OpnSense-peruspalomuurin asentaminen ja määrittäminen

Aiemmassa artikkelissa keskusteltiin palomuuriratkaisusta, joka tunnetaan nimellä PfSense. Alkuvuodesta 2015 päätettiin erottaa PfSense, ja uusi palomuuriratkaisu nimeltä OpnSense julkaistiin.

OpnSense aloitti toimintansa PfSensen yksinkertaisena haarana, mutta on kehittynyt täysin itsenäiseksi palomuuriratkaisuksi. Tämä artikkeli kattaa uuden OpnSense-asennuksen asennuksen ja perusasetukset.

Kuten PfSense, OpnSense on FreeBSD-pohjainen avoimen lähdekoodin palomuuriratkaisu. Jakelu on ilmainen asentaa omiin laitteisiin tai yritys Decisio, myy esikonfiguroituja palomuurilaitteita.

OpnSense sisältää vain vähän vaatimuksia, ja tyypillinen vanhempi kotitorni voidaan helposti määrittää toimimaan OpnSense-palomuurina. Ehdotetut vähimmäisvaatimukset ovat seuraavat:

Laitteiston minimit

  • 500Mhz CPU
  • 1 Gt RAM-muistia
  • 4 Gt tallennustilaa
  • 2 verkkokorttia

Suositeltu laitteisto

  • 1GHz CPU
  • 1 Gt RAM-muistia
  • 4 Gt tallennustilaa
  • 2 tai useampi PCI-e-verkkokortti.

Jos lukija haluaa hyödyntää joitain OpnSensen edistyneempiä ominaisuuksia (Suricata, ClamAV, VPN-palvelin jne.), järjestelmälle tulisi antaa parempi laitteisto.

Mitä enemmän moduuleja käyttäjä haluaa ottaa käyttöön, sitä enemmän RAM/CPU/Drive-tilaa tulisi sisältää. On ehdotettu, että seuraavat vähimmäisvaatimukset täyttyvät, jos on suunnitelmia ottaa käyttöön edistyneitä moduuleja OpnSensessa.

  • Nykyaikainen moniytiminen prosessori, jossa on vähintään 2,0 GHz
  • 4GB+ RAM-muistia
  • Yli 10 Gt HD-tilaa
  • 2 tai useampi Intel PCI-e -verkkokortti

OpnSense Firewallin asennus ja konfigurointi

Riippumatta siitä, mikä laitteisto valitaan, OpnSensen asentaminen on yksinkertainen prosessi, mutta vaatii käyttäjän kiinnittämään erityistä huomiota siihen, mitä verkkoliitäntäportteja käytetään mihinkin tarkoitukseen (LAN, WAN, langaton jne.).

Osa asennusprosessia sisältää kehotteen käyttäjää aloittamaan LAN- ja WAN-liitäntöjen konfiguroinnin. Kirjoittaja ehdottaa vain WAN-liitännän kytkemistä, kunnes OpnSense on konfiguroitu, ja jatkaa sitten asennuksen viimeistelyä kytkemällä LAN-liitäntä.

OpnSense Firewallin lataaminen

Ensimmäinen vaihe on OpnSense-ohjelmiston hankkiminen. Saatavilla on useita eri vaihtoehtoja laitteesta ja asennustavasta riippuen, mutta tässä oppaassa käytetään OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 vahva>'.

ISO saatiin seuraavalla komennolla:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Kun tiedosto on ladattu, se on purettava bunzip-työkalun avulla seuraavasti:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Kun asennusohjelma on ladattu ja purettu, se voidaan joko polttaa CD-levylle tai kopioida USB-asemalle dd-työkalulla<. sisältyy useimpiin Linux-jakeluihin.

Seuraava prosessi on kirjoittaa ISO USB-asemaan asennusohjelman käynnistämiseksi. Suorita tämä käyttämällä dd-työkalua Linuxissa.

Ensinnäkin levyn nimen on sijaittava muodossa lsblk.

lsblk

Kun USB-aseman nimi on määritetty muodossa '/dev/sdc', OpnSense ISO voidaan kirjoittaa asemaan >'dd'-työkalu.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Huomaa: Yllä oleva komento vaatii pääkäyttäjän oikeudet, joten käytä 'sudo'- tai kirjaudu sisään pääkäyttäjänä suorittaaksesi komennon. Lisäksi tämä komento POISTAA KAIKEN USB-asemalta. Muista varmuuskopioida tarvittavat tiedot.

OpnSense Firewallin asennus

Kun dd on kirjoittanut USB-asemaan, aseta media tietokoneeseen, joka määritetään opnsense-palomuuriksi. Käynnistä tietokone kyseiselle medialle ja seuraava näyttö tulee näkyviin.

