Vyhledávání na webu

Jak nainstalovat a nakonfigurovat základní bránu firewall OpnSense

V předchozím článku bylo diskutováno řešení firewallu známé jako PfSense. Začátkem roku 2015 bylo rozhodnuto rozdělit PfSense a bylo vydáno nové řešení brány firewall s názvem OpnSense.

OpnSense začal svůj život jako jednoduchý fork PfSense, ale vyvinul se ve zcela nezávislé řešení firewallu. Tento článek se bude zabývat instalací a základní počáteční konfigurací nové instalace OpnSense.

Stejně jako PfSense je OpnSense open source firewallové řešení založené na FreeBSD. Distribuce je zdarma k instalaci na vlastní zařízení nebo společnost Decisio, prodává předkonfigurovaná firewallová zařízení.

OpnSense má minimální požadavky a typickou starší domácí věž lze snadno nastavit tak, aby fungovala jako firewall OpnSense. Navrhované minimální specifikace jsou následující:

Hardwarová minima

  • CPU 500 MHz
  • 1 GB paměti RAM
  • 4GB úložiště
  • 2 síťové karty rozhraní

Doporučený hardware

  • 1GHz CPU
  • 1 GB paměti RAM
  • 4GB úložiště
  • 2 nebo více karet síťového rozhraní PCI-e.

Pokud si čtenář přeje využívat některé z pokročilejších funkcí OpnSense (Suricata, ClamAV, VPN server atd.), měl by být systému poskytnut lepší hardware.

Čím více modulů si uživatel přeje povolit, tím více místa RAM/CPU/jednotka by mělo být zahrnuto. Pokud existují plány na povolení pokročilých modulů v OpnSense, doporučujeme splnit následující minima.

  • Moderní vícejádrový procesor s frekvencí alespoň 2,0 GHz
  • 4 GB + RAM
  • 10GB+ HD prostoru
  • 2 nebo více karet síťového rozhraní Intel PCI-e

Instalace a konfigurace brány OpnSense Firewall

Bez ohledu na zvolený hardware je instalace OpnSense jednoduchý proces, ale vyžaduje, aby uživatel věnoval velkou pozornost tomu, které porty síťového rozhraní budou použity pro jaký účel (LAN, WAN, Wireless atd.).

Součástí procesu instalace bude výzva k zahájení konfigurace rozhraní LAN a WAN. Autor navrhuje pouze zapojovat rozhraní WAN, dokud není nakonfigurováno OpnSense, a poté pokračovat v dokončení instalace připojením rozhraní LAN.

Stahování brány OpnSense Firewall

Prvním krokem je získání softwaru OpnSense a v závislosti na zařízení a způsobu instalace je k dispozici několik různých možností, ale tato příručka bude využívat 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 silný>'.

ISO bylo získáno pomocí následujícího příkazu:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Jakmile je soubor stažen, je třeba jej dekomprimovat pomocí nástroje bunzip následovně:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Jakmile je instalační program stažen a dekomprimován, lze jej buď vypálit na CD, nebo jej lze zkopírovat na jednotku USB pomocí nástroje 'dd'< je součástí většiny distribucí Linuxu.

Dalším procesem je zapsání ISO na USB disk, aby se spustil instalační program. Chcete-li to provést, použijte v systému Linux nástroj ‚dd‘.

Nejprve však název disku musí být umístěn pomocí „lsblk“.

lsblk

S názvem USB disku určeným jako '/dev/sdc' lze OpnSense ISO zapsat na disk pomocí nástroj 'dd'.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Poznámka: Výše uvedený příkaz vyžaduje oprávnění uživatele root, takže ke spuštění příkazu použijte ‘sudo‘ nebo se přihlaste jako uživatel root. Tento příkaz také ODSTRANÍ VŠECHNO na disku USB. Nezapomeňte si zálohovat potřebná data.

