Giunsa ang Pag-install ug Pag-configure sa Batakang OpnSense Firewall


Sa una nga artikulo, usa ka solusyon sa firewall nga nailhan nga PfSense ang gihisgutan. Sa sayong bahin sa 2015 usa ka desisyon ang gihimo sa pag-fork sa PfSense ug usa ka bag-ong solusyon sa firewall nga gitawag og OpnSense ang gipagawas.

Gisugdan sa OpnSense kini nga kinabuhi ingon usa ka yano nga tinidor sa PfSense apan nahimo nga usa ka hingpit nga independente nga solusyon sa firewall. Kini nga artikulo maglakip sa pag-instalar ug sukaranan nga inisyal nga pag-configure sa usa ka bag-ong pag-install sa OpnSense.

Sama sa PfSense, ang OpnSense usa ka FreeBSD nga nakabase sa open source nga solusyon sa firewall. Ang pag-apod-apod libre nga ma-install sa kaugalingon nga kagamitan o sa kompanya nga Decisio, nagbaligya sa mga pre-configure nga firewall appliances.

Ang OpnSense adunay gamay nga hugpong sa mga kinahanglanon ug usa ka tipikal nga karaan nga tore sa balay dali nga ma-setup aron modagan ingon usa ka firewall sa OpnSense. Ang gisugyot nga minimum nga mga detalye mao ang mosunod:

  • 500 mhz nga CPU
  • 1 GB sa RAM
  • 4GB nga storage
  • 2 network interface card

  • 1GHz CPU
  • 1 GB sa RAM
  • 4GB nga storage
  • 2 o labaw pa nga PCI-e network interface card.

Kung gusto sa magbabasa nga magamit ang pipila sa mga labi ka abante nga bahin sa OpnSense (VPN server, ug uban pa) ang sistema kinahanglan hatagan labi ka maayo nga hardware.

Ang daghang mga module nga gusto sa user nga mahimo, ang labi nga RAM/CPU/Drive space kinahanglan iapil. Gisugyot nga ang mosunod nga mga minimum matuman kung adunay mga plano nga magamit ang mga advanced module sa OpnSense.

  • Moderno nga multi-core nga CPU nga nagdagan labing menos 2.0 GHz
  • 4GB+ nga RAM
  • 10GB+ sa HD nga luna
  • 2 o labaw pa nga Intel PCI-e network interface card

Pag-instalar ug Pag-configure sa OpnSense Firewall

Dili igsapayan kung unsang hardware ang gipili, ang pag-install sa OpnSense usa ka yano nga proseso apan nanginahanglan sa tiggamit nga hatagan pag-ayo kung unsang mga pantalan sa interface sa network ang gamiton alang sa unsang katuyoan (LAN, WAN, Wireless, ug uban pa).

Kabahin sa proseso sa pag-instalar maglakip sa pag-aghat sa tiggamit sa pagsugod sa pag-configure sa mga interface sa LAN ug WAN. Gisugyot sa tagsulat nga i-plug lang ang interface sa WAN hangtod ma-configure ang OpnSense ug ipadayon ang paghuman sa pag-install pinaagi sa pag-plug sa interface sa LAN.

Ang una nga lakang mao ang pagkuha sa software nga OpnSense ug adunay usa ka magtiayon nga lainlaing mga kapilian nga magamit depende sa aparato ug pamaagi sa pag-install apan kini nga giya mogamit sa 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

Ang ISO nakuha gamit ang mosunod nga sugo:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Kung ma-download na ang file, kinahanglan nga i-decompress kini gamit ang bunzip tool sama sa mosunod:

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Kung ma-download na ug ma-decompress na ang installer, mahimo kining masunog sa CD o mahimo kining kopyahon sa USB drive nga adunay tool nga 'dd' nga gilakip sa kadaghanan sa mga distribusyon sa Linux.

Ang sunod nga proseso mao ang pagsulat sa ISO sa usa ka USB drive aron ma-boot ang installer. Aron mahimo kini, gamita ang himan nga 'dd' sulod sa Linux.

Una, ang ngalan sa disk kinahanglan nga mahimutang sa 'lsblk' bisan pa.

$ lsblk

Uban sa ngalan sa USB drive nga gitino nga '/ dev/sdc', ang OpnSense ISO mahimong isulat sa drive gamit ang 'dd' tool.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Mubo nga sulat: Ang sugo sa ibabaw nanginahanglan mga pribilehiyo sa gamut busa gamita ang 'sudo' o pag-login ingon nga gamut nga tiggamit aron ipadagan ang mando. Usab kini nga mando magtangtang sa tanan sa USB drive. Siguroha ang pag-backup sa gikinahanglan nga datos.

