Kā instalēt un konfigurēt pamata OpnSense ugunsmūri

Iepriekšējā rakstā tika apspriests ugunsmūra risinājums, kas pazīstams kā PfSense. 2015. gada sākumā tika pieņemts lēmums par PfSense dakšu un tika izlaists jauns ugunsmūra risinājums ar nosaukumu OpnSense.

OpnSense sāka savu dzīvi kā vienkāršu PfSense dakšiņu, bet ir pārtapis par pilnīgi neatkarīgu ugunsmūra risinājumu. Šis raksts aptvers jaunas OpnSense instalācijas instalēšanu un sākotnējo sākotnējo konfigurāciju.

Tāpat kā PfSense, arī OpnSense ir uz FreeBSD balstīts atvērtā koda ugunsmūra risinājums. Izplatīšanu var brīvi instalēt paša aprīkojumā vai uzņēmumā Decisio, kas pārdod iepriekš konfigurētas ugunsmūra ierīces.

OpnSense ir minimāls prasību kopums, un tipisku vecāku mājas torni var viegli iestatīt, lai tas darbotos kā OpnSense ugunsmūris. Ierosinātās minimālās specifikācijas ir šādas:

  • 500 MHz CPU
  • 1 GB RAM
  • 4 GB krātuve
  • 2 tīkla saskarnes kartes

  • 1GHz procesors
  • 1 GB RAM
  • 4 GB krātuve
  • 2 vai vairāk PCI-e tīkla saskarnes kartes.

Ja lasītājs vēlas izmantot dažas uzlabotas OpnSense funkcijas (VPN serveris utt.), Sistēmai jāpiešķir labāka aparatūra.

Jo vairāk moduļus lietotājs vēlas iespējot, jo vairāk jāiekļauj RAM/CPU/Drive vieta. Ja plānojat iespējot iepriekšējos moduļus OpnSense, ir jāievēro šie minimumi.

  • Mūsdienīgs daudzkodolu procesors, kura ātrums ir vismaz 2,0 GHz
  • 4 GB + RAM RAM
  • 10 GB + HD vietas
  • 2 vai vairāk Intel PCI-e tīkla saskarnes kartes

OpnSense ugunsmūra instalēšana un konfigurēšana

Neatkarīgi no tā, kura aparatūra ir izvēlēta, OpnSense instalēšana ir vienkāršs process, taču lietotājam ir jāpievērš īpaša uzmanība tam, kuri tīkla interfeisa porti kādam mērķim tiks izmantoti (LAN, WAN, Wireless utt.).

Daļa instalēšanas procesa ietvers lietotāja aicināšanu sākt konfigurēt LAN un WAN saskarnes. Autors iesaka tikai pieslēgt WAN saskarni, līdz OpnSense ir konfigurēts, un pēc tam turpiniet instalēšanu, pievienojot LAN saskarni.

Pirmais solis ir iegūt programmatūru OpnSense, un atkarībā no ierīces un instalēšanas metodes ir pieejamas vairākas dažādas iespējas, taču šajā rokasgrāmatā tiks izmantots ‘OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2’.

ISO tika iegūts, izmantojot šādu komandu:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Kad fails ir lejupielādēts, tas jāatspiež, izmantojot bunzip rīku šādi:

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Kad instalētājs ir lejupielādēts un atspiests, to var vai nu ierakstīt kompaktdiskā, vai arī to var nokopēt USB diskā, izmantojot rīku ‘dd’, kas iekļauts lielākajā daļā Linux izplatījumu.

Nākamais process ir ISO ierakstīšana USB diskā, lai sāknētu instalēšanas programmu. Lai to paveiktu, Linux izmantojiet rīku ‘dd’.

Pirmkārt, diska nosaukumam jāatrodas ar “lsblk”.

$ lsblk

Tā kā USB diska nosaukums ir noteikts kā “/ dev/sdc”, OpnSense ISO var ierakstīt diskā ar rīku “dd”.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Piezīme. Iepriekš norādītajai komandai ir nepieciešamas root privilēģijas, tāpēc, lai palaistu komandu, izmantojiet ‘sudo’ vai pieteikšanos kā root lietotāju. Arī šī komanda NOŅEMS visu USB diskā. Noteikti dublējiet nepieciešamos datus.

Kad dd ir pabeidzis rakstīt uz USB disku, ievietojiet datu nesēju datorā, kas tiks iestatīts kā OpnSense ugunsmūris. Sāknējiet šo datoru attiecīgajā datu nesējā, un tiks parādīts nākamais ekrāns.

