ค้นหาเว็บไซต์

วิธีการติดตั้งและกำหนดค่าไฟร์วอลล์ OpnSense พื้นฐาน

ในบทความก่อนหน้านี้ มีการพูดคุยถึงโซลูชันไฟร์วอลล์ที่เรียกว่า PfSense ในช่วงต้นปี 2015 ได้มีการตัดสินใจแยก PfSense และโซลูชันไฟร์วอลล์ใหม่ชื่อ OpnSense ได้รับการเผยแพร่

OpnSense เริ่มต้นชีวิตด้วยการแยก PfSense ง่ายๆ แต่ได้พัฒนาเป็นโซลูชันไฟร์วอลล์ที่เป็นอิสระโดยสิ้นเชิง บทความนี้จะครอบคลุมถึงการติดตั้งและการกำหนดค่าเริ่มต้นพื้นฐานของการติดตั้ง OpnSense ใหม่

เช่นเดียวกับ PfSense OpnSense เป็นโซลูชันไฟร์วอลล์โอเพ่นซอร์สที่ใช้ FreeBSD การจัดจำหน่ายสามารถติดตั้งได้ฟรีบนอุปกรณ์ของตนเองหรือบริษัท Decisio จำหน่ายอุปกรณ์ไฟร์วอลล์ที่กำหนดค่าไว้ล่วงหน้า

OpnSense มีชุดข้อกำหนดขั้นต่ำ และสามารถตั้งค่าโฮมทาวเวอร์รุ่นเก่าทั่วไปให้ทำงานเป็นไฟร์วอลล์ OpnSense ได้อย่างง่ายดาย ข้อกำหนดขั้นต่ำที่แนะนำมีดังนี้:

ฮาร์ดแวร์ขั้นต่ำ

  • ซีพียู 500 เมกะเฮิรตซ์
  • แรม 1GB
  • พื้นที่เก็บข้อมูล 4GB
  • การ์ดเชื่อมต่อเครือข่าย 2 ใบ

ฮาร์ดแวร์ที่แนะนำ

  • ซีพียู 1GHz
  • แรม 1GB
  • พื้นที่เก็บข้อมูล 4GB
  • การ์ดอินเทอร์เฟซเครือข่าย PCI-e 2 ใบขึ้นไป

หากผู้อ่านต้องการใช้คุณลักษณะขั้นสูงบางอย่างของ OpnSense (Suricata, ClamAV, เซิร์ฟเวอร์ VPN ฯลฯ) ระบบควรได้รับฮาร์ดแวร์ที่ดีกว่า

ยิ่งผู้ใช้ต้องการเปิดใช้งานโมดูลมากเท่าใด ก็ควรรวมพื้นที่ RAM/CPU/ไดรฟ์ ไว้ด้วย ขอแนะนำว่าต้องเป็นไปตามเกณฑ์ขั้นต่ำต่อไปนี้ หากมีแผนที่จะเปิดใช้งานโมดูลขั้นสูงใน OpnSense

  • CPU แบบมัลติคอร์สมัยใหม่ที่ทำงานอย่างน้อย 2.0 GHz
  • แรม 4GB+
  • พื้นที่ HD 10GB+
  • การ์ดอินเทอร์เฟซเครือข่าย Intel PCI-e 2 ตัวขึ้นไป

การติดตั้งและการกำหนดค่าไฟร์วอลล์ OpnSense

ไม่ว่าจะเลือกฮาร์ดแวร์ใด การติดตั้ง OpnSense นั้นเป็นกระบวนการง่ายๆ แต่ผู้ใช้จะต้องใส่ใจเป็นพิเศษว่าจะใช้พอร์ตอินเทอร์เฟซเครือข่ายใดเพื่อจุดประสงค์ใด (LAN, WAN, ไร้สาย ฯลฯ)

