Pare-feu

Comment installer et configurer le pare-feu OPNSense de base

Comment installer et configurer le pare-feu OPNSense de base

Dans un article précédent, une solution de pare-feu appelé PfSense a été discutée. Début 2015, une décision a été prise à Fork PfSense Et une nouvelle solution de pare-feu appelé Opnsense a été libéré.

Opnsense a commencé sa vie comme une simple fourchette de PfSense mais est devenu une solution de pare-feu entièrement indépendante. Cet article couvrira l'installation et la configuration initiale de base d'un nouveau Opnsense installation.

Pare-feu opnsense

Comme PfSense, Opnsense est une solution de pare-feu open-source basée sur FreeBSD. La distribution est gratuite à installer sur son propre équipement ou la société Deisio, vend des appareils de pare-feu préconfigurés.

Opnsense a un ensemble minimal d'exigences et une plus ancienne tour typique peut facilement être configurée pour fonctionner comme un Opnsense pare-feu. Les spécifications minimales suggérées sont les suivantes:

Minimum matériel

  • CPU 500 MHz
  • 1 Go de RAM
  • 4 Go de stockage
  • 2 cartes d'interface réseau

Matériel suggéré

  • CPU 1 GHz
  • 1 Go de RAM
  • 4 Go de stockage
  • 2 cartes d'interface réseau PCI-E ou plus ou plus.

Si le lecteur souhaite utiliser certaines des fonctionnalités les plus avancées de Opnsense (Suricata, Clamav, serveur VPN, etc.) Le système doit recevoir un meilleur matériel.

Plus l'utilisateur souhaite modules, plus RAM / CPU / Drive L'espace doit être inclus. Il est suggéré que les minimums suivants soient atteints s'il est prévu d'activer les modules avancés à Opnsense.

  • CPU multi-core moderne fonctionnant au moins 2.0 GHz
  • 4 Go de RAM
  • 10 Go + d'espace HD
  • 2 cartes d'interface réseau Intel PCI-E ou plus

Installation et configuration du pare-feu OPNSense

Quel que soit le matériel choisi, l'installation Opnsense est un processus simple mais nécessite que l'utilisateur accorde une attention particulière à quels ports d'interface réseau seront utilisés à quel point (LAN, WAN, sans fil, etc.).

Une partie du processus d'installation impliquera d'inciter l'utilisateur à commencer à configurer les interfaces LAN et WAN. L'auteur ne suggère que de brancher l'interface WAN jusqu'à ce que Opnsense soit configuré, puis procéder à la fin de l'installation en branchant l'interface LAN.

Téléchargement du pare-feu OPNSense

La première étape consiste à obtenir le logiciel OpnSense et il existe quelques options différentes disponibles en fonction de l'appareil et de la méthode d'installation, mais ce guide utilisera le 'Opnsen-18.7-OpenSSL-DVD-AMD64.ISO.bz2'.

L'ISO a été obtenu en utilisant la commande suivante:

$ wget -c http: // miroirs.nycbug.org / pub / opnsense / releases / miroir / opnsen-18.7-OpenSSL-DVD-AMD64.ISO.bz2

Une fois le fichier téléchargé, il doit être décompressé en utilisant le bunzip outil comme suit:

$ bunzip2 opnsense-18.7-OpenSSL-DVD-AMD64.ISO.bz2

Une fois le programme d'installation téléchargé et décompressé, il peut être brûlé à un CD ou il peut être copié sur un USB conduire avec le outil 'dd' Inclus dans la plupart des distributions Linux.

Le prochain processus consiste à écrire le ISO à un USB lecteur pour démarrer le programme d'installation. Pour ce faire, utilisez le outil 'dd' Dans Linux.

Tout d'abord, le nom du disque doit être situé avec 'lsblk' mais.

$ lsblk
Trouver des noms de périphériques disque

Avec le nom du USB conduite déterminée comme '/ dev / sdc', le Opnsense ISO peut être écrit au lecteur avec le outil 'dd'.

$ sudo dd if = ~ / téléchargements / opnsense-18.7-OpenSSL-DVD-AMD64.ISO de = / dev / sdc

Note: La commande ci-dessus nécessite des privilèges racine, alors utilisez 'sudo' ou connectez-vous en tant qu'utilisateur racine pour exécuter la commande. De plus, cette commande Supprimer tout sur le USB conduire. Assurez-vous de sauvegarder les données nécessaires.

