Cortafuegos

Cómo instalar y configurar el firewall básico de Opnsense

Cómo instalar y configurar el firewall básico de Opnsense

En un artículo anterior, se discutió una solución de firewall conocida como PFSense. A principios de 2015 se tomó una decisión de bifurcación Pfsense y una nueva solución de firewall llamada Opnsense fue lanzado.

Opnsense Comenzó su vida como un simple bifurcado de Pfsense pero se ha convertido en una solución de firewall completamente independiente. Este artículo cubrirá la instalación y la configuración inicial básica de un nuevo Opnsense instalación.

Firewall de Opnsense

Como Pfsense, Opnsense es una solución de firewall de código abierto basada en FreeBSD. La distribución es gratuita para instalarse en el propio equipo o en la empresa Decisio, vende electrodomésticos preconfigurados de firewall.

Opnsense tiene un conjunto mínimo de requisitos y una torre de origen más antigua típica se puede configurar fácilmente para funcionar como un Opnsense cortafuegos. Las especificaciones mínimas sugeridas son las siguientes:

Mínimos de hardware

  • CPU de 500 MHz
  • 1 GB de RAM
  • 4 GB de almacenamiento
  • 2 tarjetas de interfaz de red

Hardware sugerido

  • CPU de 1 GHz
  • 1 GB de RAM
  • 4 GB de almacenamiento
  • 2 o más tarjetas de interfaz de red PCI-E.

Si el lector desea utilizar algunas de las características más avanzadas de Opnsense (Suricata, clamav, servidor VPN, etc.) El sistema debe tener un mejor hardware.

Cuantos más módulos el usuario desee habilitar, más RAM/CPU/Drive Se debe incluir el espacio. Se sugiere que se cumplan los siguientes mínimos si hay planes para habilitar módulos avanzados en Opnsense.

  • CPU multinúcleo moderna que ejecuta al menos 2.0 GHz
  • 4GB+ de RAM
  • 10GB+ del espacio HD
  • 2 o más tarjetas de interfaz de red Intel PCI-E

Instalación y configuración de OpnSense Firewall

Independientemente de qué hardware se elige, instalando Opnsense es un proceso simple, pero requiere que el usuario preste mucha atención a los que se utilizarán los puertos de interfaz de red para qué propósito (LAN, WAN, Wireless, etc.).

Parte del proceso de instalación implicará pedirle al usuario que comience a configurar interfaces LAN y WAN. El autor sugiere que solo conecte la interfaz WAN hasta que OPNSENSE se haya configurado y luego continúe para finalizar la instalación conectando la interfaz LAN.

Descargar Opnsense Firewall

El primer paso es obtener el software OPNSense y hay un par de opciones diferentes disponibles según el dispositivo y el método de instalación, pero esta guía utilizará el 'OPNSENSE-18.7-openssl-dvd-amd64.Yo asi.bz2'.

El ISO se obtuvo utilizando el siguiente comando:

$ wget -c http: // espejos.nycbug.org/pub/opnsense/libates/espejo/opnsense-18.7-openssl-dvd-amd64.Yo asi.bz2

Una vez que se ha descargado el archivo, debe descomprimirse utilizando el bunzip herramienta de la siguiente manera:

$ bunzip2 opnsense-18.7-openssl-dvd-amd64.Yo asi.bz2

Una vez que el instalador ha sido descargado y descomprimido, se puede quemar a un CD o se puede copiar a un USB Conduzca con el herramienta 'DD' incluido en la mayoría de las distribuciones de Linux.

El siguiente proceso es escribir el YO ASI a un USB Conduzca para arrancar el instalador. Para lograr esto, use el herramienta 'DD' Dentro de Linux.

Primero, el nombre del disco debe ubicarse con 'lsblk' aunque.

$ lsblk
Encontrar nombres de dispositivos de disco

Con el nombre de la USB Drive determinado como '/dev/sdc', el Opnsense ISO se puede escribir en la unidad con el herramienta 'DD'.

$ sudo dd if = ~/downloads/opnsense-18.7-openssl-dvd-amd64.ISO de =/dev/sdc

Nota: El comando anterior requiere privilegios raíz, así que utilice 'sudo' o inicie sesión como el usuario root para ejecutar el comando. Además, este comando QUITAR TODO sobre el USB conducir. Asegúrese de hacer una copia de seguridad de los datos necesarios.