ส่วนหนึ่งของกระบวนการติดตั้งจะเกี่ยวข้องกับการแจ้งให้ผู้ใช้เริ่มกำหนดค่าอินเทอร์เฟซ LAN และ WAN ผู้เขียนแนะนำให้เสียบเฉพาะอินเทอร์เฟซ WAN จนกว่าจะกำหนดค่า OpnSense แล้วจึงดำเนินการติดตั้งให้เสร็จสิ้นโดยเสียบอินเทอร์เฟซ LAN

กำลังดาวน์โหลดไฟร์วอลล์ OpnSense

ขั้นตอนแรกคือการขอรับซอฟต์แวร์ OpnSense และมีตัวเลือกต่างๆ สองสามตัวเลือกให้เลือก ทั้งนี้ขึ้นอยู่กับอุปกรณ์และวิธีการติดตั้ง แต่คู่มือนี้จะใช้ 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'

ได้รับ ISO โดยใช้คำสั่งต่อไปนี้:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

เมื่อดาวน์โหลดไฟล์แล้ว จะต้องแตกไฟล์โดยใช้เครื่องมือ bunzip ดังต่อไปนี้:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

เมื่อดาวน์โหลดและแตกไฟล์ติดตั้งแล้ว คุณสามารถเบิร์นลง ซีดี หรือคัดลอกไปยังไดรฟ์ USB ด้วยเครื่องมือ 'dd'< รวมอยู่ในลีนุกซ์รุ่นส่วนใหญ่

ขั้นตอนต่อไปคือการเขียน ISO ลงในไดรฟ์ USB เพื่อบูตโปรแกรมติดตั้ง เพื่อให้บรรลุเป้าหมายนี้ ให้ใช้ เครื่องมือ 'dd' ภายใน Linux

ขั้นแรก ชื่อดิสก์จะต้องอยู่ในตำแหน่ง 'lsblk'

lsblk

ด้วยชื่อของไดรฟ์ USB ที่กำหนดเป็น '/dev/sdc' ทำให้ OpnSense ISO สามารถเขียนลงในไดรฟ์ได้โดยใช้ เครื่องมือ 'dd'

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

หมายเหตุ: คำสั่งข้างต้นต้องใช้สิทธิ์รูท ดังนั้นให้ใช้ 'sudo' หรือเข้าสู่ระบบในฐานะผู้ใช้รูทเพื่อรันคำสั่ง นอกจากนี้ คำสั่งนี้จะ ลบทุกอย่าง บนไดรฟ์ USB อย่าลืมสำรองข้อมูลที่จำเป็น

การติดตั้งไฟร์วอลล์ OpnSense

เมื่อ dd เขียนลงในไดรฟ์ USB เสร็จแล้ว ให้วางสื่อลงในคอมพิวเตอร์ที่จะตั้งค่าเป็นไฟร์วอลล์ opnsense บูตคอมพิวเตอร์เครื่องนั้นไปยังสื่อนั้น และหน้าจอต่อไปนี้จะปรากฏขึ้น

หากต้องการดำเนินการติดตั้งต่อ เพียงกดปุ่ม 'Enter' การดำเนินการนี้จะบูต OpnSense เข้าสู่ โหมด Live แต่มีผู้ใช้พิเศษอยู่เพื่อติดตั้ง OpnSense ลงในสื่อในเครื่องแทน

เมื่อระบบบู๊ตตามข้อความแจ้งให้เข้าสู่ระบบ ให้ใช้ชื่อผู้ใช้ 'ตัวติดตั้ง' พร้อมรหัสผ่าน 'opnsense'

สื่อการติดตั้งจะเข้าสู่ระบบและเปิดตัวโปรแกรมติดตั้ง OpnSense จริง ข้อควรระวัง: การทำตามขั้นตอนต่อไปนี้ต่อไปจะส่งผลให้ข้อมูลทั้งหมดในฮาร์ดไดรฟ์ภายในระบบถูกลบ! ดำเนินการด้วยความระมัดระวังหรือออกจากโปรแกรมติดตั้ง

