Hvernig á að setja upp og stilla Basic OpnSense eldvegg

Í fyrri grein var fjallað um eldveggslausn sem kallast PfSense. Snemma árs 2015 var tekin ákvörðun um að forka PfSense og ný eldveggslausn sem heitir OpnSense var gefin út.

OpnSense byrjaði líf sitt sem einfaldur gaffli PfSense en hefur þróast í algjörlega sjálfstæða eldveggslausn. Þessi grein mun fjalla um uppsetningu og grunnuppsetningar á nýrri OpnSense uppsetningu.

Eins og PfSense er OpnSense FreeBSD byggð opinn eldvegglausn. Dreifinguna er ókeypis að setja upp á eigin búnað eða fyrirtækið Decisio, selur forstillt eldveggstæki.

OpnSense hefur lágmarkskröfur og dæmigerður eldri heimilisturn er auðvelt að setja upp til að keyra sem OpnSense eldvegg. Lágmarksforskriftirnar sem mælt er með eru sem hér segir:

  • 500 mhz örgjörvi
  • 1 GB af vinnsluminni
  • 4GB geymslupláss
  • 2 netviðmótskort

  • 1GHz örgjörvi
  • 1 GB af vinnsluminni
  • 4GB geymslupláss
  • 2 eða fleiri PCI-e netviðmótskort.

Ef lesandinn vill nýta sér einhverja af fullkomnari eiginleikum OpnSense (VPN miðlara osfrv.) ætti kerfið að fá betri vélbúnað.

Því fleiri einingar sem notandinn vill virkja, því meira RAM/CPU/Drive pláss ætti að fylgja með. Það er lagt til að eftirfarandi lágmark sé uppfyllt ef áætlanir eru um að virkja fyrirfram einingar í OpnSense.

  • Nútíma fjölkjarna örgjörvi sem keyrir að minnsta kosti 2,0 GHz
  • 4GB+ af vinnsluminni
  • 10GB+ af HD plássi
  • 2 eða fleiri Intel PCI-e netviðmótskort

Uppsetning og stillingar á OpnSense eldvegg

Óháð því hvaða vélbúnaður er valinn, þá er uppsetning OpnSense einfalt ferli en krefst þess að notandinn fylgist vel með því hvaða netviðmótstengi verða notuð í hvaða tilgangi (LAN, WAN, Wireless, etc).

Hluti af uppsetningarferlinu mun fela í sér að biðja notandann um að byrja að stilla staðarnet og WAN tengi. Höfundur stingur upp á því að tengja aðeins WAN viðmótið þar til OpnSense hefur verið stillt og halda síðan áfram að klára uppsetninguna með því að tengja staðarnetsviðmótið.

Fyrsta skrefið er að fá OpnSense hugbúnaðinn og það eru nokkrir mismunandi valkostir í boði eftir tækinu og uppsetningaraðferðinni en þessi handbók mun nota 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

ISO var fengið með eftirfarandi skipun:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Þegar skránni hefur verið hlaðið niður þarf að þjappa henni niður með því að nota bunzip tólið sem hér segir:

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Þegar uppsetningarforritinu hefur verið hlaðið niður og afþjappað er annað hvort hægt að brenna það á geisladisk eða afrita það á USB drif með „dd“ tólinu sem fylgir flestum Linux dreifingum.

Næsta ferli er að skrifa ISO á USB drif til að ræsa uppsetningarforritið. Til að ná þessu, notaðu 'dd' tólið innan Linux.

Í fyrsta lagi þarf disknafnið að vera staðsett með 'lsblk' þó.

$ lsblk

Með nafn USB-drifsins ákvarðað sem '/dev/sdc', er hægt að skrifa OpnSense ISO á drifið með 'dd' tólinu.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Athugið: Ofangreind skipun krefst rótarréttinda svo notaðu 'sudo' eða skráðu þig inn sem rótnotanda til að keyra skipunina. Einnig mun þessi skipun Fjarlægja ALLT á USB drifinu. Vertu viss um að taka öryggisafrit af nauðsynlegum gögnum.

Þegar dd hefur lokið við að skrifa á USB drifið skaltu setja miðilinn í tölvuna sem verður sett upp sem OpnSense eldvegg. Ræstu tölvuna á þann miðil og eftirfarandi skjámynd birtist.

