CubelaPetar/notes
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

]

Browse Source
This commit is contained in:
Petar Cubela
2025-07-15 15:36:24 +02:00
parent f6398bf45c
commit 252a91dbcc
162 changed files with 4584 additions and 54 deletions
Download Patch File Download Diff File Expand all files Collapse all files

50
projects/ssr/firewall_migration/20250516-init.md Normal file
View File

@@ -0,0 +1,50 @@
## Todo (Meeting mit Thilo und Oli)
- handout fuer jeweils sophos und opnsense als vergleich
- aufgaben fuer wartung rausschreiben
- detailiert feature liste fuer opnsense (fuer internen nutzen und grobe baseline)
## Base Info
- Time: 16.05.2025 11:30 Uhr
- Location: Teams
- Participants: Nina Schiffel, Annika Luedeke, Lucas Zimmer-Schneider, Oliver Kaspar, Petar Cubela
## Topics
- Sophos or OPNsense - HW, SW
- Arbeitszeit besprechen
- Rekonstruktion der Kerio Firewall
## Sophos
- Trusted industry standard firewall which delivers default features needed in the industry.
- Support for several years vie expensive license and expensive hardware which becomes useless after license expiration
## OPNsense
- Open Source product. No cost for the OS
- Can be installed on any hardware (as long as it has two network interfaces)
- Yearly (or 3 years) license (~150/500 euro) which enables management features and commercial firmware repository
## Preis
| Topic | Preis - OPNsense | Preis - Sophos |
| --------------------- | -------------------------------------------------------------------- | ------------------------------------------------------------ |
| HW | Vorhandene Hardware oder neue Hardware (Kosten: 500 - 1000 Euro) | ein Preis fuer HW + OS + Lizenz |
| OS | Keine Kosten | n/a |
| Lizenz | Business License: 130 Euro/Yearly + Support License: 300 Euro/yearly | 7600 Euro (Lizenz gueltig fuer 3 Jahre) |
| Arbeitsstunden | ~40h, ~4000 Euro | ~30h, ~3000 Euro |
| Wartungspauschale | ~ 100 Euro / monthly (WAHT??: Update, Zyklische Statusabfrage) | Inkludiert im MSP Module Netzwerkmgmt |
| Summary \[euro/year\] | 4000 (5000) Euro Einbau + 500 Euro/yearly Lizenz | 3000 Euro Einbau + 7600 Euro auf 3 Jahre (~2500 Euro/yearly) |
## Meeting 20250516
- diskutiere laufdauer bestehender hardware
- ueberlegen neuer hw bestellung thomas-krenn
- vergleiche preise: stunden + lizenz kosten + hw kosten
- opnsense vs sophos - security features
- wartungspauschale
- herrman fragen wegen opnsense lizenz

