OPNsense/Shaper

Aus Foxwiki

Internetgeschwindigkeit

  • Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen.
  • Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern.

Firewall / Shaper / Settings / Pipes (Leitungen)

  1. Pipe (für die Angabe der Upload-Geschwindigkeit)Haken bei enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>mask: <leer lassen>description: z. B.: Pipe-Upload
  2. Pipe (für die Angabe der Download-Geschwindigkeit) Haken bei enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>mask: <leer lassen>description: z. B.: Pipe-Download

Firewall / Shaper / Settings / Queues (Warteschlangen)# Queue (für den Upload)Haken bei enabledpipe: <Upload-Pipe auswählen>weight: 100mask: sourcedescription: z. B.: Queue-Upload

  1. Queue (für den Download)Haken bei enabledpipe: <Download-Pipe auswählen>weight: 100mask: destinationdescription: z. B.: Queue-Download

Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)

  1. Rule (für den Upload)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>src-port: anydestination: anydst-port: anytarget: <Upload-Queue auswählen>description: z. B.: Rule-Upload
  2. Rule (für den Download)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: anysrc-port: anydestination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>dst-port: anytarget: <Download-Queue auswählen>description: z. B.: Rule-Download

Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.

Konfiguration des Proxy-Servers

  • Das Schulnetzkonzept geht davon aus, dass der Aufruf von Webseiten nur über den zwischengeschalteten Proxy möglich ist.
  • Nur dann können mithilfe des URL-Filters squidGuard (s. weiter unten) Webseitenaufrufe via Port 80 (http) bzw. Port 443 (https) effektiv gefiltert werden.
  • Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben.
  • Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.

Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):

  • Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
  • Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.

Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:

Services / Web Proxy / Administration* General Proxy Settings

    • Haken bei: Enable Proxy
    • Haken bei: Enable DNS v4 first
    • Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
  • Local Cache Settings
    • Haken bei: Enable local cache
    • Cache size in Megabytes: 10240
    • Haken bei: Enable Windows Update Cache (speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit. Dies verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, sofern Sie keinen eigenen WSUS-Server für Windows-Updates im Einsatz haben.)
  • General Forward Settings
    • Proxy Interfaces: LAN_CLIENTS
    • Proxy Port: 3128
    • Haken bei: Enable Transparent HTTP Proxy
    • Haken bei: Enable SSL inspection
    • Haken bei: Log SNI information only
    • SSL Proxy Port: 3129
    • CA to use: z. B.: schulnetz.intra-caSofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
      • System / Trust / Authorities → Add
        • Descriptive name: z. B. schulnetz.intra-ca
        • Method: Create an internal Certificate Authority
        • Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address