Kako instalirati i konfigurirati osnovni OpnSense zaštitni zid

U prethodnom članku raspravljalo se o rješenju zaštitnog zida poznatom kao PfSense. Početkom 2015. godine donesena je odluka da se razdvoji PfSense i objavljeno je novo rješenje zaštitnog zida pod nazivom OpnSense.

OpnSense je započeo svoj život kao jednostavan fork PfSensea, ali je evoluirao u potpuno nezavisno rješenje zaštitnog zida. Ovaj članak će pokriti instalaciju i osnovnu početnu konfiguraciju nove OpnSense instalacije.

Kao PfSense, OpnSense je FreeBSD-bazirano rješenje firewall otvorenog koda. Distribucija je besplatna za instalaciju na vlastitu opremu ili kompanija Decisio, prodaje unaprijed konfigurirane firewall uređaje.

OpnSense ima minimalan skup zahtjeva i tipični stariji kućni toranj se lako može postaviti da radi kao OpnSense zaštitni zid. Predložene minimalne specifikacije su sljedeće:

Hardverski minimumi

  • 500 Mhz CPU
  • 1 GB RAM-a
  • 4GB memorije
  • 2 mrežne kartice

Predloženi hardver

  • 1GHz CPU
  • 1 GB RAM-a
  • 4GB memorije
  • 2 ili više PCI-e mrežnih kartica.

Ako čitalac želi da koristi neke od naprednijih karakteristika OpnSense-a (Suricata, ClamAV, VPN server, itd.) sistemu treba dati bolji hardver.

Što više modula korisnik želi da omogući, više RAM/CPU/Drive prostora treba uključiti. Predlaže se da se ispune sljedeći minimumi ako postoje planovi za omogućavanje naprednih modula u OpnSense-u.

  • Moderni višejezgarni CPU koji radi na najmanje 2,0 GHz
  • 4GB+ RAM-a
  • 10GB+ HD prostora
  • 2 ili više Intel PCI-e mrežnih kartica

Instalacija i konfiguracija OpnSense zaštitnog zida

Bez obzira na to koji hardver je odabran, instalacija OpnSense-a je jednostavan proces, ali zahtijeva od korisnika da obrati veliku pažnju na to koji će se portovi mrežnog sučelja koristiti u koju svrhu (LAN, WAN, bežični, itd.).

Dio procesa instalacije uključivat će podsticanje korisnika da započne konfiguriranje LAN i WAN sučelja. Autor predlaže samo uključivanje WAN interfejsa dok se OpnSense ne konfiguriše, a zatim nastavak instalacije uključivanjem LAN interfejsa.

Preuzimanje OpnSense zaštitnog zida

Prvi korak je nabavka softvera OpnSense i postoji nekoliko različitih opcija koje su dostupne ovisno o uređaju i načinu instalacije, ali ovaj vodič će koristiti 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

ISO je dobijen pomoću sljedeće naredbe:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Nakon što je datoteka preuzeta, potrebno je dekomprimirati pomoću bunzip alata na sljedeći način:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Nakon što je instalater preuzet i dekomprimiran, može se ili narezati na CD ili se može kopirati na USB pogon pomoću 'dd' alata< uključeno u većinu Linux distribucija.

Sljedeći proces je da upišete ISO na USB disk kako biste pokrenuli instalater. Da biste to postigli, koristite ‘dd’ alat unutar Linuxa.

Prvo, naziv diska mora biti lociran sa 'lsblk'.

lsblk

Uz naziv USB diska koji je određen kao '/dev/sdc', OpnSense ISO se može upisati na disk pomoću alat 'dd'.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Napomena: Gornja komanda zahtijeva root privilegije pa koristite ‘sudo’ ili se prijavite kao root korisnik da biste pokrenuli naredbu. Također, ova komanda će UKLONITI SVE na USB disku. Obavezno napravite sigurnosnu kopiju potrebnih podataka.

Instalacija OpnSense zaštitnog zida

Kada dd završi sa pisanjem na USB disk, stavite medij u računar koji će biti postavljen kao opnsense zaštitni zid. Pokrenite taj računar na taj medij i prikazat će se sljedeći ekran.

