![เหตุใดการเลือกชื่อผู้ใช้ที่คาดเดายากจึงมีความสำคัญพอๆ กับรหัสผ่าน](/f/506b17983b8d3b3a7c10922ad126b868.png?width=100&height=100)
ในบทความก่อนหน้านี้ โซลูชันไฟร์วอลล์ที่เรียกว่า PfSense ถูกกล่าวถึง ในช่วงต้นปี 2015 ได้มีการตัดสินใจแยกทาง PfSense และโซลูชั่นไฟร์วอลล์ใหม่ที่เรียกว่า OpnSense ได้รับการปล่อยตัว
OpnSense เริ่มต้นชีวิตด้วยการเป็นทางแยกง่ายๆ ของ PfSense แต่ได้พัฒนาเป็นโซลูชันไฟร์วอลล์ที่เป็นอิสระทั้งหมด บทความนี้จะครอบคลุมถึงการติดตั้งและการกำหนดค่าเริ่มต้นพื้นฐานของ new OpnSense การติดตั้ง.
ชอบ PfSense, OpnSense เป็นโซลูชันไฟร์วอลล์โอเพ่นซอร์สที่ใช้ FreeBSD การแจกจ่ายนี้สามารถติดตั้งได้ฟรีในอุปกรณ์ของตนเองหรือโดยบริษัท Decisio ซึ่งจำหน่ายอุปกรณ์ไฟร์วอลล์ที่กำหนดค่าไว้ล่วงหน้า
OpnSense มีข้อกำหนดขั้นต่ำและสามารถตั้งค่าทาวเวอร์บ้านเก่าทั่วไปให้ทำงานได้อย่างง่ายดาย OpnSense ไฟร์วอลล์ ข้อกำหนดขั้นต่ำที่แนะนำมีดังนี้:
หากผู้อ่านต้องการใช้คุณลักษณะขั้นสูงบางอย่างของ OpnSense (Suricata, ClamAV, เซิร์ฟเวอร์ VPNฯลฯ) ระบบควรได้รับฮาร์ดแวร์ที่ดีกว่า
ยิ่งผู้ใช้ต้องการเปิดใช้งานโมดูลมากเท่าใด ก็ยิ่งมากขึ้นเท่านั้น RAM/CPU/ไดรฟ์ ควรรวมพื้นที่ ขอแนะนำให้ปฏิบัติตามขั้นต่ำต่อไปนี้หากมีแผนที่จะเปิดใช้งานโมดูลขั้นสูงใน OpnSense
ไม่ว่าจะเลือกฮาร์ดแวร์ตัวไหน การติดตั้ง OpnSense เป็นกระบวนการที่เรียบง่าย แต่ต้องการให้ผู้ใช้ให้ความสนใจเป็นพิเศษกับพอร์ตอินเทอร์เฟซเครือข่ายที่จะใช้สำหรับวัตถุประสงค์ใด (LAN, WAN, Wireless ฯลฯ)
ส่วนหนึ่งของกระบวนการติดตั้งจะเกี่ยวข้องกับการแจ้งให้ผู้ใช้เริ่มกำหนดค่าอินเทอร์เฟซ LAN และ WAN ผู้เขียนแนะนำให้เสียบเฉพาะอินเทอร์เฟซ WAN จนกว่าจะกำหนดค่า OpnSense แล้วดำเนินการติดตั้งให้เสร็จสิ้นโดยเสียบอินเทอร์เฟซ LAN
ขั้นตอนแรกคือการ รับซอฟต์แวร์ OpnSense และมีตัวเลือกที่แตกต่างกันสองสามตัวขึ้นอยู่กับอุปกรณ์และวิธีการติดตั้ง แต่คู่มือนี้จะใช้OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2’.
ISO ได้รับโดยใช้คำสั่งต่อไปนี้:
$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2.
เมื่อดาวน์โหลดไฟล์แล้ว จะต้องคลายการบีบอัดโดยใช้ปุ่ม bunzip เครื่องมือดังต่อไปนี้:
$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2.
เมื่อดาวน์โหลดและคลายการบีบอัดตัวติดตั้งแล้ว ก็สามารถเบิร์นไปที่ a. ได้ ซีดี หรือสามารถคัดลอกไปที่ ยูเอสบี ขับรถกับ 'dd' เครื่องมือ รวมอยู่ในลีนุกซ์ส่วนใหญ่.
ขั้นตอนต่อไปคือการเขียน ISO เป็น ยูเอสบี ไดรฟ์เพื่อบูตตัวติดตั้ง เพื่อให้บรรลุสิ่งนี้ ให้ใช้ 'dd' เครื่องมือ ภายในลินุกซ์
อันดับแรก ชื่อดิสก์ต้องระบุด้วย 'lsblk' แม้ว่า.
