Hvordan installere og konfigurere Basic OpnSense-brannmur

I en tidligere artikkel ble en brannmurløsning kjent som PfSense diskutert. Tidlig i 2015 ble det tatt en beslutning om å dele PfSense og en ny brannmurløsning kalt OpnSense ble utgitt.

OpnSense startet sitt liv som en enkel forgrening av PfSense, men har utviklet seg til en helt uavhengig brannmurløsning. Denne artikkelen vil dekke installasjonen og grunnleggende innledende konfigurasjon av en ny OpnSense-installasjon.

I likhet med PfSense er OpnSense en FreeBSD-basert åpen kildekode-brannmurløsning. Distribusjonen er gratis å installere på eget utstyr eller selskapet Decisio, selger forhåndskonfigurerte brannmurapparater.

OpnSense har et minimalt sett med krav, og et typisk eldre hjemmetårn kan enkelt settes opp til å kjøre som en OpnSense brannmur. De foreslåtte minimumsspesifikasjonene er som følger:

Maskinvareminimum

  • 500 Mhz CPU
  • 1 GB RAM
  • 4 GB lagringsplass
  • 2 nettverkskort

Foreslått maskinvare

  • 1GHz CPU
  • 1 GB RAM
  • 4 GB lagringsplass
  • 2 eller flere PCI-e nettverkskort.

Hvis leseren ønsker å bruke noen av de mer avanserte funksjonene til OpnSense (Suricata, ClamAV, VPN-server, etc) bør systemet gis bedre maskinvare.

Jo flere moduler brukeren ønsker å aktivere, jo mer RAM/CPU/Drive plass bør inkluderes. Det foreslås at følgende minimumskrav oppfylles hvis det er planer om å aktivere avanserte moduler i OpnSense.

  • Moderne multi-core CPU som kjører minst 2,0 GHz
  • 4 GB+ RAM
  • 10 GB+ HD-plass
  • 2 eller flere Intel PCI-e nettverkskort

Installasjon og konfigurasjon av OpnSense brannmur

Uavhengig av hvilken maskinvare som velges, er installering av OpnSense en enkel prosess, men krever at brukeren følger nøye med på hvilke nettverksporter som skal brukes til hvilket formål (LAN, WAN, Wireless, etc).

En del av installasjonsprosessen vil innebære å be brukeren om å begynne å konfigurere LAN- og WAN-grensesnitt. Forfatteren foreslår kun å koble til WAN-grensesnittet til OpnSense er konfigurert og deretter fortsette for å fullføre installasjonen ved å koble til LAN-grensesnittet.

Laster ned OpnSense brannmur

Det første trinnet er å skaffe OpnSense-programvaren, og det er et par forskjellige alternativer tilgjengelig avhengig av enhet og installasjonsmetode, men denne veiledningen vil bruke 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 sterk>'.

ISO ble oppnådd ved å bruke følgende kommando:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Når filen er lastet ned, må den dekomprimeres ved å bruke bunzip-verktøyet som følger:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Når installasjonsprogrammet er lastet ned og dekomprimert, kan det enten brennes til en CD eller det kan kopieres til en USB-stasjon med 'dd'-verktøyet< inkludert i de fleste Linux-distribusjoner.

Den neste prosessen er å skrive ISO til en USB-stasjon for å starte installasjonsprogrammet. For å oppnå dette, bruk 'dd'-verktøyet i Linux.

Først må disknavnet være plassert med «lsblk».

lsblk

Med navnet på USB-stasjonen bestemt som '/dev/sdc', kan OpnSense ISO skrives til stasjonen med >'dd'-verktøyet.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Merk: Kommandoen ovenfor krever root-privilegier, så bruk 'sudo' eller logg på som root-bruker for å kjøre kommandoen. Denne kommandoen vil også FJERN ALTUSB-stasjonen. Sørg for å sikkerhetskopiere de nødvendige dataene.

Installasjon av OpnSense brannmur

Når dd er ferdig med å skrive til USB-stasjonen, plasserer du mediet i datamaskinen som skal settes opp som opnsense-brannmuren. Start datamaskinen på det mediet og følgende skjermbilde vises.

