基本的な OpnSense ファイアウォールをインストールおよび構成する方法
以前の記事では、PfSense として知られるファイアウォール ソリューションについて説明しました。 2015 年の初めにPfSense をフォークすることが決定され、OpnSense と呼ばれる新しいファイアウォール ソリューションがリリースされました。
OpnSense は PfSense の単純なフォークとして誕生しましたが、完全に独立したファイアウォール ソリューションに進化しました。この記事では、 新しいOpnSense インストールのインストールと基本的な初期構成について説明します。
PfSense と同様、OpnSense は FreeBSD ベースのオープンソース ファイアウォール ソリューションです。このディストリビューションは、自分の機器に無料でインストールできます。また、事前構成されたファイアウォール アプライアンスを販売している Decisio 社もインストールできます。
OpnSense には最小限の要件があり、典型的な古いホームタワーをOpnSense ファイアウォールとして実行するように簡単にセットアップできます。推奨される最小仕様は次のとおりです。
ハードウェアの最小要件
- 500MHz CPU
- 1GBのRAM
- 4GBのストレージ
- ネットワーク インターフェイス カード 2 枚
推奨されるハードウェア
- 1GHz CPU
- 1GBのRAM
- 4GBのストレージ
- 2 枚以上の PCI-e ネットワーク インターフェイス カード。
読者がOpnSense のより高度な機能 (Suricata、ClamAV、VPN サーバーなど) を利用したい場合、システムにはより優れたハードウェアが与えられる必要があります。
ユーザーが有効にしたいモジュールが多いほど、 より多くのRAM/CPU/ ドライブスペースを含める必要があります。 OpnSense で高度なモジュールを有効にする計画がある場合は、次の最小値を満たすことが推奨されます。
- 少なくとも 2.0 GHz で動作する最新のマルチコア CPU
- 4GB以上のRAM
- 10GB以上のHDスペース
- 2 枚以上の Intel PCI-e ネットワーク インターフェイス カード
OpnSense ファイアウォールのインストールと構成
どのハードウェアを選択するかに関係なく、OpnSense のインストールは簡単なプロセスですが、ユーザーはどのネットワーク インターフェイス ポートがどの目的 (LAN、WAN、ワイヤレスなど) に使用されるかについて細心の注意を払う必要があります。
インストール プロセスの一部には、ユーザーに LAN および WAN インターフェイスの構成を開始するよう求めるプロンプトが含まれます。著者は、OpnSense が設定されるまでは WAN インターフェイスのみを接続し、その後 LAN インターフェイスに接続してインストールを完了することを推奨しています。
OpnSense ファイアウォールのダウンロード
最初のステップは OpnSense ソフトウェアを入手することです。デバイスとインストール方法に応じていくつかの異なるオプションが利用可能ですが、このガイドでは「OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2」を利用します。強い>』。
ISO は次のコマンドを使用して取得しました。
wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2
ファイルをダウンロードしたら、次のようにbunzip ツールを使用して解凍する必要があります。
bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2
インストーラーをダウンロードして解凍したら、CD に書き込むか、「dd」 ツールを使用してUSB ドライブにコピーできます。 ほとんどの Linux ディストリビューションに含まれています。
次のプロセスでは、ISO をUSB ドライブに書き込み、インストーラーを起動します。これを行うには、Linux 内の「dd」 ツールを使用します。
ただし、まず、ディスク名を「lsblk」で見つける必要があります。
lsblk
USB ドライブの名前が '/dev/sdc' であると、OpnSense ISO を次の形式でドライブに書き込むことができます。 >「dd」 ツールです。
sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc
注: 上記のコマンドには root 権限が必要なため、「sudo」 を利用するか、root ユーザーとしてログインしてコマンドを実行してください。また、このコマンドはUSB ドライブ上のすべてを削除します。必要なデータは必ずバックアップしてください。
OpnSense ファイアウォールのインストール
dd による USB ドライブへの書き込みが完了したら、opnsense ファイアウォールとして設定するコンピュータにメディアを置きます。そのコンピュータをそのメディアから起動すると、次の画面が表示されます。
インストーラーに進むには、「Enter」 キーを押すだけです。これによりOpnSenseはライブ モードで起動しますが、代わりにOpnSenseをローカル メディアにインストールするための特別なユーザーが存在します。
システムが起動してログイン プロンプトが表示されるときは、ユーザー名 「installer」 とパスワード 「opnsense」 を使用します。
インストール メディアはログインし、実際のOpnSense インストーラーを起動します。 注意: 次の手順を続行すると、システム内のハード ドライブ上のすべてのデータが消去されます。慎重に続行するか、 インストーラーを終了してください。
「Enter」 キーを押すと、インストール プロセスが開始されます。最初のステップはキーマップを選択することです。インストーラーはデフォルトで適切なキーマップを検出する可能性があります。選択したキーマップを確認し、必要に応じて修正します。
次の画面では、インストールに関するいくつかのオプションが表示されます。ユーザーが高度なパーティショニングを実行したい場合、または別の OpnSense ボックスから構成をインポートしたい場合は、このステップで実行できます。このガイドは新規インストールを前提としており、「ガイド付きインストール」オプションを選択します。
次の画面には、インストール用に認識されたストレージ デバイスが表示されます。
ストレージ デバイスを選択したら、ユーザーはインストーラーがどのパーティション スキーム (MBR または GPT/EFI) を使用するかを決定する必要があります。
