OPNsense防火墙安装和基本配置

OpnSense最初是作为pfSense的分支而存在的,但已演变为一个完全独立的防火墙解决方案。本文将介绍OpnSense安装和基本初始配置。

OPNSense防火墙OPNSense防火墙

与pfSense一样,OpnSense是基于FreeBSD的开源防火墙解决方案。该发行版可以免费安装在自己的设备上。OpnSense对硬件的要求不高,普通计算机都可以安装OpnSense。建议的最低的硬件规格如下:

最低硬件

  • 500 MHz CPU
  • 1 GB的RAM
  • 4GB的存储空间
  • 2个网络接口卡

建议的硬件

  • 1GHz CPU
  • 1 GB的RAM
  • 4GB的存储空间
  • 2个或更多PCI-e网络接口卡。

如果使用OpnSense的一些更高级的功能(Suricata,ClamAV,VPN服务器等),则应该为系统提供更好的硬件,建议满足以下最低要求。

  • 至少2.0 GHz的近代多核CPU
  • 4GB以上的RAM
  • 10GB +的存储空间
  • 2个或更多Intel PCI-e网络接口卡

OpnSense防火墙的安装和配置

无论选择哪种硬件,安装OpnSense都非常简单,只需注意网络端口的设置(LAN,WAN,无线等)。

安装过程涉及提示用户配置LAN和WAN接口,建议在配置OpnSense之前插入WAN接口,然后再通过插入LAN接口来完成安装。

1、下载OpnSense防火墙

下载OpnSense软件,根据设备和安装方法,有几个可能的选项,本教程使用的软件为:OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2,最新的版本为19.7。

下载并解压缩安装程序后,可以将其刻录到光盘上,也可以使用PE引导工具,将ISO文件复制到U盘上直接引导安装。当然你也可以下载img格式的安装文件,并用rufus工具写入U盘进行安装。

2、安装OpnSense防火墙

用光盘或U盘引导系统,启动后将显示以下内容。

OpnSense引导菜单OpnSense引导菜单

继续安装,只需按回车键。这会将OpnSense引导到 Live mode(在线模式),在这种模式下,不能保存设置,如果是安装到本地,需要使用不同的用户名和密码。当系统引导至登录提示时,请使用用户名“installer”和密码“opnsense”进行登录,就进入了本地安装模式。

OpnSense实时模式OpnSense在线模式

注意:继续执行安装步骤会删除所有硬盘数据!

OpnSense安装程序OpnSense安装程序

点击回车键将开始安装过程。第一步是选择keymap(键盘映射)。默认情况下,安装程序可以检测到正确的键盘映射。查看选择的键盘映射,并根据需要进行更改。

OpnSense键盘映射设置OpnSense键盘映射设置

下一步会有一些安装选项。如果用户希望进行高级分区或从另一个OpnSense导入配置,则可以在此步骤中完成。本教程为全新安装,选择“ Guided Installation ” (引导式安装)选项。

OpnSense安装类型OpnSense安装类型

下面的步骤将显示已识别的可以用来安装的存储设备。

OpnSense安装设备OpnSense安装设备

选择安装的存储设备后,用户将需要确定安装程序使用哪种分区方案(MBR或GPT/ EFI)。

近几年的硬件都支持GPT/EFI,但是如果用户使用的是早期计算机设备,也许只能选择MBR。可以在设备的BIOS设置中进行检查,查看其是否支持EFI/GPT

OpnSense安装模式OpnSense安装模式

选择分区方案后,安装程序将开始安装。该过程不会花费很长时间,安装过程中会提示用户输入信息,例如root用户的密码。

OpnSense安装过程OpnSense安装过程

OpnSense根密码OpnSense Root密码

用户设置了Root用户的密码后,安装完成,重新启动系统。这时应该取出安装介质,重新启动系统。系统重新引导时,它将在控制台登录提示符处停止并等待用户登录。

OpnSense登录提示OpnSense登录提示

使用安装期间配置的root用户和密码登录后,可以看到,OpnSense仅使用了此计算机上的一个网络接口卡(NIC)。在下图中,显示为LAN(em0)

OpnSense网络接口OpnSense网络接口

OpnSense默认将LAN接口分配“ 192.168.1.1/24”的网络。在上图中,WAN接口未显示,可以通过按‘1’ 来重新分配接口。在下图中,可以看到有两个可用接口:’em0′’em1′

OpnSense配置网络接口OpnSense配置网络接口

配置向导允许使用VLAN进行非常复杂的设置,本教程只使用基本的两个网络设置,即WAN接口和LAN接口。

输入‘N’不配置任何VLAN。在本教程种,WAN接口为“ em0”,LAN接口为“ em1”。

OpnSense网络配置OpnSense网络设置

输入‘Y’提示确认对接口的修改。完成后,将计算机连接到LAN接口后,打开Web浏览器输入:“http://192.168.1.1”,使用用户名“ root”和在安装过程中配置的密码登录OpnSense的Web管理后台。

OpnSense登录界面OpnSense登录界面

进入后台后,自动进入安装向导,第一步要输入主机名、域名和DNS服务器。一般用户可以选中“ 覆盖DNS ”选项。这将使OpnSense防火墙能够通过WAN接口从ISP获取DNS信息。

OpnSense系统信息OpnSense系统信息

下一步输入NTP服务器。如果用户没有自己的NTP系统,可以使用OpnSense提供的默认NTP服务器。

OpnSense NTP服务器OpnSense NTP服务器

下一步是WAN接口设置。如果ISP使用DHCP为客户提供网络配置,只需将“选定类型”保留为“ DHCP”,如果是拨号用户,请选择PPPOE,并输入用户名和密码即可。

OpnSense DHCP设置OpnSense DHCP设置

向下滚动到WAN配置页面的底部。这里有两个默认规则,用于阻止通常不应进入WAN接口的网络范围。除非有已知理由允许这些网络通过WAN接口,否则建议将其保留为选中状态!

下一步配置LAN接口,这里可以使用默认值,也可以根据需要进行修改。

OpnSense配置LAN接口OpnSense配置LAN接口

最后一步会询问用户是否要更新root密码,如果在安装过程中未创建较强的密码,那么在这里可以进行修改。完成后,OpnSense将要求用户重新加载配置。只需单击“Reload(重新加载)”按钮,然后稍等一会,让OpnSense刷新配置。

完成所有操作后,OpnSense将显示欢迎用户界面。要返回主仪表板,单击网络浏览器窗口左上角的“ Dashboard(仪表板)”。

OpnSense仪表板OpnSense仪表板

回到主仪表板,可以继续安装/配置需要的OpnSense插件或功能!一般建议检查和升级系统(如果有升级)。只需单击主仪表板上的“Click to Check for Updates(单击以检查更新) ”按钮。

OpnSense配置选项OpnSense配置选项

然后使用“ 检查更新 ”来查看更新列表,或者可以使用“ 立即更新 ”来简单地应用所有可用更新。

OpnSense更新OpnSense更新

到这里,我们已经成功完成了OpnSense的安装,并对其进行了完全更新!