Jatka asennusohjelmaan painamalla Enter-näppäintä. Tämä käynnistää OpnSensen Live-tilaan, mutta sen sijaan on olemassa erityinen käyttäjä, joka asentaa OpnSensen paikalliseen mediaan.

Kun järjestelmä käynnistyy kirjautumiskehotteeseen, käytä käyttäjänimeä asennusohjelma ja salasanaa opnsense.

Asennusmedia kirjautuu sisään ja käynnistää varsinaisen OpnSense-asennusohjelman. VAROITUS: Seuraavien vaiheiden jatkaminen johtaa siihen, että kaikki järjestelmän kiintolevyn tiedot poistetaan! Jatka varovasti tai poistu asennusohjelmasta.

Enter-näppäimen painaminen aloittaa asennusprosessin. Ensimmäinen vaihe on valita näppäinkartta. Asennusohjelma tunnistaa todennäköisesti oikean näppäinkartan oletuksena. Tarkista valittu näppäinkartta ja korjaa se tarvittaessa.

Seuraava näyttö tarjoaa joitain asennusvaihtoehtoja. Jos käyttäjä haluaa tehdä edistyneen osioinnin tai tuoda kokoonpanon toisesta OpnSense-laatikosta, tämä voidaan tehdä tässä vaiheessa. Tämä opas olettaa uuden asennuksen ja valitsee vaihtoehdon Ohjattu asennus.

Seuraavassa näytössä näkyvät tunnistetut tallennuslaitteet asennusta varten.

Kun tallennuslaite on valittu, käyttäjän on päätettävä, mitä osiointimallia asennusohjelma käyttää (MBR vai GPT/EFI).

Useimmat nykyaikaiset järjestelmät tukevat GPT/EFI:tä, mutta jos käyttäjä käyttää vanhaa tietokonetta uudelleen, MBR saattaa olla ainoa tuettu vaihtoehto. Tarkista järjestelmän BIOS-asetuksista, tukeeko se EFI/GPT:tä.

Kun osiointikaavio on valittu, asennusohjelma aloittaa asennusvaiheet. Prosessi ei vie erityisen kauan, ja se pyytää käyttäjää säännöllisesti antamaan tietoja, kuten pääkäyttäjän salasanan.

Kun käyttäjä on asettanut pääkäyttäjän salasanan, asennus on valmis ja järjestelmä on käynnistettävä uudelleen asennuksen määrittämiseksi. Kun järjestelmä käynnistyy uudelleen, sen pitäisi käynnistyä automaattisesti OpnSense-asennukseen (muista poistaa asennustietoväline, kun kone käynnistyy uudelleen).

Kun järjestelmä käynnistyy uudelleen, se pysähtyy konsolin kirjautumiskehotteeseen ja odottaa käyttäjän kirjautumista sisään.

Jos käyttäjä nyt kiinnitti huomiota asennuksen aikana, hän olisi saattanut huomata, että hän olisi voinut esikonfiguroida liitännät asennuksen aikana. Oletetaan kuitenkin tämän artikkelin osalta, että liitäntöjä ei ole määritetty asennuksen yhteydessä.

Kun olet kirjautunut sisään asennuksen aikana määritetyllä pääkäyttäjällä ja salasanalla, voidaan huomata, että OpnSense käytti vain yhtä tämän koneen verkkokorttia (NIC). Alla olevassa kuvassa sen nimi on "LAN (em0)".

OpnSense käyttää oletuksena tavallista 192.168.1.1/24-verkkoa lähiverkossa. Yllä olevassa kuvassa WAN-liitäntä kuitenkin puuttuu! Tämä on helppo korjata kirjoittamalla '1' kehotteeseen ja painamalla Enter.

Tämä mahdollistaa järjestelmän verkkokorttien uudelleenmäärittämisen. Huomaa seuraavassa kuvassa, että käytettävissä on kaksi käyttöliittymää: 'em0' ja 'em1'.

Ohjattu konfigurointitoiminto mahdollistaa myös erittäin monimutkaiset asetukset VLAN-verkkojen kanssa, mutta toistaiseksi tässä oppaassa oletetaan kahden verkon perusasennusta; (eli WAN/ISP- ja LAN-puoli).

Syötä 'N', jos et määritä VLAN-verkkoja tällä hetkellä. Tässä asetuksessa WAN-liitäntä on 'em0' ja LAN-liitäntä 'em1', kuten alla näkyy.

