Open-Source-Firewall OPNsense installieren und konfigurieren


    Tags: ,

    Open-Source-Firewall OPNsenseOPNsense ist eine Open-Source-Firewall auf Basis des gehärteten Betriebs­systems Hardened­BSD. Sie lässt sich direkt auf der Hard­ware oder als virtu­elle Appliance betreiben. Ihr Funktions­umfang steht kommer­ziellen Produkten in nichts nach. Diese An­leitung er­läutert die ersten Schritte beim Ein­satz von OPNsense.

    Im Jahr 2014 hat sich OPNsense von der pfsense und m0n0wall abgespalten, das Projekt wird seitdem getrennt weiter­entwickelt. Für die Entwickler von OPNsense steht der Open-Source-Gedanke im Mittelpunkt. Ihrer Meinung nach konzentriert sich pfsense zu stark auf die Ver­marktung.

    Die wichtigsten Funktionen

    Zu den Fähigkeiten gehören ein automatisches Backup, Quality of Service (QoS), Zwei-Faktor-Authentifizierung (2FA), OpenVPN, IPSec, Hochverfügbarkeit mittels Common Address Redundancy Protocol (CARP), Captive Portal, Proxy, Webfilter, Intrusion Detection & Prevention (IDPS) sowie Netflow. Die Konfiguration erfolgt über ein aufgeräumtes Web-Dashboard oder den Konsolen­zugriff über SSH. Die Funktionen der Software werden im Detail auf dieser Seite beschrieben.

    Für diesen Artikel erstellen wir eine Installation mit Hyper-V als Basis. Eine solche Konfiguration eignet sich besonders gut für ein Lab zur Evaluierung der Firewall. Weitere Hilfe bei der Installation gibt es im offiziellen Wiki.

    Virtuelle Maschine erstellen

    Beim Anlegen der neuen VM für OPNsense entscheiden wir uns für den Typ Generation 2. Beim RAM liegt das Minimum bei 1GB, bei einem geringeren Wert schlägt die Installation fehl. Für einen Basisbetrieb (im Lab) ist 1GB ausreichend, wenn jedoch ressourcen­intensive Funktionen verwendet werden, dann braucht man mehr. Die Empfehlung liegt bei 4GB.

    Die VM für OPNsense benötigt mindestens 1GB vRAM, damit die Installation gelingt.

    Wir verbinden dann noch den Netzwerk­adapter mit dem virtuellen Switch.

    Netzwerk der OPNsense-VM konfigurieren

    Anschließend erstellen wir eine virtuelle Disk mit 32GB Speicher­kapazität. Sollen ausführliche Logs geschrieben werden, kann man die Größe entsprechend erhöhen oder einen separaten Syslog-Server verwenden. Das Laufwerk ist standardmäßig auf dynamisch eingestellt. Im produktiven Einsatz kann es aber von Vorteil sein, die VHD als fixed zu konfigurieren.

    Das virtuelle Laufwerk für OPNsense sollte ausreichend dimensioniert werden.

    Schließlich weisen wir noch das ISO-Image mit den OPNsense-Dateien der VM als virtuelles DVD-Laufwerk zu. Von diesem kann die virtuelle Maschine dann starten.

    ISO mit den Installationsdateien von OPNsense dem DVD-Laufwerk der VM zuweisen.

    Virtuelle Maschine anpassen

    Um von einem ISO-Image zu booten, empfiehlt es sich, Secure Boot für die Installation auszuschalten.

    Secure Boot in den Einstellungen der VM vor der Installation deaktivieren

    Außerdem fügen eine zweite Netzwerkkarte hinzu. Möchte man, dass die virtuelle OPNsense-Firewall zusammen mit dem Host automatisch startet, dann konfiguriert man die Startaktion entsprechend.

    VM mit der OPNsense-Firewall automatisch starten, wenn der Host hochfährt.

    Da das WAN in unserem Beispiel von der deutschen Telekom zur Verfügung gestellt wird, geben wir als VLAN Tag (ID) 7 an. Somit wird der Port als Access-Port konfiguriert.

    VLAN ID für den WAN-Adapter festlegen

    Installation von OPNSense vorbereiten

    Die Basis­konfiguration erfolgt bereits bei der Installation und beginnt direkt beim ersten Systemstart. Das Setup erkennt in unserer Konfiguration die beiden zuvor definierten Netzwerk­adapter (hn0 und hn1).

