Sådan installeres og konfigureres grundlæggende OpnSense Firewall

I en tidligere artikel blev en firewall-løsning kendt som PfSense diskuteret. I begyndelsen af 2015 blev der besluttet at forkaste PfSense, og en ny firewall-løsning kaldet OpnSense blev frigivet.

OpnSense startede sit liv som en simpel gaffel af PfSense, men har udviklet sig til en helt uafhængig firewall-løsning. Denne artikel dækker installationen og den grundlæggende indledende konfiguration af en ny OpnSense-installation.

Ligesom PfSense er OpnSense en FreeBSD-baseret open source-firewall-løsning. Distributionen er gratis at installere på eget udstyr eller firmaet Decisio, der sælger forudkonfigurerede firewall-apparater.

OpnSense har et minimalt sæt krav, og et typisk ældre hjemmetårn kan let konfigureres til at køre som en OpnSense-firewall. De foreslåede minimumsspecifikationer er som følger:

  • 500 mhz CPU
  • 1 GB RAM
  • 4 GB lagerplads
  • 2 netværksinterfacekort

  • 1 GHz CPU
  • 1 GB RAM
  • 4 GB lagerplads
  • 2 eller flere PCI-e-netværksinterfacekort.

Hvis læseren ønsker at udnytte nogle af de mere avancerede funktioner i OpnSense (VPN-server osv.), Bør systemet få bedre hardware.

Jo flere moduler brugeren ønsker at aktivere, jo mere RAM/CPU/drevplads skal inkluderes. Det foreslås, at følgende minimumsopfyldes, hvis der er planer om at aktivere avancerede moduler i OpnSense.

  • Moderne CPU med flere kerner, der kører mindst 2,0 GHz
  • 4 GB RAM mere
  • 10 GB + HD-plads
  • 2 eller flere Intel PCI-e-netværksinterfacekort

Installation og konfiguration af OpnSense Firewall

Uanset hvilken hardware der vælges, er installation af OpnSense en simpel proces, men kræver, at brugeren skal være meget opmærksom på, hvilke netværksinterfaceporte der vil blive brugt til hvilket formål (LAN, WAN, Wireless osv.).

En del af installationsprocessen vil involvere brugeren til at begynde at konfigurere LAN- og WAN-grænseflader. Forfatteren foreslår kun at tilslutte WAN-grænsefladen, indtil OpnSense er konfigureret, og fortsæt derefter med at afslutte installationen ved at tilslutte LAN-grænsefladen.

Det første trin er at hente OpnSense-softwaren, og der er et par forskellige muligheder tilgængelige afhængigt af enhed og installationsmetode, men denne vejledning bruger 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

ISO blev opnået ved hjælp af følgende kommando:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Når filen er downloadet, skal den dekomprimeres ved hjælp af bunzip-værktøjet som følger:

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Når installationsprogrammet er downloadet og dekomprimeret, kan det enten brændes til en CD, eller det kan kopieres til et USB-drev med 'dd' værktøjet, der er inkluderet i de fleste Linux-distributioner.

Den næste proces er at skrive ISO til et USB-drev for at starte installationsprogrammet. For at opnå dette skal du bruge 'dd' værktøjet i Linux.

Først skal disknavnet dog være placeret med 'lsblk'.

$ lsblk

Med navnet på USB-drevet bestemt som '/ dev/sdc', kan OpnSense ISO skrives til drevet med 'dd' værktøjet.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Bemærk: Ovenstående kommando kræver rodrettigheder, så brug 'sudo' eller login som rodbrugeren til at køre kommandoen. Også denne kommando FJERNER ALT på USB-drevet. Sørg for at sikkerhedskopiere nødvendige data.

Når dd er færdig med at skrive til USB-drevet, skal du placere mediet i computeren, der skal konfigureres som OpnSense-firewall. Start computeren til det medie, og følgende skærm vises.

For at fortsætte til installationsprogrammet skal du blot trykke på 'Enter' -tasten. Dette starter OpnSense i Live-tilstand, men der findes en speciel bruger til at installere OpnSense til lokale medier i stedet.

Når systemet starter til loginprompten, skal du bruge brugernavnet til 'installer' med adgangskoden til 'opnsense'.

Installationsmediet logger ind og starter det aktuelle OpnSense-installationsprogram. FORSIGTIG: Hvis du fortsætter med følgende trin, vil alle data på harddisken i systemet blive slettet! Fortsæt med forsigtighed, eller afslut installationsprogrammet.

Hvis du trykker på 'Enter' -tasten, starter installationsprocessen. Det første trin er at vælge nøglekortet. Installationsprogrammet vil sandsynligvis som standard registrere det korrekte nøglekort. Gennemgå det valgte tastatur, og ret efter behov ..

Den næste skærm giver nogle muligheder for installationen. Hvis brugeren ønsker at foretage avanceret partitionering eller importere en konfiguration fra en anden OpnSense-boks, kan dette opnås på dette trin. Denne guide antager en ny installation og vælger muligheden 'Guidet installation'.

Det følgende skærmbillede viser de genkendte lagerenheder til installation.

Når lagerenheden er valgt, skal brugeren beslutte, hvilket partitioneringsskema, der bruges af installationsprogrammet (MBR eller GPT/EFI).

De fleste moderne systemer understøtter GPT/EFI, men hvis brugeren gentænker en ældre computer, er MBR muligvis den eneste understøttede mulighed. Kontroller i BIOS-indstillingerne for systemet for at se, om det understøtter EFI/GPT.

Når partitioneringsskemaet er valgt, starter installationsprogrammet installationstrinene. Processen tager ikke særlig lang tid og beder brugeren om information med jævne mellemrum, f.eks. Rodbrugerens adgangskode.

