Zoeken op website

Hoe u de basis OpnSense Firewall installeert en configureert

In een eerder artikel werd een firewalloplossing besproken die bekend staat als PfSense. Begin 2015 werd besloten om PfSense af te splitsen en werd een nieuwe firewall-oplossing uitgebracht, genaamd OpnSense.

OpnSense begon zijn leven als een eenvoudige afsplitsing van PfSense, maar is geëvolueerd naar een volledig onafhankelijke firewall-oplossing. Dit artikel behandelt de installatie en de basisconfiguratie van een nieuwe OpnSense-installatie.

Net als PfSense is OpnSense een op FreeBSD gebaseerde open-source firewall-oplossing. De distributie is gratis te installeren op de eigen apparatuur of het bedrijf Decisio, dat vooraf geconfigureerde firewall-apparaten verkoopt.

OpnSense heeft een minimale set vereisten en een typische oudere thuistoren kan eenvoudig worden ingesteld om te draaien als een OpnSense firewall. De voorgestelde minimumspecificaties zijn als volgt:

Hardwareminima

  • 500 MHz-CPU
  • 1 GB RAM
  • 4 GB opslagruimte
  • 2 netwerkinterfacekaarten

Aanbevolen hardware

  • 1GHz CPU
  • 1 GB RAM
  • 4 GB opslagruimte
  • 2 of meer PCI-e-netwerkinterfacekaarten.

Als de lezer enkele van de meer geavanceerde functies van OpnSense (Suricata, ClamAV, VPN-server, enz.) wil gebruiken, moet het systeem betere hardware krijgen.

Hoe meer modules de gebruiker wil inschakelen, hoe meer RAM/CPU/Drive-ruimte er moet worden opgenomen. Er wordt gesuggereerd dat aan de volgende minima wordt voldaan als er plannen zijn om geavanceerde modules in OpnSense in te schakelen.

  • Moderne multi-core CPU met een snelheid van minimaal 2,0 GHz
  • 4 GB+ RAM
  • 10 GB+ HD-ruimte
  • 2 of meer Intel PCI-e netwerkinterfacekaarten

Installatie en configuratie van OpnSense Firewall

Ongeacht welke hardware wordt gekozen, het installeren van OpnSense is een eenvoudig proces, maar vereist wel dat de gebruiker goed let op welke netwerkinterfacepoorten voor welk doel worden gebruikt (LAN, WAN, draadloos, enz.).

Een deel van het installatieproces houdt in dat de gebruiker wordt gevraagd te beginnen met het configureren van LAN- en WAN-interfaces. De auteur stelt voor om alleen de WAN-interface aan te sluiten totdat OpnSense is geconfigureerd en vervolgens door te gaan met het voltooien van de installatie door de LAN-interface aan te sluiten.

OpnSense-firewall downloaden

De eerste stap is het verkrijgen van de OpnSense-software en er zijn een aantal verschillende opties beschikbaar, afhankelijk van het apparaat en de installatiemethode, maar deze handleiding gebruikt de 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 sterk>'.

De ISO werd verkregen met behulp van de volgende opdracht:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Zodra het bestand is gedownload, moet het als volgt worden gedecomprimeerd met behulp van de bunzip tool:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Zodra het installatieprogramma is gedownload en gedecomprimeerd, kan het op een CD worden gebrand of kan het naar een USB-station worden gekopieerd met de 'dd'-tool< opgenomen in de meeste Linux-distributies.

Het volgende proces is het schrijven van de ISO naar een USB-station om het installatieprogramma op te starten. Om dit te bereiken, gebruik je de ‘dd’ tool binnen Linux.

Ten eerste moet de schijfnaam echter worden gelokaliseerd met ‘lsblk‘.

lsblk

Als de naam van het USB-station is bepaald als '/dev/sdc', kan de OpnSense ISO naar het station worden geschreven met de 'dd'-tool.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Opmerking: Voor het bovenstaande commando zijn root-rechten vereist, dus gebruik ‘sudo’ of log in als root-gebruiker om het commando uit te voeren. Bovendien zal deze opdracht ALLES VERWIJDEREN op de USB-drive. Zorg ervoor dat u een back-up maakt van de benodigde gegevens.

Installatie van OpnSense Firewall

Zodra dd klaar is met schrijven naar het USB-station, plaatst u het medium in de computer die zal worden ingesteld als de opnsense firewall. Start die computer op naar dat medium en het volgende scherm wordt weergegeven.

Om door te gaan naar het installatieprogramma, drukt u eenvoudig op de ‘Enter’-toets. Hierdoor wordt OpnSense opgestart in de Live-modus, maar er is een speciale gebruiker die OpnSense in plaats daarvan op lokale media kan installeren.

Wanneer het systeem opstart naar de inlogprompt, gebruikt u de gebruikersnaam ‘installer’ met het wachtwoord ‘opnsense’.

De installatiemedia loggen in en starten het daadwerkelijke OpnSense-installatieprogramma. LET OP: Als u doorgaat met de volgende stappen, worden alle gegevens op de harde schijf in het systeem gewist! Ga voorzichtig te werk of sluit het installatieprogramma af.

Als u op de ‘Enter’-toets drukt, wordt het installatieproces gestart. De eerste stap is het selecteren van de toetsenbord. Het installatieprogramma zal waarschijnlijk standaard de juiste toetsenbordindeling detecteren. Controleer de geselecteerde toetsenbordindeling en corrigeer deze indien nodig.

Het volgende scherm biedt enkele opties voor de installatie. Als de gebruiker geavanceerde partities wil uitvoeren of een configuratie uit een andere OpnSense-box wil importeren, kan dit bij deze stap worden bereikt. Deze handleiding gaat uit van een nieuwe installatie en selecteert de optie ‘Begeleide installatie’.

Het volgende scherm toont de herkende opslagapparaten voor installatie.

Zodra het opslagapparaat is geselecteerd, moet de gebruiker beslissen welk partitieschema door het installatieprogramma wordt gebruikt (MBR of GPT/EFI).

De meeste moderne systemen ondersteunen GPT/EFI, maar als de gebruiker een oudere computer opnieuw gaat gebruiken, is MBR mogelijk de enige ondersteunde optie. Controleer in de BIOS-instellingen van het systeem of het EFI/GPT ondersteunt.

Zodra het partitieschema is gekozen, begint het installatieprogramma met de installatiestappen. Het proces duurt niet bijzonder lang en zal de gebruiker periodiek om informatie vragen, zoals het wachtwoord van de rootgebruiker.

Zodra de gebruiker het wachtwoord van de rootgebruiker heeft ingesteld, is de installatie voltooid en moet het systeem opnieuw worden opgestart om de installatie te configureren. Wanneer het systeem opnieuw opstart, zou het automatisch moeten opstarten met de OpnSense-installatie (zorg ervoor dat u het installatiemedium verwijdert wanneer de machine opnieuw opstart).

Wanneer het systeem opnieuw opstart, stopt het bij de aanmeldingsprompt van de console en wacht het tot de gebruiker zich heeft aangemeld.

Als de gebruiker nu goed oplet tijdens de installatie, is het hem misschien opgevallen dat hij de interfaces tijdens de installatie vooraf had kunnen configureren. Laten we er voor dit artikel echter van uitgaan dat de interfaces niet zijn toegewezen tijdens de installatie.

Na inloggen met de rootgebruiker en het wachtwoord dat tijdens de installatie is geconfigureerd, kan worden opgemerkt dat OpnSense slechts één van de netwerkinterfacekaarten (NIC) op deze machine gebruikte. In de onderstaande afbeelding heet het “LAN (em0) ”.

OpnSense gebruikt standaard het standaard “192.168.1.1/24 ” netwerk voor het LAN. In de bovenstaande afbeelding ontbreekt de WAN-interface echter! Dit kun je eenvoudig corrigeren door ‘1’ in te typen bij de prompt en op Enter te drukken.

Hierdoor kunnen de NIC's op het systeem opnieuw worden toegewezen. Merk op dat er in de volgende afbeelding twee interfaces beschikbaar zijn: ‘em0’ en ‘em1’.

De configuratiewizard maakt ook zeer complexe configuraties met VLAN's mogelijk, maar voorlopig gaat deze handleiding uit van een standaardconfiguratie met twee netwerken; (dwz een WAN/ISP kant en een LAN kant).

Voer ‘N’ in om op dit moment geen VLAN's te configureren. Voor deze specifieke opstelling is de WAN-interface ‘em0’ en de LAN-interface ‘em1’, zoals hieronder te zien is.