Instalace brány OpnSense Firewall

Jakmile dd dokončí zápis na jednotku USB, vložte médium do počítače, který bude nastaven jako brána firewall opnsense. Spusťte počítač na toto médium a zobrazí se následující obrazovka.

Chcete-li pokračovat k instalačnímu programu, jednoduše stiskněte klávesu Enter. Tím se spustí OpnSense do Živého režimu, ale existuje speciální uživatel, který místo toho nainstaluje OpnSense na místní médium.

Když se systém spustí s výzvou k přihlášení, použijte uživatelské jméno 'installer' s heslem 'opnsense'.

Instalační médium se přihlásí a spustí skutečný instalační program OpnSense. UPOZORNĚNÍ: Budete-li pokračovat v následujících krocích, budou všechna data na pevném disku v systému vymazána! Postupujte opatrně nebo ukončete instalační program.

Stisknutím klávesy Enter zahájíte proces instalace. Prvním krokem je vybrat mapu kláves. Instalační program pravděpodobně ve výchozím nastavení detekuje správnou keymapu. Zkontrolujte vybranou mapu kláves a podle potřeby ji opravte.

Následující obrazovka nabídne některé možnosti instalace. Pokud si uživatel přeje provést pokročilé dělení nebo importovat konfiguraci z jiného boxu OpnSense, lze to provést v tomto kroku. Tato příručka předpokládá novou instalaci a bude vybrána možnost „Instalace s průvodcem“.

Na následující obrazovce se zobrazí rozpoznaná úložná zařízení pro instalaci.

Jakmile je úložné zařízení vybráno, uživatel se bude muset rozhodnout, jaké schéma rozdělení použije instalační program (MBR nebo GPT/EFI).

Většina moderních systémů bude podporovat GPT/EFI, ale pokud uživatel používá starší počítač, může být jedinou podporovanou možností MBR. Zkontrolujte v nastavení BIOS systému, zda podporuje EFI/GPT.

Jakmile je zvoleno schéma rozdělení, instalační program zahájí instalační kroky. Tento proces netrvá nijak zvlášť dlouho a bude uživatele pravidelně vyžadovat informace, jako je heslo uživatele root.

Jakmile uživatel nastaví heslo uživatele root, instalace bude dokončena a systém se bude muset restartovat, aby bylo možné instalaci nakonfigurovat. Když se systém restartuje, měl by se automaticky spustit do instalace OpnSense (při restartování počítače nezapomeňte odebrat instalační médium).

Když se systém restartuje, zastaví se na výzvě k přihlášení do konzole a čeká na přihlášení uživatele.

Nyní, pokud uživatel dával pozor během instalace, mohl si všimnout, že mohl předem nakonfigurovat rozhraní během instalace. Předpokládejme však pro tento článek, že rozhraní nebyla přiřazena při instalaci.

Po přihlášení s uživatelem root a heslem nakonfigurovaným během instalace lze poznamenat, že OpnSense využívalo pouze jednu ze síťových karet (NIC) na tomto počítači. Na obrázku níže má název “LAN (em0) “.

OpnSense jako výchozí použije standardní síť 192.168.1.1/24 ” pro LAN. Na obrázku výše však rozhraní WAN chybí! To lze snadno opravit zadáním ‘1‘ na výzvu a stisknutím klávesy Enter.

To umožní opětovné přiřazení síťových karet v systému. Všimněte si na dalším obrázku, že jsou k dispozici dvě rozhraní: ‘em0‘ a ‘em1‘.

Průvodce konfigurací umožní i velmi složitá nastavení s VLAN, ale prozatím tato příručka předpokládá základní nastavení dvou sítí; (tj. strana WAN/ISP a strana LAN).

Chcete-li v tuto chvíli nekonfigurovat žádné sítě VLAN, zadejte ‘N‘. Pro toto konkrétní nastavení je rozhraní WAN 'em0' a rozhraní LAN je 'em1', jak je vidět níže.

Potvrďte změny rozhraní zadáním ‘Y‘ do výzvy. To způsobí, že OpnSense znovu načte mnoho svých služeb, aby odrážely změny přiřazení rozhraní.