การกดปุ่ม 'Enter' จะเป็นการเริ่มต้นกระบวนการติดตั้ง ขั้นตอนแรกคือการเลือกคีย์แมป โปรแกรมติดตั้งมีแนวโน้มที่จะตรวจจับคีย์แมปที่เหมาะสมตามค่าเริ่มต้น ตรวจสอบคีย์แมปที่เลือกและแก้ไขตามความจำเป็น

หน้าจอถัดไปจะมีตัวเลือกบางอย่างสำหรับการติดตั้ง หากผู้ใช้ต้องการทำการแบ่งพาร์ติชันขั้นสูงหรือนำเข้าการกำหนดค่าจากกล่อง OpnSense อื่น สามารถทำได้ในขั้นตอนนี้ คู่มือนี้ถือว่ามีการติดตั้งใหม่และจะเลือกตัวเลือก "การติดตั้งที่แนะนำ"

หน้าจอต่อไปนี้จะแสดงอุปกรณ์จัดเก็บข้อมูลที่ได้รับการยอมรับสำหรับการติดตั้ง

เมื่อเลือกอุปกรณ์จัดเก็บข้อมูลแล้ว ผู้ใช้จะต้องตัดสินใจว่าผู้ติดตั้งจะใช้รูปแบบการแบ่งพาร์ติชันใด (MBR หรือ GPT/EFI)

ระบบสมัยใหม่ส่วนใหญ่จะสนับสนุน GPT/EFI แต่หากผู้ใช้นำคอมพิวเตอร์รุ่นเก่ามาใช้ใหม่ MBR อาจเป็นเพียงตัวเลือกเดียวที่รองรับ ตรวจสอบภายในการตั้งค่า BIOS ของระบบเพื่อดูว่ารองรับ EFI/GPT หรือไม่

เมื่อเลือกรูปแบบการแบ่งพาร์ติชันแล้ว โปรแกรมติดตั้งจะเริ่มขั้นตอนการติดตั้ง กระบวนการนี้ใช้เวลาไม่นานเป็นพิเศษ และจะแจ้งให้ผู้ใช้กรอกข้อมูลเป็นระยะ เช่น รหัสผ่านของผู้ใช้รูท

เมื่อผู้ใช้ตั้งรหัสผ่านของผู้ใช้รูทแล้ว การติดตั้งจะเสร็จสมบูรณ์ และระบบจะต้องรีสตาร์ทเพื่อกำหนดค่าการติดตั้ง เมื่อระบบรีบูต ระบบควรบูตเข้าสู่การติดตั้ง OpnSense โดยอัตโนมัติ (อย่าลืมลบสื่อการติดตั้งออกเมื่อเครื่องรีสตาร์ท)

เมื่อระบบรีบูต ระบบจะหยุดที่พร้อมท์การเข้าสู่ระบบคอนโซลและรอให้ผู้ใช้เข้าสู่ระบบ

ตอนนี้หากผู้ใช้ให้ความสนใจในระหว่างการติดตั้ง พวกเขาอาจสังเกตเห็นว่าพวกเขาสามารถกำหนดค่าอินเทอร์เฟซไว้ล่วงหน้าระหว่างการติดตั้งได้ อย่างไรก็ตาม สมมติว่าบทความนี้ไม่ได้กำหนดอินเทอร์เฟซไว้เมื่อทำการติดตั้ง

หลังจากเข้าสู่ระบบด้วยผู้ใช้รูทและรหัสผ่านที่กำหนดค่าไว้ระหว่างการติดตั้ง จะสังเกตได้ว่า OpnSense ใช้การ์ดอินเทอร์เฟซเครือข่าย (NIC) เพียงการ์ดเดียวบนเครื่องนี้ ในภาพด้านล่างมีชื่อว่า “LAN (em0) ”

