}
abonneren

Gastnetwerk opzetten en beheren met OPNsense

Als je gasten bij jouw thuis toegang tot internet wilt geven, wil je misschien liever niet dat ze ook bij je lokale netwerk kunnen. Met OPNsense op je router heb je alles in huis, wil je een professioneel gastnetwerk opzetten.

Eerder toonden we je hoe je met OPNsense een veilige firewall en router voor je thuisnetwerk instelt. In dit artikel bouwen we daarop voort en configureren we OPNsense op zo’n manier dat we met een van de aangesloten draadloze toegangspunten een gastnetwerk creëren dat volledig afgescheiden is van de rest van ons netwerk en waar we extra beperkingen kunnen opleggen.

We gaan er hier dus van uit dat je OPNsense op je router hebt draaien. Voor de installatie en configuratie daarvan verwijzen we je eerst even door naar twee voorgaande artikelen:

Firewall op router installeren met open-source OPNsense

OPNsense VPN-server opzetten en configureren

Drie interfaces

Om een gastnetwerk op te zetten, heeft onze OPNsense-router drie ethernetinterfaces nodig. De ene is de wan-interface die naar je modem gaat: dat is je verbinding met internet. De tweede is de lan-interface. Daarop heb je een switch aangesloten waar al je lokale netwerkapparatuur aan hangt: je nas, je desktop-pc, het draadloos toegangspunt voor je laptops en mobiele toestellen enzovoort.

De derde interface is voor het gastnetwerk: hier sluiten we een draadloos toegangspunt (of switch voor een bedraad netwerk) op aan. Omdat alles in ons gastnetwerk uiteindelijk op die ene interface aangesloten is, kunnen we in OPNsense eenvoudig firewallregels instellen en andere zaken inperken voor al het netwerkverkeer dat via de gastinterface komt.

We leggen in dit artikel niet uit hoe je het draadloos toegangspunt voor je gasten installeert, maar we gaan ervan uit dat die een ‘bridged’ configuratie gebruikt: de wifi-interface en de wan-interface van je toegangspunt vormen samen een ‘virtueel’ netwerk, en je OPNsense-router kent via dhcp ip-adressen toe aan zowel je toegangspunt als alle wifi-clients die ermee verbonden zijn.

Configureer de gastinterface

Als eerste configureren we de gastinterface. Ga in de webinterface van OPNsense naar Interfaces / Assignments en klik op het plusteken naast de derde interface. De nieuwe interface krijgt de naam OPT1. Klik nu links op Interfaces / [OPT1] en vink Enable interface aan.

Je kunt nu alle eigenschappen van de interface instellen. Geef de interface een duidelijkere omschrijving dan OPT1, bijvoorbeeld GASTNET. Selecteer bij IPv4 Configuration Type de waarde Static IPv4 en vul onderaan bij IPv4 address het ip-adres 192.168.200.1/24 in. De rest laat je op de standaardwaardes staan. Klik op Save en dan op Apply changes om je wijzigingen toe te passen.

Nu moeten we er nog voor zorgen dat OPNsense via dhcp ip-adressen uitdeelt aan alle clients op het gastnetwerk. Open links Services / DHCPv4 / GASTNET en vink Enable DHCP server on the GASTNET interface aan. Vul bij Range het bereik van ip-adressen in, bijvoorbeeld van 192.168.200.100 tot 192.168.200.200. En vul bij de dns-server en de gateway 192.168.200.1 in: het ip-adres van de interface. Laat de rest op de standaardwaardes staan en klik op Save.

Firewallregels

Voorlopig werkt de gastinterface nog niet omdat OPNsense alle inkomende verbindingen op een interface standaard blokkeert tot je die met een firewallregel toestaat. We gaan dus enkele firewallregels toevoegen. We beginnen met het toestaan van toegang tot de dns-forwarder van OPNsense. Klik op Firewall / Rules / GASTNET en dan rechtsboven op Add. Door bij Action de optie Pass te selecteren, laten we verkeer toe.

Verder vullen we het volgende in: Protocol = TCP/UDP, Source = GASTNET net, Destination = GASTNET address en Destination port range van DNS naar DNS. Vul bij Description een beschrijving van de regel in, zoals Laat DNS toe. Laat al het andere op de standaardwaardes staan en klik op Save. Je hoeft nu niet onmiddellijk op Apply changes te klikken, want we gaan op deze manier nog meer firewallregels toevoegen.

