Einleitung

Ich habe mir vor kurzen zwei Sophos SG 125 V2 mit OPNsense angeschafft. Diese haben mehrere physikalische Interfaces, welche ich gerne zu einer Bridge zusammenschließen würde. Das ermöglicht es mehrere Interfaces wie ein Switch zu behandeln und dem selben Netzwerk zuzuweisen ohne jedes Interface einzeln zu konfigurieren.

Die Sophos hat ein DMZ, ein LAN, ein HA, ein WAN und mehrere normale Ethernet Ports. Die Ethernet Ports möchte ich gerne zusammen als Bridge einrichten.

Physikalische Interfaces einrichten

  1. Zunächst muss unter Interfaces > Assignments alle physikalische Interfaces einem logischen Interface zugewiesen werden. Welchen Namen dabei vergeben wird, ist egal.
  2. Zusätzlich muss das Interface aktiviert werden, alternativ kann das Lock aktiviert werden. So kann das Interface aus der Bridge nicht aus versehen gelöscht werden.
  3. Danach kann unter Interfaces > Other Types > Bridge eine Bridge erstellt werden, und alle gewünschten Interfaces hinzufügen.

Firewall Filter auf der Bridge

Um nun nicht für jede Interface der Bridge eigene Firewall Regeln zu erstellen, sondern nur über das LAN Interface, müssen unter System > Settings > Tunables die folgenden Einstellungen angepasst werden:

  1. net.link.bridge.pfil_bridge = 1
  2. net.link.bridge.pfil_member = 0 Das deaktiviert die Filter auf die einzelnen Interfaces der Bridge und aktiviert die Filter auf dem Bridge Interface selbst.

Zum Schluss kann die Bridge danach dem virtuellen LAN Interface zugewiesen werden.

📌
Beachte das man dabei die aktuelle Verbindung verliert weil das aktuelle Interface nicht Mitglied der Bridge ist. Wenn sich auf einem Bridge Interface verbindet kann das verbleibende Interface auch der Bridge hinzugefügt werden.