Kuidas installida ja konfigureerida põhilist OpnSense tulemüüri

Eelmises artiklis arutati tulemüüri lahendust, mida tuntakse PfSense nime all. 2015. aasta alguses otsustati PfSense hargneda ja vabastati uus tulemüürilahendus nimega OpnSense.

OpnSense alustas oma elu PfSense'i lihtsa kahvlina, kuid on arenenud täiesti iseseisvaks tulemüürilahenduseks. See artikkel käsitleb uue OpnSense'i installi installimist ja esmast esmast seadistamist.

Nagu PfSense, on ka OpnSense FreeBSD-l põhinev avatud lähtekoodiga tulemüüri lahendus. Levitamine on tasuta paigaldatav oma seadmetele või ettevõte Decisio, mis müüb eelkonfigureeritud tulemüüri seadmeid.

OpnSense'il on minimaalsed nõuded ja tüüpilise vanema kodutorni saab hõlpsasti seadistada töötama OpnSense'i tulemüürina. Soovitatud miinimumnõuded on järgmised:

  • 500 mhz protsessor
  • 1 GB RAM-i
  • 4 GB salvestusruumi
  • 2 võrguliidese kaarti

  • 1GHz protsessor
  • 1 GB RAM-i
  • 4 GB salvestusruumi
  • 2 või enam PCI-e võrgukaarti.

Kui lugeja soovib kasutada mõnda OpnSense'i täpsemat funktsiooni (VPN-server jne), tuleks süsteemile anda parem riistvara.

Mida rohkem mooduleid kasutaja soovib lubada, seda rohkem peaks olema RAM-i/protsessori/draivimahtu. Kui OpnSense'is on ette nähtud eelmoodulite lubamine, on soovitatav järgida järgmisi miinimume.

  • Kaasaegne mitmetuumaline protsessor, mis töötab vähemalt 2,0 GHz
  • 4 GB + RAM-i
  • 10 GB + HD-ruumi
  • 2 või enam Inteli PCI-e võrgukaarti

OpnSense tulemüüri installimine ja konfigureerimine

Sõltumata valitud riistvarast on OpnSense'i installimine lihtne protsess, kuid see nõuab kasutajalt suurt tähelepanu sellele, milliseid võrguliidese porde milleks kasutatakse (LAN, WAN, traadita ühendus jne).

Osa installiprotsessist nõuab kasutajalt viipimist LAN- ja WAN-liideste seadistamiseks. Autor soovitab WAN-liidese ühendada ainult seni, kuni OpnSense on konfigureeritud, ja seejärel jätkake installimist LAN-liidese ühendamisega.

Esimene samm on tarkvara OpnSense hankimine ja olenevalt seadmest ning installimisviisist on saadaval paar erinevat võimalust, kuid selles juhendis kasutatakse faili OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2.

ISO saadi järgmise käsu abil:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Kui fail on alla laaditud, tuleb see bunzip-tööriista abil lahti pakkida järgmiselt:

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Kui installer on alla laaditud ja lahti võetud, saab selle kas CD-le kirjutada või kopeerida USB-draivi tööriista ‘dd’ abil, mis sisaldub enamikus Linuxi distributsioonides.

Järgmine protsess on installija käivitamiseks ISO kirjutamine USB-draivi. Selle saavutamiseks kasutage Linuxis tööriista ‘dd’.

Esiteks peab ketta nimi asuma tähega 'lsblk'.

$ lsblk

Kui USB-draivi nimi on määratud '/ dev/sdc', saab OpnSense ISO-i draivi kirjutada tööriistaga 'dd'.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Märkus: ülaltoodud käsk nõuab juurõigusi, nii et käsu käivitamiseks kasutage juurkasutajana sudo või sisselogimist. Ka see käsk EEMALDAB KÕIK USB-draivil. Varundage kindlasti vajalikud andmed.

Kui dd on USB-draivi kirjutamise lõpetanud, pange andmekandja arvutisse, mis seadistatakse OpnSense'i tulemüürina. Käivitage see arvuti meediumisse ja kuvatakse järgmine ekraan.