For å fortsette til installasjonsprogrammet, trykk ganske enkelt på Enter-tasten. Dette vil starte OpnSense inn i Live-modus, men det finnes en spesiell bruker for å installere OpnSense til lokale medier i stedet.

Når systemet starter opp til påloggingsforespørselen, bruk brukernavnet til 'installer' med passordet 'opnsense'.

Installasjonsmediet vil logge på og starte selve OpnSense-installasjonsprogrammet. FORSIKTIG: Hvis du fortsetter med følgende trinn, vil alle data på harddisken i systemet bli slettet! Fortsett med forsiktighet eller avslutt installasjonsprogrammet.

Ved å trykke på Enter-tasten starter installasjonsprosessen. Det første trinnet er å velge tastaturet. Installasjonsprogrammet vil sannsynligvis oppdage det riktige tastaturet som standard. Se gjennom det valgte tastaturet og korriger det etter behov.

Den neste skjermen vil gi noen alternativer for installasjonen. Hvis brukeren ønsker å gjøre avansert partisjonering eller importere en konfigurasjon fra en annen OpnSense-boks, kan dette gjøres på dette trinnet. Denne veiledningen forutsetter en ny installasjon og vil velge «Veiledet installasjon»-alternativet.

Følgende skjermbilde vil vise gjenkjente lagringsenheter for installasjon.

Når lagringsenheten er valgt, må brukeren bestemme hvilket partisjoneringsskjema som brukes av installasjonsprogrammet (MBR eller GPT/EFI).

De fleste moderne systemer vil støtte GPT/EFI, men hvis brukeren bruker en eldre datamaskin på nytt, kan MBR være det eneste alternativet som støttes. Sjekk i BIOS-innstillingene til systemet for å se om det støtter EFI/GPT.

Når partisjoneringsskjemaet er valgt, vil installasjonsprogrammet begynne installasjonstrinnene. Prosessen tar ikke spesielt lang tid og vil be brukeren om informasjon med jevne mellomrom, for eksempel root-brukerens passord.

Når brukeren har angitt root-brukerens passord, vil installasjonen være fullført og systemet må starte på nytt for å konfigurere installasjonen. Når systemet starter på nytt, skal det automatisk starte opp i OpnSense-installasjonen (sørg for å fjerne installasjonsmediet når maskinen starter på nytt).

Når systemet starter på nytt, stopper det ved konsollens påloggingsprompt og venter på at brukeren skal logge på.

Nå hvis brukeren var oppmerksom under installasjonen, har de kanskje lagt merke til at de kunne ha forhåndskonfigurert grensesnittene under installasjonen. La oss imidlertid anta for denne artikkelen at grensesnittene ikke ble tildelt ved installasjonen.

Etter å ha logget på med root-brukeren og passordet som er konfigurert under installasjonen, kan det bemerkes at OpnSense kun brukte ett av nettverkskortene (NIC) på denne maskinen. På bildet nedenfor heter det “LAN (em0) ”.

OpnSense vil som standard bruke standard “192.168.1.1/24 ” nettverk for LAN. I bildet ovenfor mangler imidlertid WAN-grensesnittet! Dette rettes enkelt ved å skrive ‘1’ ved ledeteksten og trykke enter.

Dette vil tillate ny tilordning av NIC-ene på systemet. Legg merke til i neste bilde at det er to tilgjengelige grensesnitt: 'em0' og 'em1'.

Konfigurasjonsveiviseren vil tillate svært komplekse oppsett med VLAN også, men foreløpig forutsetter denne veiledningen et grunnleggende to-nettverksoppsett; (dvs. en WAN/ISP-side og en LAN-side).

Skriv inn ‘N’ for ikke å konfigurere noen VLAN på dette tidspunktet. For dette bestemte oppsettet er WAN-grensesnittet 'em0' og LAN-grensesnittet er 'em1' som vist nedenfor.

Bekreft endringene i grensesnittene ved å skrive ‘Y’ i ledeteksten. Dette vil føre til at OpnSense laster inn mange av tjenestene sine på nytt for å gjenspeile endringene i grensesnitttildelingen.

