Com instal·lar i configurar el tallafoc OpnSense bàsic

En un article anterior, es va parlar d'una solució de tallafoc coneguda com PfSense. A principis de 2015 es va prendre la decisió de bifurcar PfSense i es va llançar una nova solució de tallafocs anomenada OpnSense.

OpnSense va començar la seva vida com una simple bifurcació de PfSense, però s'ha convertit en una solució de tallafocs totalment independent. Aquest article tractarà la instal·lació i la configuració inicial bàsica d'una nova instal·lació d'OpnSense.

Igual que PfSense, OpnSense és una solució de tallafocs de codi obert basada en FreeBSD. La distribució és gratuïta per instal·lar-se en el propi equip o l'empresa Decisio, ven aparells tallafocs preconfigurats.

OpnSense té un conjunt mínim de requisits i una torre domèstica antiga típica es pot configurar fàcilment per funcionar com a tallafoc OpnSense. Les especificacions mínimes suggerides són les següents:

  • CPU de 500 mhz
  • 1 GB de RAM
  • 4 GB d'emmagatzematge
  • 2 targetes d'interfície de xarxa

  • CPU d'1 GHz
  • 1 GB de RAM
  • 4 GB d'emmagatzematge
  • 2 o més targetes d'interfície de xarxa PCI-e.

Si el lector vol utilitzar algunes de les funcions més avançades d'OpnSense (servidor VPN, etc.), el sistema hauria de tenir un millor maquinari.

Com més mòduls vulgui habilitar l'usuari, més espai RAM/CPU/Drive s'hauria d'incloure. Es suggereix que es compleixin els mínims següents si hi ha plans per habilitar mòduls avançats a OpnSense.

  • CPU moderna de diversos nuclis amb com a mínim 2,0 GHz
  • 4 GB o més de RAM
  • 10 GB o més d'espai en HD
  • 2 o més targetes d'interfície de xarxa Intel PCI-e

Instal·lació i configuració del tallafocs d'OpnSense

Independentment del maquinari escollit, instal·lar OpnSense és un procés senzill, però requereix que l'usuari presti molta atenció a quins ports d'interfície de xarxa s'utilitzaran per a quin propòsit (LAN, WAN, sense fil, etc.).

Una part del procés d'instal·lació implicarà demanar a l'usuari que comenci a configurar les interfícies LAN i WAN. L'autor suggereix connectar només la interfície WAN fins que OpnSense s'hagi configurat i després procedir a finalitzar la instal·lació connectant la interfície LAN.

El primer pas és obtenir el programari OpnSense i hi ha un parell d'opcions diferents disponibles segons el dispositiu i el mètode d'instal·lació, però aquesta guia utilitzarà el OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2.

L'ISO es va obtenir mitjançant la següent comanda:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Un cop descarregat el fitxer, cal descomprimir-lo mitjançant l'eina bunzip de la següent manera:

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Un cop l'instal·lador s'ha descarregat i descomprimit, es pot gravar en un CD o copiar-se a una unitat USB amb l'eina dd inclosa a la majoria de distribucions de Linux.

El següent procés és escriure la ISO a una unitat USB per arrencar l'instal·lador. Per aconseguir-ho, utilitzeu l'eina dd a Linux.

En primer lloc, el nom del disc s'ha de localitzar amb lsblk.

$ lsblk

Amb el nom de la unitat USB determinat com a /dev/sdc, l'OpnSense ISO es pot escriure a la unitat amb l'eina dd.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Nota: l'ordre anterior requereix privilegis de root, així que utilitzeu sudo o inicieu sessió com a usuari root per executar l'ordre. A més, aquesta comanda ELIMINARÀ TOT a la unitat USB. Assegureu-vos de fer una còpia de seguretat de les dades necessàries.

Un cop dd hagi acabat d'escriure a la unitat USB, col·loqueu el suport a l'ordinador que es configurarà com a tallafoc OpnSense. Engegueu l'ordinador amb aquest suport i es presentarà la pantalla següent.

