Kako namestiti in konfigurirati osnovni požarni zid OpnSense
V prejšnjem članku smo razpravljali o požarnem zidu, znanem kot PfSense. V začetku leta 2015 je bila sprejeta odločitev o razcepitvi PfSense in izdana je bila nova rešitev požarnega zidu, imenovana OpnSense.
OpnSense je svoje življenje začel kot preprosta vilica PfSense, vendar se je razvil v popolnoma neodvisno rešitev požarnega zidu. Ta članek bo zajemal namestitev in osnovno začetno konfiguracijo nove namestitve OpnSense.
Tako kot PfSense je tudi OpnSense odprtokodna rešitev požarnega zidu, ki temelji na FreeBSD. Distribucijo lahko brezplačno namestite na lastno opremo ali pa podjetje Decisio, ki prodaja vnaprej konfigurirane naprave za požarni zid.
OpnSense ima minimalen nabor zahtev in tipičen starejši domači stolp je mogoče enostavno nastaviti tako, da deluje kot požarni zid OpnSense. Predlagane minimalne specifikacije so naslednje:
- CPE 500 mhz
- 1 GB RAM -a
- 4 GB prostora za shranjevanje
- 2 omrežni vmesniški kartici
- CPE 1 GHz
- 1 GB RAM -a
- 4 GB prostora za shranjevanje
- 2 ali več omrežnih vmesniških kartic PCI-e.
Če želi bralec uporabiti nekatere naprednejše funkcije OpnSense (strežnik VPN itd.), Mora biti sistemu dana boljša strojna oprema.
Več modulov, ki jih želi uporabnik omogočiti, več RAM -a/CPU -ja/pogona mora biti vključenih. Če načrtujete omogočanje naprednih modulov v OpnSense, predlagamo, da se izpolnijo naslednji minimalni pogoji.
- Sodoben večjedrni procesor z vsaj 2,0 GHz
- 4 GB+ RAM -a
- 10 GB+ prostora HD
- 2 ali več omrežnih vmesniških kartic Intel PCI-e
Namestitev in konfiguracija požarnega zidu OpnSense
Ne glede na to, katera strojna oprema je izbrana, je namestitev OpnSense preprost postopek, vendar od uporabnika zahteva, da pozorno spremlja, katera vrata vmesnika bodo uporabljena za kateri namen (LAN, WAN, Wireless itd.).
Del postopka namestitve bo vključeval pozivanje uporabnika, da začne konfigurirati vmesnike LAN in WAN. Avtor predlaga samo priključitev vmesnika WAN, dokler ni konfiguriran OpnSense, in nato nadaljujte z dokončanjem namestitve tako, da priključite vmesnik LAN.
Prvi korak je pridobitev programske opreme OpnSense in na voljo je nekaj različnih možnosti, odvisno od naprave in načina namestitve, vendar bo v tem priročniku uporabljen „OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2“.
ISO je bil pridobljen z naslednjim ukazom:
$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2
Ko ste datoteko prenesli, jo morate raztegniti z orodjem bunzip na naslednji način:
$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2
Ko ste namestitveni program prenesli in razpakirali, ga lahko zapišete na CD ali ga kopirate na pogon USB z orodjem „dd“, ki je vključeno v večino distribucij Linuxa.
Naslednji postopek je zapis ISO na pogon USB za zagon namestitvenega programa. Če želite to narediti, uporabite orodje "dd" v Linuxu.
Najprej je treba ime diska vsebovati z "lsblk".
$ lsblk
Če je ime pogona USB določeno kot '/dev/sdc', se lahko OpnSense ISO zapiše na pogon z orodjem 'dd'.
$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc
Opomba: Zgornji ukaz zahteva korenske pravice, zato uporabite "sudo" ali se prijavite kot korenski uporabnik za izvajanje ukaza. Tudi ta ukaz bo odstranil VSE na pogonu USB. Varnostno kopirajte potrebne podatke.
Ko dd konča s pisanjem na pogon USB, vstavite medij v računalnik, ki bo nastavljen kot požarni zid OpnSense. Zaženite računalnik na ta medij in prikazal se bo naslednji zaslon.