Vahvista liitäntöihin tehdyt muutokset kirjoittamalla kehotteeseen 'Y'. Tämä saa OpnSensen lataamaan uudelleen monet palveluistaan vastaamaan rajapintamääritykseen tehtyjä muutoksia.

Kun olet valmis, liitä verkkoselaimella varustettu tietokone LAN-liittymään. LAN-rajapinnassa on DHCP-palvelin, joka kuuntelee käyttöliittymää asiakkaita varten, joten tietokone voi hankkia tarvittavat osoitetiedot muodostaakseen yhteyden OpnSense-verkkoasetussivulle.

Kun tietokone on yhdistetty LAN-liitäntään, avaa verkkoselain ja siirry seuraavaan URL-osoitteeseen: http://192.168.1.1.

Verkkokonsoliin kirjautuminen; käytä käyttäjänimeä 'root' ja salasanaa, joka määritettiin asennuksen aikana. Kun olet kirjautunut sisään, asennuksen viimeinen osa on valmis.

Asennusohjelman ensimmäistä vaihetta käytetään yksinkertaisesti keräämään lisätietoja, kuten isäntänimi, verkkotunnus ja DNS-palvelimet. Useimmat käyttäjät voivat jättää Ohita DNS -vaihtoehdon valituksi.

Näin OpnSense-palomuuri voi saada DNS-tiedot Internet-palveluntarjoajalta WAN-liitännän kautta.

Seuraava näyttö pyytää NTP-palvelimia. Jos käyttäjällä ei ole omia NTP-järjestelmiä, OpnSense tarjoaa oletusarvoisen joukon NTP-palvelinpooleja.

Seuraava näyttö on WAN-liitännän asetukset. Useimmat kotikäyttäjien Internet-palveluntarjoajat käyttävät DHCP:tä tarjotakseen asiakkailleen tarvittavat verkkomääritystiedot. Kun jätät valitun tyypin DHCP:ksi, OpnSense yrittää kerätä WAN-puolen määritykset Internet-palveluntarjoajalta.

Vieritä alas WAN-määritysnäytön alaosaan jatkaaksesi. ***Huomautus*** tämän näytön alareunassa on kaksi oletussääntöä, joilla estetään verkkoalueet, joita ei yleensä pitäisi nähdä tulevan WAN-liittymään. On suositeltavaa jättää nämä valittuna, ellei ole tunnettua syytä sallia näitä verkkoja WAN-liitännän kautta!

Seuraava näyttö on LAN-määritysnäyttö. Useimmat käyttäjät voivat yksinkertaisesti jättää oletusasetukset. Huomaa, että tässä on käytettävä erityisiä verkkoalueita, joita kutsutaan yleisesti RFC 1918:ksi. Muista jättää oletusasetus tai valita verkkoalue RFC1918-alueelta ristiriitojen/ongelmien välttämiseksi!

Asennuksen viimeinen näyttö kysyy, haluaako käyttäjä päivittää pääkäyttäjän salasanan. Tämä on valinnainen, mutta jos vahvaa salasanaa ei luotu asennuksen aikana, nyt olisi hyvä aika korjata ongelma!

Kun salasanan vaihtovaihtoehto on ohi, OpnSense pyytää käyttäjää lataamaan kokoonpanoasetukset uudelleen. Napsauta vain Lataa uudelleen -painiketta ja anna OpnSensen hetki päivittää määritykset ja nykyinen sivu.

Kun kaikki on tehty, OpnSense toivottaa käyttäjän tervetulleeksi. Pääset takaisin päähallintapaneeliin napsauttamalla Käyttöpaneeli verkkoselainikkunan vasemmassa yläkulmassa.

Tässä vaiheessa käyttäjä ohjataan päähallintapaneeliin, ja hän voi jatkaa minkä tahansa hyödyllisten OpnSense-laajennusten tai -toimintojen asentamista/määrittämistä! Kirjoittaja suosittelee järjestelmän tarkistamista ja päivittämistä, jos päivityksiä on saatavilla. Napsauta vain päähallintapaneelin Tarkista päivitykset napsauttamalla -painiketta.

Seuraavassa näytössä voit käyttää Tarkista päivitykset -painiketta nähdäksesi luettelon päivityksistä tai Päivitä nyt -toiminnolla voidaan yksinkertaisesti ottaa käyttöön saatavilla olevat päivitykset.

Tässä vaiheessa OpnSensen perusasennuksen pitäisi olla käynnissä ja täysin päivitetty! Tulevissa artikkeleissa käsitellään linkkien yhdistämistä ja VLAN-reititystä, jotta voidaan näyttää enemmän OpnSensen edistyneistä ominaisuuksista!