Kategorie:OPNsense/Schnittstellen

Aus Foxwiki
Version vom 21. Mai 2022, 11:59 Uhr von Dirkwagner (Diskussion | Beiträge) (Textersetzung - „:Netzwerke:Firewall“ durch „:Firewall“)

Netzwerkschnittstellen und grundlegende Firewall-Regeln

Beispielhafte Netzwerk-Planung

Die Anleitungen auf diesen Seiten gehen von nachfolgender beispielhafter Netzwerkkonfiguration aus. Diese kann selbstverständlich den eigenen Bedürfnissen angepasst werden.

Teilnetz (VLAN) VLAN Netzwerkteilnehmer IP/IP-Bereich
10.1.254.0/24 (10 - LAN MANAGEMENT) 10 untagged virtueller Adapter OPNsense-Interface LAN_MANAGEMENT 10.1.254.1
  10 untagged + 11 + 12 Switch-Port Management-Interface des Virtualisierungshosts 10.1.254.10
  10 untagged Switch-Port NAS zur Datensicherung 10.1.254.20
  10 untagged Switch-Port bzw. 10 untagged virtueller Adapter WLAN-Controller als Hardware bzw.WLAN-Controller als virtuelle Maschine 10.1.254.30
  10 untagged + 12 Switch-Port Access-Points zur Nutzung in LAN_CLIENTS 10.1.254.50 - 10.1.254.99
  10 untagged Switch-Port bzw.10 untagged virtueller Adapter DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients) 10.1.1.254.200 - 10.1.1.254.254
10.1.100.0/24 (11 - LAN_SERVER) 11 virtueller Adapter OPNsense-Interface LAN_SERVER 10.1.100.1
    OPNsense virtuelle IPs für HAProxy 10.1.100.2 - 10.1.100.3
  11 virtueller Adapter Samba-Server 10.1.100.7
  11 virtueller Adapter Nextcloud-Server 10.1.100.8
  11 untagged Switch-Port11 virtueller Adapter bzw. DHCP-Bereich (OPNsense: Hardware-Clients)DHCP-Bereich (OPNsense: virtuelle Clients) 10.1.100.200 - 10.1.100.254
10.1.0.0/20 (12 - LAN_CLIENTS) 12 virtueller Adapter OPNsense-Interface LAN_CLIENTS 10.1.0.1
  12 virtueller Adapter FOG-Server 10.1.1.1
  12 untagged Switch-Port bzw.12 virtueller Adapter DHCP-Bereich (OPNsense: Schüler-PCs, BYOD-Clients etc.)DHCP-Bereich (OPNsense: virtuelle Clients) 10.1.11.1 - 10.1.15.254

Hinweise:* Subnetzmaske und Standardgateway der Netzwerkteilnehmer ist die IP des jeweils zugehörigen OPNsense-Interfaces.

  • Aus Gründen der leichteren technischen Umsetzbarkeit sollte sich der FOG-Server im gleichen Teilnetz wie damit zu verwaltenden Clients befinden.
  • Auf eine klassische DMZ wurde bewusst verzichtet: besonders schützenswerte Netzwerkteilnehmer sind in eigenen Teilnetzen (LAN_MANAGEMENT und LAN_SERVER) untergebracht und mit entsprechenden Firewallregeln abgeschirmt. Für Schüler und Kollegen zugängliche Dienste sind sowohl von innerhalb als auch von außerhalb des Schulhauses nur über den HAProxy zugänglich.


Interfaces für die Teilnetze anlegen, zuweisen und konfigurieren

Sofern noch nicht geschehen müssen die virtuellen Netzwerkkarten von OPNsense unter Interfaces/Assignments Netzwerk-Interfaces zugewiesen werden. Folgende Interfaces werden benötigt:* LAN_MANAGEMENT

  • LAN_SERVER
  • LAN_CLIENTS
  • WAN


Im Detail werden die internen Netzwerkschnittstellen wie folgt konfiguriert:


Interfaces/LAN_MANAGEMENT* General Configuration
    • Haken bei "Enable interface"
    • Description: LAN_MANAGEMENT
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.254.1/24
    • IPv4 Upstream Gateway: Auto-detect


Interfaces/LAN_SERVER* General Configuration

    • Haken bei "Enable interface"
    • Description: LAN_SERVER
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.100.1/24
    • IPv4 Upstream Gateway: Auto-detect


Interfaces/LAN_CLIENTS* General Configuration

    • Haken bei "Enable interface"
    • Description: LAN_CLIENTS
    • IPv4 Configuration Type: static
  • Static IPv4 configuration
    • IPv4 address: 10.1.0.1/24
    • IPv4 Upstream Gateway: Auto-detect



