OPNSense als Proxy in ein VLAN zwischenschalten

    Hallo zusammen,

    die UDM pro spannt mehrere VLANs auf mit korrespondierenden WLANs. In eines dieser VLANs möchte ich ein SSL Interception einfügen, dies mit OPNSense/Squid-Proxy- dies ist soweit in Virtualbox eingerichtet und getestet.

    In der UDM habe ich ein neues VLAN (101) mit Angabe 3rd party gateway erstellt ... und unmittelbar danach im Spiegel gesehen, dass ich ein Brett vor dem Kopf habe: Was ist der nächste Schritt?

    OPNSense auf einem physischen Blech installieren, an einen Switch hängen- auf der OPNSense ein VLAN erstellen (gleiche ID wie in der UDM, s.o.) und DHCP aktivieren? Woher kennen Clients, die sich per WLAN anmelden,

    dass sie zur OPNSense müssen- macht das die UDM dann automatisch durch die VLAN ID? Authentifizierung/Radius muss dann in der OPNSense erfolgen? Un d für die OPNSense ist die UDM das Gateway?

    Wäre lieb, wenn mir da mal jemand auf die Sprünge hilft, bevor ich in die falsche Richtung laufe ... herzlichen Dank!!

    Gruß

    Ingolf/Juky

    Das hängt wohl auch etwas davon ab wo Du hin springen möchtest.

    Ich hab den Squid noch nicht verwendet aber ich vermute das ssl offloading ssl offloading kann er machen. Dir Virtual box läuft bei Dir auf der Workstation? Die VM müsste dann auf der Bridge mit der Opensens oder der UDM freigegeben sein. Dann über die Bridge in vlan dann mit dem Client.

    Oder outgoing alles anderst herum.

    Mit einer UDM dazu ein weiteres vlan mit UDM als router oder wenn Du opensense nutzen möchtest ist das externe vlan und eine interface config auf der open sense. Durch das vlan verbindet sich der Squid dann mit dem gateway des router UDM oder OPNsense der dafür zuständig ist. DHC., DNS und ggf wenn gewünscht Radius.

    P.S. die UDM kann sich auch mit fremden Radius Server verbinden. z.B. Freeradius standalon oder den auf der OPNsense. (Bei Radius einstellungne IP Zugangsdaten)

    Zum Punkt wie verbindet sich die OPNSense mti dem Internet gibt es auch Varianten.

    OPNSense kann ein eigenes WAN direkt zum Internet parallel zur UDM haben. z.B.

    Code
          --- UDM ----VLAN1-----
      |     |              |  
Fritz |    VLAN3           |----------- Client (entweder VLAN 1 oder 2)
      |     |              |  
      --- OPNSense -VLAN2---

    oder auch sequenziel

    Code
    Modem ---- UDM -- VLAN3 --- Opensense --VLAN2-- Client
            |
            |--------VLAN1------------- Client2

    z.B. Bei Glasfaser mit SFP+ Modul für den Zugang

    Beim parallelen Setup ist ein zusätzlichen transfer VLAN zum Austausch zwischen UDM und OPNSense und der kommunikation zwischen den Netzen hilfreich. Beim sequenziellen ist das NAT beim bei der kommunikation zwischen Clients aus anderen Netzen stören. Entweder ausschalten oder statt WAN and der Opensense ein LAN VLAN zur UDM (Transfernetz)

    Fürs Transfernetz (z.B. VLAN3) sind Firewalleinträge und Routing einträge notwendig

    Hallo zusammen,

    zunächst entschuldigt bitte die späte Antwort, hatte das Projekt vorübergehend auf Eis gelegt.
    Jedenfalls bedanke ich mich für Eure Antworten!

    Ich habe es nun wie folgt gelöst:
    Für das betreffende VLAN habe ich 3rd party Gateway eingestellt, geht dann an OPNSense und WAN der OPNSense
    ist direkt (parallel zur UDM) an die Fritzbox angeschlossen- hier könnte ich whrs. noch ein VLAN zwischen UDM und
    OPNSense einrichten, so dass es wieder über die UDM ins WAN geht, aber OPNSense->UDM->Fritzbox ist dann
    doch ein unnötig umständlicher Weg.