Kung nahuman na ang pagsulat sa dd sa USB drive, ibutang ang media sa kompyuter nga i-setup ingon nga OpnSense firewall. I-boot kana nga kompyuter sa kana nga media ug ang mosunod nga screen ipresentar.

Aron makapadayon sa installer, pindota lang ang 'Enter' key. Kini mag-boot sa OpnSense sa Live mode apan adunay usa ka espesyal nga tiggamit aron i-install ang OpnSense sa lokal nga media.

Kung ang sistema nag-boot sa pag-login prompt gamita ang username sa 'installer' nga adunay password nga 'opnsense'.

Ang instalasyon nga media mag-login ug maglunsad sa aktuwal nga OpnSense installer. PAHINUMDOM: Ang pagpadayon sa mosunod nga mga lakang moresulta sa tanang data sa hard drive sulod sa sistema nga mapapas! Pagpadayon uban ang pag-amping o paggawas sa installer.

Ang pag-igo sa 'Enter' nga yawe magsugod sa proseso sa pag-instalar. Ang unang lakang mao ang pagpili sa keymap. Ang installer lagmit makamatikod sa tukma nga keymap pinaagi sa default. Ribyuha ang pinili nga keymap ug tul-ira kon gikinahanglan.

Ang sunod nga screen maghatag pipila ka mga kapilian alang sa pag-instalar. Kung gusto sa user nga maghimo ug advanced partitioning o mag-import ug configuration gikan sa laing kahon sa OpnSense, mahimo kini niining lakang. Kini nga giya nag-asumer sa usa ka bag-ong instalasyon ug mopili sa 'Gigiyahan nga Pag-instalar' nga kapilian.

Ang mosunod nga screen magpakita sa giila nga storage device alang sa pag-instalar.

Sa higayon nga mapili ang storage device, kinahanglang magdesisyon ang user kung asa nga partitioning scheme ang gigamit sa installer (MBR o GPT/EFI).

Kadaghanan sa modernong adlaw nga mga sistema mosuporta sa GPT/EFI apan kon ang user nagtuyo pag-usab sa usa ka mas daan nga kompyuter, ang MBR mahimong ang bugtong opsyon nga gisuportahan. Susiha sulod sa mga setting sa BIOS sa sistema aron makita kung kini nagsuporta sa EFI/GPT.

Sa higayon nga mapili ang partitioning scheme, ang installer magsugod sa mga lakang sa pag-instalar. Ang proseso wala magkinahanglan og usa ka partikular nga taas nga panahon ug mag-aghat sa user alang sa impormasyon matag karon ug unya sama sa password sa root user.

Kung ang user nakabutang na sa password sa root user, ang instalasyon makompleto ug ang sistema kinahanglan nga i-restart aron ma-configure ang instalasyon. Kung mag-reboot ang sistema, kinahanglan nga awtomatiko nga mag-boot sa pag-install sa OpnSense (siguruha nga tangtangon ang medium sa pag-install samtang ang makina magsugod usab).

Kung ang sistema mag-reboot, kini mohunong sa console login prompt ug maghulat alang sa user nga maka-log in.

Karon kung ang tiggamit naghatag pagtagad sa panahon sa pag-instalar tingali ilang namatikdan nga mahimo nilang pre-configure ang mga interface sa panahon sa pag-instalar. Bisan pa, atong hunahunaon alang sa kini nga artikulo nga ang mga interface wala gi-assign sa pag-install.

Pagkahuman sa pag-log in gamit ang root user ug password nga na-configure sa panahon sa pag-install, matikdan nga ang OpnSense migamit lamang sa usa sa mga network interface card (NIC) niini nga makina. Sa hulagway sa ubos kini ginganlan og \LAN (em0).

Ang OpnSense mag-default sa standard nga \192.168.1.1/24 nga network para sa LAN. Apan sa ibabaw nga hulagway, nawala ang WAN interface! Kini daling matul-id pinaagi sa pag-type sa '1' sa prompt ug pag-igo sa enter.

Kini magtugot alang sa re-assignment sa mga NIC sa sistema. Matikdi sa sunod nga hulagway nga adunay duha ka interface nga magamit: 'em0' ug 'em1'.

Ang configuration wizard magtugot alang sa komplikado kaayo nga mga setup nga adunay mga VLAN usab apan sa pagkakaron, kini nga giya nag-asumer sa usa ka batakang duha ka network setup; (ie usa ka WAN/ISP nga bahin ug usa ka LAN nga bahin).

Isulod ang ‘N’ aron dili ma-configure ang bisan unsang VLAN karong panahona. Alang niining partikular nga setup, ang WAN interface mao ang 'em0' ug ang LAN interface mao ang 'em1' ingon sa makita sa ubos.

