OPNSense als Proxy in ein VLAN zwischenschalten

Es gibt 1 Antwort in diesem Thema, welches 154 mal aufgerufen wurde. Der letzte Beitrag () ist von swag.

  • Hallo zusammen,


    die UDM pro spannt mehrere VLANs auf mit korrespondierenden WLANs. In eines dieser VLANs möchte ich ein SSL Interception einfügen, dies mit OPNSense/Squid-Proxy- dies ist soweit in Virtualbox eingerichtet und getestet.

    In der UDM habe ich ein neues VLAN (101) mit Angabe 3rd party gateway erstellt ... und unmittelbar danach im Spiegel gesehen, dass ich ein Brett vor dem Kopf habe: Was ist der nächste Schritt?


    OPNSense auf einem physischen Blech installieren, an einen Switch hängen- auf der OPNSense ein VLAN erstellen (gleiche ID wie in der UDM, s.o.) und DHCP aktivieren? Woher kennen Clients, die sich per WLAN anmelden,

    dass sie zur OPNSense müssen- macht das die UDM dann automatisch durch die VLAN ID? Authentifizierung/Radius muss dann in der OPNSense erfolgen? Un d für die OPNSense ist die UDM das Gateway?

    Wäre lieb, wenn mir da mal jemand auf die Sprünge hilft, bevor ich in die falsche Richtung laufe ... herzlichen Dank!!

    Gruß

    Ingolf/Juky

  • Das hängt wohl auch etwas davon ab wo Du hin springen möchtest.


    Ich hab den Squid noch nicht verwendet aber ich vermute das ssl offloading ssl offloading kann er machen. Dir Virtual box läuft bei Dir auf der Workstation? Die VM müsste dann auf der Bridge mit der Opensens oder der UDM freigegeben sein. Dann über die Bridge in vlan dann mit dem Client.

    Oder outgoing alles anderst herum.


    Mit einer UDM dazu ein weiteres vlan mit UDM als router oder wenn Du opensense nutzen möchtest ist das externe vlan und eine interface config auf der open sense. Durch das vlan verbindet sich der Squid dann mit dem gateway des router UDM oder OPNsense der dafür zuständig ist. DHC., DNS und ggf wenn gewünscht Radius.


    P.S. die UDM kann sich auch mit fremden Radius Server verbinden. z.B. Freeradius standalon oder den auf der OPNsense. (Bei Radius einstellungne IP Zugangsdaten)


    Zum Punkt wie verbindet sich die OPNSense mti dem Internet gibt es auch Varianten.


    OPNSense kann ein eigenes WAN direkt zum Internet parallel zur UDM haben. z.B.

    Code
          --- UDM ----VLAN1-----
          |     |              |  
    Fritz |    VLAN3           |----------- Client (entweder VLAN 1 oder 2)
          |     |              |  
          --- OPNSense -VLAN2---


    oder auch sequenziel


    Code
    Modem ---- UDM -- VLAN3 --- Opensense --VLAN2-- Client
                |
                |--------VLAN1------------- Client2


    z.B. Bei Glasfaser mit SFP+ Modul für den Zugang

    Beim parallelen Setup ist ein zusätzlichen transfer VLAN zum Austausch zwischen UDM und OPNSense und der kommunikation zwischen den Netzen hilfreich. Beim sequenziellen ist das NAT beim bei der kommunikation zwischen Clients aus anderen Netzen stören. Entweder ausschalten oder statt WAN and der Opensense ein LAN VLAN zur UDM (Transfernetz)


    Fürs Transfernetz (z.B. VLAN3) sind Firewalleinträge und Routing einträge notwendig