Installation du pare-feu Opnsense

Une fois dd a fini d'écrire sur le lecteur USB, placez les médias dans l'ordinateur qui sera configuré comme le opnsense pare-feu. Démarrez cet ordinateur sur ces médias et l'écran suivant sera présenté.

Menu de démarrage Opnsense

Pour continuer vers l'installateur, appuyez simplement sur le 'Entrer' clé. Cela démarrera Opnsense dans le Mode en direct Mais un utilisateur spécial existe pour installer Opnsense aux médias locaux à la place.

Lorsque les bottes du système à l'invite de connexion utilisent le nom d'utilisateur de 'installateur' avec un mot de passe de 'Opnsense'.

Opnsense en mode live

Le support d'installation se connectera et lancera le réel Opnsense installateur. ATTENTION: Poursuivre avec les étapes suivantes entraînera toutes les données du disque dur dans le système effacées! Procéder à la prudence ou sortir de l'installateur.

Installateur d'Opnsense

Frapper le 'Entrer' La clé démarrera le processus d'installation. La première étape consiste à sélectionner le keymap. Le programme d'installation détectera probablement le bon keymap par défaut. Passez en revue le keymap sélectionné et corrigez-le au besoin.

Paramètres de Keymap Opnsense

L'écran suivant offrira quelques options pour l'installation. Si l'utilisateur souhaite faire un partitionnement avancé ou importer une configuration à partir d'une autre boîte Opnsense, cela peut être accompli à cette étape. Ce guide suppose une nouvelle installation et sélectionnera le 'Installation guidée' option.

Type d'installation d'Opnsense

L'écran suivant affichera les périphériques de stockage reconnus pour l'installation.

Dispositif d'installation d'Opnsense

Une fois le périphérique de stockage sélectionné, l'utilisateur devra décider quel schéma de partitionnement est utilisé par l'installateur (Mbr ou GPT / EFI).

La plupart des systèmes modernes soutiendront GPT / EFI Mais si l'utilisateur réutilise un ordinateur plus ancien, Mbr Peut être la seule option prise en charge. Vérifiez dans le Bios Paramètres du système pour voir s'il prend en charge EFI / GPT.

Mode d'installation d'Opnsense

Une fois le schéma de partitionnement choisi, l'installateur commencera les étapes d'installation. Le processus ne prend pas un temps particulièrement long et incitera l'utilisateur à des informations périodiquement, comme le mot de passe de l'utilisateur racine.

Processus d'installation d'Opnsense Mot de passe racine opnsense

Une fois que l'utilisateur a défini le mot de passe de l'utilisateur racine, l'installation sera terminée et le système devra redémarrer afin de configurer l'installation. Lorsque le système redémarre, il doit automatiquement démarrer dans le Opnsense Installer (assurez-vous de retirer le milieu d'installation lorsque la machine redémarre).

Lorsque le système redémarre, il s'arrête à l'invite de connexion de la console et attendra que l'utilisateur se connecte.

Invite de connexion opnsense

Maintenant, si l'utilisateur faisait attention lors de l'installation, il aurait pu remarquer qu'il aurait pu préconcerner les interfaces pendant l'installation. Cependant, supposons pour cet article que les interfaces n'étaient pas affectées à l'installation.

Après être connecté à l'utilisateur racine et à un mot de passe configuré lors de l'installation, il peut être noté qu'Opnsense n'a utilisé qu'une des cartes d'interface réseau (NIC) sur cette machine. Dans l'image ci-dessous, il est nommé "LAN (EM0)".

Interfaces de réseau Opnsense

Opnsense sera par défaut à la norme «192.168.1.1/24 ” réseau pour le LAN. Cependant, dans l'image ci-dessus, l'interface WAN est manquante! Ceci est facilement corrigé en tapant '1' à l'invite et appuyer sur Entrée.

Cela permettra la réaffectation du NICS sur le système. Remarquez dans l'image suivante que deux interfaces sont disponibles: 'EM0' et 'EM1'.

Opnsense Configurez l'interface réseau

L'assistant de configuration permettra également des configurations très complexes avec des VLAN, mais pour l'instant, ce guide supposait une configuration de base à deux réseau; (c'est-à-dire un WAN / ISP côté et un côté lan).

Entrer 'N' Pour ne configurer aucun VLAN pour le moment. Pour cette configuration particulière, l'interface WAN est 'EM0' Et l'interface LAN est 'EM1' Comme vu ci-dessous.