Pagkumpirma sa mga pagbag-o sa mga interface pinaagi sa pag-type sa 'Y' sa prompt. Kini ang hinungdan sa OpnSense nga i-reload ang kadaghanan sa mga serbisyo niini aron ipakita ang mga pagbag-o sa assignment sa interface.

Kung nahuman na, ikonektar ang usa ka kompyuter gamit ang usa ka web browser sa interface sa kilid sa LAN. Ang LAN interface adunay DHCP server nga naminaw sa interface alang sa mga kliyente aron ang kompyuter makakuha sa gikinahanglan nga impormasyon sa pag-address aron makonektar sa OpnSense web configuration page.

Sa higayon nga ang kompyuter konektado sa LAN interface, ablihi ang web browser ug navigate sa mosunod nga url: http://192.168.1.1.

Sa pag-log in sa web console; gamita ang username nga 'gamut' ug ang password nga gi-configure sa panahon sa proseso sa pag-instalar. Kung naka-log in, ang katapusan nga bahin sa pag-install mahuman.

Ang unang lakang sa installer gigamit sa pagtigom lang ug dugang impormasyon sama sa hostname, domain name, ug DNS servers. Kadaghanan sa mga tiggamit mahimong mobiya sa kapilian nga 'Override DNS' nga gipili.

Kini makahimo sa OpnSense firewall nga makakuha og DNS nga impormasyon gikan sa ISP sa WAN interface.

Ang sunod nga screen mag-aghat alang sa mga NTP server. Kung ang user walay kaugalingong NTP system, ang OpnSense maghatag ug default set sa NTP server pools.

Ang sunod nga screen mao ang WAN interface setup. Kadaghanan sa ISP alang sa mga tiggamit sa balay mogamit sa DHCP aron mahatagan ang ilang mga kustomer sa kinahanglan nga kasayuran sa pag-configure sa network. Ang pagbiya lang sa Pinili nga Type isip 'DHCP' magtudlo sa OpnSense sa pagsulay sa pagtigum sa WAN side configuration gikan sa ISP.

Pag-scroll paubos sa ubos sa WAN configuration screen aron magpadayon. ***Pahinumdom *** sa ubos niini nga screen mao ang duha ka default nga mga lagda sa pagbabag sa network ranges nga sa kasagaran dili makita nga moabut sa WAN interface. Girekomenda nga biyaan kini nga gisusi gawas kung adunay nahibal-an nga hinungdan aron tugutan kini nga mga network pinaagi sa interface sa WAN!

Ang sunod nga screen mao ang LAN configuration screen. Kadaghanan sa mga tiggamit mahimo ra nga biyaan ang mga default. Hunahunaa nga adunay espesyal nga network ranges nga kinahanglan gamiton dinhi, kasagaran gitawag nga RFC 1918. Siguruha nga biyaan ang default o pagpili og network range gikan sa sulod sa RFC1918 range aron malikayan ang mga panagbangi/isyu!

Ang katapusang screen sa pag-install mangutana kung gusto ba sa user nga i-update ang root password. Kini mao ang opsyonal apan kon ang usa ka lig-on nga password wala gibuhat sa panahon sa pag-instalar, karon na ang usa ka maayong panahon sa pagtul-id sa isyu!

Kung nahuman na ang kapilian sa pagbag-o sa password, hangyoon sa OpnSense ang tiggamit nga i-reload ang mga setting sa pag-configure. I-klik lang ang 'Reload' nga buton ug hatagi ang OpnSense sa usa ka segundo aron i-refresh ang configuration ug kasamtangan nga panid.

Kung nahuman na ang tanan, dawaton sa OpnSense ang tiggamit. Aron makabalik sa main dashboard, i-klik lang ang 'Dashboard' sa ibabaw nga wala nga suok sa bintana sa web browser.

Niining puntoha ang user dad-on ngadto sa main dashboard ug makapadayon sa pag-instalar/pag-configure sa bisan unsang mapuslanong OpnSense plugins o functionalities! Girekomenda sa tagsulat ang pagsusi ug pag-upgrade sa sistema kung magamit ang mga pag-upgrade. Pag-klik lang sa buton nga 'I-klik aron Susihon ang Mga Update' sa main dashboard.

Unya sa sunod nga screen, ang 'Check for Updates' mahimong magamit aron makita ang usa ka lista sa mga update o ang 'Update Now' mahimong magamit sa yano nga paggamit sa bisan unsang magamit nga mga update.

Niini nga punto ang usa ka sukaranan nga pag-install sa OpnSense kinahanglan nga mag-andar ingon usab hingpit nga na-update! Sa umaabot nga mga artikulo, ang Link aggregation ug inter-VLAN routing matabonan aron ipakita ang dugang nga mga advanced nga kapabilidad sa OpnSense!