Kako instalirati i konfigurirati osnovni vatrozid OpnSense
U prethodnom članku raspravljalo se o rješenju vatrozida poznatom kao PfSense. Početkom 2015. donesena je odluka o račvanju PfSense-a i izdano je novo rješenje vatrozida nazvano OpnSense.
OpnSense je svoj život započeo kao jednostavna vilica PfSense-a, ali evoluirao je u potpuno neovisno rješenje vatrozida. Ovaj će članak obuhvatiti instalaciju i osnovnu početnu konfiguraciju nove OpnSense instalacije.
Poput PfSense, OpnSense je rješenje vatrozida otvorenog koda temeljeno na FreeBSD-u. Distribucija se može besplatno instalirati na vlastitoj opremi ili tvrtka Decisio, koja prodaje unaprijed konfigurirane uređaje za vatrozid.
OpnSense ima minimalni skup zahtjeva, a tipični stariji kućni toranj lako se može postaviti da radi kao vatrozid OpnSense. Predložene minimalne specifikacije su kako slijedi:
- 500 MHz CPU
- 1 GB RAM-a
- 4 GB prostora za pohranu
- 2 kartice mrežnog sučelja
- 1GHz CPU
- 1 GB RAM-a
- 4 GB prostora za pohranu
- 2 ili više PCI-e mrežnih kartica.
Ako čitatelj želi koristiti neke naprednije značajke OpnSense-a (VPN poslužitelj, itd.), Sustav bi trebao dobiti bolji hardver.
Što više modula korisnik želi omogućiti, to bi trebalo biti uključeno više RAM-a/CPU-a/pogonskog prostora. Predlaže se da se ispune sljedeći minimumi ako se planira omogućiti napredni moduli u OpnSense-u.
- Suvremeni višejezgreni procesor koji radi na najmanje 2,0 GHz
- 4 GB + RAM-a
- 10 GB + HD prostora
- 2 ili više Intel PCI-e mrežnih kartica
Instalacija i konfiguracija OpnSense vatrozida
Bez obzira na odabrani hardver, instalacija OpnSense-a jednostavan je postupak, ali od korisnika se zahtijeva da dobro pazi koji će se porta mrežnog sučelja koristiti u koju svrhu (LAN, WAN, Wireless itd.).
Dio instalacijskog postupka uključivat će poticanje korisnika da započne s konfiguracijom LAN i WAN sučelja. Autor predlaže samo uključivanje WAN sučelja dok se OpnSense ne konfigurira, a zatim nastavite s završetkom instalacije uključivanjem LAN sučelja.
Prvi je korak nabavka softvera OpnSense i dostupno je nekoliko različitih opcija, ovisno o uređaju i načinu instalacije, ali ovaj će vodič koristiti ‘OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2’.
ISO je dobiven pomoću sljedeće naredbe:
$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2
Nakon što je datoteka preuzeta, treba je dekomprimirati pomoću alata bunzip kako slijedi:
$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2
Nakon što se instalacijski program preuzme i dekomprimira, može se snimiti na CD ili kopirati na USB pogon pomoću alata 'dd' koji je uključen u većinu Linux distribucija.
Sljedeći je postupak upisivanje ISO-a na USB pogon za pokretanje instalacijskog programa. Da biste to postigli, upotrijebite alat 'dd' unutar Linuxa.
Prvo, naziv diska mora biti lociran s 'lsblk'.
$ lsblk
Uz ime USB pogona određenog kao "/ dev/sdc", OpnSense ISO može se zapisati na pogon pomoću alata "dd".
$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc
Napomena: Gornja naredba zahtijeva root privilegije, pa koristite "sudo" ili se prijavite kao root korisnik za pokretanje naredbe. Također će ova naredba UKLONITI SVE s USB pogona. Obavezno napravite sigurnosnu kopiju potrebnih podataka.
Nakon što dd završi s upisivanjem na USB pogon, stavite medij u računalo koje će biti postavljeno kao vatrozid OpnSense. Podignite računalo na taj medij i prikazat će se sljedeći zaslon.
