Turris na grbk - "build log"

Nevím kam to psát - ostatní fóra kam chodím mají kategorii “build log”, která slouží spíš k monologickému popisu toho, co autor vlákna dělá a jak, než k diskusi. Tak pokud adminové řeknou, kam tento příspěvek dát, budu rád. Log píšu v důvěře, že ho někdo shledá užitečným, protože si asi musí projít tím samým co já. (a taky jsem líný to psát někam na svůj web)

Omnii máme na škole (100+ PC ve vnitřní síti, cca 300 klientů přes wifi (chytré mobily studentů).
Doposud byla konektivita řešena placeným firewallem (Kerio connect), ale po změně majitele nám bez varování zrušili původně neomezenou licenci, čímž tak nějak přišli o důvěru a zákazníka.
Cíl: Přiblížit se s Omniií stavu, který byl před ní. To jest:

• počítače ve škole mají přístup na internet
• počítače jsou zabezpečeny proti útoku zvenčí
• funkční VPN, zejména kvůli RDP (dost práce udělám z domova po nocích)
  x více IP adres na WAN rozhraní, školní mailserver a server s Bakaláři má každý svou veřejnou IP adresu
  x správně forwardován port pro přístup k objednacímu terminálu školní jídelny
  x omezit přístup na některé stránky (facebook, porno, nacismus) buď na základě IP adres, nebo doménovách jmen, ideálně taky podle klíčových slov
  x vidět kdo kde zrovna surfuje, moci ho na dálku zaříznout
  x připojit Wifi pro studenty, ideálně jako hostovskou síť
  x moci vypnout přístup skupinám PC např. podle rozsahu IP adres (vypnout internet v učebně)

Co dokážu, to tu napíšu. Jsem taková poučená lama, tak snad to pomůže ostatním začátečníkům…
Budu vděčný za připomínky i rady jak něco udělat lépe.

Instalace, zprovoznění, rozběhání OpenVPN včetně RDP

Omnii jsem zapnul připojenou k “bastlu” odděleném od sítě, nastavil v průvodci Foris veřejnou IP, vnitřní rozsah, vypnul wifi (prozatím) a vypnul DHCP než ho upravím jak potřebuji.
Doufám, že prvotní pravidla jsou nastavena tak, aby ve firewallu nebyly díry neb to neumím poznat.
Následovalo zapojení do WAN a připojení do vnitřní sítě, aktualizace a instalace OpenVPN podle tohoto návodu: https://doc.turris.cz/doc/cs/howto/openvpn_plugin

Ověření funkčnosti - ze vzdáleného počítače ping na PC ve vnitřní síti. Nedopadlo to moc dobře.
Co v návodu chybí, je, že Foris script sice udělá vše potřebné, ale už nenastaví firewall.
Co je nutno dodělat je v LuCi přiřadit nově vzniklé tun_vpn rozhraní do LAN bridge, a nastavit mu LAN zónu v pravidlech firewallu. Tím se stane “plnoprávným členem” LAN a přes VPN se dá pracovat jako na místním PC.

Ahoj … je prima, že se s námi (s komunitou kolem routeru Turris) chceš podělit o své nápady a postupy, jak a co nejlépe nastavit.
I když nejlépe se na tyto věci hodí komunitní dokumentace, kterou najdeš na https://wiki.turris.cz/. Spousty věcí se tam i dočteš a dozvíš a budeš-li mít nějaký návod na nastavení, který tam ještě není, můžeš i aktivně přispívat a zveřejnit ho tam pro ostatní.