Dieser Beitrag richtet sich an Nutzende von komplexen Master-Maschinen und zeigt die frische Einrichtung eines Proxys mittels OPNsense auf. Sollten Sie mit einfachen Master-Maschinen arbeiten (Windows / Office), verwenden Sie bitte die Anleitung Einfaches Masterset: Webseiten sperren, da die nachfolgende Konfiguration bereits für Sie durchgeführt wurde.
Wenn ein Prüfungsszenario vorsieht, das Internet zu sperren oder nur gezielte Webseiten zuzulassen, werden diese Regeln am einfachsten in der Firewall als Proxy-Rules abgebildet. Auf der OPNsense Firewall läuft der Prozess etwas einfacher ab. Es braucht dazu nur die URL der Webseite, welche freigeben werden soll.
In diesem Beispiel wird das Internet gesperrt und die Webseite smartlearn.ch
und freigegeben.
Umgebung konfigurieren
Es werden folgende Maschinen zum Set hinzugefügt:
os221-vmLF
wiv11-vmWP
Stellen Sie die Berechtigung für die vmLF auf -
oder R
um, damit die Lernenden nicht auf die Maschine verbinden können. Ansonsten können die Lernenden während der Prüfung die nachfolgende Konfiguration umgehen.
Konfiguration
Nach dem Starten der beiden Maschinen werden folgende Konfigurationen auf der Windows-Maschine vorgenommen:
Netzwerk-Einstellungen:
- Gateway und DNS auf
192.168.110.2
umstellen - Proxyserver verwenden aktivieren
- Automatisch erkennen: deaktivieren
- Proxy-IP:
192.168.110.2
- Port:
3128
- Proxyserver nicht für Adressen verwenden:
192.168.110.2
Firewall
- Einloggen auf
http://192.168.110.2
(Benutzername:vmadmin
) - System → Trust → Authorities
- Neues Zertifikat erstellen
- Name: smartlearn
- Method: internal CA
- Distinguished name:
- Country: CH
- State: Bern
- City: Bern
- Organization: smartlearn
- E-Mail: system@smartlearn.local
- Common Name: smartlearn
- Export CA-Cert bestätigen und das heruntergeladene Zertifikat installieren (Lokaler Computer, Zertifikatsspeicher: vertrauenswürdige Stammzertifizierungsstellen)
- Neues Zertifikat erstellen
- System → Access → Users
- Passwörter von
root
undvmadmin
auf zwei zufällig generierte ändern, damit Teilnehmende die Firewall-Änderungen nicht lockern können.
- Passwörter von
- Services → Web-Proxy → Administration
- Enable Proxy aktivieren (Apply)
- Forward Proxy → Enable SSL inspection aktivieren, CA to use: smartlearn auswählen (Apply)
- Forward Proxy → Access Control Lists
- Gewünschte Seiten bei Whitelist eintragen (z.B.
smartlearn.ch
) - Bei Blacklist
.*
eintragen, um alle weiteren Seiten zu sperren.
- Gewünschte Seiten bei Whitelist eintragen (z.B.
- Proxy-Service neu starten (oben rechts)
- Firewall → Rules → lan0
- Neue Firewall-Regel erstellen:
- Action: pass
- TCP/IP Version: IPv4+IPv6
- Source: lan0 net
- Destination: This Firewall
- Neu erstellte Regel ganz nach oben verschieben
- Bestehende Regeln «Default allow LAN to any rule» auf Aktion «Reject» setzen (IPv4 + IPv6)
- Mit Apply rules die Anpassungen bestätigen
- Neue Firewall-Regel erstellen: