Поиск по сайту:

Как установить и настроить базовый брандмауэр OpnSense


В предыдущей статье обсуждалось решение брандмауэра, известное как PfSense. В начале 2015 года было принято решение разветвить PfSense и было выпущено новое решение для брандмауэра под названием OpnSense.

OpnSense начинал свою жизнь как простая версия PfSense, но со временем превратился в совершенно независимое решение межсетевого экрана. В этой статье будут рассмотрены установка и базовая начальная настройка новой установки OpnSense.

Как и PfSense, OpnSense — это межсетевой экран с открытым исходным кодом на базе FreeBSD. Дистрибутив можно бесплатно установить на собственное оборудование или компания Decisio, продающая предварительно настроенные межсетевые экраны.

OpnSense предъявляет минимальный набор требований, и типичную старую домашнюю вышку можно легко настроить для работы в качестве межсетевого экрана OpnSense. Рекомендуемые минимальные характеристики следующие:

Минимум аппаратного обеспечения

  • Процессор 500 МГц
  • 1 ГБ ОЗУ
  • 4 ГБ памяти
  • 2 сетевые карты

Рекомендуемое оборудование

  • Процессор 1 ГГц
  • 1 ГБ ОЗУ
  • 4 ГБ памяти
  • 2 или более сетевых карт PCI-e.

Если читатель желает использовать некоторые из более продвинутых функций OpnSense (Suricata, ClamAV, VPN-сервер и т. д.), системе следует предоставить более качественное оборудование.

Чем больше модулей пользователь хочет включить, тем больше места RAM/CPU/Drive должно быть включено. Если планируется включить расширенные модули в OpnSense, рекомендуется соблюдать следующие минимальные требования.

  • Современный многоядерный процессор с тактовой частотой не менее 2,0 ГГц.
  • 4 ГБ+ ОЗУ
  • Более 10 ГБ HD-пространства
  • 2 или более сетевых карт Intel PCI-e

Установка и настройка межсетевого экрана OpnSense

Независимо от того, какое оборудование выбрано, установка OpnSense представляет собой простой процесс, но требует от пользователя пристального внимания к тому, какие порты сетевого интерфейса будут использоваться для каких целей (LAN, WAN, Wireless и т. д.).

Часть процесса установки будет включать в себя предложение пользователю начать настройку интерфейсов LAN и WAN. Автор предлагает подключать WAN-интерфейс только до тех пор, пока OpnSense не будет настроен, а затем приступить к завершению установки, подключив LAN-интерфейс.

Загрузка брандмауэра OpnSense

Первым шагом является получение программного обеспечения OpnSense. Существует несколько различных вариантов, доступных в зависимости от устройства и метода установки, но в этом руководстве будет использоваться OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 . '.

ISO был получен с помощью следующей команды:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

После загрузки файла его необходимо распаковать с помощью инструмента bunzip следующим образом:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

После загрузки и распаковки установщика его можно записать на CD или скопировать на USB с помощью инструмента 'dd'< включен в большинство дистрибутивов Linux.

Следующий процесс — запись ISO на USB для загрузки установщика. Для этого используйте инструмент «dd» в Linux.

Во-первых, имя диска должно быть расположено с помощью «lsblk».

lsblk

Если имя USB определено как '/dev/sdc', OpnSense ISO можно записать на диск с помощью инструмент 'dd'.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Примечание. Для выполнения приведенной выше команды требуются права root, поэтому используйте sudo или войдите в систему как пользователь root, чтобы выполнить команду. Кроме того, эта команда УДАЛИТ ВСЕ на USB диске. Обязательно сделайте резервную копию необходимых данных.

Установка межсетевого экрана OpnSense

После того как dd завершит запись на USB-накопитель, вставьте носитель в компьютер, который будет настроен в качестве брандмауэра opnsense. Загрузите компьютер с этого носителя, и появится следующий экран.

Чтобы продолжить установку, просто нажмите клавишу Enter. При этом OpnSense загрузится в режиме Live, но вместо этого существует специальный пользователь, который сможет установить OpnSense на локальный носитель.

При загрузке системы появится приглашение для входа в систему, используйте имя пользователя installer и пароль opnsense.

Установочный носитель войдет в систему и запустит настоящий установщик OpnSense. ВНИМАНИЕ: продолжение следующих шагов приведет к удалению всех данных на жестком диске системы! Действуйте осторожно или выйдите из установщика.

Нажатие клавиши Enter запустит процесс установки. Первый шаг — выбрать раскладку клавиатуры. Установщик, скорее всего, определит правильную раскладку клавиатуры по умолчанию. Просмотрите выбранную раскладку клавиатуры и исправьте ее при необходимости.

На следующем экране будут представлены некоторые варианты установки. Если пользователь желает выполнить расширенное разбиение на разделы или импортировать конфигурацию из другого блока OpnSense, это можно сделать на этом этапе. В этом руководстве предполагается новая установка, и будет выбран вариант «Пошаговая установка».

На следующем экране будут отображены распознанные устройства хранения данных для установки.

После того как устройство хранения выбрано, пользователю необходимо будет решить, какая схема разделения будет использоваться установщиком (MBR или GPT/EFI).

Большинство современных систем поддерживают GPT/EFI, но если пользователь повторно использует старый компьютер, MBR может быть единственным поддерживаемым вариантом. Проверьте настройки BIOS системы, поддерживает ли она EFI/GPT.