    Im Zuge der Basiskonfiguration kann man auch die VLANs anpassen.

    Danach können wir mit der Eingabe von "y" bereits das VLAN definieren. Man muss hier die Netzwerk­karte, auf dem das VLAN betrieben wird, festlegen. Als VLAN tag (ID) für das WAN geben wir erneut 7 an. Mit Bestätigen ohne weitere Angaben kann die Erstellung des VLAN abgeschlossen werden.

    Zuordnung der Interfaces zu LAN, WAN und OPT

    Um zu bestimmen, welche Interfaces für LAN, WAN und OPT zugeordnet werden, startet man eine automatische Ermittlung mit Eingabe eines "a". Für ein dediziertes Interface kann man dessen Namen angeben, in diesem Beispiel nehmen wir das zuvor erstellte VLAN 7.

    Als LAN-Interface wählen wir die erste Netzwerk­karte. Das OPT-Interface überspringen wir, da unser virtueller Server nur zwei Netzwerk­adapter hat, und fahren mit der Konfiguration fort.

    Installationsroutine ausführen

    Ist die Basis­konfiguration abgeschlossen, dann beginnt die eigentliche Installation. Die Kennung, unter der man sich anmeldet, entscheidet, ob OPNsense installiert oder im Live-Modus verwendet werden soll.

    Wählt man root als Login-Name, dann startet der Live-Modus. Dieser verliert allerdings die gesamte Konfiguration beim nächsten Herunter­fahren oder Neustart. Durch Anmelden unter installer startet die Installations­routine. Das Passwort ist in beiden Fällen "opnsense".

    Abhängig vom Anmeldenamen start das Live-System oder die Installation.

    Gleich am Anfang legt man das Tastaturlayout und Schriftarten fest.

    Danach besteht die Möglichkeit, eventuell vorhandene Konfigurationen und config files von pfsense zu importieren. Im nächsten Schritt wählen wir den Datenträger aus, auf den das System installiert werden soll.

    Laufwerk auswählen, auf das OPNsense installiert werden soll.

    Es folgt danach die Entscheidung zwischen MBR und UEFI.

    Auswählen, ob OPNsense für ein MBR- oder UEFI-System installiert wird.

    Bei älteren Systemen kann es sinnvoll sein, mbr mode zu wählen, um eine möglichst hohe Kompatibilität zu gewährleisten.

    Auf das Anlegen der Swap-Partition folgt das Ändern des Standard­passworts. Dabei wird das zuvor eingestellte Tastatur-Layout verwendet.

    Mit dem Abschluss der Installation steht ein Reboot an

    Mit dem Reboot endet die Installationsroutine.

    Konfiguration des Netzwerks

    Die Standard­anmelde­daten nach der Installation sind "root" als Username und "opnsense" als Passwort. Den User "installer" gibt es an diese Stelle nicht mehr. Per Vorgabe hat das Interface "LAN" die IP Adresse 192.168.1.1.

    IP-Konfiguration auf der Konsole anpassen

    Zum Ändern der IP-Konfiguration bietet sich das Menü der Konsole an. Unter Punkt 2 kann man die IP-Adresse der Adapter, die IPv6-Unterstützung sowie DHCP-Optionen anpassen.

    IP-Einstellungen wie DHCP oder Netmask konfigurieren

    Nun haben wird die grundlegenden Einstellungen gesetzt und die Browser-Konsole ist auf der konfigurierten IP-Adresse erreichbar.

    Abschliessende Konfiguration auf der GUI

    Beim ersten Start der GUI (http://<IP-Adresse>) kann man weitere Einstellungen per Wizard festlegen.

    Hier bestimmt man den Hostname, die Domain, die DNS-Server und Sprache. "Override DNS" ermöglicht es, die DNS-Server vom DHCP-Lease des WAN-Anschlusses zu übernehmen.

    Allgemeine Einstellungen für OPNsense festlegen über den Web-basierten Wizard

    OPNsense kommt bereits mit einem Pool an NTP-Servern. Alternativ kann man hier auch seinen eigenen angeben.

    Time-Server eintragen für OPNsense

    Die folgenden Dialoge erlauben noch das Anpassen des WAN- und LAN-Interface, außerdem erhält man nochmals die Gelegenheit, das Passwort zu ändern.

    WAN-Interface über den Wizanrd konfigurieren

    Die OPNsense-Firewall ist nun einsatzbereit und filtert bereits Pakete.

    Keine Kommentare