Ricerca nel sito web

Come installare e configurare il firewall OpnSense di base

In un articolo precedente è stata discussa una soluzione firewall nota come PfSense. All'inizio del 2015 è stata presa la decisione di biforcare PfSense ed è stata rilasciata una nuova soluzione firewall chiamata OpnSense.

OpnSense ha iniziato la sua vita come un semplice fork di PfSense ma si è evoluto in una soluzione firewall completamente indipendente. Questo articolo tratterà l'installazione e la configurazione iniziale di base di una nuova installazione di OpnSense.

Come PfSense, OpnSense è una soluzione firewall open source basata su FreeBSD. La distribuzione è installabile gratuitamente sulla propria attrezzatura oppure la società Decisio vende apparecchi firewall preconfigurati.

OpnSense ha una serie minima di requisiti e una tipica torre domestica più vecchia può essere facilmente configurata per funzionare come firewall OpnSense. Le specifiche minime suggerite sono le seguenti:

Minimi hardware

  • Processore da 500 MHz
  • 1 GB di RAM
  • 4 GB di spazio di archiviazione
  • 2 schede di interfaccia di rete

Hardware consigliato

  • Processore da 1 GHz
  • 1 GB di RAM
  • 4 GB di spazio di archiviazione
  • 2 o più schede di interfaccia di rete PCI-e.

Se il lettore desidera utilizzare alcune delle funzionalità più avanzate di OpnSense (Suricata, ClamAV, server VPN, ecc.), il sistema dovrebbe disporre di un hardware migliore.

Quanti più moduli l'utente desidera abilitare, maggiore sarà lo spazio RAM/CPU/Drive da includere. Si suggerisce di soddisfare i seguenti requisiti minimi se si prevede di abilitare moduli avanzati in OpnSense.

  • Moderna CPU multi-core con almeno 2,0 GHz
  • Oltre 4 GB di RAM
  • Oltre 10 GB di spazio su disco rigido
  • 2 o più schede di interfaccia di rete Intel PCI-e

Installazione e configurazione del firewall OpnSense

Indipendentemente dall'hardware scelto, l'installazione di OpnSense è un processo semplice ma richiede che l'utente presti molta attenzione a quali porte dell'interfaccia di rete verranno utilizzate per quale scopo (LAN, WAN, Wireless, ecc.).

Parte del processo di installazione richiederà all'utente di iniziare a configurare le interfacce LAN e WAN. L'autore suggerisce di collegare l'interfaccia WAN solo finché OpnSense non è stato configurato e quindi di procedere con il completamento dell'installazione collegando l'interfaccia LAN.

Download del firewall OpnSense

Il primo passo è ottenere il software OpnSense e sono disponibili un paio di opzioni diverse a seconda del dispositivo e del metodo di installazione, ma questa guida utilizzerà il file 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

L'ISO è stato ottenuto utilizzando il seguente comando:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Una volta scaricato, il file deve essere decompresso utilizzando lo strumento bunzip come segue:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Una volta scaricato e decompresso, il programma di installazione può essere masterizzato su un CD oppure copiato su un'unità USB con lo strumento 'dd'< incluso nella maggior parte delle distribuzioni Linux.

Il processo successivo consiste nel scrivere l'ISO su un'unità USB per avviare il programma di installazione. A tale scopo, utilizza lo strumento "dd" all'interno di Linux.

Innanzitutto, il nome del disco deve essere individuato con "lsblk".

lsblk

Con il nome dell'unità USB determinato come '/dev/sdc', l'OpnSense ISO può essere scritto sull'unità con strumento "dd".

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Nota: il comando precedente richiede i privilegi di root, quindi utilizza 'sudo' o accedi come utente root per eseguire il comando. Inoltre, questo comando RIMUOVERÀ TUTTO sull'unità USB. Assicurati di eseguire il backup dei dati necessari.

Installazione del firewall OpnSense

Una volta che dd ha finito di scrivere sull'unità USB, inserisci il supporto nel computer che verrà configurato come firewall opnsense. Avvia il computer su quel supporto e verrà presentata la seguente schermata.

