Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OPNsense test

Mitglied: the-last-gentleman-jack

the-last-gentleman-jack (Level 1) - Jetzt verbinden

24.10.2017 um 15:54 Uhr, 3392 Aufrufe, 5 Kommentare

Moin Moin,

ich habe vor einiger Zeit versucht OPNsense zum laufen zu bringen.. war aber nicht erfolgreich und wollte jetzt noch mal von vorne beginnen. Aber ich habe das beklemmende Gefühl, ich brauche Hilfe.
Da ich aber letztes mal im Labyrinth der Einstellungen versunken bin, wollte ich dieses mal mir die Hilfe gleich holen bevor es für alles zu spät ist =) villeicht mag ein Mentor mich auf meiner Reise unterstützen. ^^

Mein Ziel: Ein Captive Portal zwischen MANAGEMENT und dem Internet zu errichten damit sich die leute via Voucher Zugriff verschaffen können.
OPNsense und linux lasse ich über virtual box laufen.


Zu OPNsense

3 Schnittstellen:
- LAN (192.168.1.0/24) [VB: em0 hostonly]
- MANAGEMENT (192.168.200.0/24)[VB: em2 Internes Netzwerk "intern-0009" promiscuous mode deny]
- WAN (home netzwerk 192.168.5.0/24)[VB:em0 netzwerkbrücke]

DHCP:
- pool: 192.168.200.150 - 200
- dns server : 192.168.5.13

zu Linux:
- puppi linux [VB: Internes Netzwerk "intern-0009" promiscuous mode deny]
- auto dhcp (ifconfig: 192.168.200.150/24 , dns 192.168.5.13 , gateway 192.168.200.1)


mein Ansatz so weit wäre:
das ich von dem rechner, (auf dem VirtualBox läuft), mit den Host-Only adapter über 192.168.1.1 auf die OPNsense GUI zugreifen kann. (klappt auch)
Die Linux-VM sich via DHCP eine adresse beschafft. (geht auch)

SO WEIT SO GUT =)

jetzt sind für mich aber einige Ungereimtheiten aufgetaucht, die ich einfach mal versuche zu schildern.
- wenn ich jetzt über das Terminal versuche die MANAGEMENT schnittstelle zu pingen funktioniert es nicht ... dhcp schon !??!

opn adapter 1 und 2 - Klicke auf das Bild, um es zu vergrößern
internes netzwerk 0009 - Klicke auf das Bild, um es zu vergrößern
ifconfig - Klicke auf das Bild, um es zu vergrößern



PS: danke, für das investieren deiner Zeit für mein Problem, im vorraus. fals Du noch irgend welche Infos über OPN brauchst, zu meinen aktuellen Einstellungen, werde ich versuche diese so schell wie möglich zu dokumentieren. =)

(zum Abschluss noch ein paar Bilder bei den ich nicht wusste wohin damit [deaktiviertes captive portal, routen, management schnittstelle] =)


routs - Klicke auf das Bild, um es zu vergrößern
captive portal mgnt - Klicke auf das Bild, um es zu vergrößern
management - Klicke auf das Bild, um es zu vergrößern


Edit: ich hoffe ich habe das richtige Thema erwischt *~*


Mitglied: aqui
24.10.2017, aktualisiert um 16:17 Uhr
Wenn du den hiesigen Tutorials dazu folgst sollte das Setup ein Kinderspiel sein:
Für die Firewall an sich:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
und für das Captive Portal:
https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
Da Opensense ein 100%iger Fork zur pfSense ist sind die gesamten ToDos vollkommen identisch.