Po dokončení připojte počítač s webovým prohlížečem k rozhraní na straně LAN. Rozhraní LAN má DHCP server naslouchající na rozhraní pro klienty, takže počítač bude schopen získat potřebné informace o adresování pro připojení k webové konfigurační stránce OpnSense.

Jakmile je počítač připojen k rozhraní LAN, otevřete webový prohlížeč a přejděte na následující adresu URL: http://192.168.1.1.

Pro přihlášení do webové konzole; použijte uživatelské jméno ‘root’ a heslo, které bylo nakonfigurováno během procesu instalace. Po přihlášení bude dokončena poslední část instalace.

První krok instalačního programu se používá k jednoduchému získání dalších informací, jako je název hostitele, název domény a servery DNS. Většina uživatelů může ponechat vybranou možnost „Přepsat DNS“.

To umožní firewallu OpnSense získávat informace DNS od ISP přes rozhraní WAN.

Na další obrazovce se zobrazí výzva k zadání serverů NTP. Pokud uživatel nemá vlastní NTP systémy, OpnSense poskytne výchozí sadu NTP serverových fondů.

Další obrazovka je nastavení rozhraní WAN. Většina ISP pro domácí uživatele bude používat DHCP, aby svým zákazníkům poskytla potřebné informace o konfiguraci sítě. Jednoduše ponecháte vybraný typ jako ‚DHCP‘ a dá OpnSense pokyn, aby se pokusil získat konfiguraci na straně WAN od ISP.

Přejděte dolů do spodní části obrazovky konfigurace WAN a pokračujte. ***Poznámka*** v dolní části této obrazovky jsou dvě výchozí pravidla pro blokování rozsahů sítí, které by obecně neměly být vidět při vstupu do rozhraní WAN. Doporučuje se nechat je zaškrtnuté, pokud není znám důvod pro povolení těchto sítí přes WAN rozhraní!

Další obrazovka je obrazovka konfigurace LAN. Většina uživatelů může jednoduše ponechat výchozí nastavení. Uvědomte si, že zde by měly být použity speciální rozsahy sítí, běžně označované jako RFC 1918. Ujistěte se, že ponecháváte výchozí nastavení nebo vyberete rozsah sítě z rozsahu RFC1918, abyste předešli konfliktům/problémům!

Na poslední obrazovce instalace se zobrazí dotaz, zda si uživatel přeje aktualizovat heslo uživatele root. Toto je volitelné, ale pokud během instalace nebylo vytvořeno silné heslo, nyní by byl vhodný čas problém napravit!

Jakmile překročíte možnost změny hesla, OpnSense požádá uživatele, aby znovu načetl nastavení konfigurace. Jednoduše klikněte na tlačítko Znovu načíst a dejte OpnSense chvíli na obnovení konfigurace a aktuální stránky.

Když je vše hotovo, OpnSense přivítá uživatele. Chcete-li se vrátit na hlavní panel, jednoduše klikněte na „Dashboard“ v levém horním rohu okna webového prohlížeče.

V tomto okamžiku bude uživatel přesměrován na hlavní řídicí panel a může pokračovat v instalaci/konfiguraci libovolného z užitečných pluginů nebo funkcí OpnSense! Autor doporučuje zkontrolovat a aktualizovat systém, pokud jsou aktualizace k dispozici. Jednoduše klikněte na tlačítko „Click to Check for Updates“ na hlavním panelu.

Poté na další obrazovce můžete použít „Zkontrolovat aktualizace“ k zobrazení seznamu aktualizací nebo „Aktualizovat nyní“ jednoduše použít všechny dostupné aktualizace.

V tuto chvíli by měla být spuštěna základní instalace OpnSense a také plně aktualizována! V budoucích článcích se budeme zabývat agregací odkazů a směrováním mezi VLAN, abychom ukázali více pokročilých schopností OpnSense!