Firewallregeln für LAN_MANAGEMENT und LAN_SERVER

Zunächst empfiehlt es sich, einen Alias für die beiden Netzwerke LAN_MANAGEMENT und LAN_SERVER anzulegen, da einige Regeln beide Netzwerke betreffen und man so die Tabelle der Firewallregeln kürzer und übersichtlicher halten kann:


Firewall/Aliases → Add* Name: LAN_MANAGEMENT_SERVER
  • Type: Networks
  • Content:
    • 10.1.100.0/24
    • 10.1.254.0/24



Die Netzwerke LAN_MANAGEMENT und LAN_SERVER sollen bis auf ggf. eingestellte Ausnahmen nicht vom Netzwerk LAN_CLIENTS aus zugänglich sein:


Firewall/Rules/LAN_CLIENTS → Add* Action: Reject
  • Interface: LAN_CLIENTS
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_CLIENTS net
  • Destination: LAN_MANAGEMENT_SERVER
  • Description: Reject all traffic to LAN_MANAGEMENT and LAN_SERVER



Die Kommunikation zwischen den Netzwerken LAN_MANAGEMENT und LAN_SERVER und von den beiden Netzwerken selbst wird uneingeschränkt ermöglicht:


Firewall/Rules/LAN_MANAGEMENT → Add* Action: Pass
  • Interface: LAN_MANAGEMENT
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_MANAGEMENT net
  • Destination: any
  • Description: Allow LAN_MANAGEMENT to any rule


Firewall/Rules/LAN_SERVER → Add* Action: Pass

  • Interface: LAN_SERVER
  • TCP/IP Version: IPv4+IPv6
  • Protocol: any
  • Source: LAN_SERVER net
  • Destination: any
  • Description: Allow LAN_SERVER to any rule



Hinweis: selbstverständlich können Sie die Kommunikation von LAN_MANAGEMENT und LAN_SERVER aus mit entsprechenden Regeln auch restriktiver gestalten.= Konfiguration des DHCP-Servers =

DHCP für LAN_CLIENTS

Damit im Schulnetz angeschlossene Clients IP-Adressen und weitere Netzwerkinformationen automatisiert zugewiesen bekommen, muss der DHCP-Server für LAN_CLIENTS aktiviert und konfiguriert werden.

Begeben Sie sich hierzu zu Services/DHCPv4/LAN_CLIENTS und tätigen Sie die folgenden Einstellungen:


General Options* Haken bei: Enable DHCP server on the LAN_CLIENTS interface
  • Range: z. B. From 10.1.11.1 To 10.1.11.254


NTPSofern Sie OPNsense als Zeitserver für angeschlossene Geräte nutzen wollen, hinterlegen Sie hier dessen IP-Adresse.* NTP Servers: z. B. 10.1.0.1


Enable network bootingFolgende Einstellungen sind zu tätigen, damit Clients bei PXE-Boot zum Fog-Server geleitet werden:* Haken bei: Enables network booting

  • Next-Server (IP Fog-Server): z. B. 10.1.1.1
  • Default BIOS file name: undionly.kpxe
  • UEFI 32 bit file name: ipxe32.efi
  • UEFI 64 bit file name: ipxe.efi


DHCP Static Mappings for this InterfaceSofern Sie statische IPs für Geräte im Netzwerk (z. B. Drucker) via DHCP vergeben wollen, finden Sie zunächst die entsprechende MAC-Adresse des Geräts heraus und erzeugen einen neuen statischen Eintrag durch Klick auf den das Plus-Symbol, z. B.:* MAC Address: XX:XX:XX:XX:XX:XX

  • IP Address: 10.1.3.1
  • Hostname: PRN-EDV-3
  • Description: Drucker im Raum EDV 3



DHCP für LAN_MANAGEMENT und LAN_SERVER

Auch wenn in den Subnetzen LAN_MANAGEMENT und LAN_SERVER überwiegend manuell festgelegte IP-Adressen anzutreffen sind, empfiehlt sich auch für diese, den DHCP-Server zu aktivieren, sodass mit angeschlossenen Clients schnell und unkompliziert eine erste Kommunikation aufgebaut werden kann.

Beispiel-Konfigurationen für DHCPv4 und LAN_MANAGEMENT bzw. LAN_SERVER


Services/DHCPv4/LAN_MANAGEMENT* Enable: Haken bei Enable DHCP server on the LAN_MANAGEMENTS interface
  • Range: From 10.1.254.200 To 10.1.254.254
  • NTP Servers: 10.1.254.1 (IP OPNsense)


Services/DHCPv4/LAN_SERVER* Enable: Haken bei Enable DHCP server on the LAN_SERVER interface

  • Range: From 10.1.100.200 To 10.1.100.254
  • NTP Servers: 10.1.100.1