OpnSense จะมีค่าเริ่มต้นเป็นเครือข่าย “192.168.1.1/24 ” มาตรฐานสำหรับ LAN อย่างไรก็ตาม ในภาพด้านบน อินเทอร์เฟซ WAN หายไป! ซึ่งแก้ไขได้อย่างง่ายดายโดยการพิมพ์ '1' ที่พรอมต์แล้วกด Enter

ซึ่งจะช่วยให้สามารถกำหนด NIC บนระบบใหม่ได้ สังเกตในภาพถัดไปว่ามีอินเทอร์เฟซให้เลือกสองแบบ: 'em0' และ 'em1'

วิซาร์ดการกำหนดค่าจะอนุญาตให้มีการตั้งค่าที่ซับซ้อนมากกับ VLAN เช่นกัน แต่สำหรับตอนนี้ คู่มือนี้ถือว่าการตั้งค่าพื้นฐานสองเครือข่าย (เช่น ฝั่ง WAN/ISP และฝั่ง LAN)

ป้อน 'N' เพื่อไม่ต้องกำหนดค่า VLAN ใด ๆ ในขณะนี้ สำหรับการตั้งค่าเฉพาะนี้ อินเทอร์เฟซ WAN คือ 'em0' และอินเทอร์เฟซ LAN คือ 'em1' ดังที่แสดงด้านล่าง

ยืนยันการเปลี่ยนแปลงอินเทอร์เฟซโดยพิมพ์ 'Y' ในข้อความแจ้ง สิ่งนี้จะทำให้ OpnSense โหลดบริการจำนวนมากใหม่เพื่อสะท้อนถึงการเปลี่ยนแปลงการกำหนดอินเทอร์เฟซ

เมื่อเสร็จแล้ว ให้เชื่อมต่อคอมพิวเตอร์กับเว็บเบราว์เซอร์เข้ากับอินเทอร์เฟซด้าน LAN อินเทอร์เฟซ LAN มีเซิร์ฟเวอร์ DHCP ฟังอินเทอร์เฟซสำหรับไคลเอ็นต์ ดังนั้นคอมพิวเตอร์จะสามารถรับข้อมูลการกำหนดที่อยู่ที่จำเป็นเพื่อเชื่อมต่อกับหน้าการกำหนดค่าเว็บ OpnSense

เมื่อคอมพิวเตอร์เชื่อมต่อกับอินเทอร์เฟซ LAN แล้ว ให้เปิดเว็บเบราว์เซอร์และไปที่ URL ต่อไปนี้: http://192.168.1.1

เพื่อเข้าสู่เว็บคอนโซล ใช้ชื่อผู้ใช้ 'root' และรหัสผ่านที่ได้รับการกำหนดค่าระหว่างกระบวนการติดตั้ง เมื่อเข้าสู่ระบบแล้ว ส่วนสุดท้ายของการติดตั้งจะเสร็จสิ้น

ขั้นตอนแรกของโปรแกรมติดตั้งใช้เพื่อรวบรวมข้อมูลเพิ่มเติม เช่น ชื่อโฮสต์ ชื่อโดเมน และเซิร์ฟเวอร์ DNS ผู้ใช้ส่วนใหญ่สามารถเลือกตัวเลือก 'แทนที่ DNS' ไว้ได้

สิ่งนี้จะทำให้ไฟร์วอลล์ OpnSense สามารถรับข้อมูล DNS จาก ISP ผ่านอินเทอร์เฟซ WAN

หน้าจอถัดไปจะแจ้งเซิร์ฟเวอร์ NTP หากผู้ใช้ไม่มีระบบ NTP ของตนเอง OpnSense จะจัดเตรียมชุดเริ่มต้นของพูลเซิร์ฟเวอร์ NTP