Installeri juurde liikumiseks vajutage lihtsalt klahvi Enter. See käivitab OpnSense'i Live-režiimi, kuid OpnSense'i kohalikku meediasse installimiseks on olemas spetsiaalne kasutaja.

Kui süsteem käivitub sisselogimisnumbrini, kasutage installeri kasutajanime parooliga „opnsense”.

Installimiskandja logib sisse ja käivitab OpnSense'i tegeliku installeri. ETTEVAATUST. Järgmiste toimingute jätkamine kustutab kõik kõvakettal olevad andmed süsteemis! Jätkake ettevaatlikult või sulgege installer.

Vajutades sisestusklahvi, käivitatakse installiprotsess. Esimene samm on valida võtmekaart. Tõenäoliselt tuvastab installer vaikimisi õige võtmekaardi. Vaadake valitud võtmekaart üle ja parandage vastavalt vajadusele.

Järgmisel ekraanil on installimiseks mõned võimalused. Kui kasutaja soovib teha täpsemat jaotamist või importida konfiguratsiooni mõnest teisest kastist OpnSense, saab seda selles etapis teha. See juhend eeldab uut installimist ja valib suvandi „Juhendatud install”.

Järgmisel ekraanil kuvatakse installimiseks tunnustatud mäluseadmed.

Kui salvestusseade on valitud, peab kasutaja otsustama, millist jaotusskeemi installer kasutab (MBR või GPT/EFI).

Enamik tänapäevaseid süsteeme toetab GPT/EFI-d, kuid kui kasutaja kavatseb vanemat arvutit uuesti kasutada, võib MBR olla ainus toetatud võimalus. Kontrollige süsteemi BIOS-i sätetest, kas see toetab EFI/GPT-d.

Kui jaotusskeem on valitud, alustab installiprogramm installimist. Protsess ei kesta eriti kaua ja see küsib kasutajalt perioodiliselt teavet, näiteks juurkasutaja parooli.

Kui kasutaja on määranud juurkasutaja parooli, on installimine lõpule jõudnud ja süsteem peab installi konfigureerimiseks taaskäivitama. Kui süsteem taaskäivitub, peaks see automaatselt käivituma OpnSense'i installi (eemaldage kindlasti masina taaskäivitamisel installikandja).

Kui süsteem taaskäivitub, peatub see konsooli sisselogimisviibal ja ootab, kuni kasutaja sisse logib.

Nüüd, kui kasutaja pööras installimisel tähelepanu, võis ta märganud, et oleks saanud installimise ajal liidesed eelnevalt konfigureerida. Oletame selle artikli puhul siiski, et liideseid ei olnud installimisel määratud.

Pärast sisselogimist juurkasutaja ja installimisel konfigureeritud parooliga võib märkida, et OpnSense kasutas selles masinas ainult ühte võrgukaardi (NIC) kaarti. Alloleval pildil on nimi\"LAN (em0)".

OpnSense vaikimisi on LAN-i jaoks standardne\"192.168.1.1/24" võrk. Kuid ülaltoodud pildil puudub WAN-liides! Seda saab hõlpsasti parandada, tippides viipale '1' ja vajutades sisestusklahvi.

See võimaldab võrguvõrke süsteemis ümber määrata. Järgmisel pildil pange tähele, et saadaval on kaks liidest: ‘em0’ ja ‘em1’.

Häälestusviisard võimaldab väga keerukaid seadistusi ka VLAN-idega, kuid praeguseks eeldatakse selles juhendis kahe põhilise võrgu seadistamist; (st WAN/ISP ja LAN pool).

Sisestage ’N’ , et praegu VLAN-e konfigureerida. Selle konkreetse seadistuse jaoks on WAN-liides ‘em0’ ja LAN-liides ’em1’, nagu allpool näha.

Kinnitage liideste muudatused, tippides viipesse ‘Y’ . See paneb OpnSense'i paljud oma teenused uuesti laadima, et kajastada liidese määramise muudatusi.