Za nadaljevanje namestitvenega programa preprosto pritisnite tipko 'Enter'. S tem se bo OpnSense zagnal v način Live, vendar obstaja poseben uporabnik, ki namesto tega namesti OpnSense na lokalni medij.
Ko se sistem zažene v poziv za prijavo, uporabite uporabniško ime za "installer" z geslom za "opnsense".
Namestitveni medij se bo prijavil in zagnal dejanski namestitveni program OpnSense. POZOR: Če nadaljujete z naslednjimi koraki, bodo izbrisani vsi podatki na trdem disku v sistemu! Nadaljujte previdno ali zapustite namestitveni program.
S pritiskom na tipko "Enter" se bo začel postopek namestitve. Prvi korak je izbira zemljevida tipk. Namestitveni program bo privzeto odkril ustrezen zemljevid tipk. Preglejte izbrani zemljevid tipk in ga po potrebi popravite.
Naslednji zaslon bo ponudil nekaj možnosti za namestitev. Če želi uporabnik narediti napredno particioniranje ali uvoziti konfiguracijo iz drugega polja OpnSense, je to mogoče doseči v tem koraku. Ta priročnik predvideva novo namestitev in bo izbral možnost »vodena namestitev«.
Na naslednjem zaslonu bodo prikazane prepoznane pomnilniške naprave za namestitev.
Ko je shranjevalna naprava izbrana, se mora uporabnik odločiti, katero shemo particioniranja uporablja namestitveni program (MBR ali GPT/EFI).
Večina sodobnih sistemov podpira GPT/EFI, če pa uporabnik ponovno namerava namestiti starejši računalnik, je morda edina podprta možnost MBR. V nastavitvah BIOS -a sistema preverite, ali podpira EFI/GPT.
Ko je izbrana shema particioniranja, bo namestitveni program začel z namestitvenimi koraki. Postopek ne traja posebej dolgo in bo od uporabnika občasno zahteval informacije, na primer geslo korenskega uporabnika.
Ko uporabnik nastavi geslo korenskega uporabnika, bo namestitev končana in sistem bo moral znova konfigurirati, da lahko konfigurira namestitev. Ko se sistem znova zažene, se mora samodejno zagnati v namestitev OpnSense (odstranite namestitveni medij, ko se naprava znova zažene).
Ko se sistem znova zažene, se bo ustavil ob pozivu za prijavo v konzolo in počakal, da se uporabnik prijavi.
Če bi bil uporabnik med namestitvijo pozoren, bi morda opazil, da bi lahko med namestitvijo vnaprej konfiguriral vmesnike. Predpostavimo pa, da v tem članku vmesniki niso bili dodeljeni ob namestitvi.
Po prijavi s korenskim uporabnikom in geslom, ki sta bila konfigurirana med namestitvijo, je mogoče opozoriti, da je OpnSense na tej napravi uporabljal samo eno od kartic omrežnega vmesnika (NIC). Na spodnji sliki se imenuje\"LAN (em0)".
OpnSense bo privzeto uporabil standardno omrežje "192.168.1.1/24" za LAN. Vendar na zgornji sliki manjka vmesnik WAN! To lahko preprosto popravite tako, da v poziv vnesete '1' in pritisnete enter.
To bo omogočilo ponovno dodelitev omrežnih kartic v sistemu. Na naslednji sliki opazite, da sta na voljo dva vmesnika: 'em0' in 'em1'.
Čarovnik za konfiguracijo bo omogočil tudi zelo zapletene nastavitve z omrežji VLAN, vendar ta priročnik za zdaj predvideva osnovno nastavitev dveh omrežij; (tj. stran WAN/ISP in stran LAN).
Vnesite 'N' , če trenutno ne želite konfigurirati nobenih omrežij VLAN. Za to posebno nastavitev je vmesnik WAN "em0", vmesnik LAN pa "em1", kot je prikazano spodaj.
Spremembe vmesnikov potrdite tako, da v poziv vnesete "Y" . To bo povzročilo, da bo OpnSense znova naložil številne svoje storitve, da bodo odražale spremembe dodelitve vmesnika.