Per continuar amb l'instal·lador, només cal que premeu la tecla Enter. Això arrencarà OpnSense al mode en directe, però existeix un usuari especial per instal·lar OpnSense als mitjans locals.

Quan el sistema arrenqui a l'indicador d'inici de sessió, utilitzeu el nom d'usuari instal·lador amb una contrasenya opnsese.

El mitjà d'instal·lació iniciarà sessió i iniciarà l'instal·lador real d'OpnSense. ATENCIÓ: Si continueu amb els passos següents, s'esborraran totes les dades del disc dur del sistema! Aneu amb precaució o sortiu de l'instal·lador.

Premeu la tecla Enter iniciarà el procés d'instal·lació. El primer pas és seleccionar el mapa de tecles. L'instal·lador probablement detectarà el mapa de tecles adequat per defecte. Reviseu el mapa de tecles seleccionat i corregiu-lo segons sigui necessari.

La següent pantalla proporcionarà algunes opcions per a la instal·lació. Si l'usuari vol fer particions avançades o importar una configuració des d'una altra caixa d'OpnSense, això es pot aconseguir en aquest pas. Aquesta guia suposa una instal·lació nova i seleccionarà l'opció Instal·lació guiada.

La pantalla següent mostrarà els dispositius d'emmagatzematge reconeguts per a la instal·lació.

Un cop seleccionat el dispositiu d'emmagatzematge, l'usuari haurà de decidir quin esquema de partició utilitzarà l'instal·lador (MBR o GPT/EFI).

La majoria dels sistemes moderns admetran GPT/EFI, però si l'usuari està reutilitzant un ordinador més antic, és possible que l'MBR sigui l'única opció compatible. Comproveu a la configuració de la BIOS del sistema per veure si és compatible amb EFI/GPT.

Un cop escollit l'esquema de particions, l'instal·lador començarà els passos d'instal·lació. El procés no triga molt de temps i demanarà a l'usuari informació periòdicament, com ara la contrasenya de l'usuari root.

Un cop l'usuari hagi establert la contrasenya de l'usuari root, la instal·lació s'haurà completat i el sistema haurà de reiniciar-se per configurar la instal·lació. Quan el sistema es reinicia, hauria d'arrencar automàticament a la instal·lació d'OpnSense (assegureu-vos d'eliminar el mitjà d'instal·lació quan la màquina es reiniciï).

Quan el sistema es reinicia, s'aturarà a la sol·licitud d'inici de sessió de la consola i esperarà que l'usuari iniciï sessió.

Ara, si l'usuari estava prestant atenció durant la instal·lació, potser s'hauria adonat que podria haver preconfigurat les interfícies durant la instal·lació. Tanmateix, suposem per a aquest article que les interfícies no es van assignar durant la instal·lació.

Després d'iniciar sessió amb l'usuari root i la contrasenya configurats durant la instal·lació, es pot observar que l'OpnSense només va utilitzar una de les targetes d'interfície de xarxa (NIC) en aquesta màquina. A la imatge de sota s'anomena \LAN (em0).

OpnSense utilitzarà per defecte la xarxa estàndard \192.168.1.1/24 per a la LAN. Tanmateix, a la imatge de dalt, falta la interfície WAN! Això es corregeix fàcilment escrivint '1' a la sol·licitud. i prement enter.

Això permetrà la reassignació de les NIC al sistema. Observeu a la imatge següent que hi ha dues interfícies disponibles: 'em0' i 'em1'.

L'assistent de configuració també permetrà configuracions molt complexes amb VLAN, però de moment, aquesta guia suposa una configuració bàsica de dues xarxes; (és a dir, un costat WAN/ISP i un costat LAN).

Introduïu ‘N’ per no configurar cap VLAN en aquest moment. Per a aquesta configuració en particular, la interfície WAN és em0 i la interfície LAN és em1, com es veu a continuació.