Configurations du réseau Opnsense

Confirmez les modifications aux interfaces en tapant 'Y' dans l'invite. Cela entraînera que Opnsense reloadera de nombreux services pour refléter les modifications apportées à l'interface.

Une fois terminé, connectez un ordinateur à un navigateur Web à l'interface côté LAN. L'interface LAN a un serveur DHCP écoutant sur l'interface des clients afin que l'ordinateur puisse obtenir les informations d'adressage nécessaires pour se connecter à la page de configuration Web Opnsense.

Une fois l'ordinateur connecté à l'interface LAN, ouvrez un navigateur Web et accédez à l'URL suivante: http: // 192.168.1.1.

Interface de connexion opnsense

Pour se connecter à la console Web; Utilisez le nom d'utilisateur 'racine' et le mot de passe configuré pendant le processus d'installation. Une fois connecté, la dernière partie de l'installation sera terminée.

La première étape du programme d'installation est utilisée pour simplement rassembler plus d'informations telles que le nom d'hôte, le nom de domaine et les serveurs DNS. La plupart des utilisateurs peuvent quitter le 'Remplacer DNS'Option sélectionnée.

Cela permettra au pare-feu OPNSense pour obtenir des informations DNS à partir du FAI sur l'interface WAN.

Informations sur le système Opnsense

L'écran suivant invitera NTP les serveurs. Si l'utilisateur n'a pas ses propres systèmes NTP, OpnSense fournira un ensemble par défaut de pools de serveurs NTP.

Serveurs NTP OPNSENS

L'écran suivant est le BLÊME configuration d'interface. La plupart des ISP pour les utilisateurs à domicile utiliseront DHCP pour fournir à leurs clients les informations de configuration du réseau nécessaires. Laisser simplement le type sélectionné comme 'DHCP' Demandera à Opnsense de tenter de rassembler sa configuration côté WAN à partir du FAI.

Paramètres DHCP opnsense

Faites défiler vers le bas de l'écran de configuration WAN pour continuer. ***Note*** Au bas de cet écran se trouvent deux règles par défaut pour bloquer les plages de réseau qui ne devraient généralement pas être vues entrer dans l'interface WAN. Il est recommandé de les laisser vérifier à moins qu'il n'y ait une raison connue pour permettre à ces réseaux via l'interface WAN!

L'écran suivant est l'écran de configuration LAN. La plupart des utilisateurs peuvent simplement laisser les valeurs par défaut. Réalisez qu'il existe des gammes de réseaux spéciales qui doivent être utilisées ici, communément appelées RFC 1918. Assurez-vous de laisser la valeur par défaut ou de choisir une plage de réseau à l'intérieur du RFC1918 gamme pour éviter les conflits / problèmes!

Opnsense Configurez l'interface LAN

L'écran final de l'installation demandera si l'utilisateur souhaite mettre à jour le mot de passe racine. Ceci est facultatif mais si un mot de passe fort n'était pas créé pendant l'installation, ce serait le bon moment pour corriger le problème!

Une fois passé l'option de changement de mot de passe, Opnsense demandera à l'utilisateur de recharger les paramètres de configuration. Cliquez simplement sur le 'Recharger' bouton et donnez à Opnsense une seconde pour actualiser la configuration et la page actuelle.

Lorsque tout sera fait, Opnsense accueillera l'utilisateur. Pour revenir au tableau de bord principal, cliquez simplement surTableau de bord' Dans le coin supérieur gauche de la fenêtre du navigateur Web.

Tableau de bord Opnsense

À ce stade, l'utilisateur sera emmené sur le tableau de bord principal et peut continuer à installer / configurer l'un des plugins ou des fonctionnalités utiles d'Opnsense! L'auteur recommande de vérifier et de mettre à niveau le système si des mises à niveau sont disponibles. Cliquez simplement sur le 'Cliquez pour vérifier les mises à jour'bouton sur le tableau de bord principal.

Options de configuration d'Opnsense

Puis sur l'écran suivant, 'Vérifier les mises à jour«Peut être utilisé pour voir une liste de mises à jour, ou 'Mettez à jour maintenant'Peut être utilisé pour simplement appliquer toutes les mises à jour disponibles.

Mises à jour d'Opnsense

À ce stade, une installation de base d'Opnsense devrait être opérationnelle et entièrement mise à jour! Dans les articles futurs, l'agrégation de liens et le routage inter-vlan seront couverts pour montrer davantage de capacités avancées d'Opnsense!