OPNsense installieren

OPNsense ist OpenSource Firewall, die ähnliche Funktionen bietet wie kommerziellen Firewalls. Sie lässt sich dabei aber auf einer ganzen Reihe von Hardware ausführen.

Hardware Voraussetzungen

Derzeit wird für eine Installation folgendes empfohlen:

TypKonfiguration
Prozessor1,5 GHz 64-bit-Mehrkern-CPU (4+ Cores)
Arbeitsspeicher4 GiB
Bildausgabeserielle Konsole oder VGA-Video
Festplatte120 GB SSD
Netzwerk-Anschlüsse4

Installationsmedien

Installationsmedien sind auf OPNsense.org verfügbar. Diese lassen sich jedoch teilweise nicht als Bootmedium installieren. Da OPNsense auf FreeBSD basiert, kann eine Installation auch über den FreeBSD Memstick und den OPNsense Bootstrap erfolgen.

Dazu muss das Installationsmedium für die FreeBSD Memstick-Version heruntergeladen werden und als USB Boot-Medium vorbereitet werden. Für die gewünschte OPNsense Version muss dabei die korrekte FreeBSD-Version genutzt werden:

OPNsense VersionFreeBSD Version
15.110.0
15.710.0
16.110.2
16.710.3
17.111.0
17.711.0
18.111.1
18.711.2
19.111.2
19.711.2
20.111.2
20.712.1
21.112.1
21.712.1

FreeBSD-Installation

Die FreeBSD Installation beginnt mit der Wahl zwischen der Installation und eine Nutzung als Shell oder Live-CD.

Mit Auswahl von „Install“ beginnt die Konfiguration der Installation, zunächst mit der Auswahl des Tasterturlayouts.

Nach der Auswahl der gewünschten Belegung kann diese mit „Test default keymap“ getestet werden. Ist die Auswahl korrekt wird die Konfiguration mit „Continue with default keymap“ fortgesetzt.

Als nächstes ist der Netzwerkname des Rechners anzugeben, unter dem OPNsense zu erreichen ist.

Die Auswahl der Distribution erfolgt im nächsten Schritt und sollte mit den ausgewählten Standardwerten erfolgen.

Als nächstes ist die Aufteilung der Speichermedien zu konfigurieren. Es stehen dabei grundsätzlich zwei Dateisysteme zur Verfügung UFS oder ZFS. ZFS sollte hier bevorzugt werden, um bei Stromausfällen keine Inkonsistenzen zu befürchten.

Zur Einrichtung des ZFS-Pools muss die gewünschte Systemplatte ausgewählt werden.

Dies erfolgt unter „T Pool Type/Disks“. Zunächst mit der gewünschten RAID-Stufe. Ist nur ein Speichermedium vorhanden, muss „stripe“ gewählt werden.

Danach kann die gewünscht Platte ausgewählt werden. Und im Anschluss mit „OK“ und „Install“ fortgesetzt werden. Es folgt noch eine Warnung, dass auf dem gewählten Ziellaufwerk sämtliche Daten gelöscht werden.

Mit der Bestätigung beginnt dann die eigentliche Installation.

Sind alle notwendigen Installationsschritte erfolgt, wird das root-Passwort abgefragt.

Es folgt die Netzwerk-Konfiguration. Zunächst ist das entsprechende Interface zu wählen

und es folgt die Konfiguration mit der Protokoll-Auswahl

und der DHCP- oder statischer IP-Konfiguration.

Im Folgenden werden noch die DNS-Server,

die Zeitzone,

sowie das aktuelle Datum abgefragt.

Den Abschluss bilden die benötigten Dienste, diese sollten mit der Standardeinstellung genutzt werden.

Ebenso weitere Einstellungen zur Sicherheitskonfiguration.

Weitere Logins müssen hier noch nicht konfiguriert werden, da diese Grundinstallation im weiteren Verlauf durch OPNsense ersetzt wird.

Mit der Bestätigung auf „Exit – Apply configuration and exit installer“ endet dann die Installation

und es folgt ein Neustart des Systems.

Nach dem Neustart und dem Login erfolgt die Installation von OPNsense über die FreeBSD-Shell.

Die eigentliche Installation von OPNsense erfolgt über den oben angesprochenen bootstrap über die folgenden 3 Befehle.

pkg install ca_root_nss
fetch https://raw.githubusercontent.com/opnsense/update/master/src/bootstrap/opnsense-bootstrap.sh.in
sh ./opnsense-bootstrap.sh.in -r 21.7

Damit werden eine Reihe von Paketen heruntergeladen und installiert.

Nach der Installation erfolgt ein Neustart und das System bootet mit OPNsense als Betriebssystem neu in die OPNsense-Shell.

Die Anmeldung ist hier mit „root“ als Login und „opnsense“ als Passwort möglich und man erreicht das Konfigurationsmenü der Konsole.

Bevor die weitere Konfiguration über den Browser fortgesetzt werden kann müssen hier 2 Einstellungen vorgenommen werden.

  1. Das Festlegen der Netzwerk-Schnittstellen, sowie
  2. die IP-Adresse des Management-Ports ist zu konfigurieren, um darauf dann via Browser zugreifen zu können.

Für die Konfiguration der Netzwerk-Schnittstellen müssen zu diesem Zeitpunkt mindestens 2 Schnittstellen verfügbar sein, die als LAN bzw. WAN konfiguriert werden können.

Die Konfiguration erfolgt über die Option 1 „Assign interfaces“ und führt zu folgendem Bild.

Darin sind die verfügbaren Schnittstellen aufgeführt und es sind die jeweiligen Interfaces den Funktionen LAN, WAN und MGNT zuzuordnen. Zunächst erfolgt die Abfrage, ob VLANs angelegt werden sollen. Diese kann in den meisten Fällen mit nein beantwortet werden.

Es folgt die Abfrage nach dem WAN- und dem LAN-Interface, hier kann einer der zuvor ausgegebenen Namen genutzt werden, oder über die „auto-detection“ (a) und einem entfernen und wieder verbinden des Netzwerkkabels das Interface vergeben werden. Wird der erste Port em0 als WAN und der zweite em1 als LAN definiert ergibt sich folgendes Bild. Mit der Bestätigung werden die entsprechenden Dienste konfiguriert.

In der dann erscheinenden Komandozeile sind die beiden Schnittstellen mit ihrer IP sichtbar.

This post is also available in: Deutsch

Schreibe einen Kommentar