Maak een tweede firewallregel die verkeer toelaat met Action = Pass. Kies als protocol deze keer TCP, Source = GASTNET net, Destination = GASTNET address en als bereik voor de poorten (je dient eerst other te kiezen) 8000 tot 10000. Als beschrijving tik je Laat Captive Portal toe, omdat we de clients met deze regel toegang tot de inlogpagina van het gastnetwerk geven.

De volgende twee regels blokkeren toegang. Maak dus een nieuwe regel aan, maar met Action = Block. De optie Protocol laat je op any staan, Source = GASTNET net en Destination = LAN net (waarbij we ervan uitgaan dat je lan-poort LAN heet). Geef de regel als beschrijving Blokkeer toegang tot LAN. Een poortbereik hoeven we niet in te voeren: met deze regel blokkeren we alle toegang van clients op het gastnetwerk tot clients op het lan.

Voeg nu dezelfde regel toe, maar dan met Destination = GASTNET address en beschrijving Blokkeer toegang tot OPNsense. De clients op het gastnetwerk hoeven immers ook geen toegang te krijgen tot onze OPNsense-machine.

Draadloze toegang

Als laatste maken we nog één regel die de clients op het gastnetwerk standaard toegang tot alle bestemmingen geeft. De firewallregels worden immers in volgorde toegepast en de eerste die overeenkomt, is van toepassing. En al het verkeer dat niet expliciet met een regel overeenkomt, wordt geblokkeerd. Daarom hebben we onderaan de lijst een regel nodig die alles toestaat.

Maak dus een nieuwe regel, laat de optie Protocol op any staan, kies Source = GASTNET net en als beschrijving Laat verkeer van gastnet toe. Al het overige blijft op zijn standaardwaarde staan. Als je nu al deze firewallregels hebt opgeslagen, klik je op Apply changes om ze toe te passen.

Herstart nu je draadloze toegangspunt. Controleer of het een ip-adres via dhcp toegewezen krijgt, waarschijnlijk 192.168.200.100. Als alles goed is, kun je nu ook gewoon via je smartphone met het toegangspunt verbinden en krijgt die via dhcp een ip-adres in het adresbereik vanaf 192.168.200.100 tot 192.168.200.200.

Je moet nu op je smartphone toegang tot internet hebben, toegang tot andere clients in het gastnetwerk, maar niet tot machines in de rest van je thuisnetwerk, noch tot je OPNsense-machine.

Bandbreedte beperken

Je gasten hebben nu dus internet en je hoeft je geen zorgen te maken dat ze in je eigen netwerk inbreken, maar ze kunnen nog wel de volledige bandbreedte van je internetverbinding verbruiken. Gelukkig kun je met de ingebouwde ‘traffic shaper’ van OPNsense de upstream-bandbreedte van je gastnetwerk dichtknijpen. Je kunt bijvoorbeeld de snelheid beperken tot 10 Mbit/s download en 1 Mbit/s upload. Die bandbreedte wordt dan door alle clients op het gastnetwerk gedeeld.

Open in de webinterface van OPNsense Firewall / Shaper / Settings. Maak een ‘pipe’ voor de downloadsnelheid met een klik op het plusteken rechts. Vul als bandbreedte 10 en als eenheid Mbit/s in, en kies bij Mask voor destination. Geef de pipe een beschrijving (bijvoorbeeld pipe_10Mbps_down) en sla dit op. Vul nu exact dezelfde gegevens voor de pipe voor de upload in, maar dan met een bandbreedte van 1 Mbit/s en een andere beschrijving.

We hebben nu twee pipes die definiëren hoe ze de bandbreedte beperken, maar in het tabblad Rules moeten we nog instellen hoe we deze pipes toepassen. Klik op het plusteken rechts om een nieuwe regel aan te maken. Schakel bovenaan links de advanced mode in, kies als interface WAN en als tweede interface GASTNET. Bij Direction vul je in in en als Target kies je voor pipe_10Mbps_down. Vul als beschrijving iets in als Beperk gasten tot 10 Mbps download en sla de regel op.

Doe nu hetzelfde om de uploadsnelheid te beperken. Daarvoor kies je bij Direction voor out. Klik tot slot in het tabblad met regels onderaan op Apply. Vanaf nu is de bandbreedte van je gasten beperkt.

Geschreven door: Koen Vervloesem op

Category: Workshop, Netwerk

Tags: netwerk, opnsense

Laatste Vacatures

Uitgelicht: Technisch Applicatiebeheerder - CGI