基本的なOpnSenseファイアウォールをインストールして設定する方法


以前の記事では、PfSenseと呼ばれるファイアウォールソリューションについて説明しました。 2015年初頭には、 PfSense をフォークすることが決定され、 OpnSense という新しいファイアウォールソリューションがリリースされました。

OpnSense は、 PfSense の単なるフォークとして始まりましたが、完全に独立したファイアウォールソリューションへと進化しました。この記事では、新しい OpnSense インストールのインストールと基本的な初期設定について説明します。

PfSense と同様に、 OpnSense はFreeBSDベースのオープンソースファイアウォールソリューションです。ディストリビューションは、自分の機器にインストールしても、Decisio社にインストールしても構いません。事前設定済みのファイアウォールアプライアンスを販売しています。

OpnSense には最小限の要件があり、一般的な古いホームタワーは OpnSense ファイアウォールとして実行するように簡単に設定できます。推奨される最小仕様は以下のとおりです。

  • 500 mhz CPU
  • 1 GB of RAM
  • 4GB of storage
  • 2 network interface cards
  • 1GHz CPU
  • 1 GB of RAM
  • 4GB of storage
  • 2 or more PCI-e network interface cards.

読者が OpnSense のより高度な機能(Suricata、ClamAV、VPNサーバーなど)を利用したい場合は、システムにハードウェアを追加する必要があります。

ユーザーが有効にしたいモジュールが多いほど、 RAM/CPU/Drive スペースを増やす必要があります。 OpnSenseで事前モジュールを有効にする計画がある場合は、以下の最小値を満たすことをお勧めします。

  • Modern multi-core CPU running at least 2.0 GHz
  • 4GB+ of RAM
  • 10GB+ of HD space
  • 2 or more Intel PCI-e network interface cards

OpnSenseファイアウォールのインストールと設定

どのハードウェアを選択しても、 OpnSense のインストールは簡単ですが、ユーザーはどのネットワークインターフェイスポートをどの目的に使用するか(LAN、WAN、ワイヤレスなど)に細心の注意を払う必要があります。

インストールプロセスの一部には、LANおよびWANインターフェイスの設定を開始するようにユーザーに促すことが含まれます。作者は、OpnSenseが設定されるまでWANインターフェースのみを差し込むことを提案してから、LANインターフェースを差し込むことによってインストールを終了することを進めます。

最初のステップはOpnSenseソフトウェアを入手することです、そしてデバイスとインストール方法によって利用可能な2、3の異なるオプションがあります、しかしこのガイドは ' OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2 '。

ISOは次のコマンドを使用して取得されました。

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

ファイルがダウンロードされたら、次のように bunzip ツールを使用して解凍する必要があります。

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

インストーラをダウンロードして解凍したら、 CD に書き込むか、 'dd'ツールを使って USB ドライブにコピーできます。ほとんどのLinuxディストリビューションに含まれています。

次のプロセスは、 ISO USB ドライブに書き込んでインストーラを起動することです。これを実現するには、Linuxで「dd」ツールを使用します。

まず、ディスク名は「 lsblk 」で指定する必要があります。

$ lsblk

USB ドライブの名前を '/ dev/sdc' に設定すると、 OpnSense ISO でドライブに書き込むことができます。 > 'dd'ツール

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

dd がUSBドライブへの書き込みを終了したら、 OpnSense ファイアウォールとして設定されるメディアをメディアに入れます。そのメディアでそのコンピュータを起動すると、次の画面が表示されます。

インストーラを続行するには、 Enterキーを押してください。これで OpnSense Liveモードに起動しますが、代わりにローカルメディアに OpnSense をインストールする特別なユーザーがいます。

システムがログインプロンプトで起動したら、「インストーラ」のユーザー名と「opnsense」のパスワードを使用します。

インストールメディアがログインし、実際の OpnSense インストーラーを起動します。 注意:次の手順を続けると、システム内のハードドライブのすべてのデータが消去されます。慎重に進むか、インストーラを終了してください。

Enterキーを押すとインストールが始まります。最初のステップは、[キーマップ]を選択することです。インストーラはデフォルトで適切なキーマップを検出するでしょう。選択したキーマップを確認し、必要に応じて修正してください。

次の画面はインストールのためのいくつかのオプションを提供します。ユーザーが高度なパーティショニングを行いたい、または別のOpnSenseボックスから設定をインポートしたい場合、これはこのステップで達成できます。このガイドでは新規インストールを想定しており、[ガイド付きインストール]オプションを選択します。

次の画面には、インストール対象として認識されているストレージデバイスが表示されます。

ストレージデバイスを選択したら、ユーザーはどのパーティション設定をインストーラで使用するかを決定する必要があります( MBR または GPT/EFI )。

最近のほとんどのシステムは GPT/EFI をサポートしますが、ユーザーが古いコンピュータを再利用している場合は、 MBR がサポートされている唯一のオプションとなるでしょう。システムの BIOS 設定を確認して、 EFI/GPT をサポートしているかどうかを確認します。

分割方式が選択されると、インストーラはインストール手順を開始します。このプロセスにはそれほど時間はかかりません。また、rootユーザーのパスワードなど、定期的にユーザーに情報の入力を求めるプロンプトが表示されます。