Kui see on tehtud, ühendage arvuti veebibrauseriga LAN-i külgliidesega. LAN-liidesel on klientide liidesel kuulamine DHCP-serveriga, nii et arvuti saab OpnSense'i veebikonfiguratsioonilehega ühenduse loomiseks vajaliku aadressiteabe.

Kui arvuti on kohtvõrgu liidesega ühendatud, avage veebibrauser ja navigeerige järgmisele aadressile: http://192.168.1.1.

Veebikonsooli sisselogimiseks; kasutage kasutajanime ‘root’ ja installiprotsessi käigus konfigureeritud parooli. Pärast sisselogimist valmib installi viimane osa.

Installeri esimest sammu kasutatakse lihtsalt lisateabe, näiteks hostinime, domeeninime ja DNS-serverite, kogumiseks. Enamik kasutajaid võib jätta valiku „Alista DNS” valitud.

See võimaldab OpnSense'i tulemüüril saada Interneti-teenuse pakkujalt WAN-liidese kaudu DNS-i teavet.

Järgmisel ekraanil küsitakse NTP-servereid. Kui kasutajal pole oma NTP-süsteeme, pakub OpnSense vaikekomplekti NTP-serveripakette.

Järgmine ekraan on WAN-liidese seadistamine. Enamik kodukasutajate Interneti-teenuse pakkujaid kasutab DHCP-d oma klientidele vajaliku võrgu konfiguratsiooniteabe edastamiseks. Kui jätate valitud tüübi nimeks „DHCP”, annab OpnSense’ile korralduse proovida ISP-lt WAN-i poolne konfiguratsioon kokku koguda.

Jätkamiseks kerige WAN-i konfiguratsiooniekraani alla. *** Märkus *** selle ekraani allosas on kaks vaikereeglit, et blokeerida võrguväljad, mida WAN-liidesesse sisenemisel tavaliselt näha ei tohiks. Soovitatav on jätta need märkimata, kui pole teada mingit põhjust nende võrkude lubamiseks WAN-liidese kaudu!

Järgmine ekraan on LAN-i konfiguratsiooniekraan. Enamik kasutajaid võivad vaikimisi lihtsalt lahkuda. Mõistke, et siin tuleks kasutada spetsiaalseid võrgupiirkondi, mida tavaliselt nimetatakse RFC 1918-ks. Konfliktide/probleemide vältimiseks jätke vaikimisi valik või valige võrgupiirkond RFC1918 vahemikust!

Installimise viimasel ekraanil küsitakse, kas kasutaja soovib juurparooli uuendada. See on valikuline, kuid kui installimisel ei loodud tugevat parooli, oleks nüüd hea aeg probleem lahendada!

Kui olete parooli muutmise võimaluse ületanud, palub OpnSense kasutajal konfiguratsiooniseaded uuesti laadida. Klõpsake lihtsalt nupul „Laadi uuesti” ja andke OpnSense'ile sekund konfiguratsiooni ja praeguse lehe värskendamiseks.

Kui kõik on tehtud, tervitab OpnSense kasutajat. Põhipaneelile naasmiseks klõpsake lihtsalt veebibrauseri akna vasakus ülanurgas nuppu ‘Armatuurlaud’.

Sel hetkel suunatakse kasutaja peamisele juhtpaneelile ja ta saab jätkata OpnSense'i kasulike pistikprogrammide või funktsioonide installimist/konfigureerimist! Autor soovitab süsteemi kontrollida ja uuendada, kui täiendused on saadaval. Klõpsake lihtsalt peamisel juhtpaneelil nupul Klõpsake värskenduste otsimiseks.

Seejärel saab järgmisel ekraanil värskenduste loendi kuvamiseks kasutada versiooni „Kontrolli värskendusi” või saadaolevate värskenduste lihtsalt rakendamiseks nuppu „Värskenda kohe”.

Siinkohal peaks OpnSense'i põhiinstall olema töökorras ja täielikult uuendatud! Järgmistes artiklites käsitletakse linkide liitmist ja VLAN-i marsruutimist, et näidata rohkem OpnSense'i täiustatud võimalusi!