Lmn v7 ohne OPNsense

Ma_Sch · 20. Mai 2021 um 07:33

Hallo,

ich bereite gerade das Update von 6 auf 7 vor. Bei uns ist eine Firewall vorgeschrieben, die durch einen externen Dienstleister betreut wird. Aktuelle habe ich die ipfire dahinter hängen. Wir nutzen aber eigentlich keine Eigenschaften von lmn, die mit der ipfire zusammenhängen. Bei Prüfungen müssen die APs im Trakt physisch abgeschaltet werden. Für WLan-Sperren nutzen wir die ldap-Gruppen. Alles andere findet keine Verwendung. Aktuell ist die ipfire so eingerichtet, das sie alles durchlässt und die „Haupt“-Firewall alle Arbeit macht.

In lmn7 werde ich aus diesem Grund direkt auf OPNsense verzichten. Für mich stellt sich gerade die Frage, wie ich nun proxmox und den Server nun richtig konfiguriere.

So wie ich es aktuell verstehe, muss ich trotzdem die Bridges auf proxmox einrichten

Auf dem Server werden über die subnets.csv und den Import dann nur die entsprechende DHCP-Konfiguration eingerichtet.
Ich verstehe allerdings nicht, warum der Server die Routen für die VLANs benötigt? Ich dachte, dass übernimmt die Firewall?
Könnte mir das jemand bitte erklären.

Vielen Dank

baumhof · 20. Mai 2021 um 18:59

Hallo,

die Firewall müßte, denke ich, die richtige IP im lmn Netz haben.
Dann müßte man nach dem prepair das setupscript aufrufenmit der Option „-s“ skip firewallsetup.

Siehe hier:

Probiert habe ich das noch nciht.
Die lmn7 sollte aber auch ohne eigene Firewall funktionieren.
Die (fremd) Firewall sollte trotzdem auf den AD zugreifen können um Websperren durch zu setzen (wenn sie AD auslesen mit Gruppen beherscht).

LG

Holger

Ma_Sch · 21. Mai 2021 um 05:35

Hallo,

danke für die Antwort.
Müssen denn die Routen auf dem Server angelegt werden? Ich dachte, alles was nicht in seinem Netz ist schickt er an das Gateway. Das ist die Firewall und die kennt die Routen.

baumhof · 21. Mai 2021 um 09:45

Hallo,

nur wenn man subnettet.
Das muss man aber nicht einschalten, dann muss man auch keinen router im eigenen Netz haben.

LG

Holger

Ma_Sch · 27. Juni 2021 um 16:06

Hallo,

ich muss dies Thema nochmal hervorholen.

Die Situation:
Bei uns im Netz gibt es eine Firewall (Lancom UF-500 ), gegen die ich mich nicht wehren kann und die ich zu akzeptieren habe Auf dieser sind sämtliche VLANs und Bridges eingerichtet (so wie es auf der OpnSense wäre). Die Switche sind entsprechend konfiguriert.

Jetzt gibt es einen Server, auf dem proxmox läuft. Darauf wird die lmn7 VM laufen (und wahrscheinlich opsi und der dockerhost)

Nach meine Verständnis muss ich nun Folgendes tun. Bitte korrigiert mich, wenn ich falsch liege:

In dieser Situation muss ich keine VLANs bzw. Bridges auf Proxmox einrichten
Ich sollte ein Bond einrichten, der alle 3 Netzwerkkarten des Servers bündelt (bzw. 2 Karten und eine lasse ich für das Managment-Netz). Dieser Bond bekommt keine IP und wird einer Bridge zugeordnet.
Der Server (und alle anderen VMs) bekommen diese Bridge als Netzwerkkarte
Ich richte weitere Subnetze ein, wie hier beschrieben: Netzwerksegmentierung — linuxmuster.net 7.0 Dokumentation (also eintragen in /etc/linuxmuster/subnets.csv und ausführen von linuxmuster-import-subnets

Muss ich den letzten Schritt auf jeder VM wiederholen?

Vielen Dank, Martin