Wéi installéiere a konfiguréieren Basis OpnSense Firewall

An engem fréieren Artikel gouf eng Firewall Léisung bekannt als PfSense diskutéiert. Am fréien 2015 gouf eng Entscheedung getraff fir PfSense ze forkéieren an eng nei Firewall Léisung genannt OpnSense gouf verëffentlecht.

OpnSense huet säi Liewen ugefaang als eng einfach Gabel vu PfSense awer huet sech zu enger ganz onofhängeger Firewall Léisung entwéckelt. Dësen Artikel wäert d'Installatioun an d'Basis initial Konfiguratioun vun enger neier OpnSense Installatioun ofdecken.

Wéi PfSense, OpnSense ass eng FreeBSD baséiert Open Source Firewall Léisung. D'Verdeelung ass gratis ze installéieren op seng eegen Ausrüstung oder d'Firma Decisio, verkeeft pre-konfiguréiert Firewall Apparater.

OpnSense huet e minimale Set vun Ufuerderungen an en typeschen eeleren Heemtuerm kann einfach ageriicht ginn fir als OpnSense Firewall ze lafen. Déi proposéiert Minimum Spezifikatioune sinn wéi follegt:

  • 500 MHz CPU
  • 1 GB RAM
  • 4GB Späichere
  • 2 Netzwierkkaarten

  • 1GHz CPU
  • 1 GB RAM
  • 4GB Späichere
  • 2 oder méi PCI-e Netzwierk Interface Kaarten.

Wann de Lieser e puer vun de méi fortgeschratt Fonctiounen vun OpnSense (VPN Server, etc) benotze wëllt, soll de System besser Hardware ginn.

Wat méi Moduler de Benotzer wëllt aktivéieren, wat méi RAM/CPU/Drive Plaz soll abegraff sinn. Et gëtt virgeschloen datt déi folgend Minimumsmoossnamen erfëllt ginn wann et Pläng sinn fir Virausmoduler an OpnSense z'aktivéieren.

  • Modern Multi-Core CPU leeft op d'mannst 2,0 GHz
  • 4GB+ RAM
  • 10GB+ HD Plaz
  • 2 oder méi Intel PCI-e Netzwierk Interface Kaarten

Installatioun an Konfiguratioun vun OpnSense Firewall

Egal wéi eng Hardware gewielt gëtt, d'Installatioun vun OpnSense ass en einfache Prozess, awer erfuerdert de Benotzer no Opmierksamkeet op wéi eng Netzwierkinterface Ports fir wéi en Zweck benotzt ginn (LAN, WAN, Wireless, etc).

En Deel vum Installatiounsprozess involvéiert de Benotzer ze froen fir LAN- a WAN-Interfaces ze konfiguréieren. Den Auteur proposéiert nëmmen d'WAN-Interface ze pluggen bis den OpnSense konfiguréiert ass an da fuert weider fir d'Installatioun ofzeschléissen andeems Dir d'LAN-Interface pluggt.

Den éischte Schrëtt ass d'OpnSense Software ze kréien an et sinn e puer verschidden Optiounen verfügbar ofhängeg vum Apparat an der Installatiounsmethod, awer dëse Guide wäert den 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2' benotzen.

Den ISO gouf mat dem folgenden Kommando kritt:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Wann d'Datei erofgelueden ass, muss se dekompriméiert ginn mat dem Bunzip Tool wéi follegt:

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Wann den Installateur erofgelueden an dekompriméiert ass, kann et entweder op eng CD verbrannt ginn oder et kann op en USB-Laufwerk kopéiert ginn mat dem 'dd'-Tool an de meeschte Linux Verdeelungen abegraff.

De nächste Prozess ass den ISO op en USB Drive ze schreiwen fir den Installateur ze booten. Fir dëst z'erreechen, benotzt den 'dd' Tool bannent Linux.

Als éischt muss den Disk Numm awer mat 'lsblk' lokaliséiert ginn.

$ lsblk

Mam Numm vum USB Drive bestëmmt als '/dev/sdc', kann den OpnSense ISO op den Drive mat dem 'dd' Tool geschriwwe ginn.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Notiz: Deen uewe genannte Kommando erfuerdert Root Privilegien also benotzt 'sudo' oder Login als Root Benotzer fir de Kommando auszeféieren. Och dëst Kommando wäert ALLES op der USB Drive ECH. Ginn sécher néideg Daten Backupsatellit.

Wann dd fäerdeg ass op den USB Drive ze schreiwen, setzt d'Medien an de Computer deen als OpnSense Firewall ageriicht gëtt. Boot dee Computer op dës Medien an de folgende Bildschierm gëtt presentéiert.

