Dieser Beitrag richtet sich an Fachverantwortlichein IT-Einsatzgebieten und zeigt die Einrichtung einer Firewall mittels OPNsense auf. Das dazu passende Master-Set (Master 2022/23) muss existieren.
Sollten Sie in einer gymnasialen Bildungseinrichtung arbeiten, verwenden Sie bitte die Anleitung Firewall – OPNsense
Wenn ein Prüfungsszenario vorsieht, das Internet zu sperren oder nur gezielte Webseiten zuzulassen, werden diese Regeln am einfachsten in der Firewall als Proxy-Rules abgebildet. Auf der OPNsense Firewall läuft der Prozess etwas einfacher ab. Es braucht dazu nur die URL der Webseite, welche freigeben werden soll.
In diesem Beispiel wird das Internet gesperrt und die Webseite smartlearn.ch
und freigegeben.
Umgebung konfigurieren
Es werden folgende Maschinen zum Set hinzugefügt:
- os221-vmLF
- wiv11-vmWP

Konfiguration
Nach dem Starten der beiden Maschinen werden folgende Konfigurationen auf der Windows-Maschine vorgenommen:
Netzwerk-Einstellungen:
- Gateway und DNS auf
192.168.110.2
umstellen - Proxyserver verwenden aktivieren
- Automatisch erkennen: deaktivieren
- Proxy-IP: 192.168.110.2
- Port: 3128
- Proxyserver nicht für Adressen verwenden: 192.168.110.2

Firewall
- Einloggen auf
http://192.168.110.2
(Benutzername:vmadmin
) - System → Trust → Authorities
- Neues Zertifikat erstellen
- Name: smartlearn
- Method: internal CA
- Distinguished name:
- Country: CH
- State: Bern
- City: Bern
- Organization: smartlearn
- E-Mail: system@smartlearn.local
- Common Name: smartlearn
- Export CA-Cert bestätigen und das heruntergeladene Zertifikat installieren (Lokaler Computer, Zertifikatsspeicher: vertrauenswürdige Stammzertifizierungsstellen)
- Neues Zertifikat erstellen
- System → Access → Users
- Passwörter von
root
undvmadmin
auf zwei zufällig generierte ändern, damit Teilnehmende die Firewall-Änderungen nicht lockern können.
- Passwörter von
- Services → Web-Proxy → Administration
- Enable Proxy aktivieren (Apply)
- Forward Proxy → Enable SSL inspection aktivieren, CA to use: smartlearn auswählen (Apply)
- Forward Proxy → Access Control Lists
- Gewünschte Seiten bei Whitelist eintragen (z.B.
smartlearn.ch
) - Bei Blacklist
.*
eintragen, um alle weiteren Seiten zu sperren.
- Gewünschte Seiten bei Whitelist eintragen (z.B.

- Proxy-Service neu starten (oben rechts)
- Firewall → Rules → lan0
- Neue Firewall-Regel erstellen:
- Action: pass
- TCP/IP Version: IPv4+IPv6
- Source: lan0 net
- Destination: This Firewall
- Neu erstellte Regel ganz nach oben verschieben
- Bestehende Regeln «Default allow LAN to any rule» auf Aktion «Reject» setzen (IPv4 + IPv6)
- Mit Apply rules die Anpassungen bestätigen
- Neue Firewall-Regel erstellen:

0 Kommentare