OPNsense/Shaper: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 5: Zeile 5:
Firewall / Shaper / Settings / Pipes (Leitungen)
Firewall / Shaper / Settings / Pipes (Leitungen)
# Pipe (für die Angabe der Upload-Geschwindigkeit). Haken bei  
# Pipe (für die Angabe der Upload-Geschwindigkeit). Haken bei  
* enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>  
#* enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>  
* bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
#* bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
* mask: <leer lassen>
#* mask: <leer lassen>
* description: z. B.: Pipe-Upload  
#* description: z. B.: Pipe-Upload  
# Pipe (für die Angabe der Download-Geschwindigkeit). Haken bei  
# Pipe (für die Angabe der Download-Geschwindigkeit). Haken bei  
* enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>
#* enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>
* bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
#* bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
* mask: <leer lassen>
#* mask: <leer lassen>
* description: z. B.: Pipe-Download  
#* description: z. B.: Pipe-Download  


Firewall / Shaper / Settings / Queues (Warteschlangen)
Firewall / Shaper / Settings / Queues (Warteschlangen)
# Queue (für den Upload). Haken bei  
# Queue (für den Upload). Haken bei  
* enabledpipe: <Upload-Pipe auswählen>
#* enabledpipe: <Upload-Pipe auswählen>
* weight: 100
#* weight: 100
* mask: source
#* mask: source
* description: z. B.: Queue-Upload  
#* description: z. B.: Queue-Upload  
# Queue (für den Download) Haken bei  
# Queue (für den Download) Haken bei  
* enabledpipe: <Download-Pipe auswählen>
#* enabledpipe: <Download-Pipe auswählen>
* weight: 100
#* weight: 100
* mask: destination
#* mask: destination
* description: z. B.: Queue-Download  
#* description: z. B.: Queue-Download  


Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)
Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)
# Rule (für den Upload)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>src-port: anydestination: anydst-port: anytarget: <Upload-Queue auswählen>description: z. B.: Rule-Upload  
# Rule (für den Upload) Haken bei  
# Rule (für den Download)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: anysrc-port: anydestination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>dst-port: anytarget: <Download-Queue auswählen>description: z. B.: Rule-Download  
#* enabledsequenze: <vergibt das System automatisch>
#* interface: WAN
#* proto: ip
#* source: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>
#* src-port: any
#* destination: any
#* dst-port: any
#* target: <Upload-Queue auswählen>
#* description: z. B.: Rule-Upload  
# Rule (für den Download) Haken bei  
#* enabled sequenze: <vergibt das System automatisch>
#* interface: WAN
#* proto: ip
#* source: any
#* src-port: any
#* destination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>
#* dst-port: any
#* target: <Download-Queue auswählen>
#* description: z. B.: Rule-Download  


Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.
Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.

Version vom 14. Mai 2022, 20:22 Uhr

Internetgeschwindigkeit

  • Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen.
  • Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern.

Firewall / Shaper / Settings / Pipes (Leitungen)

  1. Pipe (für die Angabe der Upload-Geschwindigkeit). Haken bei
    • enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>
    • bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
    • mask: <leer lassen>
    • description: z. B.: Pipe-Upload
  2. Pipe (für die Angabe der Download-Geschwindigkeit). Haken bei
    • enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>
    • bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>
    • mask: <leer lassen>
    • description: z. B.: Pipe-Download

Firewall / Shaper / Settings / Queues (Warteschlangen)

  1. Queue (für den Upload). Haken bei
    • enabledpipe: <Upload-Pipe auswählen>
    • weight: 100
    • mask: source
    • description: z. B.: Queue-Upload
  2. Queue (für den Download) Haken bei
    • enabledpipe: <Download-Pipe auswählen>
    • weight: 100
    • mask: destination
    • description: z. B.: Queue-Download

Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)

  1. Rule (für den Upload) Haken bei
    • enabledsequenze: <vergibt das System automatisch>
    • interface: WAN
    • proto: ip
    • source: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>
    • src-port: any
    • destination: any
    • dst-port: any
    • target: <Upload-Queue auswählen>
    • description: z. B.: Rule-Upload
  2. Rule (für den Download) Haken bei
    • enabled sequenze: <vergibt das System automatisch>
    • interface: WAN
    • proto: ip
    • source: any
    • src-port: any
    • destination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>
    • dst-port: any
    • target: <Download-Queue auswählen>
    • description: z. B.: Rule-Download

Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.

Konfiguration des Proxy-Servers

  • Das Schulnetzkonzept geht davon aus, dass der Aufruf von Webseiten nur über den zwischengeschalteten Proxy möglich ist.
  • Nur dann können mithilfe des URL-Filters squidGuard (s. weiter unten) Webseitenaufrufe via Port 80 (http) bzw. Port 443 (https) effektiv gefiltert werden.
  • Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben.
  • Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.

Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):

  • Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
  • Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.

Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:

Services / Web Proxy / Administration* General Proxy Settings

    • Haken bei: Enable Proxy
    • Haken bei: Enable DNS v4 first
    • Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
  • Local Cache Settings
    • Haken bei: Enable local cache
    • Cache size in Megabytes: 10240
    • Haken bei: Enable Windows Update Cache (speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit. Dies verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, sofern Sie keinen eigenen WSUS-Server für Windows-Updates im Einsatz haben.)
  • General Forward Settings
    • Proxy Interfaces: LAN_CLIENTS
    • Proxy Port: 3128
    • Haken bei: Enable Transparent HTTP Proxy
    • Haken bei: Enable SSL inspection
    • Haken bei: Log SNI information only
    • SSL Proxy Port: 3129
    • CA to use: z. B.: schulnetz.intra-caSofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
      • System / Trust / Authorities → Add
        • Descriptive name: z. B. schulnetz.intra-ca
        • Method: Create an internal Certificate Authority
        • Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address