$ lsblk.
ด้วยชื่อของ ยูเอสบี ไดรฟ์กำหนดเป็น '/dev/sdc', NS OpnSense ISO สามารถเขียนลงในไดรฟ์ด้วย 'dd' เครื่องมือ.
$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc.
บันทึก: คำสั่งดังกล่าวต้องใช้สิทธิ์ของรูทดังนั้นใช้ 'ซูโดะ' หรือเข้าสู่ระบบในฐานะผู้ใช้รูทเพื่อรันคำสั่ง นอกจากนี้คำสั่งนี้จะ ลบทุกอย่าง บน ยูเอสบี ขับ. อย่าลืมสำรองข้อมูลที่จำเป็น
ครั้งหนึ่ง dd เสร็จสิ้นการเขียนไปยังไดรฟ์ USB วางสื่อลงในคอมพิวเตอร์ที่จะตั้งค่าเป็น OpnSense ไฟร์วอลล์ บูตคอมพิวเตอร์เครื่องนั้นไปยังสื่อนั้นและหน้าจอต่อไปนี้จะปรากฏขึ้น
หากต้องการดำเนินการติดตั้งต่อ เพียงกด 'เข้า' กุญแจ. นี่จะบูต OpnSense เข้าไปใน โหมดสด แต่มีผู้ใช้พิเศษติดตั้งอยู่ OpnSense ให้กับสื่อท้องถิ่นแทน
เมื่อระบบบูทไปที่พรอมต์การเข้าสู่ระบบให้ใช้ชื่อผู้ใช้ของ 'ตัวติดตั้ง' ด้วยรหัสผ่านของ 'เปิดเผย'.
สื่อการติดตั้งจะเข้าสู่ระบบและเปิดใช้งานจริง OpnSense ตัวติดตั้ง ข้อควรระวัง: การทำตามขั้นตอนต่อไปนี้จะส่งผลให้ข้อมูลทั้งหมดในฮาร์ดไดรฟ์ภายในระบบถูกลบ! ดำเนินการด้วยความระมัดระวังหรือออกจากตัวติดตั้ง.
กดปุ่ม 'เข้า' คีย์จะเริ่มกระบวนการติดตั้ง ขั้นตอนแรกคือการเลือก คีย์แมป. โปรแกรมติดตั้งจะตรวจพบคีย์แมปที่เหมาะสมโดยค่าเริ่มต้น ตรวจสอบคีย์แมปที่เลือกและแก้ไขตามต้องการ..
หน้าจอถัดไปจะมีตัวเลือกบางอย่างสำหรับการติดตั้ง หากผู้ใช้ต้องการแบ่งพาร์ติชันขั้นสูงหรือนำเข้าการกำหนดค่าจากช่อง OpnSense อื่น สามารถทำได้ในขั้นตอนนี้ คู่มือนี้ถือว่ามีการติดตั้งใหม่และจะเลือก 'การติดตั้งที่แนะนำ' ตัวเลือก.
หน้าจอต่อไปนี้จะแสดงอุปกรณ์จัดเก็บข้อมูลที่รู้จักสำหรับการติดตั้ง
เมื่อเลือกอุปกรณ์จัดเก็บข้อมูลแล้ว ผู้ใช้จะต้องตัดสินใจว่าโปรแกรมติดตั้งจะใช้รูปแบบการแบ่งพาร์ติชั่นใด (MBR หรือ GPT/EFI).
ระบบสมัยใหม่ส่วนใหญ่จะรองรับ GPT/EFI แต่ถ้าผู้ใช้นำคอมพิวเตอร์เครื่องเก่ามาใช้ซ้ำ MBR อาจเป็นตัวเลือกเดียวที่รองรับ ตรวจสอบภายใน ไบออส การตั้งค่าของระบบเพื่อดูว่ารองรับหรือไม่ EFI/GPT.