Per continuare con il programma di installazione, premi semplicemente il tasto "Invio". Ciò avvierà OpnSense nella modalità Live ma esiste invece un utente speciale per installare OpnSense sui media locali.

Quando il sistema si avvia alla richiesta di accesso, utilizza il nome utente di 'installer' con una password di 'opnsense'.

Il supporto di installazione accederà e avvierà il programma di installazione OpnSense vero e proprio. ATTENZIONE: se si continua con i passaggi seguenti, tutti i dati presenti sul disco rigido del sistema verranno cancellati! Procedi con cautela o esci dal programma di installazione.

Premendo il tasto "Invio" si avvierà il processo di installazione. Il primo passo è selezionare la mappa tasti. Probabilmente il programma di installazione rileverà la mappa dei tasti corretta per impostazione predefinita. Rivedi la mappa dei tasti selezionata e correggila secondo necessità.

La schermata successiva fornirà alcune opzioni per l'installazione. Se l'utente desidera eseguire un partizionamento avanzato o importare una configurazione da un altro box OpnSense, è possibile farlo in questo passaggio. Questa guida presuppone una nuova installazione e selezionerà l'opzione "Installazione guidata".

La schermata seguente visualizzerà i dispositivi di archiviazione riconosciuti per l'installazione.

Una volta selezionato il dispositivo di archiviazione, l'utente dovrà decidere quale schema di partizionamento verrà utilizzato dal programma di installazione (MBR o GPT/EFI).

La maggior parte dei sistemi moderni supporterà GPT/EFI ma se l'utente sta riutilizzando un computer più vecchio, MBR potrebbe essere l'unica opzione supportata. Controlla nelle impostazioni BIOS del sistema per vedere se supporta EFI/GPT.

Una volta scelto lo schema di partizionamento, il programma di installazione inizierà i passaggi di installazione. Il processo non richiede molto tempo e richiederà periodicamente all'utente informazioni come la password dell'utente root.

Una volta che l'utente ha impostato la password dell'utente root, l'installazione sarà completa e il sistema dovrà riavviarsi per configurare l'installazione. Quando il sistema si riavvia, dovrebbe avviarsi automaticamente l'installazione di OpnSense (assicurati di rimuovere il supporto di installazione al riavvio della macchina).

Quando il sistema si riavvia, si fermerà al prompt di accesso della console e attenderà che l'utente effettui l'accesso.

Ora, se l'utente avesse prestato attenzione durante l'installazione, avrebbe potuto notare che avrebbe potuto preconfigurare le interfacce durante l'installazione. Tuttavia, per questo articolo presupponiamo che le interfacce non siano state assegnate al momento dell'installazione.

Dopo aver effettuato l'accesso con l'utente root e la password configurati durante l'installazione, si può notare che OpnSense ha utilizzato solo una delle schede di interfaccia di rete (NIC) su questa macchina. Nell'immagine qui sotto è denominato “LAN (em0) ”.

OpnSense utilizzerà per impostazione predefinita la rete "192.168.1.1/24" standard per la LAN. Tuttavia, nell'immagine sopra, manca l'interfaccia WAN! Questo può essere facilmente corretto digitando '1' al prompt e premendo invio.

Ciò consentirà la riassegnazione delle schede NIC sul sistema. Nota nell'immagine successiva che sono disponibili due interfacce: 'em0' e 'em1'.

La procedura guidata di configurazione consentirà configurazioni molto complesse anche con VLAN, ma per ora questa guida presuppone una configurazione di base a due reti; (ovvero un lato WAN/ISP e un lato LAN).

Inserisci 'N' per non configurare alcuna VLAN in questo momento. Per questa particolare configurazione, l'interfaccia WAN è 'em0' e l'interfaccia LAN è 'em1' come mostrato di seguito.

Conferma le modifiche alle interfacce digitando 'Y' nel prompt. Ciò farà sì che OpnSense ricarichi molti dei suoi servizi per riflettere le modifiche all'assegnazione dell'interfaccia.

