LMNv7 WLAN Netz und DMZ auf der OPNsense konfigurieren?

Hallo zusammen,

gibt es bereits eine Anleitung wie ich bei der OPNsense eine weitere schnittstelle für das WLAN konfiguriere und eine DMZ anlege ohne das wenn ich eine änderung der schulkonsole mache die nicht überschrieben werden? oder ist das ab v7 nicht mehr der fall?

Gruß Pascal

Hallo Pascal,

gibt es bereits eine Anleitung wie ich bei der OPNsense eine weitere
schnittstelle für das WLAN konfiguriere und eine DMZ anlege ohne das
wenn ich eine änderung der schulkonsole mache die nicht überschrieben
werden? oder ist das ab v7 nicht mehr der fall?

die WebUI froscht nicht in den Einstellungen der Firewall herum.
Das wurde vom Ansatz her geändert.
Jetzt schreibt die WebUI in den AD (Internet an/aus in ein Feld, WLAN
an/aus in einem Feld) für jeden user einzeln.
Die Firewall schaut dort hinein und gewährt dann Zugriff auf das Netz
oder eben nicht.
Beim WLAN ist es der Radiusserver, der das WLAN feld beachtet.

Zur DMZ kann ich nichts sagen; ich benötie sie nicht, da aus meiner
Sicht der Bereich zwischen OPNsense und Internetrouter eine DMZ für mich
ist.

WLAN habe ich an OPT1
Das wird über die console der OPNsense eingerichtet: IP, NetMask usw.
vergeben.
Danach werden in der Weboberfläche die Einstellungen gemacht unter
Firewall -> Regeln -> AOPT1

Ich habe unifi in Blau und dort folgende Regeln:

IPv4* 172.16.0.0/16 * * * * * Alles von Blau elaubt
und
IPv4 UDP * * 127.0.0.1 53(DNS) * * DNS aus Blau erlaubt

LG

Holger

Hallo.
Es gibt eine Ausnahme: Wenn du linuxmuster-import-subnets laufen lässt, werden sehr wohl Einträge in der OPNSense-FW vorgenommen – wie hier aktuell dokumentiert:

Was die DMZ angeht: Das kann schon sinnvoll sein, wenn du die Zugriffe in/aus der DMZ sehr restriktiv einstellen willst. Bei mir gibt es im Moment einen einzigen Client in der DMZ. Der darf fast nichts außer Port 80/443/22 – alle anderen Netze dürfen auf diesen Client zugreifen. Ein ähnliches Szenario hat man aber tatsächlich, wenn man diesen Client direkt im WAN aufstellt … Geschmackssache, würde ich sagen??
Ich hatte damals dieses Mini-HowTo hier hinterlegt:

hth,
Michael

Liebe Kolleginnen und Kollegen,

ich häng mich mal an diesen Thread an … Leider bin ich bei der Radius-Geschichte gar nicht fit und da ich ja bei uns nichts am Netz konfigurieren darf …

Fragen:

  • Bei der V6 bekamen WLAN-Clients die IP vom Coova. Wer macht das bei der V7 (Schulgeräte / BYOD)?
  • Bei der V6 lief auf dem Coova ein Captive-Portal. Bei der V7 hat die OPNSense zwar eines, das wird aber nicht verwendet?
  • Unser Schulträger hat die Accesspoints in einen eigenen Netz, mit dem ich nichts zu tun habe (n darf). Das hat mit dem Coova geklappt, d.h. die Geräte haben WLAN-Zugriff bekommen und dann vom Coova die IP-bekommen. Bedeutet das, dass die APs so konfiguriert sind, dass sie den damaligen IP-Range „kennen“? Dann müsste ich das WLAN-Netz nämlich wieder im gleichen Range betreiben - Siehe Frage nach DHCP oben …

VG
Wolfgang

Hallo Wolfgang,

  • Bei der V6 bekamen WLAN-Clients die IP vom Coova. Wer macht das bei
    der V7 (Schulgeräte / BYOD)?

kommt drauf an, in welches Netz du die Geräte steckst.
Bei mir sin die fremden Geräte alle in Blau: da ist die OPNsense der DHCP.

