Wyszukiwanie w witrynie

Jak zainstalować i skonfigurować podstawową zaporę OpnSense

We wcześniejszym artykule omawialiśmy rozwiązanie firewall znane jako PfSense. Na początku 2015 roku podjęto decyzję o rozwidleniu PfSense i wypuszczono nowe rozwiązanie firewall o nazwie OpnSense.

OpnSense zaczęło swoje życie jako proste rozwidlenie PfSense, ale przekształciło się w całkowicie niezależne rozwiązanie firewall. W tym artykule opisano instalację i podstawową wstępną konfigurację nowej instalacji OpnSense.

Podobnie jak PfSense, OpnSense to rozwiązanie typu firewall typu open source oparte na FreeBSD. Dystrybucję można zainstalować bezpłatnie na własnym sprzęcie lub w firmie Decisio, która zajmuje się sprzedażą wstępnie skonfigurowanych urządzeń firewall.

OpnSense ma minimalny zestaw wymagań, a typową starszą domową wieżę można łatwo skonfigurować tak, aby działała jako zapora sieciowa OpnSense. Sugerowane minimalne specyfikacje są następujące:

Minimalne wymagania sprzętowe

  • Procesor 500 MHz
  • 1 GB pamięci RAM
  • 4 GB pamięci
  • 2 karty interfejsu sieciowego

Sugerowany sprzęt

  • Procesor 1 GHz
  • 1 GB pamięci RAM
  • 4 GB pamięci
  • 2 lub więcej kart sieciowych PCI-e.

Jeśli czytelnik chce korzystać z bardziej zaawansowanych funkcji OpnSense (Suricata, ClamAV, serwer VPN itp.), system powinien otrzymać lepszy sprzęt.

Im więcej modułów użytkownik chce włączyć, tym więcej miejsca należy uwzględnić w RAM/CPU/dysku. Sugeruje się spełnienie poniższych minimalnych wymagań, jeśli planuje się włączenie zaawansowanych modułów w OpnSense.

  • Nowoczesny wielordzeniowy procesor pracujący z częstotliwością co najmniej 2,0 GHz
  • 4 GB+ RAM
  • Ponad 10 GB miejsca na dysku HD
  • 2 lub więcej kart sieciowych Intel PCI-e

Instalacja i konfiguracja zapory sieciowej OpnSense

Niezależnie od tego, jaki sprzęt zostanie wybrany, instalacja OpnSense jest prostym procesem, ale wymaga od użytkownika zwrócenia szczególnej uwagi na to, które porty interfejsu sieciowego będą używane w jakim celu (LAN, WAN, sieć bezprzewodowa itp.).

Częścią procesu instalacji będzie monitowanie użytkownika o rozpoczęcie konfiguracji interfejsów LAN i WAN. Autor sugeruje podłączanie jedynie interfejsu WAN do czasu skonfigurowania OpnSense i wówczas przystąpienie do zakończenia instalacji poprzez podłączenie interfejsu LAN.

Pobieranie zapory sieciowej OpnSense

Pierwszym krokiem jest uzyskanie oprogramowania OpnSense. Dostępnych jest kilka różnych opcji w zależności od urządzenia i metody instalacji, ale w tym przewodniku wykorzystany zostanie plik „OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2”.

ISO uzyskano za pomocą następującego polecenia:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Po pobraniu plik należy go rozpakować za pomocą narzędzia bunzip w następujący sposób:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Po pobraniu i rozpakowaniu instalatora można go nagrać na CD lub skopiować na dysk USB za pomocą narzędzia 'dd'< zawarty w większości dystrybucji Linuksa.

Następny proces polega na zapisaniu pliku ISO na dysku USB w celu uruchomienia instalatora. Aby to osiągnąć, użyj narzędzia „dd” w systemie Linux.

Po pierwsze, nazwa dysku musi jednak znajdować się za pomocą „lsblk”.

lsblk

Po określeniu nazwy dysku USB jako '/dev/sdc', OpnSense ISO można zapisać na dysku za pomocą narzędzie „dd”.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Uwaga: powyższe polecenie wymaga uprawnień roota, więc użyj „sudo” lub zaloguj się jako użytkownik root, aby uruchomić polecenie. Ponadto to polecenie USUNIE WSZYSTKO z dysku USB. Pamiętaj o utworzeniu kopii zapasowej potrzebnych danych.

