OpnSense Firewall für blau richtig konfigurieren

Server v7 v7-Betatest
#1

Hallo zusammen

ich würde gerne die FW auf dem blauen Interface (für WLAN) sinnvoll konfigurieren.
Dazu eine Verständnisfrage:
Um den Verkehr von Blau ins Internet zu erlauben muss man beim Erstellen einer Regel 3 wesentliche Angaben machen:
1.) Richtung: IN oder OUT; Out ist richtig oder ? (aber braucht man nicht beides?)
2.) Quelle: blaues Netz
3.) Ziel: WAN-Netz? WAN-Adresse (IP des Routers?) oder ?

Jetzt ist die FW im blauen Netz aber auch für DHCP zuständig (auch DNS ?) Also brauche ich auch Zugriff auf die FW oder ?

Für Lichtblicke im Nebel wäre ich dankbar.

Grüße Rainer

Unifi in der lmn7 ohne Internetzugang
#2

Hallo Rainer,

hier mal meine gerade laufende Einstellung von OPT1 (Blau) in der Schule.
Die ersten beiden Regeln waren mal drin: erwiesen sich aber als unnötig -> deswegen deaktiviert.
Die dritte Regel hat Dominik so, weil er Probleme hatte: bei mir gab es die Regel nicht.
Ich hab sie gerade nur testweise drin: sie wird wohl nächste Woche nach weiteren Tests wieder gelöscht werden.
Alles was du brauchst, sind die letzten zwei: Traffic nach überall hin erlauben und DNS von überall (auf dem Device OPT1, also über diese Netzwerkkarte ankommend) direkt an den opnsense erlauben (UDP 53).

OPT1-holger
OPT1-holger.png993×296 22.3 KB

LG

Holger

#3

Hallo Holger

2 Fragen dazu: bei der Quelle steht bei dir ein Netz mit ip und Maske. Warum hast du das explizit angegeben und nicht den Namen des Netzes („blau“ o.ä.) ausgewählt.

Wenn die zweit letzte Regel alles erlaubt wieso muss man dann noch DNS explizit erlauben?

Ich dachte an eine Regel die von blau nach rot erlaubt und nicht auch noch pauschal auf grün …

Grüße Rainer

#4

Hallo Rainer,

2 Fragen dazu: bei der Quelle steht bei dir ein Netz mit ip und Maske.
Warum hast du das explizit angegeben und nicht den Namen des Netzes
(„blau“ o.ä.) ausgewählt.

das hatte ich vorher: weil bei mir aber die Windwosclients im WLAN
rumspinnen, bin ich da gerade am rumschrauben: da versucht man schon mal
komisches Zeug, wenn sowas irrationales passiert wie: alle könenn
(MacOS; iOS, Android, Ubuntu Phone, Linux) nur Windwos nicht …

Wenn die zweit letzte Regel alles erlaubt wieso muss man dann noch DNS
explizit erlauben?

DNS soll ja die opnsense sein: und die ist mit dem Ende, das in OPT1
ist, nicht im grünen Netz…
… wahrscheinlich ist die Regel nicht nötig …

Ich dachte an eine Regel die von blau nach rot erlaubt und nicht auch
noch pauschal auf grün …

zu der Einschränkung komme ich auch noch … mach ich am MOntag:
vielelicht kommt es ja daher, dass Windwos plötzlich mit seiner IP aus
BLAU am Grünen Netzwerkionterface der opnsense ankommt (und deswegen
geblockt wird …).
Mal sehen.

LG

Holger

#5

Hallo Holger,

nachdem der freeradius für schuleigene Geräte in grün klappt, habe ich noch ein paar Probleme mit dem blauen Netz.
Ich habe die beiden Firewall-Regeln aus Beitrag 2 jeweils mit „out“ für OPT1 angelegt.

Wenn ich von der Unifi-VM über blau einen ping zu OPT1 der Opnsense senden möchte, muss ich allerdings diese Verbindung mit einer weiteren Regel ausdrücklich erlauben.

Fehlt da nicht noch DHCP für blau? Das lief früher bei mir auf dem IPFire. Sollte ich da unter Dienste > DHCPv4 > OPT1 aktivieren und Einträge (welche?) machen?

Viele Grüße

Wilfried

#6

Hallo,

bei mir funktioniert es, wenn die Regeln mit „in“ angelegt werden, wobei mir die Sinnhaftigkeit nicht klar ist: Es gehen ja Pakete rein und raus.
Die Regel für die Verbindung zwischen Unifi-VM und Opnsense ist für das blaue Netz nicht nötig. Und der DHCP der Opnsense funktioniert samt Protokollierung.
Nächste Baustelle: Die Steuerung des Zugangs zum blauen Netz. Momentan dürfen alle.

Viele Grüße

Wilfried

#7

Hallo Wilfried.
Kennst du diese Seite und insbesondere die Bemerkung, die dort steht?
https://docs.linuxmuster.net/de/latest/systemadministration/network/radius/index.html

Wir haben es nun so eingerichtet, dass per default nur Lehrer und Hausmeister rein kommen … alle anderen erst, wenn es in der WebUI erlaubt wurde …
VG,
Michael

#8

Hallo Michael,

danke, das habe ich jetzt per default ähnlich eingestellt.
Zwei Fragen habe ich noch:

  1. Welche Auswirkungen hat es, wenn Kollegen jetzt in einem Kurs Haken bei WLAN setzen? Bekommen die user dann WLAN, und wenn ja wie lange?

  2. Kann man mit sophomorix-managementgroup --wifi oder --nowifi nur einzelne user oder auch Klassen hinzunehmen bzw. entfernen und ändert dies den default-Zustand?

Viele Grüße

Wilfried

#9

Hallo Wilfried,

Welche Auswirkungen hat es, wenn Kollegen jetzt in einem Kurs Haken
bei WLAN setzen? Bekommen die user dann WLAN, und wenn ja wie lange?

ja, die Schüler kommen dann ins WLAN (so funktioniert das bei mir seit
einem Jahr).
Wie lange? … ich denke, bis man sich in der Schuko abemldet? … oder
bis die Rechte zurückgesetzt werden? … weiß nicht.

Ich habe einen cronjob der in der Nacht folgenden Befehl ausführt:

sophomorix-managementgroup --set-wifi default --school default-school

der schmeißt dann alle die nicht in der
/etc/linuxmuster/sophomorix/default-school/wifi-default.conf
stehen wieder raus.

Bisheriger Haken: wenn man NUtzer anlegt, dann ist erstmal WLAN bei
denen gesetzt … bei mir eben bis zur ersten Nacht … damit komme ich
zurecht :slight_smile:

Kann man mit |sophomorix-managementgroup --wifi| oder |--nowifi| nur
einzelne user oder auch Klassen hinzunehmen bzw. entfernen und
ändert dies den default-Zustand?

du kannst in die oben genannte Datei Nutzergruppen und auch einzelnutzer
hinzufügen.
Setzt du den default mit obigem Befehl hat niemand mehr WLAN außer
denen, die in der Datei genannt werden (direkt oder indirekt: also als
member oder als Gruppenzugehörige wie 8a).

LG

Holger

#10

Hallo Holger,

danke, das Handling gefällt mir: einfach und irgendwie auch logisch.

Viele Grüße

Wilfried