danke für deine Info zum Pi-Hole, wollte es aber ohne zusätzliche Hardware versuchen.
In der LMN62 funktioniert die Webfilterung mit den entsprechenden DNS-Servereinträgen im Router einwandfrei. Der IPFire verweist bei DNS-Anfragen auf den Router, dieser auf OpenDNS.
Was noch auffällt ist, dass Schülerrechner nur mit der Firewallregel „LAN > entire LAN“ ins Internet kommen. Das Freischalten des Internets, z.B. durch einen Lehrer von der Schulkonsole aus, ist wirkungslos.
Gibt es da noch Einstellungen bei OPNSense oder Server die ich übersehen habe?
Ohne Webfilterung geht es einfach nicht.
Hi. Ich habe dazu eine VM benutzt, genauer gesagt habe ich einfach eine bestehende VM geklont, umbenannt und dort das Pi-Hole installiert. Arbeitsaufwand: ~30 Min.
Erste Tests waren bereits erfolgreich…
Aber ich kann auch verstehen, wenn du es über eine Plattform abwickeln willst…
Schöne Grüße
Michael
eine VM wäre da sicher eine Alternative. Könntest du mir genaue Angaben dazu machen?
Wo herunterzuladen, Installations- und Konfiguratiosdetails, Stolpersteine, etc.
Nutzt du den ESXi von VMWare oder eine andere Plattform?
Ist übrigens bekannt wo sich die DNS-Server Konfiguration auf dem LMNV7 versteckt?
Möglicherweise lässt sich da ja etwas einstellen.
Hallo.
Wir setzen bei uns Proxmox ein. Ich habe eine VM geklont, auf der Ubuntu 18.04 installiert war. Die virt Hardware ist nix besonderes.
Ich habe das PiHole aber nur im WLAN (blau) aktiviert, also in keinem grünen Netz.
Gefolgt bin ich dabei Methode 1:
In der OPNSense habe ich die IP des DNS für das WLAN dann auf die neue PiHole Adresse gelegt (bei den DHCP Einstellungen).
Danach dann noch die zusätzlichen Einträge in die Blockliste, die im Parallelthread angegeben war und schon hat man eine gute Lösung (die freundlicherweise auch gleich Werbung ins Schwarze Loch schickt)
auf meiner Todo-Liste steht seit dem Umstieg auf lmn 7 das Filtern mit Hilfe des Belwue-Proxys, so wie von Dominik hier beschrieben:
Im Lichte der Diskussion um Belwue macht dies nun vielleicht nicht mehr unbedingt Sinn, und so habe ich mich nach einer anderen Lösung umgesehen, z. B. dem Eintrag einer Blacklist. Allerdings hat mich schon Schritt 1 der Anleitung, auf die TomS dankenswerter Weise verwiesen hat, verunsichert:
Wenn ich, wie empfohlen, auf „Alles entfernen“ klicke, dann befürchte ich, dass evtl. die Blacklist danach funktioniert, aber vieles andere nicht mehr.
so was Ähnliches habe ich befürchtet. Wenn ich es in den Ferien noch schaffe, lasse ich diesen ersten Schritt mal weg und probiere trotzdem eine Blacklist einzurichten. Macht aber wohl nur Sinn, wenn ich das rote Netz direkt an die Fritzbox hänge, ohne dass der Belwue-Router noch dazwischen ist.
hmm, ich kann mich nicht erinnern bei uns die Authentifizierung (Punkt 1) entfernt zu haben. Eventuell hatte ich den Punkt überlesen. Ich habe die SSO-Authentifizierung im Proxy weiterhin aktiv und die sollte auch aktiv bleiben. Die Punkte 2-4 sind die relevanten.
Ich erinnere mich dass das Save und Download in der OPNSense-GUI „damals“ etwas störrisch war, d.h. man musste es ggf. mehrfach durchführen. Aber inzwischen sind schon wieder 2 größere Updates der OPNSense gekommen, die das eventuell behoben haben.
Hallo zusammen,
ich möchte diesen Threat noch einmal nach vorne holen. (Wir in Bayern müssen immer so eine IT Umfrage machen. Heute: Welche Filtersoftware setzen Sie an Ihrer Schule ein? ipfire mit Shalla Liste - ist wohl nicht mehr ganz aktuell mit LMN7. Mist. Das hatte ich überhaupt nicht mehr auf dem Schirm
Dieser Threat ist ja schon älter. Ist das der empfohlene Weg: Shalla in der OPNSense? Oder macht man ein Jahr später etwas anderes? Funktioniert der obige Weg so? Wilfried hat ja nicht mehr geschrieben, ob es so „ok“ war.
die Filter wie wir sie in der 6.2 hatten funktionieren nicht mehr wegen https. Am besten ist es, wenn Du per DNS filterst. Eine Lösung wäre Opendns. Was auch geht ist das „Pihole“.
Ob das Pihole in der Schule ausreichend ist kann ich Dir nicht sagen, meine aber dass es wer in Betrieb hat.
Hallo Klaus,
ich versuche das gerade umzusetzen. Habe aber „kleinere“ Probleme.
Bei der Whitelist für die Lehrer:
Steht da ^.*$ ???
(Hoch Punkt Stern Dollar)
Weiter unten steht, dass etwas in den Dateien blackList und whiteList stehen muss, weil sie mit 30-linuxmuster-acl.pre-auth.acl.conf eingeladen werden. Ist das wirklich jeweils eine Textdatei und wo muss die abgelegt werden?
ja, die Regular Expression stimmt.
Vom Anfang der URL ^ ein beliebiges Zeichen . in beliebiger Anzahl * bis zum Ende $ Also jede URL ist erlaubt.
Der Abschnitt ACL Whitelist/Blacklist generell ist optional(habe ich jetzt in der Doku ergänzt). Wenn Du das mit der linuxmuster-acl.pre-auth.acl.conf umsetzt, dann mußt Du im OPNsense Webinterface unter Dienste - Web-Proxy - Verwaltung - Weiterleitungsproxy - Zugangskontrolliste - Ausnahmeliste und Schwarze Liste
irgendetwas eintragen. Dadurch werden die Dateien auf der OPNsense generiert. Manuell mußt Du keine Textdateien dort ablegen.
Ich hoffe jetzt ist es klarer. Wenn nicht bitte einfach nochmal fragen.
Ich würde vielleicht noch in anwenderwiki:firewall_lmn7:squidproxy:start [CommunityWiki]
ein Bild von deser Seite Weiterleitungsproxy einsetzen. Ohne diesen Threat hier zu kennen, wäre es mir nur mit dem Wiki nicht klar. Ich habe jetzt z. B. bei Weiterleitungsproxy in Schwarze Liste einfach die Zeile sex.de drin. Damit da eben etwas (sinnvolles) steht.
… mal so ganz generell gefragt: Wie stark macht sich das auf der OPNSense in Sacshen CPU-Last bemerkbar, wenn man dort den Proxy & Webfilter aktiviert?