Lai pārietu uz instalētāju, vienkārši nospiediet taustiņu Enter. Tas palaidīs OpnSense Live režīmā, taču pastāv īpašs lietotājs, kas tā vietā instalē OpnSense vietējos medijos.

Kad sistēma sāk darboties pēc pieteikšanās uzvednes, izmantojiet “installer” lietotājvārdu ar “opnsense” paroli.

Instalēšanas datu nesējs pieteiksies un palaidīs faktisko OpnSense instalēšanas programmu. UZMANĪBU: Turpinot šīs darbības, visi sistēmas cietajā diskā esošie dati tiks izdzēsti! Rīkojieties piesardzīgi vai izejiet no instalētāja.

Nospiežot taustiņu Enter, tiks sākts instalēšanas process. Vispirms jāizvēlas taustiņu karte. Instalētājs, iespējams, pēc noklusējuma noteiks pareizo taustiņu karti. Pārskatiet izvēlēto taustiņu karti un pēc vajadzības izlabojiet.

Nākamajā ekrānā būs norādītas dažas instalēšanas iespējas. Ja lietotājs vēlas veikt papildu sadalīšanu vai importēt konfigurāciju no citas OpnSense lodziņa, to var izdarīt šajā solī. Šajā rokasgrāmatā tiek pieņemta jauna instalēšana, un tajā tiks atlasīta opcija “Vadīta instalēšana”.

Šajā ekrānā tiks parādītas atzītās atmiņas ierīces instalēšanai.

Kad atmiņas ierīce ir atlasīta, lietotājam būs jāizlemj, kuru sadalīšanas shēmu instalētājs izmanto (MBR vai GPT/EFI).

Lielākā daļa mūsdienu sistēmu atbalstīs GPT/EFI, taču, ja lietotājs atkārtoti izmanto vecāku datoru, MBR var būt vienīgā atbalstītā iespēja. Pārbaudiet sistēmas BIOS iestatījumos, vai tā atbalsta EFI/GPT.

Kad ir izvēlēta sadalīšanas shēma, instalētājs sāks instalēšanas darbības. Process neaizņem īpaši ilgu laiku, un tas periodiski pieprasīs lietotājam informāciju, piemēram, saknes lietotāja paroli.

Kad lietotājs ir iestatījis galvenā lietotāja paroli, instalēšana būs pabeigta, un sistēma būs jārestartē, lai konfigurētu instalēšanu. Kad sistēma tiek restartēta, tai automātiski jāstartē OpnSense instalācijā (pārliecinieties, vai mašīna tiek restartēta, noņemot instalācijas datu nesēju).

Kad sistēma tiks restartēta, tā apstāsies pie konsoles pieteikšanās uzvednes un gaidīs, kamēr lietotājs pieteiksies.

Ja lietotājs pievērsa uzmanību instalēšanas laikā, iespējams, pamanīja, ka instalēšanas laikā varēja iepriekš konfigurēt saskarnes. Tomēr pieņemsim, ka šim rakstam saskarnes netika piešķirtas instalēšanas laikā.

Pēc pieteikšanās ar root lietotāju un instalēšanas laikā konfigurēto paroli var atzīmēt, ka OpnSense šajā mašīnā izmantoja tikai vienu no tīkla saskarnes kartēm (NIC). Zemāk redzamajā attēlā tā nosaukums ir “LAN (em0)”.

OpnSense pēc noklusējuma LAN iestatīs “192.168.1.1/24” tīklu. Tomēr augšējā attēlā trūkst WAN saskarnes! To var viegli izlabot, uzvednē ierakstot ‘1’ un nospiežot enter.

Tas ļaus no jauna piešķirt NIC sistēmā. Nākamajā attēlā ievērojiet, ka ir pieejamas divas saskarnes: ‘em0’ un ‘em1’.

Konfigurācijas vednis ļaus veikt ļoti sarežģītus iestatījumus arī ar VLAN, taču šobrīd šajā rokasgrāmatā tiek pieņemta pamata divu tīkla iestatīšana; (ti, WAN/ISP un LAN puse).

Ievadiet ‘N’ , lai šobrīd nekonfigurētu nevienu VLAN. Šajā konkrētajā iestatījumā WAN interfeiss ir ‘em0’ un LAN interfeiss ir ‘em1’, kā redzams zemāk.

Apstipriniet izmaiņas saskarnēs, uzvednē ierakstot ‘Y’ . Tas liks OpnSense atkārtoti ielādēt daudzus tā pakalpojumus, lai atspoguļotu izmaiņas saskarnes piešķiršanā.