После выбора схемы разбиения установщик начнет этапы установки. Этот процесс не занимает особенно много времени и периодически запрашивает у пользователя информацию, например пароль пользователя root.

Как только пользователь установит пароль пользователя root, установка будет завершена, и для настройки установки потребуется перезагрузить систему. При перезагрузке системы она должна автоматически загрузиться с установкой OpnSense (не забудьте удалить установочный носитель при перезагрузке компьютера).

Когда система перезагрузится, она остановится на приглашении на вход в консоль и будет ожидать входа пользователя в систему.

Теперь, если бы пользователь был внимательным во время установки, он мог бы заметить, что он мог предварительно настроить интерфейсы во время установки. Однако в этой статье предположим, что интерфейсы не были назначены при установке.

После входа в систему с пользователем root и паролем, настроенными во время установки, можно отметить, что OpnSense использовал только одну из сетевых карт (NIC) на этом компьютере. На изображении ниже он называется “LAN (em0)”.

OpnSense по умолчанию использует стандартную сеть “192.168.1.1/24” для локальной сети. Однако на изображении выше интерфейс WAN отсутствует! Это легко исправить, набрав в командной строке ’1’ и нажав Enter.

Это позволит переназначить сетевые карты в системе. Обратите внимание, что на следующем изображении доступны два интерфейса: em0 и em1.

Мастер настройки также позволяет выполнять очень сложные настройки VLAN, но на данный момент в этом руководстве предполагается базовая настройка двух сетей; (т. е. сторона WAN/ISP и сторона LAN).

Введите N, чтобы в данный момент не настраивать VLAN. Для этой конкретной настройки интерфейсом WAN является em0, а интерфейсом LAN — em1, как показано ниже.

Подтвердите изменения в интерфейсах, набрав в командной строке Y. Это заставит OpnSense перезагрузить многие из своих сервисов, чтобы отразить изменения в назначении интерфейса.

После этого подключите компьютер с веб-браузером к интерфейсу локальной сети. В интерфейсе локальной сети имеется DHCP-сервер, который прослушивает интерфейс для клиентов, поэтому компьютер сможет получить необходимую информацию об адресации для подключения к странице веб-конфигурации OpnSense.

После подключения компьютера к интерфейсу локальной сети откройте веб-браузер и перейдите по следующему URL-адресу: http://192.168.1.1.

Для входа в веб-консоль; используйте имя пользователя root и пароль, настроенный в процессе установки. После входа в систему заключительная часть установки будет завершена.

Первый шаг установщика используется для простого сбора дополнительной информации, такой как имя хоста, имя домена и DNS-серверы. Большинство пользователей могут оставить выбранной опцию «Переопределить DNS».

Это позволит брандмауэру OpnSense получать информацию DNS от интернет-провайдера через интерфейс WAN.

На следующем экране будет предложено указать серверы NTP. Если у пользователя нет собственных систем NTP, OpnSense предоставит набор пулов серверов NTP по умолчанию.

Следующий экран — настройка интерфейса WAN. Большинство интернет-провайдеров для домашних пользователей будут использовать DHCP для предоставления своим клиентам необходимой информации о конфигурации сети. Просто оставив выбранный тип как DHCP, OpnSense получит указание попытаться получить конфигурацию на стороне WAN от интернет-провайдера.

Прокрутите вниз до нижней части экрана конфигурации WAN, чтобы продолжить. ***Примечание*** в нижней части этого экрана приведены два правила по умолчанию для блокировки сетевых диапазонов, которые обычно не должны быть видны при входе в интерфейс WAN. Рекомендуется оставить эти галочки, если нет известной причины разрешить эти сети через интерфейс WAN!

Следующий экран — это экран конфигурации локальной сети. Большинство пользователей могут просто оставить значения по умолчанию. Помните, что здесь следует использовать специальные сетевые диапазоны, обычно называемые RFC 1918. Обязательно оставьте значение по умолчанию или выберите сетевой диапазон из диапазона RFC1918, чтобы избежать конфликтов и проблем!

На последнем экране установки будет задан вопрос, хочет ли пользователь обновить пароль root. Это необязательно, но если во время установки не был создан надежный пароль, сейчас самое время исправить проблему!

После выбора опции смены пароля OpnSense попросит пользователя перезагрузить настройки конфигурации. Просто нажмите кнопку Обновить и дайте OpnSense секунду, чтобы обновить конфигурацию и текущую страницу.

Когда все будет сделано, OpnSense поприветствует пользователя. Чтобы вернуться на главную панель управления, просто нажмите «Панель управления» в левом верхнем углу окна веб-браузера.

На этом этапе пользователь перейдет на главную панель управления и сможет продолжить установку/настройку любых полезных плагинов или функций OpnSense! Автор рекомендует проверить и обновить систему, если обновления доступны. Просто нажмите кнопку «Нажмите, чтобы проверить наличие обновлений» на главной панели управления.

Затем на следующем экране можно использовать «Проверить наличие обновлений», чтобы просмотреть список обновлений, или «Обновить сейчас», чтобы просто применить любые доступные обновления.

На этом этапе базовая установка OpnSense должна быть запущена и полностью обновлена! В будущих статьях будут рассмотрены агрегация каналов и маршрутизация между VLAN, чтобы показать больше расширенных возможностей OpnSense!