OPNsense/Shaper
Internetgeschwindigkeit
- Durch den Shaper kann OPNsense im Sinne des Quality of Service (QoS) die zur Verfügung stehende Internetbandbreite bestmöglich ausnutzen.
- Folgender Ansatz zeigt eine Gleichverteilung der zur Verfügung stehenden Bandbreite unter allen Netzwerkteilnehmern.
Firewall / Shaper / Settings / Pipes (Leitungen)
- Pipe (für die Angabe der Upload-Geschwindigkeit)Haken bei enabledbandwidth: <hier die Uploadgeschwindigkeit Ihrer Internetleitung angeben>bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>mask: <leer lassen>description: z. B.: Pipe-Upload
- Pipe (für die Angabe der Download-Geschwindigkeit) Haken bei enabledbandwidth: <hier die Downloadgeschwindigkeit Ihrer Internetleitung angeben>bandwith Metric: <hier die richtige Einheit für die oben angegebene Geschwindigkeit angeben>mask: <leer lassen>description: z. B.: Pipe-Download
Firewall / Shaper / Settings / Queues (Warteschlangen)# Queue (für den Upload)Haken bei enabledpipe: <Upload-Pipe auswählen>weight: 100mask: sourcedescription: z. B.: Queue-Upload
- Queue (für den Download)Haken bei enabledpipe: <Download-Pipe auswählen>weight: 100mask: destinationdescription: z. B.: Queue-Download
Firewall / Shaper / Settings / Rules (Regeln für die Bandbreitenverwendung)
- Rule (für den Upload)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>src-port: anydestination: anydst-port: anytarget: <Upload-Queue auswählen>description: z. B.: Rule-Upload
- Rule (für den Download)Haken bei enabledsequenze: <vergibt das System automatisch>interface: WANproto: ipsource: anysrc-port: anydestination: <hier das Schulnetzwerk mit Subnetzmaske angeben, z. B.: 10.1.0.0/20>dst-port: anytarget: <Download-Queue auswählen>description: z. B.: Rule-Download
Für den Shaper sind zahlreiche andere Einstellungsmöglichkeiten denkbar - z. B. für die Priorisierung von Voice-Over-IP-Telefonaten o. ä.
Konfiguration des Proxy-Servers
- Das Schulnetzkonzept geht davon aus, dass der Aufruf von Webseiten nur über den zwischengeschalteten Proxy möglich ist.
- Nur dann können mithilfe des URL-Filters squidGuard (s. weiter unten) Webseitenaufrufe via Port 80 (http) bzw. Port 443 (https) effektiv gefiltert werden.
- Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wir dieser im transparenten Modus betrieben.
- Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication):
- Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
- Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
Folgende Anpassungen an den Default-Einstellungen sind zu tätigen:
Services / Web Proxy / Administration* General Proxy Settings
- Haken bei: Enable Proxy
- Haken bei: Enable DNS v4 first
- Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
- Local Cache Settings
- Haken bei: Enable local cache
- Cache size in Megabytes: 10240
- Haken bei: Enable Windows Update Cache (speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit. Dies verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, sofern Sie keinen eigenen WSUS-Server für Windows-Updates im Einsatz haben.)
- General Forward Settings
- Proxy Interfaces: LAN_CLIENTS
- Proxy Port: 3128
- Haken bei: Enable Transparent HTTP Proxy
- Haken bei: Enable SSL inspection
- Haken bei: Log SNI information only
- SSL Proxy Port: 3129
- CA to use: z. B.: schulnetz.intra-caSofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
- System / Trust / Authorities → Add
- Descriptive name: z. B. schulnetz.intra-ca
- Method: Create an internal Certificate Authority
- Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address
- System / Trust / Authorities → Add