Za nastavak na instalater, jednostavno pritisnite tipku ‘Enter’. Ovo će pokrenuti OpnSense u način uživo, ali postoji poseban korisnik koji će umjesto toga instalirati OpnSense na lokalne medije.

Kada se sistem pokrene na prompt za prijavu, koristite korisničko ime ‘installer’ sa lozinkom ‘opnsense’.

Instalacijski medij će se prijaviti i pokrenuti stvarni OpnSense instalater. OPREZ: Ako nastavite sa sljedećim koracima, svi podaci na tvrdom disku unutar sistema će biti izbrisani! Nastavite oprezno ili izađite iz instalacijskog programa.

Pritiskom na tipku ‘Enter’ pokrenut će se proces instalacije. Prvi korak je odabir tastature. Instalater će vjerovatno otkriti odgovarajuću mapu tipkovnice prema zadanim postavkama. Pregledajte odabranu tastaturu i ispravite je po potrebi.

Sljedeći ekran će pružiti neke opcije za instalaciju. Ako korisnik želi napraviti napredno particioniranje ili uvesti konfiguraciju iz drugog OpnSense kutija, to se može postići u ovom koraku. Ovaj vodič pretpostavlja novu instalaciju i odabrat će opciju 'Vođena instalacija'.

Sljedeći ekran će prikazati prepoznate uređaje za pohranu za instalaciju.

Nakon što je uređaj za pohranu odabran, korisnik će morati odlučiti koju šemu particioniranja koristi instalater (MBR ili GPT/EFI).

Većina modernih sistema će podržavati GPT/EFI, ali ako korisnik ponovo koristi stariji računar, MBR može biti jedina podržana opcija. Provjerite unutar BIOS postavki sistema da vidite podržava li EFI/GPT.

Nakon što je odabrana shema particioniranja, instalater će započeti korake instalacije. Proces ne traje posebno dugo i povremeno će od korisnika tražiti informacije kao što je lozinka root korisnika.

Nakon što korisnik postavi lozinku root korisnika, instalacija će biti završena i sistem će se morati ponovo pokrenuti kako bi konfigurirao instalaciju. Kada se sistem ponovo pokrene, trebao bi se automatski pokrenuti u OpnSense instalaciji (pobrinite se da uklonite instalacioni medij kada se mašina ponovo pokrene).

Kada se sistem ponovo pokrene, zaustavit će se na promptu za prijavu na konzolu i čekati da se korisnik prijavi.

Sada, ako je korisnik obraćao pažnju tokom instalacije, možda bi primijetili da su mogli unaprijed konfigurirati interfejse tokom instalacije. Međutim, pretpostavimo za ovaj članak da sučelja nisu dodijeljena prilikom instalacije.

Nakon prijavljivanja sa root korisnikom i lozinkom konfigurisanim tokom instalacije, može se primetiti da je OpnSense koristio samo jednu od kartica mrežnog interfejsa (NIC) na ovoj mašini. Na slici ispod nosi naziv “LAN (em0)”.

OpnSense će podrazumevano koristiti standardnu “192.168.1.1/24 ” mrežu za LAN. Međutim, na gornjoj slici nedostaje WAN interfejs! Ovo se lako ispravlja tako da ukucate ‘1’ na upit i pritisnete enter.

Ovo će omogućiti ponovnu dodjelu NIC-a na sistemu. Obratite pažnju na sljedećoj slici da su dostupna dva interfejsa: ‘em0’ i ‘em1’.

Čarobnjak za konfiguraciju će omogućiti i vrlo složena podešavanja sa VLAN-ovima, ali za sada, ovaj vodič pretpostavlja osnovno podešavanje sa dve mreže; (tj. WAN/ISP strana i LAN strana).

Unesite ‘N’ da ne konfigurišete nijedan VLAN u ovom trenutku. Za ovo konkretno podešavanje, WAN sučelje je ‘em0’, a LAN sučelje je ‘em1’ kao što se vidi ispod.

Potvrdite promjene na interfejsima upisivanjem ‘Y’ u prompt. Ovo će uzrokovati da OpnSense ponovo učita mnoge svoje usluge kako bi odrazio promjene u dodjeli interfejsa.

