OpnSense最初是作为pfSense的分支而存在的,但已演变为一个完全独立的防火墙解决方案。本文将介绍OpnSense安装和基本初始配置。
OPNSense防火墙
与pfSense一样,OpnSense是基于FreeBSD的开源防火墙解决方案。该发行版可以免费安装在自己的设备上。OpnSense对硬件的要求不高,普通计算机都可以安装OpnSense。建议的最低的硬件规格如下:
最低硬件
-
500 MHz CPU
-
1 GB的RAM
-
4GB的存储空间
-
2个网络接口卡
建议的硬件
-
1GHz CPU
-
1 GB的RAM
-
4GB的存储空间
-
2个或更多PCI-e网络接口卡。
如果使用OpnSense的一些更高级的功能(Suricata,ClamAV服务等),则应该为系统提供更好的硬件,建议满足以下最低要求。
-
至少2.0 GHz的近代多核CPU
-
4GB以上的RAM
-
10GB +的存储空间
-
2个或更多Intel PCI-e网络接口卡
无论选择哪种硬件,安装OpnSense都非常简单,只需注意网络端口的设置(LAN,WAN,无线等)。
安装过程涉及提示用户配置LAN和WAN接口,建议在配置OpnSense之前插入WAN接口,然后再通过插入LAN接口来完成安装。
1、下载OpnSense防火墙
下载OpnSense软件,根据设备和安装方法,有几个可能的选项,本教程使用的软件为:OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 ,最新的版本为19.7。
下载并解压缩安装程序后,可以将其刻录到光盘上,也可以使用PE引导工具,将ISO文件复制到U盘上直接引导安装。当然你也可以下载img格式的安装文件,并用rufus工具写入U盘进行安装。
2、安装OpnSense防火墙
用光盘或U盘引导系统,启动后将显示以下内容。
OpnSense引导菜单
继续安装,只需按回车键。这会将OpnSense引导到 Live mode(在线模式),在这种模式下,不能保存设置,如果是安装到本地,需要使用不同的用户名和密码。当系统引导至登录提示时,请使用用户名“installer”和密码“opnsense”进行登录,就进入了本地安装模式。
OpnSense在线模式
注意:继续执行安装步骤会删除所有硬盘数据!
OpnSense安装程序
点击回车键将开始安装过程。第一步是选择keymap(键盘映射)。默认情况下,安装程序可以检测到正确的键盘映射。查看选择的键盘映射,并根据需要进行更改。
OpnSense键盘映射设置
下一步会有一些安装选项。如果用户希望进行高级分区或从另一个OpnSense导入配置,则可以在此步骤中完成。本教程为全新安装,选择“ Guided Installation ” (引导式安装)选项。
OpnSense安装类型
下面的步骤将显示已识别的可以用来安装的存储设备。
OpnSense安装设备
选择安装的存储设备后,用户将需要确定安装程序使用哪种分区方案(MBR或GPT/ EFI)。
近几年的硬件都支持GPT/EFI,但是如果用户使用的是早期计算机设备,也许只能选择MBR。可以在设备的BIOS设置中进行检查,查看其是否支持EFI/GPT。
OpnSense安装模式
选择分区方案后,安装程序将开始安装。该过程不会花费很长时间,安装过程中会提示用户输入信息,例如root用户的密码。
OpnSense安装过程
OpnSense Root密码
用户设置了Root用户的密码后,安装完成,重新启动系统。这时应该取出安装介质,重新启动系统。系统重新引导时,它将在控制台登录提示符处停止并等待用户登录。
OpnSense登录提示
使用安装期间配置的root用户和密码登录后,可以看到,OpnSense仅使用了此计算机上的一个网络接口卡(NIC)。在下图中,显示为LAN(em0)。
OpnSense网络接口
OpnSense默认将LAN接口分配“ 192.168.1.1/24”的网络。在上图中,WAN接口未显示,可以通过按‘1’ 来重新分配接口。在下图中,可以看到有两个可用接口:’em0′和’em1′。
OpnSense配置网络接口
配置向导允许使用VLAN进行非常复杂的设置,本教程只使用基本的两个网络设置,即WAN接口和LAN接口。
输入‘N’不配置任何VLAN。在本教程种,WAN接口为“ em0”,LAN接口为“ em1”。
OpnSense网络设置
输入‘Y’提示确认对接口的修改。完成后,将计算机连接到LAN接口后,打开Web浏览器输入:“http://192.168.1.1”,使用用户名“ root”和在安装过程中配置的密码登录OpnSense的Web管理后台。
OpnSense登录界面
进入后台后,自动进入安装向导,第一步要输入主机名、域名和DNS服务器。一般用户可以选中“ 覆盖DNS ”选项。这将使OpnSense防火墙能够通过WAN接口从ISP获取DNS信息。
OpnSense系统信息
下一步输入NTP服务器。如果用户没有自己的NTP系统,可以使用OpnSense提供的默认NTP服务器。
OpnSense NTP服务器
下一步是WAN接口设置。如果ISP使用DHCP为客户提供网络配置,只需将“选定类型”保留为“ DHCP”,如果是拨号用户,请选择PPPOE,并输入用户名和密码即可。
OpnSense DHCP设置
向下滚动到WAN配置页面的底部。这里有两个默认规则,用于阻止通常不应进入WAN接口的网络范围。除非有已知理由允许这些网络通过WAN接口,否则建议将其保留为选中状态!
下一步配置LAN接口,这里可以使用默认值,也可以根据需要进行修改。
OpnSense配置LAN接口
最后一步会询问用户是否要更新root密码,如果在安装过程中未创建较强的密码,那么在这里可以进行修改。完成后,OpnSense将要求用户重新加载配置。只需单击“Reload(重新加载)”按钮,然后稍等一会,让OpnSense刷新配置。
完成所有操作后,OpnSense将显示欢迎用户界面。要返回主仪表板,单击网络浏览器窗口左上角的“ Dashboard(仪表板)”。
OpnSense仪表板
回到主仪表板,可以继续安装/配置需要的OpnSense插件或功能!一般建议检查和升级系统(如果有升级)。只需单击主仪表板上的“Click to Check for Updates(单击以检查更新) ”按钮。
OpnSense配置选项
然后使用“ 检查更新 ”来查看更新列表,或者可以使用“ 立即更新 ”来简单地应用所有可用更新。
OpnSense更新
到这里,我们已经成功完成了OpnSense的安装,并对其进行了完全更新!