Website-Suche

So installieren und konfigurieren Sie die grundlegende OpnSense-Firewall

In einem früheren Artikel wurde eine Firewall-Lösung namens PfSense besprochen. Anfang 2015 wurde die Entscheidung getroffen, PfSense abzuspalten, und eine neue Firewall-Lösung namens OpnSense wurde veröffentlicht.

OpnSense begann als einfacher Zweig von PfSense, hat sich aber zu einer völlig unabhängigen Firewall-Lösung entwickelt. In diesem Artikel werden die Installation und die grundlegende Erstkonfiguration einer neuen OpnSense-Installation behandelt.

Wie PfSense ist OpnSense eine FreeBSD-basierte Open-Source-Firewall-Lösung. Die Distribution kann kostenlos auf den eigenen Geräten installiert werden oder die Firma Decisio verkauft vorkonfigurierte Firewall-Appliances.

Für OpnSense gelten nur minimale Anforderungen und ein typischer älterer Heimturm kann problemlos als OpnSense-Firewall eingerichtet werden. Die empfohlenen Mindestspezifikationen lauten wie folgt:

Hardware-Mindestanforderungen

  • 500-MHz-CPU
  • 1 GB RAM
  • 4 GB Speicher
  • 2 Netzwerkschnittstellenkarten

Empfohlene Hardware

  • 1-GHz-CPU
  • 1 GB RAM
  • 4 GB Speicher
  • 2 oder mehr PCI-e-Netzwerkschnittstellenkarten.

Wenn der Leser einige der erweiterten Funktionen von OpnSense (Suricata, ClamAV, VPN-Server usw.) nutzen möchte, sollte das System mit besserer Hardware ausgestattet werden.

Je mehr Module der Benutzer aktivieren möchte, desto mehr RAM/CPU/Laufwerk-Speicherplatz sollte enthalten sein. Es wird empfohlen, die folgenden Mindestanforderungen zu erfüllen, wenn geplant ist, erweiterte Module in OpnSense zu aktivieren.

  • Moderne Multi-Core-CPU mit mindestens 2,0 GHz
  • 4 GB+ RAM
  • 10 GB+ HD-Speicherplatz
  • 2 oder mehr Intel PCI-e Netzwerkschnittstellenkarten

Installation und Konfiguration der OpnSense-Firewall

Unabhängig davon, welche Hardware ausgewählt wird, ist die Installation von OpnSense ein einfacher Vorgang, erfordert jedoch, dass der Benutzer genau darauf achtet, welche Netzwerkschnittstellen-Ports für welchen Zweck verwendet werden (LAN, WAN, Wireless usw.).

Ein Teil des Installationsprozesses besteht darin, den Benutzer aufzufordern, mit der Konfiguration der LAN- und WAN-Schnittstellen zu beginnen. Der Autor schlägt vor, nur die WAN-Schnittstelle anzuschließen, bis OpnSense konfiguriert ist, und dann die Installation durch Einstecken der LAN-Schnittstelle abzuschließen.

Laden Sie die OpnSense-Firewall herunter

Der erste Schritt besteht darin, die OpnSense-Software zu erhalten. Je nach Gerät und Installationsmethode stehen verschiedene Optionen zur Verfügung. In diesem Handbuch wird jedoch „OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 “ verwendet. '.

Die ISO wurde mit dem folgenden Befehl abgerufen:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Sobald die Datei heruntergeladen wurde, muss sie mit dem bunzip-Tool wie folgt dekomprimiert werden:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Sobald das Installationsprogramm heruntergeladen und dekomprimiert wurde, kann es entweder auf eine CD gebrannt oder mit dem 'dd'-Tool< auf ein USB-Laufwerk kopiert werden ist in den meisten Linux-Distributionen enthalten.

Der nächste Vorgang besteht darin, die ISO auf ein USB-Laufwerk zu schreiben, um das Installationsprogramm zu starten. Verwenden Sie dazu das „dd“-Tool unter Linux.

Zunächst muss jedoch der Datenträgername mit „lsblk“ gefunden werden.

lsblk

Nachdem der Name des USB-Laufwerks als '/dev/sdc' ermittelt wurde, kann die OpnSense-ISO mit dem Befehl 'dd'-Tool.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Hinweis: Für den obigen Befehl sind Root-Rechte erforderlich. Verwenden Sie daher ‘sudo’ oder melden Sie sich als Root-Benutzer an, um den Befehl auszuführen. Außerdem wird dieser Befehl ALLES auf dem USB-Laufwerk ENTFERNEN. Stellen Sie sicher, dass Sie die benötigten Daten sichern.

Installation der OpnSense-Firewall

Sobald dd mit dem Schreiben auf das USB-Laufwerk fertig ist, legen Sie das Medium in den Computer ein, der als opnsense-Firewall eingerichtet wird. Starten Sie den Computer mit diesem Medium und der folgende Bildschirm wird angezeigt.