    Wenn demnächst Glasfaser kommt, dann müsste ich UDM und OPNsense ans Modem bringen (Fritzbox fliegt raus),
    aber da gönnt mir die Telekom bestimmt noch ausreichend Zeit ;)

    Schönes WE
    Gruß
    Juky

    Quote from Juky

    Wenn demnächst Glasfaser kommt, dann müsste ich UDM und OPNsense ans Modem bringen (Fritzbox fliegt raus),
    aber da gönnt mir die Telekom bestimmt noch ausreichend Zeit

    Mal ne Frage, warum wirst du die UDM nicht raus und lässt alles die OPNSense machen, die kann viele Sachen eh besser, vor allem Firewalling.
    Dann kannst dann auch direkt VLAN einrichten und entsprechend über das Regelwerk konfigurieren ?

    Und 2 Router an ein Glasfasermodem wird vermutlich bei den meisten Providern ehh nix. Zumindest bei der Telekom ist nur eine zeitgleiche PPPOE Einwahl normal. Das wird wohl so ziemlich überall so geregelt sein.

    Ich habe bisher nur einen Breitbandzugang gesehen, bei dem das ging. Das war so glaube um 2003 rum (als der Blasterworm aktiv war) und das war ein Alice DSL Anschluss (heute ein Teil von Telefonica, also O2). Da haben wir für die in Hamburg gearbeitet und hatten einen direkten Draht zu den Jungens der Technik. Die waren so nett und hatten den Anschluss gemoddet auf 5 gleichzeitige PPPOE Einwahlen, schön eine pro Rechner, da waren Router ja noch nicht so verbreitet.

    DoPe Da hast Du sicher Recht, dann könnte/müßte ich die OPNSense als Gateway für die UDM nehmen-hätte dann aber wieder 2 Firewalls hintereinander,
    insofern keine Lösung.

    Tomcat Der Gedanke kam mir auch schon- muss noch überlegen wie ich die Unifi Infrastruktur dann beibehalten kann, die zentrale Verwaltung der Switche und APs ist schon sehr komfortabel- einfachste Variante wäre für alle VLANs 3rd Party Gateway anzugeben, aber dann würde die UDM whrs. immer noch den
    Verkehr prüfen und ich hätte 2 Firewalls in Serie. Ein einfacher Unifi Software Controller reicht auch, um ein Netz aufzuspannen, da ist mir die Anbindung an
    die VLANs noch nicht klar, die ja dann von der OPNSense erstellt würden.

    Die VLANs mit ID in der OPNsense erstellen. Dann die VLANs mit identischer ID in einem Unifi Software Controller als 3rd party anlegen. Dann kannst Du wie gewohnt die Ports und WLANs verwalten und brauchst keine UDM.

    So macht man es ja auch, wenn man nur WLAN von Unifi in bestehende Netze integrieren will.

    Einziger Nachteil ist halt die verteilte Konfiguration mit teilweise doppelter Arbeit. Aber meist erstellt man da ja nicht permanent neu VLANs oder entfernt welche... also eher einmalige Sache.

    Ok, das hört sich ja einfach an- den Controller habe ich zuhause im Docker auf der NAS schon lange im Einsatz, um die APs zu verwalten- aber ohne Firewall und VLANs, da schaue ich mal rein, dann sollte mir das klar werden :)


    Quote from Juky

    Tomcat Der Gedanke kam mir auch schon- muss noch überlegen wie ich die Unifi Infrastruktur dann beibehalten kann, die zentrale Verwaltung der Switche und APs ist schon sehr komfortabel- einfachste Variante wäre für alle VLANs 3rd Party Gateway anzugeben, aber dann würde die UDM whrs. immer noch den
    Verkehr prüfen und ich hätte 2 Firewalls in Serie. Ein einfacher Unifi Software Controller reicht auch, um ein Netz aufzuspannen, da ist mir die Anbindung an
    die VLANs noch nicht klar, die ja dann von der OPNSense erstellt würden.