ユーザーがrootユーザーのパスワードを設定すると、インストールは完了し、インストールを設定するためにシステムを再起動する必要があります。システムが再起動すると、自動的に OpnSense インストールで起動します(コンピュータの再起動時に必ずインストールメディアを取り外してください)。

システムが再起動すると、コンソールのログインプロンプトで停止し、ユーザーがログインするのを待ちます。

インストール中にユーザーが注意を払っていたのであれば、インストール中にインターフェイスを事前設定している可能性があることに気付いたかもしれません。ただし、この記事では、インストール時にインターフェースが割り当てられていないとします。

インストール中に設定されたrootユーザーとパスワードでログインした後、OpnSenseはこのマシンのネットワークインターフェースカード(NIC)のうちの1つだけを利用したことに注意することができます。下の画像では、“ LAN(em0)” という名前です。

OpnSense は、デフォルトでLAN用の標準の“ 192.168.1.1/24” ネットワークに設定されます。しかし、上の図では、WANインターフェイスがありません。これは、プロンプトに '1' を入力してEnterキーを押すことで簡単に修正できます。

これにより、システム上のNICの再割り当てが可能になります。次の図では、 ‘em0’ ‘em1’ の2つのインターフェースが利用可能であることに注目してください。

設定ウィザードでもVLANを使った非常に複雑な設定が可能ですが、今のところ、このガイドでは基本的な2つのネットワーク設定を想定しています。 (つまり、 WAN/ISP 側とLAN側)。

現時点でVLANを設定しないようにするには、 'N' を入力します。この特定の設定では、下に示すように、WANインターフェースは「em0」、LANインターフェースは「em1」です。

プロンプトに 'Y' と入力して、インターフェイスへの変更を確認します。これにより、OpnSenseはインターフェース割り当てへの変更を反映するためにそのサービスの多くをリロードします。

完了したら、Webブラウザ付きのコンピュータをLAN側のインタフェースに接続します。 LANインターフェースにはDHCPサーバーがクライアントのインターフェースをlistenしているため、コンピューターはOpnSense Web設定ページに接続するために必要なアドレス指定情報を取得できます。

コンピュータがLANインターフェイスに接続されたら、ウェブブラウザを開いて次のURLに移動します。 http://192.168.1.1

Webコンソールにログインします。ユーザー名 ‘root’ とインストールプロセス中に設定されたパスワードを使用してください。ログインすると、インストールの最後の部分が完了します。

インストーラの最初のステップでは、ホスト名、ドメイン名、DNSサーバーなどの詳細情報を簡単に収集します。ほとんどのユーザーは[ DNSを上書き]オプションを選択したままにできます。

これにより、OpnSenseファイアウォールはWANインターフェースを介してISPからDNS情報を取得することができます。

次の画面で NTP サーバーの入力を求められます。ユーザーが自分のNTPシステムを持っていない場合、OpnSenseはデフォルトのNTPサーバープールのセットを提供します。

次の画面は WAN インターフェイスの設定です。ホームユーザー向けのほとんどのISPは、DHCPを使用して顧客に必要なネットワーク構成情報を提供します。選択したタイプを[ 'DHCP' ]のままにすると、OpnSenseはISPからWAN側の設定を収集しようとします。

WAN設定画面の一番下までスクロールして続行します。この画面の下部にある ***注*** は、通常WANインターフェースに入ってくるのを見るべきではないネットワーク範囲をブロックするための2つのデフォルトルールです。 WANインターフェイスを介してこれらのネットワークを許可する既知の理由がない限り、これらをチェックしたままにしておくことをお勧めします。

次の画面はLAN設定画面です。ほとんどのユーザーは単にデフォルトのままにすることができます。一般に RFC 1918 と呼ばれる、ここで使用する必要がある特別なネットワーク範囲があることを認識してください。競合や問題を回避するため、必ずデフォルトのままにするか、 RFC1918 の範囲内からネットワーク範囲を選択してください。

インストールの最後の画面で、ユーザーがrootパスワードを更新したいかどうかを尋ねられます。これはオプションですが、インストール中に強力なパスワードが作成されなかった場合は、ここで問題を解決するのに良いタイミングです。

パスワード変更オプションを過ぎると、OpnSenseはユーザーに構成設定の再読み込みを要求します。 [ [再読み込み] ]ボタンをクリックして、OpnSenseに少し時間をかけて設定と現在のページを更新します。

すべてが完了したら、OpnSenseはユーザーを歓迎します。メインダッシュボードに戻るには、ウェブブラウザウィンドウの左上隅にある[ダッシュボード]をクリックします。

この時点で、ユーザーはメインダッシュボードに移動し、便利なOpnSenseプラグインや機能をインストール/設定し続けることができます。アップグレードが利用可能な場合、作者はシステムをチェックしてアップグレードすることをお勧めします。メインダッシュボードの[クリックしてアップデートを確認]ボタンをクリックするだけです。

次に、次の画面で[更新を確認]を使用して更新の一覧を表示するか、[今すぐ更新]を使用して利用可能な更新を単に適用できます。

この時点で、OpnSenseの基本インストールは完全に更新されているのと同様に起動して実行されているはずです。今後の記事では、リンクアグリゲーションとVLAN間ルーティングについて説明し、OpnSenseの高度な機能の詳細を説明します。

全著作権所有。 © Linux-Console.net • 2019-2022