Instalacja zapory sieciowej OpnSense

Gdy dd zakończy zapisywanie na dysku USB, umieść nośnik w komputerze, który zostanie skonfigurowany jako zapora sieciowa opnsense. Uruchom komputer na tym nośniku, a pojawi się następujący ekran.

Aby przejść do instalatora, po prostu naciśnij klawisz „Enter”. Spowoduje to uruchomienie OpnSense w trybie na żywo, ale istnieje specjalny użytkownik, który zamiast tego może zainstalować OpnSense w mediach lokalnych.

Gdy system uruchomi się i wyświetli monit logowania, użyj nazwy użytkownika „installer” z hasłem „opnsense”.

Nośnik instalacyjny zaloguje się i uruchomi instalator OpnSense. PRZESTROGA: Kontynuowanie poniższych kroków spowoduje usunięcie wszystkich danych z dysku twardego systemu! Postępuj ostrożnie lub zamknij instalator.

Naciśnięcie klawisza Enter” rozpocznie proces instalacji. Pierwszym krokiem jest wybranie mapy klawiszy. Instalator prawdopodobnie domyślnie wykryje właściwą mapę klawiszy. Przejrzyj wybraną mapę klawiszy i popraw ją w razie potrzeby.

Następny ekran wyświetli kilka opcji instalacji. Jeśli użytkownik chce przeprowadzić zaawansowane partycjonowanie lub zaimportować konfigurację z innego urządzenia OpnSense, można to zrobić na tym etapie. W tym przewodniku założono nową instalację i zostanie wybrana opcja „Instalacja z przewodnikiem”.

Na poniższym ekranie zostaną wyświetlone rozpoznane urządzenia pamięci masowej do instalacji.

Po wybraniu urządzenia pamięci masowej użytkownik będzie musiał zdecydować, jakiego schematu partycjonowania użyje instalator (MBR czy GPT/EFI).

Większość współczesnych systemów obsługuje GPT/EFI, ale jeśli użytkownik zmienia przeznaczenie starszego komputera, jedyną obsługiwaną opcją może być MBR. Sprawdź w ustawieniach BIOS systemu, czy obsługuje on EFI/GPT.

Po wybraniu schematu partycjonowania instalator rozpocznie kroki instalacji. Proces ten nie zajmuje szczególnie dużo czasu i okresowo będzie monitował użytkownika o podanie takich informacji, jak hasło użytkownika root.

Gdy użytkownik ustawi hasło użytkownika root, instalacja zostanie zakończona i konieczne będzie ponowne uruchomienie systemu w celu skonfigurowania instalacji. Po ponownym uruchomieniu system powinien automatycznie uruchomić się z instalacją OpnSense (pamiętaj o usunięciu nośnika instalacyjnego podczas ponownego uruchamiania komputera).

Po ponownym uruchomieniu system zatrzyma się po wyświetleniu monitu o zalogowanie się do konsoli i będzie czekał na zalogowanie się użytkownika.

Gdyby użytkownik zwracał uwagę podczas instalacji, mógłby zauważyć, że mógł wstępnie skonfigurować interfejsy podczas instalacji. Załóżmy jednak na potrzeby tego artykułu, że interfejsy nie zostały przypisane podczas instalacji.

Po zalogowaniu się przy użyciu konta użytkownika root i hasła skonfigurowanego podczas instalacji można zauważyć, że OpnSense korzystał tylko z jednej z kart interfejsu sieciowego (NIC) na tym komputerze. Na obrazku poniżej nosi nazwę „LAN (em0) ”.

OpnSense domyślnie ustawi standardową sieć „192.168.1.1/24 ” dla sieci LAN. Jednak na powyższym obrazku brakuje interfejsu WAN! Można to łatwo skorygować, wpisując „1” w wierszu polecenia i naciskając Enter.

Umożliwi to ponowne przypisanie kart sieciowych w systemie. Zwróć uwagę na następny obraz, że dostępne są dwa interfejsy: „em0” i „em1”.

Kreator konfiguracji umożliwi również bardzo złożone konfiguracje z sieciami VLAN, ale na razie w tym przewodniku założono podstawową konfigurację dwóch sieci; (tzn. strona WAN/ISP i strona LAN).

Wpisz „N”, aby w tym momencie nie konfigurować żadnych sieci VLAN. W przypadku tej konkretnej konfiguracji interfejs WAN to „em0”, a interfejs LAN to „em1”, jak pokazano poniżej.