  • Bei der V6 lief auf dem Coova ein Captive-Portal. Bei der V7 hat die
    OPNSense zwar eines, das wird aber nicht verwendet?

ich hab mir das Captive Portal inzwischen abgewöhnt und bin sehr froh
drum: und die Nutzer sind es auch.
Ich verwende WPA2Enterprise: das ist viel angenehmer.
Allerdings habe ich unifi wo ich das flexibel einrichten kann.
Ein Portal gibt es nurnoch für das Gästenetz: das läuft auf dem unifi
Controller.

  • Unser Schulträger hat die Accesspoints in einen eigenen Netz, mit
    dem ich nichts zu tun habe (n darf). Das hat mit dem Coova geklappt,
    d.h. die Geräte haben WLAN-Zugriff bekommen und dann vom Coova die
    IP-bekommen. Bedeutet das, dass die APs so konfiguriert sind, dass
    sie den damaligen IP-Range „kennen“? Dann müsste ich das WLAN-Netz
    nämlich wieder im gleichen Range betreiben - Siehe Frage nach DHCP
    oben …

was sind den das für APs?
Hast du da einen Controller?

LG

Holger

… ICH hab gar nix …
Ansonsten haben die das Haus mit Cisco zugepflastert, natürlich mit Controller, aber alles in Hand des Schulträgers …

Hi,
ich muss das nochmal aufgreifen …

Ich hab jetzt auf der Netzwerkkarte von der OPNSense einen DHCP laufen, der mir
die BYOD-Geräte versorgen würde. Wenn ich ein Gerät am WLAN anmelde, dann seh ich auch, dass es eine passende ID bekommt.
Nun die eigentliche Frage: Wie bekomme ich nun die Benutzer authentifiziert?
Wie gesagt hab ich keinerlei Zugriff auf die Accesspoints. Muss ich jetzt das CaptivePortal der OPNSense configurieren? Wenn ja … wie läuft da dann die weitere
authentifizierung an. Muss ich das Portal dann an den (konfigurierten) Radius-Server anbinden, der auf der OPNSense schon läuft?
Haben wir dazu irgendwo eine Anleitung?
Ich will - wenn möglich - die Konfigurationsversuche auf dem Live-System minimal halten - wer weiß, was sich da sonst im Hintergrund „verbiegt“ …
VG
Wolfgang

Hallo Wolfgang,

Wie gesagt hab ich keinerlei Zugriff auf die Accesspoints. Muss ich
jetzt das CaptivePortal der OPNSense configurieren?

ja.

Wenn ja … wie läuft
da dann die weitere
authentifizierung an. Muss ich das Portal dann an den (konfigurierten)
Radius-Server anbinden, der auf der OPNSense schon läuft?

ja: aber das hat bisher noch keiner hinbekommen, soweit ich weiß.
Such mal hier in ask: da hat erst letzte Woche jemand was dazu
geschrieben, wo es da hakt.
(eap? … habs vergessen … ).

Haben wir dazu irgendwo eine Anleitung?

um den Radius auf der OPNsense zu verwenden: ja, ich meine das steht in
der Doku.
Aber wie gesagt: ich meine, das hat noch keiner hinbekommen.
Es gibt eine Anleitung, wie man einen freeradius auf der lmn7
installiert und konfiguriert: den verwende ich als radius für unifi.

Viele Grüße

Holger

ohoh … klingt nicht ermutigend … :frowning:

Hallo,
die Einrichtung des Freeradius auf dem Server steht hier: https://docs.linuxmuster.net/de/latest/systemadministration/network/radius/index.html
Dies ist der derzeit funktionierende Ort zum Einsatz von Radius.
Der Einsatz auf der OPNSense ist dort ebenfalls dokumentiert. Bereitet aber noch Probleme.
VG
Chris