Alle Kategorien:
  E V T Z Allgemein
 EVTZ-Datenbank
  E V T Z Dokumente
 Kommentare
 Literaturdatenbank
  E V T Z Praxis
 Rechtsprechungsdatenbank
 Rechtsvorschriften
  Kooperationsinstrumente
 Startseite

Version [3107]

Dies ist eine alte Version von OPNsense erstellt von WojciechLisiewicz am 2021-04-02 14:11:10.

 

OPNsense firewall

Tipps und Tricks zur Einrichtung


A. Wie einrichten als VM

Post unter https://forum.opnsense.org/index.php?topic=2364.0

Assuming you don't have an Enterprise Plus licence then you're left with using the standard vSwitch. Create two of those and attach your NICs to them - if this is a home LAN then one NIC on each of the switches should do. Create the OPNsense VM with two NICs, connect one of those NICs to the 'WAN' vSwitch and the other to the 'LAN' vSwitch. Install OPNsense and configure it to your requirements, when it's up and running you should have a working firewall and LAN connection.

Nothing in my environment is directly connected to the internet (except the ESXi NICs) and everything (including the ESXi host) is routed throiugh OPNsense. Create any required VMs with single NICs (you don't really need more) and connect them to the LAN vSwitch and that should give you a quick and simple set-up, the beauty is you can rearrange things later should you desire to do so.



B. Verbindung mit einem lokalen LAN vor OPNsense
Szenario:
Internet <-> Fritzbox <- quasi-DMZ -> OPNsense <-> LAN

Verbindung zwischen LAN und quasi-DMZ wollte nicht funktionieren - insofern auch Zugriff auf Fritzbox sowie die Geräte zwischen FB und OPNsense war nicht möglich...
Es konnte aktiviert werden (nach mehreren Versuchen - letztlich ist die unten genannte Regel entscheidend):

  • Firewall
  • Rules
  • LAN:
  • => neue anlegen mit folgenden Parametern:
    - Protokol = IPv4 *
    - Source = LAN net; Port = *
    - Destination = WAN net; Port = *
    - Gateway = *
    - Schedule = *
  • entscheidend ist allerdings, dass diese Regel vor anderen Regeln aus dem LAN gestellt wird - damit sie abgefangen wird, bevor die allgemeinen Regeln (zum Gateway) greifen. Also Reihenfolge beachten und ändern.

C. WireGuard mit OPNsense
=> siehe hier, wo alle Hinweise zur Thema WireGuard gesammelt werden.


D. Probleme mit WAN und Gateway
Die Umstellung des WAN auf statische IP führte zur Unterbrechung der Verbindung aus dem LAN ins Internet. Auch pings in OPNsense zum WAN network konnten nicht geroutet werden. Nachdem WAN zurück auf DHCP umgestellt wurde, haben sich die Gateway komischerweise vermehrt. Dann ging die Verbindung wieder. Umstellung wieder auf statische IP löschte diese zusätzlichen Gateway und es funktionierte wieder nicht.

Folgendes hat geholfen:
  • die Gateways komplett löschen
  • WAN-Gateway (System => Gateways => Single) manuell erstellen
  • in den Einstellungen des Interface WAN (Interfaces => WAN) unbedingt beachten:
    • net Maske nicht 32 (Voreinstellung) sondern auf 24 stellen!
    • IPv4 Upstream GW manuell auswählen - den zuvor eingerichteten


E. Aktuelle Konfiguration step-by-step
Folgende Schritte wurden vorgenommen:

1. Interfaces
Unter "Assignment" sind sie zuzuordnen:
LAN = vmx0 => Virtual Network von ESXi mit Uplink auf LAN
WAN = igb0 => passthrough Intel 1 Gb zu Fritzbox
OPT = igb1 => passthrough Intel 1 Gb zu Lancom

2. Gateway
Bei Problemen - siehe oben "Probleme mit WAN und Gateway".

WAN-Interface statisch 10.9.0.2 im LAN der Fritzbox (10.9.0.0/24).
WAN_GW hat IP 10.9.0.1

3. Zweites WAN konfigurieren




CategoryNetzwerk
Auf dieser Seite sind keine Kommentare vorhanden