Da biste nastavili do instalacijskog programa, jednostavno pritisnite tipku "Enter". Ovo će pokrenuti OpnSense u načinu rada Live, ali postoji poseban korisnik koji će umjesto njega instalirati OpnSense na lokalne medije.
Kada se sustav pokrene na upit za prijavu, upotrijebite korisničko ime 'installer' s lozinkom 'opnsense'.
Instalacijski medij prijavit će se i pokrenuti stvarni program za instaliranje OpnSense. OPREZ: Nastavak sljedećih koraka rezultirat će brisanjem svih podataka na tvrdom disku unutar sustava! Nastavite oprezno ili izađite iz programa za instaliranje.
Pritiskom na tipku "Enter" započet će postupak instalacije. Prvi korak je odabir mape tipki. Instalacijski program vjerojatno će prema zadanim postavkama otkriti odgovarajuću mapu tipki. Pregledajte odabranu mapu tipki i ispravite po potrebi ..
Sljedeći zaslon pružit će neke mogućnosti za instalaciju. Ako korisnik želi napraviti naprednu particiju ili uvesti konfiguraciju iz drugog okvira OpnSense, to se može postići u ovom koraku. Ovaj vodič pretpostavlja novu instalaciju i odabrat će opciju "Vođena instalacija".
Sljedeći zaslon prikazat će prepoznate uređaje za pohranu za instalaciju.
Nakon odabira uređaja za pohranu, korisnik će morati odlučiti koju shemu particija koristi instalacijski program (MBR ili GPT/EFI).
Većina modernih sustava podržavat će GPT/EFI, ali ako korisnik prenamjeni starije računalo, MBR je možda jedina podržana opcija. Provjerite u postavkama BIOS-a sustava da li podržava EFI/GPT.
Nakon odabira sheme particioniranja, instalacijski program započinje instalacijske korake. Postupak ne traje posebno dugo i od korisnika će povremeno tražiti informacije poput lozinke korijenskog korisnika.
Nakon što korisnik postavi lozinku osnovnog korisnika, instalacija će biti dovršena i sustav će trebati ponovno pokrenuti kako bi konfigurirao instalaciju. Kad se sustav ponovno pokrene, trebao bi se automatski pokrenuti u instalaciju OpnSense (pobrinite se da uklonite instalacijski medij dok se stroj ponovno pokreće).
Kad se sustav ponovno pokrene, zaustavit će se na upitu za prijavu na konzolu i pričekati da se korisnik prijavi.
Ako je korisnik obraćao pažnju tijekom instalacije, mogao bi primijetiti da je mogao unaprijed konfigurirati sučelja tijekom instalacije. Međutim, pretpostavimo za ovaj članak da sučelja nisu dodijeljena prilikom instalacije.
Nakon prijave s root korisnikom i lozinkom konfiguriranom tijekom instalacije, može se primijetiti da je OpnSense koristio samo jednu od mrežnih kartica (NIC) na ovom stroju. Na slici ispod naziva se "LAN (em0)".
OpnSense će se zadati na standardnu mrežu "192.168.1.1/24" za LAN. Međutim, na gornjoj slici nedostaje WAN sučelje! To se lako ispravlja upisivanjem ‘1’ na upit i pritiskom tipke enter.
To će omogućiti ponovnu dodjelu NIC-ova u sustavu. Na sljedećoj slici primijetite da su na raspolaganju dva sučelja: ‘em0’ i ‘em1’.
Čarobnjak za konfiguraciju omogućit će vrlo složene postavke i s VLAN-ovima, ali za sada ovaj vodič pretpostavlja osnovna dva mrežna postavljanja; (tj. WAN/ISP i LAN strana).
Unesite ‘N’ da trenutno ne konfigurirate nijedan VLAN. Za ovu određenu postavku, WAN sučelje je 'em0', a LAN sučelje 'em1' kao što je prikazano u nastavku.
Potvrdite promjene na sučeljima upisivanjem ‘Y’ u upit. To će uzrokovati da OpnSense ponovo učita mnoge svoje usluge kako bi odražavao promjene u dodjeli sučelja.
