Inhaltsverzeichnis
Firewall - OPNsense LT & BT
Kurzübersicht zu den beiden Firewalls:
| Network Site - - Löwentor | Network Site - - Bülow-Tower | ||||
|---|---|---|---|---|---|
| OS | FreeBSD | ||||
| LAN Network | 192.168.1.0/24 | 192.168.7.0/24 | |||
| IP | 192.168.1.254/24 | 192.168.7.254/24 | |||
| Hostname | OPNsense-001 | OPNsense-002 | |||
| Benutzer / PW | root | einundzwanzigstellen1 | root | einundzwanzigstellen1 | |
| WAN Anbieter | BelWü | 1&1 Versatel | |||
| WAN Network | 193.197.147.0/28 | 83.135.16.181/30 | |||
| WAN IP | 193.197.147.9/28 | 83.135.16.182/30 | |||
| Tunnel Network | 172.16.66.0/24 | ||||
| IP | 172.16.66.1/24 | 172.16.66.2/24 | |||
Grundlegende Aufgaben der Firewall
- Routerfunktion zur Verbindungsherstellung mit dem Internet
- Schutz des LAN-Netzwerkes
- Anbindung des Bülow-Towers
- Bereitstellung einer Demilitarisierte Zone (DMZ) für z.B. Webserver oder die DiversityWorkbench (DWB)
- Aufbau VPN für Remotezugriff (OpenVPN)
Routerfunktion
Die OPNsense verwenden in erster Linie als Router mit dem wir über den von BelWü bereitgestellten Internetanschluß uns mit dem WWW verbinden. Hierzu ist aktuell der Anschluss bnxt0[WAN] der OPNsense mit einem RJ45-CAT6-Kabel 1GE mit dem Anschluss Gi_0/0/0 des STU-SMNS-1 verbunden.
| Einstellungen OPNsense-001 |  | Einstellungen OPNsense-002 |  |
||||
|---|---|---|---|---|---|---|---|
| Anschluss | bnxt0 [WAN] | Anschluss | bnxt0 [WAN] | ||||
| Mögliche Übertragungsrate | 10GE, RJ45 | Mögliche Übertragungsrate | 10GE, RJ45 | ||||
| IP | 193.197.147.9/28 | IP | 83.135.16.182/24 | ||||
| Info zu STU-SMNS-01 | Info zum 1&1-Versatel-Router | ||||||
| Anschluss | Gi_0/0/0 | Anschluss | _ _ _ _ | ||||
| Mögliche Übertragungsrate | 1GE, RJ45 | Mögliche Übertragungsrate | 1GE, RJ45 | ||||
| IP | 193.197.147.1/28 | IP | 83.135.16.181/24 | ||||
Stand 11/2023: BelWue hatte angekündigt, dass Sie den STU-SMNS-01 gegen ein neueres Gerät austauschen wollen, hier könnten wir ein Upgrade von 1GE auf 10GE bekommen. Aktuell sind alle 10GE-Anschlüsse des STU-SMNS-01 schon belegt.
Schutz des LAN-Netzwerkes
Anbindung des Bülow-Tower
Der Bülow-Tower ist mit den beiden OPNsense Firewalls über eine Site to Site Tunnel (OpenVPN) an das Intranet angebunden.
| OpenVPN - Site to Site - Übersicht |  |
||
|---|---|---|---|
| Server: | OPNsense-001 (Löwentor) | ||
| Client: | OPNsense-002 (Bülow-Tower) | ||
Demilitarisierte Zone (DMZ)
Unsere Demilitarisierte Zone (DMZ)ist aktuell mit einm einstufigem Firewall Konzept realisiret, für eine noch bessere und höhre Sicherheit wäre ein zweistufiges Firewall Konzept anstrebenswert.
Weitere Informationen zum ein-/zweistufigen Firewall Konzept: Wikipedia: Demilitarisierte Zone (Informatik)
 Bildquelle: Wikipedia |
|||
| Einstellungen OPNsense-001 | |||
|---|---|---|---|
| Anschluss | ixl0 [DMZ] | ||
| Mögliche Übertragungsrate | 10G-base-SR | ||
| IP | 172.32.23.254/24 | ||
Einstellungen
Firewall-Regeln
OpenVPN
Damit die Verbindung mit OpenVPN Connect funktioniert, muss man einmal das Archive und die OVPN-Datei zum jeweiligen Benutzer erstellen.
Nach der Erstellung werden die OVPN-Datei und P12-Datei (Privatkey *.p12) an den Benutzer weiter gegeben, derr diese dann in den OpenVPN Connect einbinden kann.
–> Anleitung zur Einrichtung des OpenVPN Connect *muss noch erstellt werden*
–> Download-Link zu OpenVPN Connect: https://openvpn.net/client/client-connect-vpn-for-windows/
Firewall-Regeln
Hardware