OPNsense: Web-Proxy einrichten

von | 26. Sep. 2022

Dieser Beitrag richtet sich an Nutzende von komplexen Master-Maschinen und zeigt die frische Einrichtung eines Proxys mittels OPNsense auf. Sollten Sie mit einfachen Master-Maschinen arbeiten (Windows / Office), verwenden Sie bitte die Anleitung Einfaches Masterset: Webseiten sperren, da die nachfolgende Konfiguration bereits für Sie durchgeführt wurde.

Wenn ein Prüfungsszenario vorsieht, das Internet zu sperren oder nur gezielte Webseiten zuzulassen, werden diese Regeln am einfachsten in der Firewall als Proxy-Rules abgebildet. Auf der OPNsense Firewall läuft der Prozess etwas einfacher ab. Es braucht dazu nur die URL der Webseite, welche freigeben werden soll.

In diesem Beispiel wird das Internet gesperrt und die Webseite smartlearn.ch und freigegeben.

Umgebung konfigurieren

Es werden folgende Maschinen zum Set hinzugefügt:

  • os221-vmLF
  • wiv11-vmWP

Stellen Sie die Berechtigung für die vmLF auf - oder R um, damit die Lernenden nicht auf die Maschine verbinden können. Ansonsten können die Lernenden während der Prüfung die nachfolgende Konfiguration umgehen.

Konfiguration

Nach dem Starten der beiden Maschinen werden folgende Konfigurationen auf der Windows-Maschine vorgenommen:

Netzwerk-Einstellungen:
  • Gateway und DNS auf 192.168.110.2 umstellen
  • Proxyserver verwenden aktivieren
    • Automatisch erkennen: deaktivieren
    • Proxy-IP: 192.168.110.2
    • Port: 3128
    • Proxyserver nicht für Adressen verwenden: 192.168.110.2
Firewall
  1. Einloggen auf http://192.168.110.2 (Benutzername: vmadmin)
  2. System → Trust → Authorities
    1. Neues Zertifikat erstellen
      1. Name: smartlearn
      2. Method: internal CA
      3. Distinguished name:
        1. Country: CH
        2. State: Bern
        3. City: Bern
        4. Organization: smartlearn
        5. E-Mail: system@smartlearn.local
        6. Common Name: smartlearn
    2. Export CA-Cert bestätigen und das heruntergeladene Zertifikat installieren (Lokaler Computer, Zertifikatsspeicher: vertrauenswürdige Stammzertifizierungsstellen)
  3. System → Access → Users
    1. Passwörter von root und vmadmin auf zwei zufällig generierte ändern, damit Teilnehmende die Firewall-Änderungen nicht lockern können.
  4. Services → Web-Proxy → Administration
    1. Enable Proxy aktivieren (Apply)
    2. Forward Proxy → Enable SSL inspection aktivieren, CA to use: smartlearn auswählen (Apply)
    3. Forward Proxy → Access Control Lists
      1. Gewünschte Seiten bei Whitelist eintragen (z.B. smartlearn.ch)
      2. Bei Blacklist .* eintragen, um alle weiteren Seiten zu sperren.
  1. Proxy-Service neu starten (oben rechts)
  2. Firewall → Rules → lan0
    1. Neue Firewall-Regel erstellen:
      1. Action: pass
      2. TCP/IP Version: IPv4+IPv6
      3. Source: lan0 net
      4. Destination: This Firewall
    2. Neu erstellte Regel ganz nach oben verschieben
    3. Bestehende Regeln «Default allow LAN to any rule» auf Aktion «Reject» setzen (IPv4 + IPv6)
    4. Mit Apply rules die Anpassungen bestätigen