Instalación de Opnsense Firewall

Una vez dd ha terminado de escribir en la unidad USB, coloque los medios en la computadora que se configurará como el opnsense cortafuegos. Arrancar esa computadora a ese medio y se presentará la siguiente pantalla.

Menú de arranque de Opnsense

Para continuar con el instalador, simplemente presione el 'Ingresar' llave. Esto arrancará Opnsense en el Modo en vivo Pero un usuario especial existe para instalar Opnsense a los medios locales en su lugar.

Cuando el sistema se inicie en el mensaje de inicio de sesión, use el nombre de usuario de 'instalador' con una contraseña de 'Opnsense'.

Modo en vivo de Opnsense

Los medios de instalación iniciarán sesión y iniciarán el Opnsense instalador. PRECAUCIÓN: Continuar con los siguientes pasos dará como resultado todos los datos en el disco duro dentro del sistema que se está borrando! Proceda con precaución o salga del instalador.

Instalador de Opnsense

Golpeando el 'Ingresar' La clave iniciará el proceso de instalación. El primer paso es seleccionar el kimap. El instalador probablemente detectará el keymap adecuado de forma predeterminada. Revise el keymap seleccionado y corrígelo según sea necesario.

Configuración de Kymap de Opnsense

La siguiente pantalla proporcionará algunas opciones para la instalación. Si el usuario desea hacer una partición avanzada o importar una configuración desde otro cuadro Opnsense, esto se puede lograr en este paso. Esta guía supone una nueva instalación y seleccionará el 'Instalación guiada' opción.

Tipo de instalación de Opnsense

La siguiente pantalla mostrará los dispositivos de almacenamiento reconocidos para la instalación.

Dispositivo de instalación de Opnsense

Una vez que se selecciona el dispositivo de almacenamiento, el usuario deberá decidir qué esquema de partición es utilizado por el instalador (MBR o GPT/EFI).

La mayoría de los sistemas modernos admitirán GPT/EFI Pero si el usuario está reutilizando una computadora más antigua, MBR puede ser la única opción compatible. Verifique dentro del Biografía configuración del sistema para ver si admite EFI/GPT.

Modo de instalación de Opnsense

Una vez que se elige el esquema de partición, el instalador comenzará los pasos de instalación. El proceso no lleva mucho tiempo y solicitará al usuario información periódicamente, como la contraseña del usuario root.

Proceso de instalación de Opnsense Contraseña de root opnsense

Una vez que el usuario haya establecido la contraseña del usuario root, la instalación estará completa y el sistema deberá reiniciar para configurar la instalación. Cuando el sistema se reinicia, debe iniciar automáticamente el Opnsense Instalar (asegúrese de eliminar el medio de instalación a medida que la máquina se reinicia).

Cuando se reinicia el sistema, se detendrá en la solicitud de inicio de sesión de la consola y esperará que el usuario inicie sesión.

Información de inicio de sesión de Opnsense

Ahora, si el usuario estuviera prestando atención durante la instalación, podría haber notado que podría haber preconfigurado las interfaces durante la instalación. Sin embargo, supongamos para este artículo que las interfaces no fueron asignadas en la instalación.

Después de iniciar sesión con el usuario root y la contraseña configurados durante la instalación, se puede tener en cuenta que OpnSense solo utilizó una de las tarjetas de interfaz de red (NIC) en esta máquina. En la imagen a continuación se nombra "Lan (EM0)".

Interfaces de red Opnsense

Opnsense Valorará el estándar al estándar "192.168.1.1/24 " Red para la LAN. Sin embargo, en la imagen de arriba, falta la interfaz WAN! Esto se corrige fácilmente escribiendo '1' en la solicitud y presionando Enter.

Esto permitirá la reasignación de las NIC en el sistema. Observe en la siguiente imagen que hay dos interfaces disponibles: 'EM0' y 'EM1'.

Opnsense Configurar la interfaz de red

El asistente de configuración también permitirá configuraciones muy complejas con VLAN, pero por ahora, esta guía asume una configuración básica de dos redes; (es decir, un WAN/ISP lado y un lado lan).

Ingresar 'NORTE' para no configurar ninguna VLAN en este momento. Para esta configuración en particular, la interfaz WAN es 'EM0' y la interfaz LAN es 'EM1' Como se ve a continuación.