เมื่อเลือกรูปแบบการแบ่งพาร์ติชันแล้ว โปรแกรมติดตั้งจะเริ่มขั้นตอนการติดตั้ง กระบวนการนี้ใช้เวลาไม่นานนักและจะแจ้งให้ผู้ใช้ทราบข้อมูลเป็นระยะ เช่น รหัสผ่านของผู้ใช้รูท
เมื่อผู้ใช้ตั้งรหัสผ่านของผู้ใช้รูทแล้ว การติดตั้งจะเสร็จสมบูรณ์และระบบจะต้องรีสตาร์ทเพื่อกำหนดค่าการติดตั้ง เมื่อระบบรีบูต ระบบควรบูตเข้าสู่ .โดยอัตโนมัติ OpnSense ติดตั้ง (ตรวจสอบให้แน่ใจว่าได้ลบสื่อการติดตั้งเมื่อเครื่องรีสตาร์ท)
เมื่อระบบรีบูต ระบบจะหยุดที่พรอมต์การเข้าสู่ระบบคอนโซลและรอให้ผู้ใช้เข้าสู่ระบบ
ตอนนี้ หากผู้ใช้ให้ความสนใจระหว่างการติดตั้ง พวกเขาอาจสังเกตเห็นว่าพวกเขาสามารถกำหนดค่าอินเทอร์เฟซไว้ล่วงหน้าระหว่างการติดตั้งได้ อย่างไรก็ตาม สมมติว่าบทความนี้ไม่ได้กำหนดอินเทอร์เฟซเมื่อทำการติดตั้ง
หลังจากเข้าสู่ระบบด้วยผู้ใช้รูทและรหัสผ่านที่กำหนดค่าไว้ระหว่างการติดตั้ง จะสังเกตได้ว่า OpnSense ใช้การ์ดอินเทอร์เฟซเครือข่าย (NIC) เพียงตัวเดียวในเครื่องนี้ ในภาพด้านล่างมีชื่อว่า “แลน (em0)”.
OpnSense จะเริ่มต้นเป็นมาตรฐาน “192.168.1.1/24” เครือข่ายสำหรับ LAN อย่างไรก็ตาม ในภาพด้านบน อินเทอร์เฟซ WAN หายไป! สิ่งนี้แก้ไขได้ง่ายโดยการพิมพ์ ‘1’
ที่พรอมต์และกด Enter
ซึ่งจะทำให้สามารถกำหนด NIC ใหม่บนระบบได้ สังเกตในภาพถัดไปว่ามีอินเทอร์เฟซสองแบบ: 'em0' และ 'em1'.
วิซาร์ดการกำหนดค่าจะอนุญาตให้มีการตั้งค่าที่ซับซ้อนมากด้วย VLAN เช่นกัน แต่สำหรับตอนนี้ คู่มือนี้จะมีการตั้งค่าเครือข่ายพื้นฐานสองแบบ (เช่น a WAN/ISP ด้านและด้าน LAN)
เข้า 'NS'
เพื่อไม่ให้กำหนดค่า VLAN ใดๆ ในขณะนี้ สำหรับการตั้งค่านี้โดยเฉพาะ อินเทอร์เฟซ WAN คือ 'em0' และอินเทอร์เฟซ LAN คือ 'em1' ดังที่เห็นด้านล่าง
ยืนยันการเปลี่ยนแปลงอินเทอร์เฟซโดยพิมพ์ 'ใช่'
ในข้อความแจ้ง สิ่งนี้จะทำให้ OpnSense โหลดบริการจำนวนมากซ้ำเพื่อสะท้อนการเปลี่ยนแปลงในการกำหนดอินเทอร์เฟซ
เมื่อเสร็จแล้ว ให้เชื่อมต่อคอมพิวเตอร์กับเว็บเบราว์เซอร์เข้ากับอินเทอร์เฟซด้าน LAN อินเทอร์เฟซ LAN มีเซิร์ฟเวอร์ DHCP กำลังฟังอินเทอร์เฟซสำหรับไคลเอ็นต์ ดังนั้นคอมพิวเตอร์จะเป็น สามารถรับข้อมูลที่อยู่ที่จำเป็นเพื่อเชื่อมต่อกับการกำหนดค่าเว็บ OpnSense หน้าหนังสือ.
เมื่อคอมพิวเตอร์เชื่อมต่อกับอินเทอร์เฟซ LAN แล้ว ให้เปิดเว็บเบราว์เซอร์และไปที่ URL ต่อไปนี้: http://192.168.1.1.