Was die Zuordnung der VM Schnittstellen anbetrifft in einer VM hast du ja folgende Voraussetzungen:
  • Der Hostadapter ist vollkommen isoliert nach außen, geht also nur vom Hypervisor (Linux) zur VM. Vermutlich soll der Management Port dann auch nur für den Konfig Zugriff da sein, richtig ?
  • Deine beiden anderen Schnittstellen an der Firewall VM wie Lokales LAN und Internet Port (WAN) musst du ja irgendwie isoliert auf externe NICs am Hypervisor mappen.
In der Regel macht man das immer mit dem Bridge Mode so das du diese 2 Firewall Schnittstellen der VM auf 2 externe NICs des Hypervisors mappst.
2 NICs solltest du also mindestens im Hypervisor Rechner dafür haben.
Wenn das nur ein Test sein soll, dann kann man das interne LAN Interface der FW natürlich auch auf ein internes Netzwerk isolieren. Hier musst du dann noch eine VM mit einem Client PC einhängen.
In dem Falle würde dann auch eine einzelne NIC reiche an die müsste man dann den WAN/Internet Port mit einer Bridge anhängen.
Ist der WAN Port dann als DHCP Client konfiguriert zieht er sich vom lokalen Router eine IP, Default Gateway und DNS Server.
Dann sähe das So aus:
VM WAN Port = Bridge auf Hypervisor NIC = Port zieht sich aus dem lokalen LAN auch eine .5.x IP
VM LAN Port = Isoliertes LAN in der VM = Simuliert das lokale LAN an der Firewall
VM Management = Host Adapter = Isolierte Verbindung Hypervisor VM = nur Konfig Zugriff.

Nur nebenbei: Eine Firewall gehört eigentlich niemals in eine VM aus Sicherheitsgründen. Zum testen im Labor ist das natürlich OK.
Bitte warten ..
Mitglied: ChriBo
LÖSUNG 25.10.2017 um 08:24 Uhr
Hi,
- wenn ich jetzt über das Terminal versuche die MANAGEMENT schnittstelle zu pingen funktioniert es nicht
Welche Firewall Regeln hast du auf der MANAGEMENT Schnittstelle ?
Wenn MANAGEMENT ursprünglich OPT1 war, hat sie bei default keine Regel (-> deny all).
Erstelle mal eine allow all Regel und aktiviere Logging.

CH
Bitte warten ..
Mitglied: aqui
25.10.2017 um 10:09 Uhr
Welche Firewall Regeln hast du auf der MANAGEMENT Schnittstelle ?
Guter Punkt !

Oft vergisst man das alle NICHT LAN Ports allen Traffic blockieren wie es ja bei Firewalls immer üblich ist.
In der Default Konfiguration ist bei Opensense und auch pfSense nur der LAN Port mit einer Default any zu any Regel versehen die Traffic passieren lässt.
Alle anderen Ports blockiewren per Dewfault jeglichen Traffic und lassen ihn erst passieren wenn eine entsprechende Regel dort konfiguriert ist !
Bitte warten ..
Mitglied: the-last-gentleman-jack
26.10.2017, aktualisiert um 15:02 Uhr
Oh ja .. hab jetzt auf dem MANAGEMENT die Firewall überarbeitet mit einer any - any Regel .. jetzt funktioniert es auch (blutige Anfänger mal wieder =)

da ich von der linux maschiene auch ins Internet gehen würde, habe ich ja die Routen angelegt(0.0.0.0/0 konte man nicht eintragen da bin ich auf folgendes ausgewichen =):
routs - Klicke auf das Bild, um es zu vergrößern

da das auch nicht funktioniert, frag ich mich: ob das überhaupt richtig ist bzw. brauch ich überhaupt eine Route? da es für die eigene Schnittstelle des selben Gerätes ist ...


Welche Firewall Regeln hast du auf der MANAGEMENT Schnittstelle ?
firewall_management - Klicke auf das Bild, um es zu vergrößern
WAN:
firewall_wan - Klicke auf das Bild, um es zu vergrößern


Danke ! =)
Edit: (an euch beide =)
Bitte warten ..
Mitglied: aqui
26.10.2017 um 15:15 Uhr
da ich von der linux maschiene auch ins Internet gehen würde
Mit "Linux Maschine meinst du den Hypervisor also da wo die Virtual Box rennt ??
Da wären dann Routen völliger Quatsch weil diese >Maschine ihre IP und default Route ja vom Internet Router bekommt.
Wenn nicht hast du ja eine statische IP mit default Gateway konfiguriert. Zusätzliche Routen braucht der Hypervisor logischerweise nicht.
Analog die Firewall am WAN Port die sich entweder alles per DHCP zeiht vom Internet Router oder du es statisch konfigurierst.
brauch ich überhaupt eine Route?
Nein !
Im Gegenteil: Das ist kontraproduktiv !