Kad tas izdarīts, pievienojiet datoru ar tīmekļa pārlūku LAN sānu saskarnei. LAN saskarnē ir DHCP serveris, kas klienta interfeisā klausās, tāpēc dators varēs iegūt nepieciešamo adresēšanas informāciju, lai izveidotu savienojumu ar OpnSense tīmekļa konfigurācijas lapu.

Kad dators ir savienots ar LAN interfeisu, atveriet tīmekļa pārlūkprogrammu un dodieties uz šādu URL: http://192.168.1.1.

Lai pieteiktos tīmekļa konsolē; izmantojiet lietotājvārdu ‘root’ un paroli, kas tika konfigurēta instalēšanas laikā. Pēc pieteikšanās instalācijas pēdējā daļa tiks pabeigta.

Pirmais instalētāja solis tiek izmantots, lai vienkārši apkopotu vairāk informācijas, piemēram, resursdatora nosaukumu, domēna nosaukumu un DNS serverus. Lielākā daļa lietotāju var atstāt atlasītu opciju “Ignorēt DNS”.

Tas ļaus OpnSense ugunsmūrim iegūt DNS informāciju no ISP, izmantojot WAN saskarni.

Nākamajā ekrānā tiks parādīts NTP serveru pieprasījums. Ja lietotājam nav savas NTP sistēmas, OpnSense nodrošinās noklusējuma NTP serveru kopu kopu.

Nākamais ekrāns ir WAN saskarnes iestatīšana. Lielākā daļa mājas lietotāju ISP izmantos DHCP, lai sniegtu klientiem nepieciešamo tīkla konfigurācijas informāciju. Vienkārši atstājot Atlasīto tipu kā “DHCP”, OpnSense tiks uzdots mēģināt savākt no ISP WAN puses konfigurāciju.

Ritiniet uz leju WAN konfigurācijas ekrāna apakšdaļā, lai turpinātu. *** Piezīme *** šī ekrāna apakšdaļā ir divi noklusējuma noteikumi, lai bloķētu tīkla diapazonus, kurus parasti nevajadzētu redzēt ienākam WAN saskarnē. Ieteicams atstāt šīs izvēles rūtiņas, ja vien nav zināms iemesls atļaut šiem tīkliem izmantot WAN saskarni!

Nākamais ekrāns ir LAN konfigurācijas ekrāns. Lielākā daļa lietotāju var vienkārši atstāt noklusējumus. Saprotiet, ka šeit ir jāizmanto īpaši tīkla diapazoni, kurus parasti dēvē par RFC 1918. Lai izvairītos no konfliktiem/problēmām, noteikti atstājiet noklusējumu vai izvēlieties tīkla diapazonu no RFC1918 diapazona!

Instalācijas pēdējā ekrānā tiks vaicāts, vai lietotājs vēlas atjaunināt saknes paroli. Tas nav obligāti, taču, ja instalēšanas laikā netika izveidota spēcīga parole, tagad būtu piemērots laiks problēmas novēršanai!

Kad esat pabeidzis paroles maiņas opciju, OpnSense lūgs lietotājam atkārtoti ielādēt konfigurācijas iestatījumus. Vienkārši noklikšķiniet uz pogas Pārlādēt un dodiet OpnSense sekundi, lai atsvaidzinātu konfigurāciju un pašreizējo lapu.

Kad viss ir izdarīts, OpnSense uzņems lietotāju. Lai atgrieztos pie galvenā informācijas paneļa, vienkārši noklikšķiniet uz ‘Informācijas panelis’ tīmekļa pārlūkprogrammas loga augšējā kreisajā stūrī.

Šajā brīdī lietotājs tiks novirzīts uz galveno informācijas paneli un var turpināt instalēt/konfigurēt jebkuru no noderīgajiem OpnSense spraudņiem vai funkcijām! Autors iesaka pārbaudīt un uzlabot sistēmu, ja ir pieejami jauninājumi. Vienkārši noklikšķiniet uz pogas “Noklikšķiniet, lai pārbaudītu atjauninājumus” galvenajā informācijas panelī.

Pēc tam nākamajā ekrānā ‘Check for Updates’ var izmantot, lai skatītu atjauninājumu sarakstu, vai ‘Update Now’ var izmantot, lai vienkārši lietotu visus pieejamos atjauninājumus.

Šajā brīdī OpnSense pamata instalēšanai vajadzētu darboties, kā arī pilnībā atjaunināt! Nākamajos rakstos tiks apskatīta saišu apkopošana un starp VLAN maršrutēšana, lai parādītu vairāk OpnSense uzlaboto iespēju!