Um mit dem Installationsprogramm fortzufahren, drücken Sie einfach die ‘Enter’-Taste. Dadurch wird OpnSense im Live-Modus gestartet, es gibt jedoch einen speziellen Benutzer, der OpnSense stattdessen auf lokalen Medien installiert.

Wenn das System mit der Anmeldeaufforderung startet, verwenden Sie den Benutzernamen „installer“ mit dem Passwort „opnsense“.

Das Installationsmedium meldet sich an und startet das eigentliche OpnSense-Installationsprogramm. ACHTUNG: Wenn Sie mit den folgenden Schritten fortfahren, werden alle Daten auf der Festplatte im System gelöscht! Gehen Sie vorsichtig vor oder beenden Sie das Installationsprogramm.

Durch Drücken der Eingabetaste wird der Installationsvorgang gestartet. Der erste Schritt besteht darin, die Keymap auszuwählen. Das Installationsprogramm erkennt wahrscheinlich standardmäßig die richtige Tastaturbelegung. Überprüfen Sie die ausgewählte Tastaturbelegung und korrigieren Sie sie bei Bedarf.

Der nächste Bildschirm bietet einige Optionen für die Installation. Wenn der Benutzer eine erweiterte Partitionierung durchführen oder eine Konfiguration aus einer anderen OpnSense-Box importieren möchte, kann dies in diesem Schritt erfolgen. Diese Anleitung geht von einer Neuinstallation aus und wählt die Option „Geführte Installation“.

Auf dem folgenden Bildschirm werden die erkannten Speichergeräte für die Installation angezeigt.

Sobald das Speichergerät ausgewählt ist, muss der Benutzer entscheiden, welches Partitionierungsschema vom Installationsprogramm verwendet wird (MBR oder GPT/EFI).

Die meisten modernen Systeme unterstützen GPT/EFI, aber wenn der Benutzer einen älteren Computer umbaut, ist MBR möglicherweise die einzige unterstützte Option. Überprüfen Sie in den BIOS-Einstellungen des Systems, ob es EFI/GPT unterstützt.

Sobald das Partitionierungsschema ausgewählt ist, beginnt das Installationsprogramm mit den Installationsschritten. Der Vorgang dauert nicht besonders lange und fordert den Benutzer regelmäßig zur Eingabe von Informationen wie dem Passwort des Root-Benutzers auf.

Sobald der Benutzer das Passwort des Root-Benutzers festgelegt hat, ist die Installation abgeschlossen und das System muss neu gestartet werden, um die Installation zu konfigurieren. Wenn das System neu startet, sollte es automatisch die OpnSense-Installation starten (stellen Sie sicher, dass Sie das Installationsmedium entfernen, wenn die Maschine neu startet).

Wenn das System neu startet, stoppt es an der Anmeldeaufforderung der Konsole und wartet auf die Anmeldung des Benutzers.

Wenn der Benutzer nun bei der Installation aufgepasst hätte, wäre ihm möglicherweise aufgefallen, dass er die Schnittstellen während der Installation vorkonfiguriert haben könnte. Gehen wir für diesen Artikel jedoch davon aus, dass die Schnittstellen bei der Installation nicht zugewiesen wurden.

Nach der Anmeldung mit dem Root-Benutzer und dem bei der Installation konfigurierten Passwort kann festgestellt werden, dass OpnSense nur eine der Netzwerkschnittstellenkarten (NIC) auf diesem Computer verwendet. Im Bild unten heißt es „LAN (em0)“.

OpnSense verwendet standardmäßig das Standardnetzwerk „192.168.1.1/24“ für das LAN. Allerdings fehlt im obigen Bild die WAN-Schnittstelle! Dies lässt sich leicht korrigieren, indem Sie an der Eingabeaufforderung ‘1’ eingeben und die Eingabetaste drücken.

Dies ermöglicht die Neuzuweisung der NICs im System. Beachten Sie im nächsten Bild, dass zwei Schnittstellen verfügbar sind: ‘em0’ und ‘em1’.

Der Konfigurationsassistent ermöglicht auch sehr komplexe Setups mit VLANs, aber vorerst geht diese Anleitung von einer grundlegenden Einrichtung mit zwei Netzwerken aus; (d. h. eine WAN/ISP-Seite und eine LAN-Seite).

Geben Sie ‘N’ ein, um zu diesem Zeitpunkt keine VLANs zu konfigurieren. Für dieses spezielle Setup ist die WAN-Schnittstelle ‘em0’ und die LAN-Schnittstelle ist ‘em1’, wie unten gezeigt.

Bestätigen Sie die Änderungen an den Schnittstellen, indem Sie in der Eingabeaufforderung ‘Y’ eingeben. Dies führt dazu, dass OpnSense viele seiner Dienste neu lädt, um die Änderungen an der Schnittstellenzuweisung widerzuspiegeln.