เพื่อเข้าสู่เว็บคอนโซล ใช้ชื่อผู้ใช้ 'ราก' และรหัสผ่านที่กำหนดค่าไว้ระหว่างขั้นตอนการติดตั้ง เมื่อเข้าสู่ระบบแล้ว ส่วนสุดท้ายของการติดตั้งจะเสร็จสมบูรณ์
ขั้นตอนแรกของโปรแกรมติดตั้งใช้เพื่อรวบรวมข้อมูลเพิ่มเติม เช่น ชื่อโฮสต์ ชื่อโดเมน และเซิร์ฟเวอร์ DNS ผู้ใช้ส่วนใหญ่สามารถออกจาก 'แทนที่ DNS' เลือกตัวเลือกนี้
ซึ่งจะทำให้ไฟร์วอลล์ OpnSense รับข้อมูล DNS จาก ISP ผ่านอินเทอร์เฟซ WAN
หน้าจอถัดไปจะแจ้งสำหรับ NTP เซิร์ฟเวอร์ หากผู้ใช้ไม่มีระบบ NTP ของตัวเอง OpnSense จะให้ชุดเริ่มต้นของพูลเซิร์ฟเวอร์ NTP
หน้าจอถัดไปคือ WAN การตั้งค่าอินเทอร์เฟซ ISP ส่วนใหญ่สำหรับผู้ใช้ตามบ้านจะใช้ DHCP เพื่อให้ข้อมูลการกำหนดค่าเครือข่ายที่จำเป็นแก่ลูกค้า เพียงปล่อยให้ประเภทที่เลือกเป็น 'ดีเอชซีพี' จะสั่งให้ OpnSense พยายามรวบรวมการกำหนดค่าฝั่ง WAN จาก ISP
เลื่อนลงไปที่ด้านล่างของหน้าจอการกำหนดค่า WAN เพื่อดำเนินการต่อ ***บันทึก*** ที่ด้านล่างของหน้าจอนี้มีกฎเริ่มต้นสองข้อในการบล็อกช่วงเครือข่ายที่โดยทั่วไปไม่ควรมองเห็นว่าเข้ามาในอินเทอร์เฟซ WAN ขอแนะนำให้ปล่อยให้สิ่งเหล่านี้ตรวจสอบเว้นแต่จะมีเหตุผลที่ทราบเพื่ออนุญาตเครือข่ายเหล่านี้ผ่านอินเทอร์เฟซ WAN!
หน้าจอถัดไปคือหน้าจอการกำหนดค่า LAN ผู้ใช้ส่วนใหญ่สามารถปล่อยค่าเริ่มต้นไว้ได้ ตระหนักว่ามีช่วงเครือข่ายพิเศษที่ควรใช้ที่นี่ โดยทั่วไปเรียกว่า อาร์เอฟซี 1918. ตรวจสอบให้แน่ใจว่าได้ใช้ค่าเริ่มต้นหรือเลือกช่วงเครือข่ายจากภายใน RFC1918 ช่วงเพื่อหลีกเลี่ยงความขัดแย้ง/ปัญหา!
หน้าจอสุดท้ายในการติดตั้งจะถามว่าผู้ใช้ต้องการอัปเดตรหัสผ่านรูทหรือไม่ นี่เป็นทางเลือก แต่ถ้าไม่ได้สร้างรหัสผ่านที่รัดกุมระหว่างการติดตั้ง ตอนนี้ก็เป็นเวลาที่ดีที่จะแก้ไขปัญหา!
เมื่อผ่านตัวเลือกการเปลี่ยนรหัสผ่านแล้ว OpnSense จะขอให้ผู้ใช้โหลดการตั้งค่าการกำหนดค่าใหม่ เพียงคลิก 'โหลดซ้ำ' และให้ OpnSense สักครู่เพื่อรีเฟรชการกำหนดค่าและหน้าปัจจุบัน
เมื่อทุกอย่างเสร็จสิ้น OpnSense จะต้อนรับผู้ใช้ หากต้องการกลับไปที่แดชบอร์ดหลัก เพียงคลิก 'แผงควบคุม' ที่มุมซ้ายบนของหน้าต่างเว็บเบราว์เซอร์
ณ จุดนี้ ผู้ใช้จะถูกนำไปที่แดชบอร์ดหลัก และสามารถติดตั้ง/กำหนดค่าปลั๊กอิน OpnSense หรือฟังก์ชันการทำงานใดๆ ที่เป็นประโยชน์ต่อไปได้! ผู้เขียนไม่แนะนำให้ตรวจสอบและอัปเกรดระบบหากมีการอัปเกรด เพียงคลิกที่ 'คลิกเพื่อตรวจสอบการอัปเดต' ปุ่มบนแดชบอร์ดหลัก
จากนั้นในหน้าจอถัดไป 'ตรวจสอบสำหรับการอัพเดต' สามารถใช้เพื่อดูรายการอัปเดตหรือ 'อัพเดทตอนนี้’ สามารถใช้เพื่อปรับใช้การอัปเดตที่มีอยู่อย่างง่ายดาย
ณ จุดนี้การติดตั้ง OpnSense แบบพื้นฐานควรเปิดใช้งานและอัปเดตอย่างสมบูรณ์แล้ว! ในบทความต่อๆ ไป เราจะกล่าวถึงการรวมลิงก์และการกำหนดเส้นทางระหว่าง VLAN เพื่อแสดงความสามารถขั้นสูงของ OpnSense!