Kada završite, povežite računar sa web pretraživačem na LAN interfejs. LAN interfejs ima DHCP server koji sluša na interfejsu za klijente tako da će računar moći da dobije potrebne informacije o adresiranju za povezivanje sa OpnSense web konfiguracionom stranicom.

Kada se računar poveže na LAN interfejs, otvorite veb pretraživač i idite na sledeći URL: http://192.168.1.1.

Za prijavu na web konzolu; koristite korisničko ime ‘root’ i lozinku koja je konfigurirana tokom procesa instalacije. Nakon prijave, završni dio instalacije će biti završen.

Prvi korak instalatera koristi se za jednostavno prikupljanje više informacija kao što su ime hosta, ime domene i DNS serveri. Većina korisnika može ostaviti odabranu opciju „Override DNS”.

Ovo će omogućiti OpnSense zaštitnom zidu da dobije DNS informacije od ISP-a preko WAN interfejsa.

Sljedeći ekran će tražiti NTP servere. Ako korisnik nema sopstveni NTP sistem, OpnSense će obezbediti podrazumevani skup skupova NTP servera.

Sljedeći ekran je podešavanje WAN interfejsa. Većina ISP-a za kućne korisnike koristit će DHCP da svojim klijentima pruži potrebne informacije o konfiguraciji mreže. Jednostavno ostavljanje odabranog tipa kao ‘DHCP’ uputit će OpnSense da pokuša prikupiti svoju WAN konfiguraciju od ISP-a.

Pomaknite se do dna ekrana WAN konfiguracije da nastavite. ***Napomena*** na dnu ovog ekrana su dva zadana pravila za blokiranje mrežnih opsega koji se općenito ne bi trebali vidjeti kako ulaze u WAN interfejs. Preporučuje se da ovo ostavite označeno osim ako ne postoji poznati razlog da se ove mreže dopuštaju preko WAN interfejsa!

Sljedeći ekran je ekran LAN konfiguracije. Većina korisnika može jednostavno ostaviti zadane postavke. Shvatite da postoje posebni mrežni opsezi koji se ovdje trebaju koristiti, koji se obično nazivaju RFC 1918. Obavezno ostavite zadani ili odaberite raspon mreže unutar RFC1918 opsega kako biste izbjegli sukobe/probleme!

Završni ekran u instalaciji će pitati da li korisnik želi ažurirati root lozinku. Ovo je opciono, ali ako jaka lozinka nije kreirana tokom instalacije, sada bi bio pravi trenutak da ispravite problem!

Nakon što prođe opciju promjene lozinke, OpnSense će od korisnika tražiti da ponovo učita postavke konfiguracije. Jednostavno kliknite na dugme ‘Ponovo učitaj’ i dajte OpnSenseu sekundu da osvježi konfiguraciju i trenutnu stranicu.

Kada sve bude gotovo, OpnSense će poželjeti dobrodošlicu korisniku. Da biste se vratili na glavnu kontrolnu tablu, jednostavno kliknite na 'Kontrolna tabla' u gornjem lijevom uglu prozora web preglednika.

U ovom trenutku, korisnik će biti prebačen na glavnu kontrolnu ploču i može nastaviti instalirati/konfigurirati bilo koji od korisnih dodataka ili funkcionalnosti OpnSense! Autor preporučuje provjeru i nadogradnju sistema ako su dostupne nadogradnje. Jednostavno kliknite na dugme 'Kliknite da provjerite ažuriranja' na glavnoj kontrolnoj tabli.

Zatim na sljedećem ekranu, „Provjeri ažuriranja” može se koristiti za pregled liste ažuriranja ili se „Ažuriraj sada” može koristiti za jednostavnu primjenu svih dostupnih ažuriranja.

U ovom trenutku, osnovna instalacija OpnSense-a bi trebala biti pokrenuta i potpuno ažurirana! U budućim člancima, agregacija linkova i inter-VLAN rutiranje će biti pokriveni kako bi se prikazalo više naprednih mogućnosti OpnSense-a!