Når brugeren har indstillet rootbrugerens adgangskode, er installationen færdig, og systemet skal genstartes for at konfigurere installationen. Når systemet genstarter, skal det automatisk starte op i OpnSense-installationen (sørg for at fjerne installationsmediet, når maskinen genstartes).

Når systemet genstarter, stopper det ved loginprompten til konsollen og venter på, at brugeren logger ind.

Hvis brugeren nu var opmærksom under installationen, kunne de bemærke, at de kunne have forudkonfigureret grænsefladerne under installationen. Lad os dog antage for denne artikel, at grænsefladerne ikke blev tildelt ved installation.

Efter at have logget ind med rodbrugeren og adgangskoden konfigureret under installationen, kan det bemærkes, at OpnSense kun brugte et af netværksinterfacekortene (NIC) på denne maskine. På billedet nedenfor hedder det “LAN (em0)”.

OpnSense vil som standard være standard “192.168.1.1/24” netværk for LAN. Men i ovenstående billede mangler WAN-grænsefladen! Dette korrigeres let ved at skrive '1' ved prompten og trykke på Enter.

Dette giver mulighed for omfordeling af NIC'erne på systemet. Bemærk i det næste billede, at der er to tilgængelige grænseflader: 'em0' og 'em1'.

Konfigurationsguiden tillader også meget komplekse opsætninger med VLAN'er, men indtil videre antager denne vejledning en grundlæggende to netværksopsætning; (dvs. en WAN/ISP-side og en LAN-side).

Indtast ‘N’ for ikke at konfigurere nogen VLAN'er på dette tidspunkt. Til denne særlige opsætning er WAN-grænsefladen 'em0', og LAN-grænsefladen er 'em1' som vist nedenfor.

Bekræft ændringerne af grænsefladerne ved at skrive 'Y' i prompten. Dette får OpnSense til at genindlæse mange af sine tjenester for at afspejle ændringerne i interface-tildelingen.

Når du er færdig, skal du forbinde en computer med en webbrowser til LAN-sidegrænsefladen. LAN-grænsefladen har en DHCP-server, der lytter på grænsefladen til klienter, så computeren kan få de nødvendige adresseoplysninger til at oprette forbindelse til OpnSense-webkonfigurationssiden.

Når computeren er tilsluttet LAN-grænsefladen, skal du åbne en webbrowser og navigere til følgende url: http://192.168.1.1.

For at logge ind på webkonsollen; brug brugernavnet 'root' og den adgangskode, der blev konfigureret under installationsprocessen. Når den er logget ind, afsluttes den sidste del af installationen.

Det første trin i installationsprogrammet bruges til simpelthen at indsamle flere oplysninger såsom værtsnavn, domænenavn og DNS-servere. De fleste brugere kan lade indstillingen 'Tilsidesæt DNS' være valgt.

Dette gør det muligt for OpnSense-firewall at hente DNS-oplysninger fra internetudbyderen via WAN-grænsefladen.

Den næste skærm beder om NTP-servere. Hvis brugeren ikke har deres egne NTP-systemer, leverer OpnSense et standardsæt med NTP-serverpuljer.

Det næste skærmbillede er opsætning af WAN-interface. De fleste internetudbydere til hjemmebrugere bruger DHCP til at give deres kunder de nødvendige netværkskonfigurationsoplysninger. Hvis du blot efterlader den valgte type som 'DHCP', instrueres OpnSense i at forsøge at samle sin WAN-sidekonfiguration fra internetudbyderen.

Rul ned til bunden af WAN-konfigurationsskærmen for at fortsætte. *** Bemærk *** nederst på denne skærm er to standardregler til at blokere netværksområder, der generelt ikke skulle se, der kommer ind i WAN-grænsefladen. Det anbefales at lade disse være kontrolleret, medmindre der er en kendt grund til at tillade disse netværk gennem WAN-grænsefladen!

Den næste skærm er LAN-konfigurationsskærmen. De fleste brugere kan simpelthen forlade standardindstillingerne. Indse, at der er specielle netværksområder, der skal bruges her, ofte benævnt RFC 1918. Sørg for at forlade standardindstillingen, eller vælg et netværksinterval inden for RFC1918-området for at undgå konflikter/problemer!

Det sidste skærmbillede i installationen spørger, om brugeren vil opdatere rodadgangskoden. Dette er valgfrit, men hvis der ikke blev oprettet en stærk adgangskode under installationen, ville det være et godt tidspunkt at rette problemet!

Når forbi adgangskodeændringsindstillingen, vil OpnSense bede brugeren om at genindlæse konfigurationsindstillingerne. Klik blot på knappen 'Genindlæs', og giv OpnSense et sekund for at opdatere konfigurationen og den aktuelle side.

Når alt er gjort, byder OpnSense brugeren velkommen. For at komme tilbage til hoveddashboardet skal du blot klikke på 'Dashboard' i øverste venstre hjørne af webbrowservinduet.

På dette tidspunkt føres brugeren til hoveddashboardet og kan fortsætte med at installere/konfigurere ethvert af de nyttige OpnSense-plugins eller -funktioner! Forfatteren anbefaler at kontrollere og opgradere systemet, hvis opgraderinger er tilgængelige. Klik blot på knappen 'Klik for at se efter opdateringer' på hoveddashboardet.

På det næste skærmbillede kan 'Kontroller for opdateringer' bruges til at se en liste over opdateringer, eller 'Opdater nu' kan bruges til at anvende alle tilgængelige opdateringer.

På dette tidspunkt skal en grundlæggende installation af OpnSense være i gang såvel som fuldt opdateret! I fremtidige artikler vil Link-aggregering og inter-VLAN-routing blive dækket for at vise mere af de avancerede funktioner i OpnSense!