Confirmeu els canvis a les interfícies escrivint ‘Y’ a la sol·licitud. Això farà que OpnSense torni a carregar molts dels seus serveis per reflectir els canvis a l'assignació de la interfície.

Un cop fet, connecteu un ordinador amb un navegador web a la interfície lateral LAN. La interfície LAN té un servidor DHCP que escolta a la interfície dels clients, de manera que l'ordinador podrà obtenir la informació d'adreçament necessària per connectar-se a la pàgina de configuració web d'OpnSense.

Un cop l'ordinador estigui connectat a la interfície LAN, obriu un navegador web i navegueu a l'URL següent: http://192.168.1.1.

Per iniciar sessió a la consola web; utilitzeu el nom d'usuari arrel i la contrasenya que es va configurar durant el procés d'instal·lació. Un cop connectat, s'acabarà la part final de la instal·lació.

El primer pas de l'instal·lador s'utilitza per recopilar més informació, com ara el nom d'amfitrió, el nom de domini i els servidors DNS. La majoria dels usuaris poden deixar seleccionada l'opció Anul·lació DNS.

Això permetrà que el tallafoc OpnSense obtingui informació DNS de l'ISP a través de la interfície WAN.

La següent pantalla demanarà servidors NTP. Si l'usuari no té els seus propis sistemes NTP, OpnSense proporcionarà un conjunt predeterminat de grups de servidors NTP.

La següent pantalla és la configuració de la interfície WAN. La majoria d'ISP per a usuaris domèstics utilitzaran DHCP per proporcionar als seus clients la informació necessària sobre la configuració de la xarxa. Només deixar el tipus seleccionat com a DHCP indicarà a OpnSense que intenti recopilar la seva configuració del costat WAN de l'ISP.

Desplaceu-vos cap avall fins a la part inferior de la pantalla de configuració de WAN per continuar. ***Nota*** a la part inferior d'aquesta pantalla hi ha dues regles predeterminades per bloquejar els intervals de xarxa que generalment no s'haurien de veure a la interfície WAN. Es recomana deixar-los marcats tret que hi hagi un motiu conegut per permetre aquestes xarxes a través de la interfície WAN!

La següent pantalla és la pantalla de configuració de la LAN. La majoria dels usuaris simplement poden deixar els valors predeterminats. Tingueu en compte que aquí s'han d'utilitzar intervals de xarxa especials, coneguts habitualment com a RFC 1918. Assegureu-vos de deixar el valor predeterminat o triar un interval de xarxa dins de l'interval RFC1918 per evitar conflictes/problemes!

La pantalla final de la instal·lació preguntarà si l'usuari vol actualitzar la contrasenya d'arrel. Això és opcional, però si no es va crear una contrasenya segura durant la instal·lació, ara seria un bon moment per corregir el problema!

Un cop superada l'opció de canvi de contrasenya, OpnSense demanarà a l'usuari que torni a carregar els paràmetres de configuració. Simplement feu clic al botó Recarrega i doneu a OpnSense un segon per actualitzar la configuració i la pàgina actual.

Quan tot estigui fet, OpnSense donarà la benvinguda a l'usuari. Per tornar al tauler principal, només cal que feu clic a Tauler a la cantonada superior esquerra de la finestra del navegador web.

En aquest punt, l'usuari serà portat al tauler principal i pot continuar instal·lant/configurant qualsevol dels complements o funcionalitats útils d'OpnSense! L'autor recomana comprovar i actualitzar el sistema si hi ha actualitzacions disponibles. Simplement feu clic al botó Feu clic per comprovar si hi ha actualitzacions al tauler principal.

Aleshores, a la pantalla següent, es pot utilitzar Comprova actualitzacions per veure una llista d'actualitzacions o Actualitza ara per aplicar simplement les actualitzacions disponibles.

En aquest punt, una instal·lació bàsica d'OpnSense hauria d'estar en funcionament i estar completament actualitzada. En articles futurs, es tractarà l'agregació d'enllaços i l'encaminament entre VLAN per mostrar més de les capacitats avançades d'OpnSense!