    Die zentrale Verwaltung von Switch und AP und WLAN's bleibt ja bei Unifi, der Controller läuft dann eben als Software ( notfalls auch auf der OPNSense mit als AddOn ), nur die ganze VLAN-Verwaltung, DHCP usw. macht die OPNSense.

    Zwei Firewalls in Serie sind nett, aber mache es nicht sicherer sondern nur unnötig komplexer und vor allem langsamer.

    So sieht es bei mir aus - Bild 1 die Netze auf dem Unifi-Controller ( bei mir ein LinuxContainer auf Proxmox ) , Bild zwei die Netzwerk-Konfig auf der OPNSense ( ignoriere die OPNSense Netz unten, das sind Testnetz für zwei virtuelle OPNSense die ich zum spielen nutze und die getrennt vom Rest auf Proxmox laufen )

    Quote from DoPe

    Einziger Nachteil ist halt die verteilte Konfiguration mit teilweise doppelter Arbeit. Aber meist erstellt man da ja nicht permanent neu VLANs oder entfernt welche... also eher einmalige Sache.

    Was hast du den an doppelter Arbeit, die VLAN werden einmal angelegt und fertig, SwitchPorts zuweisen machst dann auf Unifi, das ganze Firewalling, DHCP, DNS usw. nur noch auf der OPNSense.
    Wenn ich nichts einen Port am Switch im Arbeitszimmer ändern will, logge ich mich wochenlang nicht mehr auf dem Unifi-Controller ein, der läuft einfach vor sich hin im Hintergrund

    Quote from Tomcat

    Was hast du den an doppelter Arbeit, die VLAN werden einmal angelegt und fertig, SwitchPorts zuweisen machst dann auf Unifi, das ganze Firewalling, DHCP, DNS usw. nur noch auf der OPNSense.
    Wenn ich nichts einen Port am Switch im Arbeitszimmer ändern will, logge ich mich wochenlang nicht mehr auf dem Unifi-Controller ein, der läuft einfach vor sich hin im Hintergrund

    Schön das Du meine Aussage bestätigst ...

    Hört sich alles überzeugend an! Muss mich jetzt noch mit einigen Themen bei der OPNSense auseinander setzen- sollte ja eigentlich nur ein Projekt aus Spass werden und nn wird Ernst draus ;) Vor allem brauche ich eine vernünftige Monitoring Lösung, mit der mir die wichtigsten Infos zugestellt werden ...

    SSLInterception bleibt aber ein Spass, das gebe ich im Produktivbetrieb auf, bringt nicht nur technische Schwierigkeiten, sondern ggf. auch rechtliche Probleme mit sich- IDS/IPS und Filterlisten sollten wohl reichen. Die squid Filterung läuft ja wohl auch ohne https Verkehr aufbrechen zu müssen, dazu braucht es ja nur den (unverschlüsselten) IP Header?!

    Software:

    Auf der NAS zuhause habe ich im Docker "jacobalberty unifi" laufen, also nichts Offizielles von Ubiquiti- für die Firma installiere ich dann "UniFi Network Server"?

    Hardware:

    Zum Testen habe ich OPNSense auf einem DELL PC aufgespielt, i7 32GB RAM - scheint aktuell mit einem VLAN performant zu laufen. Wie ist denn Eure Einschätzung was ich so bräuchte? Ca. 40 User in 2 VLANs plus Gäste- und IOT VLAN, 4 Unifi Switche und 6 Unifi APs- macht es Sinn OPNSense und den Controller auf einem Rechner zu virtualisieren, bspw. mit Proxmox?

    Quote from Juky

    Zum Testen habe ich OPNSense auf einem DELL PC aufgespielt, i7 32GB RAM - scheint aktuell mit einem VLAN performant zu laufen. Wie ist denn Eure Einschätzung was ich so bräuchte? Ca. 40 User in 2 VLANs plus Gäste- und IOT VLAN, 4 Unifi Switche und 6 Unifi APs- macht es Sinn OPNSense und den Controller auf einem Rechner zu virtualisieren, bspw. mit Proxmox?