Til að halda áfram í uppsetningarforritið, ýttu einfaldlega á „Enter“ takkann. Þetta mun ræsa OpnSense í Live ham en sérstakur notandi er til til að setja OpnSense upp á staðbundna fjölmiðla í staðinn.

Þegar kerfið ræsir á innskráningarkvaðningu, notaðu notandanafnið „uppsetningarforrit“ með lykilorðinu „opnsense“.

Uppsetningarmiðillinn mun skrá sig inn og ræsa raunverulegt OpnSense uppsetningarforrit. VARÚÐ: Að halda áfram með eftirfarandi skref mun leiða til þess að öll gögn á harða disknum innan kerfisins verða eytt! Farðu varlega eða farðu úr uppsetningarforritinu.

Með því að ýta á „Enter“ takkann hefst uppsetningarferlið. Fyrsta skrefið er að velja lyklamyndina. Uppsetningarforritið mun líklega finna rétta lyklamyndina sjálfgefið. Skoðaðu völdu lyklamyndina og leiðréttu eftir þörfum.

Næsti skjár mun veita nokkra möguleika fyrir uppsetninguna. Ef notandinn vill gera háþróaða skiptingu eða flytja inn stillingu úr öðrum OpnSense kassa, er hægt að gera þetta í þessu skrefi. Þessi handbók gerir ráð fyrir nýrri uppsetningu og mun velja valkostinn „Leiðbeinandi uppsetning“.

Eftirfarandi skjár mun sýna viðurkennd geymslutæki fyrir uppsetningu.

Þegar geymslubúnaðurinn hefur verið valinn þarf notandinn að ákveða hvaða skiptingarkerfi er notað af uppsetningarforritinu (MBR eða GPT/EFI).

Flest nútímakerfi munu styðja GPT/EFI en ef notandinn er að endurnýta eldri tölvu gæti MBR verið eini kosturinn sem studdur er. Athugaðu í BIOS stillingum kerfisins til að sjá hvort það styður EFI/GPT.

Þegar skiptingarkerfið hefur verið valið mun uppsetningarforritið hefja uppsetningarskrefin. Ferlið tekur ekki sérstaklega langan tíma og mun biðja notandann um upplýsingar reglulega eins og lykilorð rótarnotandans.

Þegar notandinn hefur stillt lykilorð rótarnotandans verður uppsetningunni lokið og kerfið þarf að endurræsa til að stilla uppsetninguna. Þegar kerfið endurræsir sig ætti það sjálfkrafa að ræsast í OpnSense uppsetningunni (vertu viss um að fjarlægja uppsetningarmiðilinn þegar vélin endurræsir sig).

Þegar kerfið endurræsir sig mun það stöðvast við innskráningarbeiðni stjórnborðsins og bíður þess að notandinn skrái sig inn.

Nú ef notandinn var að fylgjast með meðan á uppsetningunni stóð gæti hann hafa tekið eftir því að þeir gætu hafa forstillt viðmótin við uppsetningu. Hins vegar skulum við gera ráð fyrir þessari grein að viðmótunum hafi ekki verið úthlutað við uppsetningu.

Eftir að hafa skráð þig inn með rótarnotandanum og lykilorðinu sem var stillt á meðan á uppsetningu stóð, má taka fram að OpnSense notaði aðeins eitt af netviðmótskortunum (NIC) á þessari vél. Á myndinni hér að neðan er það nefnt LAN (em0).

OpnSense mun sjálfgefið hafa staðlaða \192.168.1.1/24 netkerfi fyrir staðarnetið. Hins vegar vantar WAN viðmótið á myndinni hér að ofan! Þetta er auðvelt að leiðrétta með því að slá inn '1' við hvetningu og ýtir á enter.

Þetta mun gera kleift að endurúthluta NIC á kerfinu. Taktu eftir á næstu mynd að það eru tvö viðmót í boði: 'em0' og 'em1'.

Stillingarhjálpin mun einnig leyfa mjög flóknar uppsetningar með VLAN en í bili gerir þessi handbók ráð fyrir grunnuppsetningu tveggja neta; (þ.e. WAN/ISP hlið og LAN hlið).

Sláðu inn ‘N’ til að stilla engin VLAN sem stendur. Fyrir þessa tilteknu uppsetningu er WAN viðmótið „em0“ og staðarnetsviðmótið er „em1“ eins og sést hér að neðan.