Deine Firewall Regeln haben noch ein paar Fehler....
1.) LAN Port
Es ist Quatsch das Management LAN nochmal separat anzugeben wenn du davor eine Scheunentor Regel hast * die alle Netze erlaubt.
Da immer die Grundregel gilt: First match wins wird die überflüssige Extra Regel mit dem dedizierten Management Netz nie greifen.
Den Unsinn kannst du also besser löschen.
2.) WAN Port
Da du die Firewall ja in einer NAT Router Kaskade mit dem Internet Router betreibst solltest du hier dein internes Netzwerk immer erlauben mit der ersten Regel !
Die pfSense hat dafür einen Haken "Allow private RFC 1918 IP networks" was das erledigt am Interface.
Keine Aknung oder der Opensense Fork das auch hat.
Ansonsten solltest du in deiner Testkonfig eine ALLOW Regel erstellen die das lokale Netz am WAN Port (Source) auf die WAN Port IP (Destination) mit Protocoll ANY erlaubt.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Latency test
Frage von homermgRouter & Routing6 Kommentare

Hey Leute, mal ein kurze Frage, einer unserer Lieferanten hat mich wegen ein paar Performance Problemen geben gegen seine ...

Voice over IP
VOIP Test Tool
Frage von leon123Voice over IP31 Kommentare

Hallo zusammen, wir sind auf eine IP-Telefonanlage (Starface) umgestiegen. Leider haben wir immer noch Probleme mit der Telefonie. Es ...

Netzwerkprotokolle
Wireshark Websocket-Test Fragmentierung
Frage von socketfreakNetzwerkprotokolle

Hallo zusammen, und zwar teste ich mit Wireshark eine Websocketverbindung. Dazu verwende ich meinen lokalen Rechner als Client und ...

Exchange Server
Exchange 2013 "test-port"
Frage von Stefan007Exchange Server3 Kommentare

Hi, ich will heute mal prüfen ob die Ports alle frei sind. Im Netz sehe ich dann den hinweis ...

Neue Wissensbeiträge
Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 1 TagSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 2 TagenHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 2 TagenServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 4 TagenHumor (lol)9 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Heiß diskutierte Inhalte
Backup
Veeam Backup Endpoint Free sichert nicht alle Dateien in AppData
gelöst Frage von speedy26gonzalesBackup12 Kommentare

Hallo, ich sollte ein paar Dateien in C:\Users\xyc\AppData\Local\Microsoft\Outlook wieder herstellen. Auf dem Benutzerkonto ist in Outlook ein IMAP Konto ...

Audio
SIP Gegensprechstelle Funk
Frage von d4vidh4ll3rAudio11 Kommentare

Hallo! Ich benötige eine alternative zur doorLine TM4 ), sprich eine SIP Gegenstelle die ich unter eine Aluminium-Platte schrauben ...

Windows 10
Windows 10 Backup auf Netzwerk Storage
Frage von Futschel2608Windows 1010 Kommentare

Hallo geehrte Mitstreiter Innen, Wir wollen in unserer Windows 10 Domäne den Einzelnen Usern ermöglichen ihre Desktop PC's zusichern. ...

Windows Server
Ist es möglich, eine deutsche W2016 Installation mit einer UK-Lizenz zu aktivieren?
gelöst Frage von keine-ahnungWindows Server9 Kommentare

Moin at all, ist ja noch Freitag. Ich habe hier noch zwei UK OEM W2016 Standard Pakete rumfliegen Muss ...