Når du er ferdig, kobler du en datamaskin med en nettleser til LAN-sidegrensesnittet. LAN-grensesnittet har en DHCP-server som lytter på grensesnittet for klienter, slik at datamaskinen vil kunne hente den nødvendige adresseinformasjonen for å koble til OpnSense-nettkonfigurasjonssiden.

Når datamaskinen er koblet til LAN-grensesnittet, åpne en nettleser og naviger til følgende url: http://192.168.1.1.

For å logge på nettkonsollen; bruk brukernavnet ‘root’ og passordet som ble konfigurert under installasjonsprosessen. Når du er logget på, vil den siste delen av installasjonen bli fullført.

Det første trinnet i installasjonsprogrammet brukes til å samle inn mer informasjon som vertsnavn, domenenavn og DNS-servere. De fleste brukere kan la «Overstyr DNS»-alternativet være valgt.

Dette vil gjøre det mulig for OpnSense-brannmuren å hente DNS-informasjon fra Internett-leverandøren over WAN-grensesnittet.

Det neste skjermbildet vil be om NTP-servere. Hvis brukeren ikke har sine egne NTP-systemer, vil OpnSense gi et standardsett med NTP-serverpooler.

Den neste skjermen er WAN-grensesnittoppsettet. De fleste Internett-leverandører for hjemmebrukere vil bruke DHCP for å gi kundene nødvendig informasjon om nettverkskonfigurasjon. Bare å la den valgte typen være ‘DHCP’ vil instruere OpnSense om å forsøke å samle WAN-sidekonfigurasjonen fra Internett-leverandøren.

Rull ned til bunnen av WAN-konfigurasjonsskjermen for å fortsette. ***Merk*** nederst på denne skjermen er to standardregler for å blokkere nettverksrekkevidder som vanligvis ikke skal sees komme inn i WAN-grensesnittet. Det anbefales å la disse være merket med mindre det er en kjent grunn til å tillate disse nettverkene gjennom WAN-grensesnittet!

Den neste skjermen er LAN-konfigurasjonsskjermen. De fleste brukere kan ganske enkelt forlate standardinnstillingene. Innse at det er spesielle nettverksområder som bør brukes her, ofte referert til som RFC 1918. Sørg for å beholde standarden eller velg et nettverksområde innenfor RFC1918-området for å unngå konflikter/problemer!

Det siste skjermbildet i installasjonen vil spørre om brukeren vil oppdatere root-passordet. Dette er valgfritt, men hvis et sterkt passord ikke ble opprettet under installasjonen, ville det være et godt tidspunkt å rette opp problemet nå!

Når du har passert passordendringsalternativet, vil OpnSense be brukeren om å laste inn konfigurasjonsinnstillingene på nytt. Bare klikk på 'Last inn på nytt'-knappen og gi OpnSense et sekund til å oppdatere konfigurasjonen og gjeldende side.

Når alt er gjort, vil OpnSense ønske brukeren velkommen. For å gå tilbake til hoveddashbordet klikker du ganske enkelt «Dashboard» i øvre venstre hjørne av nettleservinduet.

På dette tidspunktet vil brukeren bli tatt til hoveddashbordet og kan fortsette å installere/konfigurere alle de nyttige OpnSense-pluginene eller funksjonene! Forfatteren anbefaler å sjekke og oppgradere systemet hvis oppgraderinger er tilgjengelige. Bare klikk på «Klikk for å se etter oppdateringer»-knappen på hovedoversikten.

Så på neste skjermbilde kan «Se etter oppdateringer» brukes til å se en liste over oppdateringer, eller «Oppdater nå» kan brukes til å bruke alle tilgjengelige oppdateringer.

På dette tidspunktet bør en grunnleggende installasjon av OpnSense være oppe og kjøre, så vel som fullstendig oppdatert! I fremtidige artikler vil koblingsaggregering og inter-VLAN-ruting bli dekket for å vise flere av de avanserte egenskapene til OpnSense!