Una volta terminato, collega un computer dotato di browser Web all'interfaccia lato LAN. L'interfaccia LAN dispone di un server DHCP in ascolto sull'interfaccia per i client in modo che il computer possa ottenere le informazioni di indirizzo necessarie per connettersi alla pagina di configurazione Web di OpnSense.

Una volta collegato il computer all'interfaccia LAN, aprire un browser Web e accedere al seguente URL: http://192.168.1.1.

Per accedere alla console web; utilizzare il nome utente 'root' e la password configurata durante il processo di installazione. Una volta effettuato l'accesso, la parte finale dell'installazione sarà completata.

Il primo passaggio del programma di installazione viene utilizzato per raccogliere semplicemente più informazioni come nome host, nome di dominio e server DNS. La maggior parte degli utenti può lasciare selezionata l'opzione "Sostituisci DNS".

Ciò consentirà al firewall OpnSense di ottenere informazioni DNS dall'ISP tramite l'interfaccia WAN.

La schermata successiva richiederà i server NTP. Se l'utente non dispone di propri sistemi NTP, OpnSense fornirà un set predefinito di pool di server NTP.

La schermata successiva è la configurazione dell'interfaccia WAN. La maggior parte degli ISP per utenti domestici utilizzerà DHCP per fornire ai propri clienti le informazioni necessarie sulla configurazione di rete. Lasciando semplicemente il tipo selezionato come 'DHCP' si istruirà OpnSense a tentare di raccogliere la propria configurazione lato WAN dall'ISP.

Scorri verso il basso fino alla fine della schermata di configurazione WAN per continuare. ***Nota*** nella parte inferiore di questa schermata ci sono due regole predefinite per bloccare gli intervalli di rete che generalmente non dovrebbero essere visti entrare nell'interfaccia WAN. Si consiglia di lasciarli selezionati a meno che non esista un motivo noto per consentire a queste reti attraverso l'interfaccia WAN!

La schermata successiva è la schermata di configurazione LAN. La maggior parte degli utenti può semplicemente lasciare le impostazioni predefinite. Tieni presente che esistono intervalli di rete speciali che dovrebbero essere utilizzati qui, comunemente indicati come RFC 1918. Assicurati di lasciare l'impostazione predefinita o di scegliere un intervallo di rete dall'intervallo RFC1918 per evitare conflitti/problemi!

La schermata finale dell'installazione chiederà se l'utente desidera aggiornare la password di root. Questo è facoltativo, ma se durante l'installazione non è stata creata una password complessa, ora sarebbe il momento giusto per correggere il problema!

Una volta superata l'opzione di modifica della password, OpnSense chiederà all'utente di ricaricare le impostazioni di configurazione. Basta fare clic sul pulsante "Ricarica" e concedere a OpnSense un secondo per aggiornare la configurazione e la pagina corrente.

Al termine, OpnSense darà il benvenuto all'utente. Per tornare alla dashboard principale, fai semplicemente clic su "Dashboard" nell'angolo in alto a sinistra della finestra del browser web.

A questo punto, l'utente verrà indirizzato alla dashboard principale e potrà continuare a installare/configurare qualsiasi utile plug-in o funzionalità OpnSense! L'autore consiglia di controllare e aggiornare il sistema se sono disponibili aggiornamenti. Basta fare clic sul pulsante "Fai clic per verificare gli aggiornamenti" nella dashboard principale.

Quindi, nella schermata successiva, è possibile utilizzare "Verifica aggiornamenti" per visualizzare un elenco di aggiornamenti oppure "Aggiorna ora" per applicare semplicemente eventuali aggiornamenti disponibili.

A questo punto, un'installazione di base di OpnSense dovrebbe essere attiva e completamente aggiornata! Nei prossimi articoli verranno trattati l'aggregazione dei collegamenti e il routing inter-VLAN per mostrare altre funzionalità avanzate di OpnSense!