Wenn Sie fertig sind, schließen Sie einen Computer mit einem Webbrowser an die LAN-seitige Schnittstelle an. Die LAN-Schnittstelle verfügt über einen DHCP-Server, der die Schnittstelle auf Clients überwacht, sodass der Computer die erforderlichen Adressinformationen erhalten kann, um eine Verbindung zur OpnSense-Webkonfigurationsseite herzustellen.

Sobald der Computer mit der LAN-Schnittstelle verbunden ist, öffnen Sie einen Webbrowser und navigieren Sie zur folgenden URL: http://192.168.1.1.

Um sich bei der Webkonsole anzumelden; Verwenden Sie den Benutzernamen ‘root’ und das Passwort, das während des Installationsvorgangs konfiguriert wurde. Sobald Sie angemeldet sind, wird der letzte Teil der Installation abgeschlossen.

Der erste Schritt des Installationsprogramms dient lediglich dazu, weitere Informationen wie Hostnamen, Domänennamen und DNS-Server zu sammeln. Die meisten Benutzer können die Option „DNS überschreiben“ ausgewählt lassen.

Dadurch kann die OpnSense-Firewall DNS-Informationen vom ISP über die WAN-Schnittstelle abrufen.

Auf dem nächsten Bildschirm werden Sie nach NTP-Servern gefragt. Wenn der Benutzer nicht über eigene NTP-Systeme verfügt, stellt OpnSense einen Standardsatz von NTP-Serverpools bereit.

Der nächste Bildschirm ist die Einrichtung der WAN-Schnittstelle. Die meisten ISPs für Heimanwender verwenden DHCP, um ihren Kunden die erforderlichen Netzwerkkonfigurationsinformationen bereitzustellen. Wenn Sie den ausgewählten Typ einfach auf „DHCP“ belassen, wird OpnSense angewiesen, zu versuchen, seine WAN-seitige Konfiguration vom ISP zu erhalten.

Scrollen Sie nach unten zum unteren Rand des WAN-Konfigurationsbildschirms, um fortzufahren. ***Hinweis*** Am unteren Rand dieses Bildschirms finden Sie zwei Standardregeln zum Blockieren von Netzwerkbereichen, die im Allgemeinen nicht in der WAN-Schnittstelle angezeigt werden sollten. Es wird empfohlen, diese aktiviert zu lassen, es sei denn, es gibt einen bekannten Grund, diese Netzwerke über die WAN-Schnittstelle zuzulassen!

Der nächste Bildschirm ist der LAN-Konfigurationsbildschirm. Die meisten Benutzer können einfach die Standardeinstellungen beibehalten. Beachten Sie, dass hier spezielle Netzwerkbereiche verwendet werden sollten, die allgemein als RFC 1918 bezeichnet werden. Stellen Sie sicher, dass Sie die Standardeinstellung beibehalten oder einen Netzwerkbereich aus dem RFC1918-Bereich auswählen, um Konflikte/Probleme zu vermeiden!

Auf dem letzten Bildschirm der Installation werden Sie gefragt, ob der Benutzer das Root-Passwort aktualisieren möchte. Dies ist optional, aber wenn während der Installation kein sicheres Passwort erstellt wurde, wäre jetzt ein guter Zeitpunkt, das Problem zu beheben!

Sobald die Option zum Ändern des Passworts überschritten ist, fordert OpnSense den Benutzer auf, die Konfigurationseinstellungen neu zu laden. Klicken Sie einfach auf die Schaltfläche „Neu laden“ und geben Sie OpnSense eine Sekunde Zeit, um die Konfiguration und die aktuelle Seite zu aktualisieren.

Wenn alles erledigt ist, heißt OpnSense den Benutzer willkommen. Um zum Haupt-Dashboard zurückzukehren, klicken Sie einfach auf „Dashboard“ in der oberen linken Ecke des Webbrowser-Fensters.

An diesem Punkt wird der Benutzer zum Haupt-Dashboard weitergeleitet und kann mit der Installation/Konfiguration aller nützlichen OpnSense-Plugins oder -Funktionen fortfahren! Der Autor empfiehlt, das System zu überprüfen und zu aktualisieren, wenn Upgrades verfügbar sind. Klicken Sie einfach auf die Schaltfläche „Klicken Sie, um nach Updates zu suchen“ im Haupt-Dashboard.

Auf dem nächsten Bildschirm kann dann „Nach Updates suchen“ verwendet werden, um eine Liste der Updates anzuzeigen, oder „Jetzt aktualisieren“, um einfach alle verfügbaren Updates anzuwenden.

Zu diesem Zeitpunkt sollte eine Grundinstallation von OpnSense betriebsbereit und vollständig aktualisiert sein! In zukünftigen Artikeln werden Link-Aggregation und Inter-VLAN-Routing behandelt, um mehr über die erweiterten Funktionen von OpnSense zu zeigen!