ich würde gerne die FW auf dem blauen Interface (für WLAN) sinnvoll konfigurieren.
Dazu eine Verständnisfrage:
Um den Verkehr von Blau ins Internet zu erlauben muss man beim Erstellen einer Regel 3 wesentliche Angaben machen:
1.) Richtung: IN oder OUT; Out ist richtig oder ? (aber braucht man nicht beides?)
2.) Quelle: blaues Netz
3.) Ziel: WAN-Netz? WAN-Adresse (IP des Routers?) oder ?
Jetzt ist die FW im blauen Netz aber auch für DHCP zuständig (auch DNS ?) Also brauche ich auch Zugriff auf die FW oder ?
hier mal meine gerade laufende Einstellung von OPT1 (Blau) in der Schule.
Die ersten beiden Regeln waren mal drin: erwiesen sich aber als unnötig -> deswegen deaktiviert.
Die dritte Regel hat Dominik so, weil er Probleme hatte: bei mir gab es die Regel nicht.
Ich hab sie gerade nur testweise drin: sie wird wohl nächste Woche nach weiteren Tests wieder gelöscht werden.
Alles was du brauchst, sind die letzten zwei: Traffic nach überall hin erlauben und DNS von überall (auf dem Device OPT1, also über diese Netzwerkkarte ankommend) direkt an den opnsense erlauben (UDP 53).
2 Fragen dazu: bei der Quelle steht bei dir ein Netz mit ip und Maske. Warum hast du das explizit angegeben und nicht den Namen des Netzes („blau“ o.ä.) ausgewählt.
Wenn die zweit letzte Regel alles erlaubt wieso muss man dann noch DNS explizit erlauben?
Ich dachte an eine Regel die von blau nach rot erlaubt und nicht auch noch pauschal auf grün …
2 Fragen dazu: bei der Quelle steht bei dir ein Netz mit ip und Maske.
Warum hast du das explizit angegeben und nicht den Namen des Netzes
(„blau“ o.ä.) ausgewählt.
das hatte ich vorher: weil bei mir aber die Windwosclients im WLAN
rumspinnen, bin ich da gerade am rumschrauben: da versucht man schon mal
komisches Zeug, wenn sowas irrationales passiert wie: alle könenn
(MacOS; iOS, Android, Ubuntu Phone, Linux) nur Windwos nicht …
Wenn die zweit letzte Regel alles erlaubt wieso muss man dann noch DNS
explizit erlauben?
DNS soll ja die opnsense sein: und die ist mit dem Ende, das in OPT1
ist, nicht im grünen Netz…
… wahrscheinlich ist die Regel nicht nötig …
Ich dachte an eine Regel die von blau nach rot erlaubt und nicht auch
noch pauschal auf grün …
zu der Einschränkung komme ich auch noch … mach ich am MOntag:
vielelicht kommt es ja daher, dass Windwos plötzlich mit seiner IP aus
BLAU am Grünen Netzwerkionterface der opnsense ankommt (und deswegen
geblockt wird …).
Mal sehen.
nachdem der freeradius für schuleigene Geräte in grün klappt, habe ich noch ein paar Probleme mit dem blauen Netz.
Ich habe die beiden Firewall-Regeln aus Beitrag 2 jeweils mit „out“ für OPT1 angelegt.
Wenn ich von der Unifi-VM über blau einen ping zu OPT1 der Opnsense senden möchte, muss ich allerdings diese Verbindung mit einer weiteren Regel ausdrücklich erlauben.
Fehlt da nicht noch DHCP für blau? Das lief früher bei mir auf dem IPFire. Sollte ich da unter Dienste > DHCPv4 > OPT1 aktivieren und Einträge (welche?) machen?
bei mir funktioniert es, wenn die Regeln mit „in“ angelegt werden, wobei mir die Sinnhaftigkeit nicht klar ist: Es gehen ja Pakete rein und raus.