151
projects/ssr/firewall_migration/20250526-Notizen.md Normal file
View File

@@ -0,0 +1,151 @@
## Vor Ort Notes
1. Plane Switch Portbelegung
2. Stelle alle Geraete auf dhcp um:
1. [x] switches
2. [x] APs
3. [x] Cloud-Key
4. [x] Telefone
5. [x] Drucker (drucker muss mehr angepasst werden: dns)
3. Dangerous: Setze VLANs auf designierte Ports um
4. Geraete runterfahren
5. Neue Firewall anschalten und hoffen, dass es klappt
## Notes
opnsense ui: root, 4H?bh,wXU85JrXs
opnsense ui: sbxadmin, %bghY!FH65Z
cloud key: user: sbxadmin, 'l0b-J3HbQ7Om0jbfeuah'
Main switch: 60:22:32:ee:22:38
Subscription key: a119bcee-9ca0-438c-b2c9-69db51d186b8
## General
- [ ] hermann ablauf mitteilen
- [ ] Internetzugangsdaten beschaffen
- [x] pruefe WAN/Modem Anschluss - fritz macht pppoe als router; modem laut fritz vorhanden - entferne fritzbox
- [x] Change public DNS entries (gw.studio-stadt-region.de -> \<public-ip\> )
- [x] ports der unifi untersuchen
- [x] configure dhcp on all unifi devices
- [x] acme - challenge type - andere token con cf
- [x] unifi dashboard - define all vlan networks
- [x] add to opncentral
- [x] fotos machen
- [x] unifi cloud key mit cloud koppeln
- [ ] Switch und APs in IT-Glue hinterlegen
- [ ] physische Beschriftung anpassen
### deprecated
- [ ] ips/ids anschalten
- [ ] change ilo ip such that its in the mgmt net
- [ ] backup via ftp to nas if possible
## Kerio Features
### Network
- WAN: 10.0.80.2 (FritzBox PPPoE)
- LAN: 192.168.80.1/24
- VPN: 172.16.80.1/24
### DNS and DHCP
- [x] domain name: ad.studio-stadt-region.de
- [x] query forwarding: `*.zvelo.com` -> `1.1.1.1,1.2.2.1`
## OPNsense
### Network
| Name | Interface | VLAN tag | Network | Note |
| ---------- | --------- | -------- | --------------- | ----------------------- |
| WAN | WAN | / | 10.0.80.2/32 | FritzBox PPPoE |
| MGMT | LAN | 1 | 192.168.50.1/24 | |
| SERVER | LAN | 80 | 192.168.80.1/24 | |
| CLIENT | LAN | 20 | 192.168.20.1/24 | |
| WLAN | LAN | 30 | 192.168.30.1/24 | USE CLIENT net for WLAN |
| WLAN_GUEST | LAN | 40 | 192.168.40.1/24 | |
| OpenVPN | VPN | | 172.16.80.1/24 | |
### Firewall
#### Aliase
- [x] filewave
- [x] mailstore
- [x] nas
- [x] sbxoffice
- [x] ad
- [x] printer (NEW IP: 192.168.20.10. OLD IP: 192.168.80.200)
- [x] phone (NEW IP: 192.168.20.28/29. OLD IP: 192.168.80.28/29)
#### Rules
##### WAN
- [ ] enable geo filter (iran, north korea, russia)
- [ ] Allow VPN entrypoint to WAN via VPN port
##### MGMT
- [ ] allow 'mgmt addr' to AD server via ldap
- [ ] allow 'mgmt net' to AD via dns
##### USER
- [ ] allow 'user net' to AD via dns
- [ ] allow 'user net' to nas via smb
- [ ] allow 'user net' to AD via ldap(s)
- [ ] allow 'user net' to 'server net' via https
- [ ] allow 'user net' to mailstore via its web port (Reverse Proxy in future)
- [ ] allow 'user net' to vwlizenz via (any?)
- [ ] allow 'user net' to filewaveserver via filewaveservice ports
##### VPN
- [ ] allow 'vpn net' to AD via dns
- [ ] Allow SMB for VPN Client network
- [ ] allow vpn net to server net
##### SERVER
- [ ] Allow filewave out
#### DNAT
- [ ] Port 8462/tcp from WAN address to Mailstore IP NAT
- [ ] Port Group "Filewave" from WAN address to Filewave IP NAT
### Authentication Server
- [ ] AD coupling somehow - DNAT from sbxoffice to local AD via LDAP(s)
### VPN
- depends on: Authentication Server
- one user and one admin vpn server
- [ ] Setup OpenVPN.
- [ ] Self-Signed Certificate Chain: Root CA, Server Cert and Client Cert
- [ ] setup openvpn server
- [ ] setup client certs
### IPS/IDS
- [ ] setup and configure surricata - very heavy on resources.. need to be tested
### Content Filter
- [ ] Recreate - if possible - application, web and https filter
### Reverse Proxy (Web Server Protection)
- [ ] projektpro
- [ ] Andere?
### NTP
- Server: `srvu-master.ad.studio-stadt-region.de`
## Archive

28
projects/ssr/firewall_migration/20250611-VPN_config_new_FW.md Normal file
View File