Fir weider op den Installateur weiderzemaachen, dréckt einfach den 'Enter' Schlëssel. Dëst wäert OpnSense an de Live Modus booten awer e spezielle Benotzer existéiert fir OpnSense op lokal Medien z'installéieren amplaz.

Wann de System op d'Login-Prompt boott, benotzt de Benotzernumm vum 'Installateur' mat engem Passwuert vun 'opnsense'.

D'Installatiounsmedien aloggen an den aktuellen OpnSense Installateur starten. OPGEPASST: Wann Dir mat de folgende Schrëtt weiderféiert, gëtt all Daten op der Festplack am System geläscht! Gitt virsiichteg weider oder gitt den Installateur aus.

Wann Dir den 'Enter' Schlëssel dréckt, fänkt den Installatiounsprozess un. Den éischte Schrëtt ass d'Keymap ze wielen. Den Installateur wäert méiglecherweis déi richteg Keymap par défaut erkennen. Iwwerpréift déi gewielte Tastatur a korrigéiert wéi néideg.

Den nächsten Ecran wäert e puer Optiounen fir d'Installatioun ubidden. Wann de Benotzer fortgeschratt Partitionéierung wëllt maachen oder eng Konfiguratioun vun enger anerer OpnSense Këscht importéiere wëllt, kann dat an dësem Schrëtt erreecht ginn. Dëse Guide geet un eng frësch Installatioun a wielt d'Optioun 'Guided Installation'.

Déi folgend Écran weist unerkannt Späicherapparater fir d'Installatioun.

Wann de Späicherapparat ausgewielt ass, muss de Benotzer entscheeden iwwer wéi eng Partitionéierungsschema vum Installateur benotzt gëtt (MBR oder GPT/EFI).

Déi meescht modern Systemer ënnerstëtzen GPT/EFI awer wann de Benotzer en ale Computer nei zielt, ass MBR déi eenzeg ënnerstëtzt Optioun. Kuckt an de BIOS-Astellunge vum System fir ze kucken ob et EFI/GPT ënnerstëtzt.

Wann d'Partitionéierungsschema gewielt ass, fänkt den Installateur d'Installatiounsschrëtt un. De Prozess dauert net besonnesch laang a freet de Benotzer periodesch Informatioun wéi de Root Benotzer Passwuert.

Wann de Benotzer de Root Benotzer Passwuert agestallt huet, ass d'Installatioun komplett an de System muss nei gestart ginn fir d'Installatioun ze konfiguréieren. Wann de System nei starten, sollt et automatesch an d'OpnSense Installatioun booten (vergewëssert Iech d'Installatiounsmedium ze läschen wéi d'Maschinn nei start).

Wann de System nei start, stoppt et bei der Konsole Login-Prompt a waart op de Benotzer sech aloggen.

Elo wann de Benotzer während der Installatioun opmierksam gemaach huet, hu se vläicht gemierkt datt se d'Interfaces wärend der Installatioun viraus konfiguréiert hunn. Loosst eis awer fir dësen Artikel unhuelen datt d'Interfaces net bei der Installatioun zougewisen goufen.

Nodeems Dir Iech mam Root Benotzer a Passwuert aloggen während der Installatioun konfiguréiert hutt, kann et bemierkt ginn datt OpnSense nëmmen eng vun den Netzwierkkaarten (NIC) op dëser Maschinn benotzt huet. Am Bild hei drënner gëtt et LAN (em0) genannt.

OpnSense wäert de Standard \192.168.1.1/24 Netz fir de LAN als Standard. Am uewe genannte Bild feelt awer d'WAN Interface! Dëst gëtt einfach korrigéiert andeems Dir '1' op der Prompt tippt an dréckt Enter.

Dëst erlaabt d'Wiederuerdnung vun den NICs um System. Notéiert am nächste Bild datt et zwou Interfaces verfügbar sinn: 'em0' an 'em1'.

De Konfiguratiounswizard erlaabt och ganz komplexe Setups mat VLANs, awer fir de Moment gëtt dëse Guide e Basis-Zwee-Netz-Setup ugeholl; (dh eng WAN/ISP Säit an eng LAN Säit).

Gitt 'N' fir keng VLANs zu dëser Zäit ze konfiguréieren. Fir dëse spezielle Setup ass de WAN Interface 'em0' an d'LAN Interface ass 'em1' wéi hei ënnendrënner gesi gëtt.

Bestätegt d'Ännerunge vun den Interfaces andeems Dir 'Y' an der Prompt tippt. Dëst wäert OpnSense vill vu senge Servicer nei lueden fir d'Ännerunge vun der Interface Aufgab ze reflektéieren.