最新のシステムのほとんどはGPT/EFIをサポートしますが、ユーザーが古いコンピュータを再利用する場合は、MBRがサポートされる唯一のオプションである可能性があります。システムのBIOS設定内でEFI/GPTをサポートしているかどうかを確認してください。
パーティション構成が選択されると、インストーラーはインストール手順を開始します。このプロセスには特に長い時間はかかりませんが、root ユーザーのパスワードなどの情報の入力をユーザーに定期的に求められます。
ユーザーが root ユーザーのパスワードを設定すると、インストールは完了します。インストールを構成するにはシステムを再起動する必要があります。システムが再起動すると、OpnSense インストールが自動的に起動します (マシンの再起動時に必ずインストール メディアを取り外してください)。
システムが再起動すると、コンソールのログイン プロンプトで停止し、ユーザーのログインを待ちます。
ここで、ユーザーがインストール中に注意を払っていた場合、インストール中にインターフェイスを事前設定できた可能性があることに気づいたかもしれません。ただし、この記事では、インストール時にインターフェイスが割り当てられなかったと仮定します。
インストール中に設定された root ユーザーとパスワードを使用してログインすると、OpnSense がこのマシン上のネットワーク インターフェイス カード (NIC) の 1 つだけを利用していることがわかります。下の画像では「LAN (em0) 」 という名前が付けられています。
OpnSense は、デフォルトで LAN の標準の「192.168.1.1/24 」 ネットワークになります。ただし、上の画像では WAN インターフェイスがありません。これは、プロンプトで 「1」
と入力して Enter キーを押すことで簡単に修正できます。
これにより、システム上の NIC を再割り当てできるようになります。次の画像では、「em0」 と 「em1」 という 2 つのインターフェースが使用できることに注目してください。
構成ウィザードでは、VLAN を使用した非常に複雑なセットアップも可能ですが、現時点では、このガイドでは基本的な 2 つのネットワークのセットアップを前提としています。 (つまりWAN/ISP側とLAN側)。
現時点で VLAN を構成しない場合は、「'N'
」と入力します。この特定の設定では、以下に示すように、WAN インターフェイスは「em0」 で、LAN インターフェイスは「em1」 です。
プロンプトに 「Y」
と入力して、インターフェイスへの変更を確認します。これにより、OpnSense は多くのサービスをリロードして、インターフェイス割り当てへの変更を反映します。
完了したら、Web ブラウザを備えたコンピュータを LAN 側インターフェイスに接続します。 LAN インターフェイスにはクライアントのインターフェイスをリッスンする DHCP サーバーがあるため、コンピューターは OpnSense Web 構成ページに接続するために必要なアドレス情報を取得できます。
コンピュータが LAN インターフェイスに接続されたら、Web ブラウザを開いて次の URL に移動します: http://192.168.1.1。
Web コンソールにログインするには;ユーザー名 「root」 とインストール プロセス中に設定したパスワードを使用します。ログインすると、インストールの最後の部分が完了します。
インストーラーの最初のステップは、ホスト名、ドメイン名、DNS サーバーなどの詳細情報を単純に収集するために使用されます。ほとんどのユーザーは、[DNS をオーバーライド] オプションを選択したままにすることができます。
これにより、OpnSense ファイアウォールが WAN インターフェイス経由で ISP から DNS 情報を取得できるようになります。
次の画面ではNTP サーバーの入力を求められます。ユーザーが独自の NTP システムを持っていない場合、OpnSense は NTP サーバー プールのデフォルト セットを提供します。
次の画面はWAN インターフェースの設定です。ホーム ユーザー向けのほとんどの ISP は、DHCP を使用して顧客に必要なネットワーク構成情報を提供します。選択したタイプを「DHCP」のままにすると、OpnSense は ISP から WAN 側の設定を収集しようとします。
続行するには、WAN 設定画面の一番下までスクロールします。この画面の下部にある***注*** は、通常、WAN インターフェイスへの侵入が見られないネットワーク範囲をブロックするための 2 つのデフォルト ルールです。 WAN インターフェイス経由でこれらのネットワークを許可する既知の理由がない限り、これらをオンのままにすることをお勧めします。
次の画面はLAN設定画面です。ほとんどのユーザーはデフォルトのままで問題ありません。ここでは、一般にRFC 1918 と呼ばれる、使用する必要がある特別なネットワーク範囲があることに注意してください。競合や問題を避けるために、必ずデフォルトのままにするか、RFC1918 範囲内からネットワーク範囲を選択してください。
インストールの最後の画面では、root パスワードを更新するかどうかを尋ねられます。これはオプションですが、インストール中に強力なパスワードが作成されなかった場合は、今が問題を修正する良い機会です。
パスワード変更オプションを通過すると、OpnSense はユーザーに構成設定を再ロードするように求めます。 「再読み込み」 ボタンをクリックするだけで、OpnSense が構成と現在のページを更新するまで少し時間がかかります。
すべてが完了すると、OpnSense がユーザーを歓迎します。メイン ダッシュボードに戻るには、Web ブラウザ ウィンドウの左上隅にある [ダッシュボード] をクリックします。
この時点で、ユーザーはメイン ダッシュボードに移動し、便利な OpnSense プラグインや機能のインストール/構成を続けることができます。著者は、アップグレードが利用可能な場合はシステムを確認し、アップグレードすることをお勧めします。メイン ダッシュボードの [クリックしてアップデートを確認] ボタンをクリックするだけです。
次の画面では、[アップデートの確認] を使用してアップデートのリストを表示するか、[今すぐアップデート] を使用して利用可能なアップデートを適用することができます。
この時点で、OpnSense の基本インストールが起動して実行され、完全に更新されているはずです。今後の記事では、リンク アグリゲーションと VLAN 間ルーティングについて取り上げ、OpnSense の高度な機能をさらに紹介する予定です。