog-Server): z. B. 10.1.1.1
- Default BIOS file name: undionly.kpxe
- UEFI 32 bit file name: ipxe32.efi
- UEFI 64 bit file name: ipxe.efi
- DHCP Static Mappings for this Interface
Sofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:
- MAC Address: XX:XX:XX:XX:XX:XX
- IP Address: 10.1.3.1
- Hostname: PRN-EDV-3
- Description: Drucker im Raum EDV 3
DHCP für LAN_MANAGEMENT und LAN_SERVER
Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.
Beispiel-Konfigurationen
- Services/DHCPv4/LAN_MANAGEMENT
- Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
- Range: From 10.1.254.200 To 10.1.254.254
- NTP Servers: 10.1.254.1 (IP OPNsense)
- Services/DHCPv4/LAN_SERVER
- Enable: Haken bei Enable DHCP server on the LAN_SERVER interface
- Range: From 10.1.100.200 To 10.1.100.254
- NTP Servers: 10.1.100.1