Eemol gemaach, verbënnt e Computer mat engem Webbrowser un d'LAN Säit Interface. D'LAN-Interface huet en DHCP-Server, deen op der Interface fir Clienten lauschtert, sou datt de Computer déi néideg Adressinformatioun kritt fir mat der OpnSense Webkonfiguratiounssäit ze verbannen.

Wann de Computer mat der LAN Interface ugeschloss ass, öffnen e Webbrowser a navigéiert op déi folgend URL: http://192.168.1.1.

Fir Iech op d'Webkonsole aloggen; benotzt de Benotzernumm 'root' an d'Passwuert dat während dem Installatiounsprozess konfiguréiert gouf. Eemol ageloggt, gëtt de leschten Deel vun der Installatioun ofgeschloss.

Den éischte Schrëtt vum Installateur gëtt benotzt fir einfach méi Informatioun ze sammelen wéi Hostnumm, Domain Numm an DNS Server. Déi meescht Benotzer kënnen d'Optioun 'Override DNS' ausgewielt loossen.

Dëst erlaabt d'OpnSense Firewall fir DNS Informatioun vum ISP iwwer d'WAN Interface ze kréien.

Den nächsten Ecran freet op NTP Serveren. Wann de Benotzer net hir eege NTP Systemer huet, gëtt OpnSense e Standard Set vun NTP Server Poolen.

Den nächsten Écran ass WAN Interface Setup. Déi meescht ISP fir Heembenotzer benotzen DHCP fir hir Clienten déi néideg Netzwierkkonfiguratiounsinformatioun ze bidden. Einfach de gewielten Typ als 'DHCP' verloossen wäert OpnSense instruéieren fir ze probéieren seng WAN Säit Konfiguratioun vum ISP ze sammelen.

Scroll down to the bottom of the WAN Configuration screen to continue. ***Notiz*** um Enn vun dësem Bildschierm sinn zwee Standardregele fir Netzwierkberäicher ze blockéieren déi allgemeng net an d'WAN Interface erakommen solle gesinn. Et ass recommandéiert dës iwwerpréift ze loossen, ausser et gëtt e bekannte Grond fir dës Netzwierker duerch d'WAN Interface z'erméiglechen!

Den nächsten Écran ass de LAN Konfiguratiounsbildschierm. Déi meescht Benotzer kënnen d'Defaults einfach verloossen. Bewosst datt et speziell Netzwierkberäicher sinn déi hei benotzt solle ginn, allgemeng als RFC 1918 bezeechent. Vergewëssert Iech de Standard ze verloossen oder e Netzberäich aus dem RFC1918 Gamme ze wielen fir Konflikter/Themen ze vermeiden!

De leschte Bildschierm an der Installatioun freet ob de Benotzer de Root Passwuert aktualiséieren wëllt. Dëst ass fakultativ awer wann e staarkt Passwuert net während der Installatioun erstallt gouf, wier elo eng gutt Zäit fir d'Thema ze korrigéieren!

Eemol laanscht d'Passwuert änneren Optioun, OpnSense freet de Benotzer d'Konfiguratiounsastellungen nei ze lueden. Klickt einfach op de 'Reload' Knäppchen a gitt OpnSense eng Sekonn fir d'Konfiguratioun an déi aktuell Säit z'erfrëschen.

Wann alles fäerdeg ass, wäert OpnSense de Benotzer begréissen. Fir zréck op den Haaptdashboard ze kommen, klickt einfach op 'Dashboard' an der ieweschter lénkser Ecke vun der Webbrowserfenster.

Zu dësem Zäitpunkt gëtt de Benotzer op den Haaptdashboard geholl a ka weiderhin eng vun den nëtzlechen OpnSense Plugins oder Funktionalitéiten installéieren/konfiguréieren! Den Auteur empfeelt de System z'iwwerpréiwen an ze upgrade wann Upgrades verfügbar sinn. Klickt einfach op de Klickt fir Updates ze kontrolléieren Knäppchen am Haaptdashboard.

Dann op den nächsten Écran, 'Check for Updates' kann benotzt ginn fir eng Lëscht vun Updates ze gesinn oder 'Update Now' kann benotzt ginn fir einfach all verfügbaren Updates z'applizéieren.

Zu dësem Zäitpunkt sollt eng Basisinstallatioun vun OpnSense op a lafen an och komplett aktualiséiert ginn! An zukünfteg Artikelen, Link Aggregatioun an Inter-VLAN Routing wäert ofgedeckt ginn fir méi vun de fortgeschratt Fäegkeeten vun OpnSense ze weisen!