Bevestig de wijzigingen aan de interfaces door ‘Y’ in de prompt te typen. Dit zal ervoor zorgen dat OpnSense veel van zijn services opnieuw laadt om de wijzigingen in de interfacetoewijzing weer te geven.

Als u klaar bent, sluit u een computer met een webbrowser aan op de LAN-zijinterface. De LAN-interface heeft een DHCP-server die op de interface luistert naar clients, zodat de computer de benodigde adresinformatie kan verkrijgen om verbinding te maken met de OpnSense-webconfiguratiepagina.

Zodra de computer is aangesloten op de LAN-interface, opent u een webbrowser en navigeert u naar de volgende URL: http://192.168.1.1.

Om in te loggen op de webconsole; gebruik de gebruikersnaam ‘root’ en het wachtwoord dat tijdens het installatieproces is geconfigureerd. Eenmaal ingelogd wordt het laatste deel van de installatie voltooid.

De eerste stap van het installatieprogramma wordt gebruikt om eenvoudigweg meer informatie te verzamelen, zoals de hostnaam, domeinnaam en DNS-servers. De meeste gebruikers kunnen de optie ‘DNS overschrijven’ geselecteerd laten.

Hierdoor kan de OpnSense-firewall DNS-informatie van de ISP verkrijgen via de WAN-interface.

In het volgende scherm wordt gevraagd om NTP-servers. Als de gebruiker geen eigen NTP-systemen heeft, biedt OpnSense een standaardset NTP-serverpools.

Het volgende scherm is de configuratie van de WAN-interface. De meeste ISP's voor thuisgebruikers zullen DHCP gebruiken om hun klanten te voorzien van de nodige netwerkconfiguratie-informatie. Door simpelweg het geselecteerde type op ‘DHCP’ te laten staan, krijgt OpnSense de opdracht om te proberen de WAN-zijdeconfiguratie van de ISP te verzamelen.

Blader omlaag naar de onderkant van het WAN-configuratiescherm om door te gaan. ***Opmerking*** onderaan dit scherm staan twee standaardregels om netwerkbereiken te blokkeren die normaal gesproken niet in de WAN-interface zouden moeten verschijnen. Het wordt aanbevolen om deze aangevinkt te laten, tenzij er een bekende reden is om deze netwerken via de WAN-interface toe te staan!

Het volgende scherm is het LAN-configuratiescherm. De meeste gebruikers kunnen eenvoudigweg de standaardinstellingen behouden. Realiseer je dat er speciale netwerkbereiken zijn die hier moeten worden gebruikt, gewoonlijk RFC 1918 genoemd. Zorg ervoor dat u de standaardinstelling verlaat of kies een netwerkbereik binnen het RFC1918 bereik om conflicten/problemen te voorkomen!

In het laatste scherm van de installatie wordt gevraagd of de gebruiker het rootwachtwoord wil bijwerken. Dit is optioneel, maar als er tijdens de installatie geen sterk wachtwoord is aangemaakt, is dit een goed moment om het probleem op te lossen!

Eenmaal voorbij de optie voor het wijzigen van het wachtwoord, zal OpnSense de gebruiker vragen om de configuratie-instellingen opnieuw te laden. Klik eenvoudigweg op de knop 'Herladen' en geef OpnSense een seconde de tijd om de configuratie en de huidige pagina te vernieuwen.

Als alles klaar is, verwelkomt OpnSense de gebruiker. Om terug te keren naar het hoofddashboard klikt u eenvoudigweg op ‘Dashboard’ in de linkerbovenhoek van het webbrowservenster.

Op dit punt wordt de gebruiker naar het hoofddashboard geleid en kan hij doorgaan met het installeren/configureren van de nuttige OpnSense-plug-ins of functionaliteiten! De auteur raadt aan om het systeem te controleren en te upgraden als er upgrades beschikbaar zijn. Klik eenvoudig op de knop ‘Klik om te controleren op updates’ op het hoofddashboard.

Op het volgende scherm kan vervolgens ‘Controleren op updates’ worden gebruikt om een lijst met updates te bekijken, of ‘Nu bijwerken’ kan worden gebruikt om eenvoudig beschikbare updates toe te passen.

Op dit punt zou een basisinstallatie van OpnSense actief en volledig bijgewerkt moeten zijn! In toekomstige artikelen zullen linkaggregatie en inter-VLAN-routering worden behandeld om meer van de geavanceerde mogelijkheden van OpnSense te laten zien!