    Erste Rückfrage 40 Gäste oder 40 Clients.
    Ich habe im Haushalt 35 bis 50 Clients online. Aber da sind halt viele IoT wie Kühlschran, Wärmepumpe, Wallbox, PV-Anlage, TV etc. da passiert nicht wirklich was. Wenn man aber tatsächlich so viele aktive Nutzer hat, ist es für eine Firewall schon mehr zu tun. ;)

    Waren jetzt in den letzten 5 min 350 protokollierte Zugriffe ins Internet und 1000 Blocks am Tag. :D Spitzenreiter ist das Handy meiner Frau.

      
    Grundsätzlich ist ein i7 und 32 Ram schon sehr kräftig. Man muss allerdings bedenken, dass ein i7 Intel nicht besonders auf Netzwerkaktivität ausgelegt ist. Der verbrät viel Energie für nichts bei dieser Aufgabe.

    Mal als Frage: Was ist denn dein Ziel? Wofür denn OPNSense zusätzlich für ein VLAN vor die UDM. Oder nur um den Wissensdurst zu stillen. ;) Solche Projekte kenne ich auch.
    Mittlerweile finde ich die Fw-Umgebung der UDM schon recht gut inklusive Protokollierung/Analyse(SIEM Server), fehlt nur noch etwas IPv6 - Pflege incl. DS-Lite für Europa.

    Quote from Juky

    Vor allem brauche ich eine vernünftige Monitoring Lösung, mit der mir die wichtigsten Infos zugestellt werden

    Was willst den speziell monitoren ?

    Für Prometheus/Grafana oder Zabbix gibt es Addon, smnp ist kein Problem und mit Netdata kannst dir soviel Echtzeit-Grafiken ausgeben lassen, bis durch nicht mehr druchblickt ( ich hab bei 100 aufgehört zu zählen )

    Quote from Juky

    Zum Testen habe ich OPNSense auf einem DELL PC aufgespielt, i7 32GB RAM - scheint aktuell mit einem VLAN performant zu laufen. Wie ist denn Eure Einschätzung was ich so bräuchte?

    Bei mir läuft ein Core-5 mit 32 GB mit 15 VLan an einem GBit-Anschluss, der ist lange nicht am Ende.

    Zudem hab ich AdGuard und Unbound als DNS-Dienst mit auf der OPNSense installiert

    Quote from phino

    Erste Rückfrage 40 Gäste oder 40 Clients.

    Jedem Teilnehmer wird ein eigenes Firmen-Notebook zur Verfügung gestellt, diese sind in Entra/intune eingebunden und in einem VLAN (das im ersten Schritt demnächst zur OPNSense als Gateway geleitet wird)
    Deren Privatgeräte sind im Gästenetz, und dann ca. 30 IoT in einem Netz.

    Quote from phino

    Mittlerweile finde ich die Fw-Umgebung der UDM schon recht gut

    Ja, es besteht tatsächlich keine zwingende Notwendigkeit auf OPNSense umzusteigen, andere haben da ein vergleichbares Thema mit Schuhen und/oder Handtaschen ;)

    Quote from Tomcat

    Was willst den speziell monitoren ?

    Das war nicht richtig ausgedrückt von mir: Wenn Updates eingespielt werden oder fehlschlagen, Dienste stoppen etc., hätte ich gerne umgehend eine Info dazu- ausreichend wäre per Email, chic wäre ne API, bei der ich den Output selbst verarbeiten kann.

    Ich schaue mir dazu mal das Plugin monit an, das könnte schon ausreichen ....

    Quote from Juky

    Das war nicht richtig ausgedrückt von mir: Wenn Updates eingespielt werden oder fehlschlagen, Dienste stoppen etc., hätte ich gerne umgehend eine Info dazu- ausreichend wäre per Email, chic wäre ne API, bei der ich den Output selbst verarbeiten kann.

    Monit ist dafür gedacht, es restartet Services bei Bedarf und kann dir auch eMails zusenden - letzteres nutze ich aber nicht.

    Updates mache ich grundsätzlich nur manuell vielleicht einmal im Monat, weil die meisten mit einem Reboot verbunden sind, könnte das aber auch automatisch z.b über HomeAssistant machem, bin ich aber wieder von weg gegangen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login