Ko končate, povežite računalnik s spletnim brskalnikom na stranski vmesnik LAN. Vmesnik LAN ima na vmesniku strežnik DHCP, ki posluša odjemalce, zato bo računalnik lahko pridobil potrebne naslovne podatke za povezavo s spletno stranjo za konfiguracijo OpnSense.
Ko je računalnik povezan z vmesnikom LAN, odprite spletni brskalnik in se pomaknite na naslednji URL: http://192.168.1.1.
Za prijavo v spletno konzolo; uporabite uporabniško ime "root" in geslo, ki ste ga nastavili med namestitvijo. Ko se prijavite, bo zaključen del namestitve.
Prvi korak namestitvenega programa je preprosto zbiranje več informacij, kot so ime gostitelja, ime domene in strežniki DNS. Večina uporabnikov lahko pusti izbrano možnost »Preglasi DNS«.
To bo požarnemu zidu OpnSense omogočilo pridobivanje podatkov DNS od ponudnika internetnih storitev prek vmesnika WAN.
Naslednji zaslon bo zahteval strežnike NTP. Če uporabnik nima lastnih sistemov NTP, bo OpnSense zagotovil privzeti nabor strežnikov NTP.
Naslednji zaslon je nastavitev vmesnika WAN. Večina ponudnikov internetnih storitev za domače uporabnike bo uporabljala DHCP, da bo svojim strankam zagotovila potrebne informacije o konfiguraciji omrežja. Preprosto puščanje izbrane vrste kot »DHCP« bo naročilo OpnSenseu, da poskuša zbrati konfiguracijo strani WAN pri ponudniku internetnih storitev.
Za nadaljevanje se pomaknite navzdol do dna konfiguracijskega zaslona WAN. *** Opomba *** na dnu tega zaslona sta dva privzeta pravila za blokiranje omrežnih razponov, ki običajno ne bi smeli videti v vmesniku WAN. Priporočljivo je, da jih pustite označene, razen če obstaja znani razlog za dovoljenje teh omrežij prek vmesnika WAN!
Naslednji zaslon je zaslon za konfiguracijo LAN. Večina uporabnikov lahko preprosto pusti privzete nastavitve. Zavedajte se, da je treba tukaj uporabiti posebna omrežna območja, ki se običajno imenujejo RFC 1918. Ne pustite privzetega ali izberite omrežni obseg znotraj območja RFC1918, da se izognete konfliktom/težavam!
Zadnji zaslon v namestitvi vas bo vprašal, ali bi uporabnik želel posodobiti korensko geslo. To ni obvezno, če pa med namestitvijo ni bilo ustvarjeno močno geslo, bi bil pravi čas, da težavo odpravite!
Ko opusti spremembo gesla, bo OpnSense od uporabnika zahteval, da znova naloži konfiguracijske nastavitve. Preprosto kliknite gumb »Ponovno naloži« in dajte OpnSense -u sekundo, da osveži konfiguracijo in trenutno stran.
Ko bo vse opravljeno, bo OpnSense pozdravil uporabnika. Če se želite vrniti na glavno nadzorno ploščo, preprosto kliknite »Nadzorna plošča« v zgornjem levem kotu okna spletnega brskalnika.
Na tej točki bo uporabnik preusmerjen na glavno nadzorno ploščo in lahko nadaljuje z namestitvijo/konfiguracijo katerega koli uporabnega vtičnika ali funkcionalnosti OpnSense! Avtor priporoča preverjanje in nadgradnjo sistema, če so na voljo nadgradnje. Preprosto kliknite gumb »Kliknite, da preverite posodobitve« na glavni nadzorni plošči.
Nato lahko na naslednjem zaslonu uporabite možnost »Preveri posodobitve«, če si želite ogledati seznam posodobitev, ali pa »Posodobi zdaj«, da preprosto uporabite vse razpoložljive posodobitve.
Na tej točki bi morala biti osnovna namestitev OpnSense zagnana in popolnoma posodobljena! V prihodnjih člankih bo obravnavano združevanje povezav in usmerjanje med VLAN, da se prikaže več naprednih zmogljivosti OpnSense!