Configuraciones de red de Opnsense

Confirmar los cambios en las interfaces escribiendo 'Y' en el aviso. Esto hará que Opnsense recargue muchos de sus servicios para reflejar los cambios en la asignación de interfaz.

Una vez hecho esto, conecte una computadora con un navegador web a la interfaz lateral LAN. La interfaz LAN tiene un servidor DHCP que escucha en la interfaz para los clientes para que la computadora pueda obtener la información de direccionamiento necesaria para conectarse a la página de configuración web de OpnSense.

Una vez que la computadora esté conectada a la interfaz LAN, abra un navegador web y navegue a la siguiente URL: http: // 192.168.1.1.

Interfaz de inicio de sesión de Opnsense

Para iniciar sesión en la consola web; Use el nombre de usuario 'raíz' y la contraseña que se configuró durante el proceso de instalación. Una vez que se iniciara, la parte final de la instalación se completará.

El primer paso del instalador se utiliza simplemente para recopilar más información, como el nombre de host, el nombre de dominio y los servidores DNS. La mayoría de los usuarios pueden dejar el 'Anular DNS'Opción seleccionada.

Esto permitirá que Opnsense Firewall obtenga información DNS del ISP sobre la interfaz WAN.

Información del sistema Opnsense

La siguiente pantalla solicitará NTP servidor. Si el usuario no tiene sus propios sistemas NTP, OpnSense proporcionará un conjunto predeterminado de grupos de servidores NTP.

Servidores Opnsense NTP

La siguiente pantalla es la PÁLIDO configuración de la interfaz. La mayoría de los usuarios de ISP para los usuarios domésticos utilizarán DHCP para proporcionar a sus clientes la información de configuración de red necesaria. Simplemente dejando el tipo seleccionado como 'DHCP' instruirá a Opnsense que intente reunir su configuración del lado WAN del ISP.

Configuración de Opnsense DHCP

Desplácese hacia abajo hasta la parte inferior de la pantalla de configuración de WAN para continuar. ***Nota*** En la parte inferior de esta pantalla hay dos reglas predeterminadas para bloquear los rangos de red que generalmente no deben verse entrando en la interfaz WAN. Se recomienda dejar estos verificados a menos que haya una razón conocida para permitir estas redes a través de la interfaz WAN!

La siguiente pantalla es la pantalla de configuración de LAN. La mayoría de los usuarios simplemente pueden dejar los valores predeterminados. Date cuenta de que hay rangos de red especiales que deben usarse aquí, comúnmente conocidos como RFC 1918. Asegúrese de dejar el valor predeterminado o elegir un rango de red desde el interior del RFC1918 rango para evitar conflictos/problemas!

Opnsense Configurar la interfaz LAN

La pantalla final en la instalación preguntará si el usuario desea actualizar la contraseña de root. Esto es opcional, pero si una contraseña segura no se creó durante la instalación, ahora sería un buen momento para corregir el problema!

Una vez más allá de la opción de cambio de contraseña, OpnSense le pedirá al usuario que vuelva a cargar la configuración de configuración. Simplemente haga clic en el 'Recargar' botón y darle a Opnsense un segundo para actualizar la configuración y la página actual.

Cuando todo esté hecho, OpnSense dará la bienvenida al usuario. Para volver al tablero principal, simplemente haga clic ''Panel' En la esquina superior izquierda de la ventana del navegador web.

Tablero de Opnsense

En este punto, el usuario será llevado al tablero principal y puede continuar instalando/configurando cualquiera de los complementos o funcionalidades de Opnsense útiles! El autor recomienda verificar y actualizar el sistema si hay actualizaciones disponibles. Simplemente haga clic en el 'Haga clic para verificar las actualizaciones'Botón en el tablero principal.

Opciones de configuración de Opnsense

Luego en la siguiente pantalla, 'Verifique las actualizaciones'se puede usar para ver una lista de actualizaciones, o'Actualizar ahora'se puede usar para simplemente aplicar cualquier actualización disponible.

Actualizaciones de Opnsense

En este punto, una instalación básica de OPNSense debe estar en funcionamiento y completamente actualizada! En futuros artículos, la agregación de enlaces y el enrutamiento entre VLAN se cubrirán para mostrar más de las capacidades avanzadas de Opnsense!