หน้าจอถัดไปคือการตั้งค่าอินเทอร์เฟซ WAN ISP สำหรับผู้ใช้ตามบ้านส่วนใหญ่จะใช้ DHCP เพื่อให้ข้อมูลการกำหนดค่าเครือข่ายที่จำเป็นแก่ลูกค้า เพียงปล่อยประเภทที่เลือกไว้เป็น 'DHCP' จะสั่งให้ OpnSense พยายามรวบรวมการกำหนดค่าฝั่ง WAN จาก ISP

เลื่อนลงไปที่ด้านล่างของหน้าจอการกำหนดค่า WAN เพื่อดำเนินการต่อ ***หมายเหตุ*** ที่ด้านล่างของหน้าจอนี้คือกฎเริ่มต้นสองกฎในการบล็อกช่วงเครือข่ายที่โดยทั่วไปไม่ควรเห็นเข้ามาในอินเทอร์เฟซ WAN ขอแนะนำให้ทิ้งการเลือกเหล่านี้ไว้ เว้นแต่จะมีเหตุผลที่ชัดเจนในการอนุญาตให้เครือข่ายเหล่านี้ผ่านอินเทอร์เฟซ WAN!

หน้าจอถัดไปคือหน้าจอการกำหนดค่า LAN ผู้ใช้ส่วนใหญ่สามารถปล่อยค่าเริ่มต้นไว้ได้ โปรดทราบว่ามีช่วงเครือข่ายพิเศษที่ควรใช้ที่นี่ โดยทั่วไปเรียกว่า RFC 1918 ตรวจสอบให้แน่ใจว่าได้ใช้ค่าเริ่มต้นหรือเลือกช่วงเครือข่ายจากภายในช่วง RFC1918 เพื่อหลีกเลี่ยงความขัดแย้ง/ปัญหา!

หน้าจอสุดท้ายในการติดตั้งจะถามว่าผู้ใช้ต้องการอัพเดตรหัสผ่านรูทหรือไม่ นี่เป็นทางเลือก แต่หากไม่มีการสร้างรหัสผ่านที่รัดกุมระหว่างการติดตั้ง ตอนนี้ก็เป็นเวลาที่ดีในการแก้ไขปัญหา!

เมื่อผ่านตัวเลือกการเปลี่ยนรหัสผ่านไปแล้ว OpnSense จะขอให้ผู้ใช้โหลดการตั้งค่าการกำหนดค่าอีกครั้ง เพียงคลิกปุ่ม "โหลดซ้ำ" และให้เวลา OpnSense สักครู่เพื่อรีเฟรชการกำหนดค่าและหน้าปัจจุบัน

เมื่อทุกอย่างเสร็จสิ้น OpnSense จะต้อนรับผู้ใช้ หากต้องการกลับไปที่แดชบอร์ดหลัก เพียงคลิก 'แดชบอร์ด' ที่มุมซ้ายบนของหน้าต่างเว็บเบราว์เซอร์

ณ จุดนี้ ผู้ใช้จะถูกพาไปที่แดชบอร์ดหลัก และสามารถติดตั้ง/กำหนดค่าปลั๊กอินหรือฟังก์ชันการทำงานของ OpnSense ที่มีประโยชน์ต่อไปได้! ผู้เขียนแนะนำให้ตรวจสอบและอัพเกรดระบบหากมีการอัพเกรด เพียงคลิกที่ปุ่ม 'คลิกเพื่อตรวจสอบการอัปเดต' บนแดชบอร์ดหลัก

จากนั้นในหน้าจอถัดไป สามารถใช้ "ตรวจสอบการอัปเดต" เพื่อดูรายการอัปเดต หรือ "อัปเดตทันที" เพื่อใช้การอัปเดตที่มีอยู่

ณ จุดนี้ การติดตั้ง OpnSense ขั้นพื้นฐานควรพร้อมใช้งานและอัปเดตอย่างสมบูรณ์! ในบทความต่อๆ ไป เราจะพูดถึงการรวมลิงก์และการกำหนดเส้นทางระหว่าง VLAN เพื่อแสดงความสามารถขั้นสูงของ OpnSense!