Kada završite, spojite računalo s web preglednikom na LAN bočno sučelje. LAN sučelje ima DHCP poslužitelj koji na sučelju preslušava klijente, tako da će računalo moći dobiti potrebne podatke o adresiranju za povezivanje na web stranicu za konfiguraciju OpnSense.
Nakon što se računalo poveže s LAN sučeljem, otvorite web preglednik i idite na sljedeći url: http://192.168.1.1.
Za prijavu na web konzolu; koristite korisničko ime "root" i lozinku koja je konfigurirana tijekom postupka instalacije. Jednom prijavljeni, završni dio instalacije bit će dovršen.
Prvi korak instalacijskog programa koristi se za jednostavno prikupljanje više podataka poput naziva hosta, imena domene i DNS poslužitelja. Većina korisnika može ostaviti odabranu opciju "Nadjačaj DNS".
To će omogućiti vatrozidu OpnSense da dobije DNS informacije od ISP-a putem WAN sučelja.
Sljedeći zaslon zatražit će NTP poslužitelje. Ako korisnik nema vlastite NTP sustave, OpnSense će pružiti zadani skup spremišta NTP poslužitelja.
Sljedeći zaslon je postavljanje WAN sučelja. Većina ISP-a za kućne korisnike upotrebljavat će DHCP kako bi svojim kupcima pružio potrebne podatke o mrežnoj konfiguraciji. Jednostavno ostavljanje odabrane vrste kao "DHCP" naložit će OpnSenseu da pokuša prikupiti svoju WAN bočnu konfiguraciju od ISP-a.
Pomaknite se do dna zaslona za konfiguraciju WAN-a da biste nastavili. *** Napomena *** pri dnu ovog zaslona dva su zadana pravila za blokiranje mrežnih raspona koji općenito ne bi trebali biti vidljivi na WAN sučelju. Preporučuje se da ove stavke ostavite označenima, osim ako postoji poznati razlog za omogućavanje ovih mreža putem WAN sučelja!
Sljedeći zaslon je zaslon za konfiguraciju LAN-a. Većina korisnika jednostavno može napustiti zadane postavke. Shvatite da ovdje treba koristiti posebne mrežne domete, koji se obično nazivaju RFC 1918. Svakako ostavite zadani ili odaberite mrežni opseg unutar raspona RFC1918 kako biste izbjegli sukobe/probleme!
Završni zaslon u instalaciji pitati će želi li korisnik ažurirati root lozinku. To nije obavezno, ali ako tijekom instalacije nije stvorena jaka lozinka, sada bi bilo pravo vrijeme da ispravite problem!
Nakon što prođe mogućnost promjene lozinke, OpnSense će zatražiti od korisnika da ponovno učita postavke konfiguracije. Jednostavno kliknite gumb ‘Ponovno učitaj’ i dajte OpnSenseu sekundu da osvježi konfiguraciju i trenutnu stranicu.
Kad sve bude gotovo, OpnSense će poželjeti dobrodošlicu korisniku. Da biste se vratili na glavnu nadzornu ploču, jednostavno kliknite "Nadzorna ploča" u gornjem lijevom kutu prozora web preglednika.
U ovom trenutku korisnik će biti odveden na glavnu nadzornu ploču i može nastaviti instalirati/konfigurirati bilo koji korisni dodatak ili funkcionalnost OpnSense! Autor preporuča provjeru i nadogradnju sustava ako su dostupne nadogradnje. Jednostavno kliknite gumb "Kliknite da biste provjerili ima li ažuriranja" na glavnoj nadzornoj ploči.
Zatim se na sljedećem zaslonu za provjeru popisa ažuriranja može koristiti „Provjeri ažuriranja“ ili se za jednostavno primjenjivanje dostupnih ažuriranja može koristiti „Ažuriraj sada“.
U ovom trenutku osnovna instalacija OpnSense-a trebala bi biti pokrenuta i u potpunosti ažurirana! U budućim člancima bit će obrađeni agregacija veza i inter-VLAN usmjeravanje kako bi se pokazalo više naprednih mogućnosti OpnSense-a!