Staðfestu breytingarnar á viðmótunum með því að slá inn ‘Y’ í hvetjunni. Þetta mun valda því að OpnSense endurhleður margar þjónustur sínar til að endurspegla breytingarnar á viðmótsúthlutuninni.

Þegar þessu er lokið skaltu tengja tölvu með vafra við LAN hliðarviðmótið. Staðnetsviðmótið er með DHCP miðlara sem hlustar á viðmótið fyrir viðskiptavini svo tölvan geti fengið nauðsynlegar netfangsupplýsingar til að tengjast OpnSense vefstillingarsíðunni.

Þegar tölvan hefur verið tengd við staðarnetsviðmótið skaltu opna vafra og fara á eftirfarandi vefslóð: http://192.168.1.1.

Til að skrá þig inn á vefborðið; notaðu notandanafnið „rót“ og lykilorðið sem var stillt í uppsetningarferlinu. Þegar þú hefur skráð þig inn verður lokahluti uppsetningar lokið.

Fyrsta skref uppsetningarforritsins er notað til að safna einfaldlega meiri upplýsingum eins og hýsingarheiti, lén og DNS netþjónum. Flestir notendur geta skilið valkostinn „Hanka DNS“ eftir valinn.

Þetta gerir OpnSense eldveggnum kleift að fá DNS upplýsingar frá ISP yfir WAN tengi.

Næsti skjár mun biðja um NTP netþjóna. Ef notandinn er ekki með eigin NTP kerfi mun OpnSense bjóða upp á sjálfgefið sett af NTP netþjónum.

Næsti skjár er WAN tengi uppsetning. Flestir ISP fyrir heimanotendur munu nota DHCP til að veita viðskiptavinum sínum nauðsynlegar netstillingarupplýsingar. Ef þú einfaldlega skilur valda tegund eftir sem „DHCP“ mun OpnSense gefa fyrirmæli um að reyna að safna WAN hliðarstillingum hennar frá ISP.

Skrunaðu niður neðst á WAN stillingarskjánum til að halda áfram. ***Athugið*** neðst á þessum skjá eru tvær sjálfgefnar reglur til að loka fyrir netsvið sem almennt ættu ekki að sjást koma inn í WAN viðmótið. Mælt er með því að hafa þetta merkt nema vitað sé að ástæða sé til að leyfa þessum netum í gegnum WAN viðmótið!

Næsti skjár er LAN stillingarskjárinn. Flestir notendur geta einfaldlega skilið eftir sjálfgefnar stillingar. Gerðu þér grein fyrir að það eru sérstök netsvið sem ætti að nota hér, almennt nefnt RFC 1918. Gakktu úr skugga um að skilja eftir sjálfgefið eða veldu netsvið innan RFC1918 sviðsins til að forðast árekstra/vandamál!

Lokaskjárinn í uppsetningunni mun spyrja hvort notandinn vilji uppfæra rótarlykilorðið. Þetta er valfrjálst en ef sterkt lykilorð var ekki búið til við uppsetningu, væri nú góður tími til að leiðrétta málið!

Þegar búið er að breyta lykilorðinu mun OpnSense biðja notandann um að endurhlaða stillingar. Smelltu einfaldlega á „Endurhlaða“ hnappinn og gefðu OpnSense sekúndu til að endurnýja stillingar og núverandi síðu.

Þegar allt er búið mun OpnSense taka á móti notandanum. Til að fara aftur í aðalstjórnborðið smellirðu einfaldlega á „Mælaborð“ í efra vinstra horninu á vafraglugganum.

Á þessum tímapunkti verður notandinn færður á aðalstjórnborðið og getur haldið áfram að setja upp/stilla hvaða gagnlegu OpnSense viðbætur eða virkni sem er! Höfundur mælir með því að athuga og uppfæra kerfið ef uppfærslur eru tiltækar. Smelltu einfaldlega á hnappinn „Smelltu til að athuga með uppfærslur“ á aðalstjórnborðinu.

Síðan á næsta skjá er hægt að nota „Athuga að uppfærslum“ til að sjá lista yfir uppfærslur eða „Uppfæra núna“ til að einfaldlega nota allar tiltækar uppfærslur.

Á þessum tímapunkti ætti grunnuppsetning af OpnSense að vera í gangi og að fullu uppfærð! Í framtíðargreinum verður fjallað um hlekkjasöfnun og milli-VLAN leið til að sýna meira af háþróaðri getu OpnSense!