@@ -0,0 +1,28 @@
# OpenVPN Konfiguration
## Einfuehrung
Dieses Dokument erklaert die Einrichtung des VPN Clienten mit der neuen genutzten Firewall Loesung.
Die Umsetzung besteht aus zwei Schritten:
1. Download und Installation des OpenVPN Clienten
2. Download der Konfiguration und Einbindung in den zuvor runtergeladenen Clienten
## OpenVPN Client
Der Client kann unter folgendem Link runtergeladen werden: <https://openvpn.net/downloads/openvpn-connect-v3-macos.dmg>
Klicken des Links sollte den Download direkt starten.
Die App zur Installation kann auch unter dem [Link](https://openvpn.net/client/) gefunden werden.
Die Installation der Applikation kann mit einem Doppelklick auf die runtergeladenen Datei gestartet werden.
Nach Abschluss der Installation muss die individuelle Konfiguration fuer die VPN-Verbindung runtergeladen und anschliessend im Clienten importiert werden. Dies wird im naechsten Abschnitt beschrieben.
## Konfiguration
Um die Konfiguration zu erhalten, muss sich jede/r unter dem folgenden Link anmelden, <https://gw.knoppwassmer.de>.
Die Zugangsdaten sind:
- User: 'vorname.nachname'
- Password: 'langes-kennwort'
Nach erfolgreicher Anmeldung muss auf der linken Seite das Menu 'Lobby -> Portal' geoeffnet werden.
In der Mitte werden dann drei Bereiche angezeigt: 'Home', 'Account' und 'OpenVPN'. Hier bitte auf OpenVPN klicken. Hier werden die euch zur verfuegung stehenden VPN-Konfigurationen angezeigt; ihr solltet eine Konfiguration namens 'vpn_user' gelistet sehen. Auf der rechten Ende der Liste ist ein Button ueber den die Konfiguration runtergeladen werden kann.
Nach erfolgreichem Runterladen kann die VPN-Konfiguration durch einen Doppelklick an den VPN-Clienten importiert werden. Der Client wird hier nochmal nach den Zugangsdaten fragen.

17
projects/ssr/firewall_migration/20250623-PP-NeuEinbindung.md Normal file
View File

@@ -0,0 +1,17 @@
## Intro
Nach der Firewall Migration kann potentiell Projekt Pro nicht mehr geoeffnet werden.
Hier muss Projekt Pro einmal aus Filemaker entfernt werden und neu eingebunden werden.
Im Folgenden wird dieser Prozess kurz beschrieben.
## Anleitung
1. Bitte oeffnen Sie Filemaker Pro
2. Die Projekt Pro Verknuepfung im Filemaker Pro muss entfernt werden. Rechtsklick oder `<kbd>Ctrl</kbd>+`Linksklick, um es zu entfernen, siehe Bild: ![part1](/files/ssr/PP-FW-Migration/part1.png)
3. Klicken Sie auf `App hinzufuegen`. Es oeffnet sich ein Menu, in dem `Durchsuchen...` und `Hosts...` angezeigt wird. Klicken Sie hier bitte auf **`Hosts...`**, siehe Bild: ![part2](/files/ssr/PP-FW-Migration/part2.png)
4. Es oeffnet sich ein neues Fenster. Klicken Sie bitte auf das `+`-Symbol oben links, siehe Bild: ![part3](/files/ssr/PP-FW-Migration/part3.png)
5. Geben Sie hier die IP Adresse, `192.168.80.11`, in das Feld `Internet-Adresse Host:` ein, siehe Bild: ![part4](/files/ssr/PP-FW-Migration/part4.png)
6. Es erscheint eine Warunng zu einem fehlenden Zertifikat; Diese erscheint hier, weil wir den Server ueber seine IP Adresse ansprechen. Die Meldung kann ignoriert werden. Setzen Sie den Haken `Verbindung zu diesem Host immer zulassen` und klicken Sie auf `Verbinden`, siehe Bild: ![part5](/files/ssr/PP-FW-Migration/part5.png)
7. Das ProjektPro Symbol wird angezeigt; waehlen sie dieses aus und klicken Sie auf `Ok`, siehe Bild: ![part6](/files/ssr/PP-FW-Migration/part6.png)
8. PP sollte wie gehabt funktionieren.