Die Regel für die Verbindung zwischen Unifi-VM und Opnsense ist für das blaue Netz nicht nötig. Und der DHCP der Opnsense funktioniert samt Protokollierung.
Nächste Baustelle: Die Steuerung des Zugangs zum blauen Netz. Momentan dürfen alle.
Wir haben es nun so eingerichtet, dass per default nur Lehrer und Hausmeister rein kommen … alle anderen erst, wenn es in der WebUI erlaubt wurde …
VG,
Michael
danke, das habe ich jetzt per default ähnlich eingestellt.
Zwei Fragen habe ich noch:
Welche Auswirkungen hat es, wenn Kollegen jetzt in einem Kurs Haken bei WLAN setzen? Bekommen die user dann WLAN, und wenn ja wie lange?
Kann man mit sophomorix-managementgroup --wifi oder --nowifi nur einzelne user oder auch Klassen hinzunehmen bzw. entfernen und ändert dies den default-Zustand?
Welche Auswirkungen hat es, wenn Kollegen jetzt in einem Kurs Haken
bei WLAN setzen? Bekommen die user dann WLAN, und wenn ja wie lange?
ja, die Schüler kommen dann ins WLAN (so funktioniert das bei mir seit
einem Jahr).
Wie lange? … ich denke, bis man sich in der Schuko abemldet? … oder
bis die Rechte zurückgesetzt werden? … weiß nicht.
Ich habe einen cronjob der in der Nacht folgenden Befehl ausführt:
der schmeißt dann alle die nicht in der
/etc/linuxmuster/sophomorix/default-school/wifi-default.conf
stehen wieder raus.
Bisheriger Haken: wenn man NUtzer anlegt, dann ist erstmal WLAN bei
denen gesetzt … bei mir eben bis zur ersten Nacht … damit komme ich
zurecht
Kann man mit |sophomorix-managementgroup --wifi| oder |--nowifi| nur
einzelne user oder auch Klassen hinzunehmen bzw. entfernen und
ändert dies den default-Zustand?
du kannst in die oben genannte Datei Nutzergruppen und auch einzelnutzer
hinzufügen.
Setzt du den default mit obigem Befehl hat niemand mehr WLAN außer
denen, die in der Datei genannt werden (direkt oder indirekt: also als
member oder als Gruppenzugehörige wie 8a).
ich komme leider momentan nicht von zu Hause auf die Firewall, weil unsere Vodafone-Verbindung nahezu keinen Upload mehr hat … Ticket erstellt usw.
Sobald es wieder geht und du die Infos noch brauchst, kann ich nachschauen.
Da es funktioniert, habe ich es seit der Einrichtung nicht mehr angefasst und weiß auch nicht mehr über die Details Bescheid. Für unsere kleine Schule passt es, kann sein, dass du einen größeren Bereich brauchst.
Hallo Wilfried,
vielen Dank. Ich habe heute angefangen das blaue Netz einzurichten. Habe aber ein Netzwerkkartenproblem. Die muss erst noch getauscht werden.
Ich hab das blaue Netzwerk nach Wilfrieds Anleitung oben eingerichtet - vielen Dank dafür!
Nachdem die hier beschriebenen Firewall-Regeln, soweit ich das bei mir getestet habe, den Zugriff von Blau nach Grün uneingeschränkt ermöglichen, hier ein schönes Tutorial, das die Trennung von zwei LANs recht anschaulich beschreibt: OPNSense Firewall Rules Explained - YouTube
Benutzernamen geht noch nicht: dazu brauchst du ein neueres sophomorix:
das Feature ist gerade erst Beta.
Bei dir wird also die Zeile:
MEMBER_USER=klimgu
nicht funktionieren.
Ich teste das Feature derzeit: bei mir funktioniert es.
Du mußt vorerst mit
MEMBER_ROLE und MEMBER_CLASS vorlieb nehmen.
