====== Firewall - OPNsense LT & BT ====== \\ {{:server:opnsense_bild_001.png?400|}} \\ \\ **Kurzübersicht zu den beiden Firewalls:** \\ ^ |||||| ^ ^ Network Site - - Löwentor |^ ^ Network Site - - Bülow-Tower || ^ OS | FreeBSD ||||| ^ |||||| ^ LAN Network | 192.168.1.0/24 |^ | 192.168.7.0/24 || ^ IP | [[https://192.168.1.254/|192.168.1.254/24]] |^ | [[https://192.168.7.254/|192.168.7.254/24]] || ^ Hostname | OPNsense-001 |^ | OPNsense-002 || ^ Benutzer / PW | root | einundzwanzigstellen1 ^ | root | einundzwanzigstellen1 | ^ |||||| ^ WAN Anbieter | BelWü |^ | 1&1 Versatel || ^ WAN Network | 193.197.147.0/28 |^ | 83.135.16.181/30 || ^ WAN IP | 193.197.147.9/28 |^ | 83.135.16.182/30 || ^ |||||| ^ Tunnel Network | 172.16.66.0/24 ||||| ^ IP | 172.16.66.1/24 |^ | 172.16.66.2/24 || ^ |||||| \\ \\ ====== Grundlegende Aufgaben der Firewall ===== \\ * Routerfunktion zur Verbindungsherstellung mit dem Internet * Schutz des LAN-Netzwerkes * Anbindung des Bülow-Towers * Bereitstellung einer Demilitarisierte Zone (DMZ) für z.B. Webserver oder die DiversityWorkbench (DWB) * Aufbau VPN für Remotezugriff (OpenVPN) \\ \\ ===== Routerfunktion ===== \\ Die OPNsense verwenden in erster Linie als Router mit dem wir über den von BelWü bereitgestellten Internetanschluß uns mit dem WWW verbinden. Hierzu ist aktuell der Anschluss bnxt0[WAN] der OPNsense mit einem RJ45-CAT6-Kabel 1GE mit dem Anschluss Gi_0/0/0 des STU-SMNS-1 verbunden. \\ ^ |||||||| ^ Einstellungen OPNsense-001 ||{{:server:fw-as-router.svg?300|00}}||^ Einstellungen OPNsense-002 || {{ :server:fw-as-router_ii.svg?301|}}| ^ Anschluss | bnxt0 [WAN] |::: ||^ Anschluss | bnxt0 [WAN] |::: | ^ Mögliche Übertragungsrate | 10GE, RJ45 |::: ||^ Mögliche Übertragungsrate | 10GE, RJ45 |::: | ^ IP | 193.197.147.9/28 |::: ||^ IP | 83.135.16.182/24 |::: | ^ Info zu STU-SMNS-01 ||::: ||^ Info zum 1&1-Versatel-Router ||::: | ^ Anschluss | Gi_0/0/0 |::: ||^ Anschluss | _ _ _ _ |::: | ^ Mögliche Übertragungsrate | 1GE, RJ45 |::: ||^ Mögliche Übertragungsrate | 1GE, RJ45 |::: | ^ IP | 193.197.147.1/28 |::: ||^ IP | 83.135.16.181/24 |::: | ^ |||||||| \\ Stand 11/2023: BelWue hatte angekündigt, dass Sie den STU-SMNS-01 gegen ein neueres Gerät austauschen wollen, hier könnten wir ein Upgrade von 1GE auf 10GE bekommen. Aktuell sind alle 10GE-Anschlüsse des STU-SMNS-01 schon belegt. \\ \\ FIXME \\ ===== Schutz des LAN-Netzwerkes ===== \\ FIXME \\ ===== Anbindung des Bülow-Tower ===== \\ Der Bülow-Tower ist mit den beiden OPNsense Firewalls über eine Site to Site Tunnel (OpenVPN) an das Intranet angebunden. \\ ^ OpenVPN - Site to Site - Übersicht ^^| {{:server:opnsense_anbinbt.png?600|00}} | ^ Server: | OPNsense-001 (Löwentor) ^| ::: | ^ Client: | OPNsense-002 (Bülow-Tower) ^| ::: | ^ ^ ^ | ::: | ^ ^ ^ | ::: | ^ ^ ^ | ::: | ^ ^ ^ | ::: | \\ FIXME \\ ===== Demilitarisierte Zone (DMZ) ==== Unsere Demilitarisierte Zone (DMZ)ist aktuell mit einm einstufigem Firewall Konzept realisiret, für eine noch bessere und höhre Sicherheit wäre ein zweistufiges Firewall Konzept anstrebenswert. \\ Weitere Informationen zum ein-/zweistufigen Firewall Konzept: [[https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik) | Wikipedia: Demilitarisierte Zone (Informatik)]] | ||| {{:server:dmz_network_diagram_1_firewall.svg.png?direct&400|}} \\ Bildquelle: Wikipedia | ^ Einstellungen OPNsense-001 ^^| ::: | ^ Anschluss | ixl0 [DMZ] ^| ::: | ^ Mögliche Übertragungsrate | 10G-base-SR ^| ::: | ^ IP | 172.32.23.254/24 ^| ::: | ^ | ^| ::: | ^ | ^| ::: | ^ ^ ^ | ::: | ^ ^ ^ | ::: | ^ ^ ^ | ::: | ^ ^ ^ | ::: | \\ FIXME \\ Einstellungen Firewall-Regeln ===== OpenVPN ===== \\ FIXME \\ Damit die Verbindung mit OpenVPN Connect funktioniert, muss man einmal das Archive und die OVPN-Datei zum jeweiligen Benutzer erstellen. Nach der Erstellung werden die OVPN-Datei und P12-Datei (Privatkey *.p12) an den Benutzer weiter gegeben, derr diese dann in den OpenVPN Connect einbinden kann. \\ \\ --> Anleitung zur Einrichtung des OpenVPN Connect *muss noch erstellt werden* \\ --> Download-Link zu OpenVPN Connect: https://openvpn.net/client/client-connect-vpn-for-windows/ Firewall-Regeln ===== Hardware ===== \\ FIXME \\