Potwierdź zmiany w interfejsach, wpisując „Y” w wierszu poleceń. Spowoduje to, że OpnSense przeładuje wiele swoich usług, aby odzwierciedlić zmiany w przypisaniu interfejsu.

Po zakończeniu podłącz komputer z przeglądarką internetową do interfejsu po stronie LAN. Interfejs LAN posiada serwer DHCP nasłuchujący na interfejsie klientów, dzięki czemu komputer będzie mógł uzyskać niezbędne informacje adresowe w celu połączenia się ze stroną konfiguracji sieciowej OpnSense.

Po podłączeniu komputera do interfejsu LAN otwórz przeglądarkę internetową i przejdź do następującego adresu URL: http://192.168.1.1.

Aby zalogować się do konsoli internetowej; użyj nazwy użytkownika „root” i hasła skonfigurowanego podczas procesu instalacji. Po zalogowaniu ostatnia część instalacji zostanie zakończona.

Pierwszy krok instalatora polega na zebraniu większej ilości informacji, takich jak nazwa hosta, nazwa domeny i serwery DNS. Większość użytkowników może pozostawić zaznaczoną opcję „Zastąp DNS”.

Umożliwi to zaporze OpnSense uzyskanie informacji DNS od dostawcy usług internetowych za pośrednictwem interfejsu WAN.

Na następnym ekranie pojawi się monit o podanie serwerów NTP. Jeśli użytkownik nie ma własnego systemu NTP, OpnSense udostępni domyślny zestaw pul serwerów NTP.

Następny ekran to konfiguracja interfejsu WAN. Większość dostawców usług internetowych dla użytkowników domowych będzie korzystać z protokołu DHCP w celu zapewnienia swoim klientom niezbędnych informacji o konfiguracji sieci. Samo pozostawienie wybranego typu jako „DHCP” poinstruuje OpnSense, aby podjął próbę zebrania konfiguracji po stronie WAN od dostawcy usług internetowych.

Aby kontynuować, przewiń w dół ekranu konfiguracji sieci WAN. ***Uwaga*** na dole tego ekranu znajdują się dwie domyślne reguły blokujące zakresy sieci, które generalnie nie powinny być widoczne w interfejsie WAN. Zaleca się pozostawienie tych opcji zaznaczonych, chyba że istnieje znany powód, aby umożliwić tym sieciom korzystanie z interfejsu WAN!

Następny ekran to ekran konfiguracji sieci LAN. Większość użytkowników może po prostu pozostawić ustawienia domyślne. Należy pamiętać, że należy tu stosować specjalne zakresy sieci, powszechnie określane jako RFC 1918. Pamiętaj, aby pozostawić wartość domyślną lub wybrać zakres sieci z zakresu RFC1918, aby uniknąć konfliktów/problemów!

Na ostatnim ekranie instalacji pojawi się pytanie, czy użytkownik chce zaktualizować hasło roota. Jest to opcjonalne, ale jeśli podczas instalacji nie utworzono silnego hasła, teraz jest dobry moment, aby rozwiązać problem!

Po przejściu opcji zmiany hasła OpnSense poprosi użytkownika o ponowne załadowanie ustawień konfiguracyjnych. Po prostu kliknij przycisk Załaduj ponownie i daj OpnSense sekundę na odświeżenie konfiguracji i bieżącej strony.

Kiedy wszystko zostanie zrobione, OpnSense powita użytkownika. Aby wrócić do głównego panelu, po prostu kliknij „Panel” w lewym górnym rogu okna przeglądarki internetowej.

W tym momencie użytkownik zostanie przeniesiony do głównego pulpitu nawigacyjnego i będzie mógł kontynuować instalację/konfigurację dowolnej przydatnej wtyczki lub funkcjonalności OpnSense! Autor zaleca sprawdzenie i aktualizację systemu, jeśli aktualizacje są dostępne. Po prostu kliknij przycisk „Kliknij, aby sprawdzić aktualizacje” na głównym panelu kontrolnym.

Następnie na następnym ekranie można użyć opcji „Sprawdź aktualizacje”, aby wyświetlić listę aktualizacji, lub opcji „Aktualizuj teraz”, aby po prostu zastosować dostępne aktualizacje.

W tym momencie podstawowa instalacja OpnSense powinna być uruchomiona i w pełni zaktualizowana! W przyszłych artykułach omówimy agregację łączy i routing między sieciami VLAN, aby pokazać więcej zaawansowanych możliwości OpnSense!