Kategorie:OPNsense/Installation

Aus Foxwiki

topic kurze Beschreibung

Beschreibung

Installation

Download

links, an installation guide[1] and the checksums for the images can be found below as well.

Download and verification

The OPNsense distribution can be downloaded from one of our mirrors.

The OpenSSL tool is used for file verification. 4 files are needed for verification:

  • The bzip compressed ISO file (<filename>.iso.bz2)
  • The SHA-256 checksum file (<filename>.sha256)
  • The signature file (<filename>.sig)
  • The openssl public key (<filename>.pub)

These files can be downloaded from one of the download mirrors. To download them:

  1. Go to the OPNSense download page.
  2. After selecting a mirror, right click the download button and click “open in new tab”.
  3. A popup will appear asking if you want to download the image. Say “no” for now.
  4. Remove the file name after the last slash in the URL bar, and press enter. This will take you to the directory listing for that mirror.

I.e. If you wanted to download from the US East Coast mirror:

Opening the link in a new tab would take you to this link:

mirror.wdc1.us.leaseweb.net/opnsense/releases/22.7/OPNsense-22.7-OpenSSL-dvd-amd64.iso.bz2

You should take off the file name at the end, like this:

mirror.wdc1.us.leaseweb.net/opnsense/releases/22.1/

The OpenSSL public key is required to verify against. This file is also on the mirror directory listing page, however you should not trust the copy there. Download it, open it up, and verify that the public key matches the one from other sources. If it does not, the mirror may have been hacked, or you may be the victim of a man-in-the-middle attack. Some other sources to get the public key from include:

  • https://pkg.opnsense.org/releases/mirror/README
  • https://forum.opnsense.org/index.php?board=11.0
  • https://opnsense.org/blog/
  • https://github.com/opnsense/changelog/tree/master/community
  • https://pkg.opnsense.org (/<FreeBSD version & architecture>/<release version>/sets/changelog.txz) (lands signed and verified in the GUI of the running software)

Note that only release announcements with images (typically all major releases) contain the public key. I.e. 22.1 would have a copy of the public key in the release announcement, but 22.1.9 would not.

Once you have downloaded all the required files and a copy of the public key, and verified that the public key matches the public key from the alternate sources listed above, you can be relatively certain that the key has not been tampered with. To verify the downloaded image, run the following commands (substituting the names in brackets for the files you downloaded):

openssl base64 -d -in <filename>.sig -out /tmp/image.sig

openssl dgst -sha256 -verify <key>.pub -signature /tmp/image.sig <image>.img.bz2

Make sure to change the “img” to “iso” in the second line if you downloaded a different installer type.

If the output of the second command is “Verified OK”, your image was verified successfully, and you can install it. If it has any other output, you may have made an error using the commands, or the image may have been compromised.

Installation eines Routers mit OPNsense

Um einen Router zu erstellen, benötigt man einen Computer mit zwei Netzwerkkarten und ein Bootmedium mit OPNsense.

  1. ein OPNsense VGA-Image von der Herstellerseite runterladen
  2. mit dem Befehl Disc-Dump auf einem Datenträger (Bootmedium) installieren
  3. den Datenträger in den Computer stecken und von diesem booten
  4. nachdem der PC hochgefahren ist, mit dem Login "installer" und dem Passwort "opnsense" anmelden
  5. Start des Installationsvorganges, zuerst zweimal bestätigen und dann auf "Guided installation" gehen
  6. eine Partition auswählen auf der OPNsense installiert wird und ein Installationsmodus (MBR mode)
  7. die "swap-Partition" bestätigen
  8. das Passwort des Benutzers "root" erstellen
  9. den Router neustarten
  10. die Installation ist jetzt abgeschlossen
  11. mit einem Gerät das im Netzwerk des OPNsense-Routers ist, kann man den Router im Webbrowser unter https://192.168.1.1 konfigurieren nach der Anmeldung startet der Einrichtungs-wizard

Virtuelle Netzwerke und virtuelle Maschine erzeugen

Laden Sie zunächst das offizielle stabile amd64-DVD-Image von der OPNsense-Downloadseite herunter, entpacken Sie die heruntergeladene bz2-Datei und legen Sie die entpackte ISO-Datei auf auf dem Virtualisierungs-Host ab.

Erzeugen Sie eine neue virtuelle Maschine - Dimensionierungsbeispiel:

  • OS: FreeBSD x64
  • 2 CPU
  • 100 GB Festplattenspeicher
  • 8 GB Arbeitsspeicher
  • 3 Netzwerkkarten mit Zugriff auf das interne LAN-Netzwerk mit folgenden VLANs:
    • VLAN 10 untagged für LAN_MANAGEMENT
    • VLAN 11 für LAN_SERVER
    • VLAN 12 für LAN_CLIENTS
  • 1 Netzwerkkarte mit Zugriff auf das externe WAN-Netzwerk

Wählen Sie in den Einstellungen zur virtuellen Maschine als CD-Laufwerk die Datenspeicher-ISO-Datei und geben Sie den Speicherort der oben heruntergeladenen OPNsense-ISO-Datei an. Wählen Sie zudem die Option "beim Einschalten verbinden".

Nach dem Start der virtuellen Maschine öffnen Sie das Konsolenfenster. Nun sollte der textbasierte Installationsassistent von OPNsense zu sehen sein.

Installation des Betriebssystems

Folgende Schritte sind bei der Installation zu durchlaufen:

  • Anmeldung mit Benutzernamen "installer" und Passwort "opnsense"
  • Start der Installation mit "OK, let's go"
  • Keymap mit "Change keymap" umstellen auf "de.kbd"
  • Akzeptieren der Umgebungseinstellungen mit "Accept these settings"
  • Geführte Installation einleiten mit "Guided installation"
  • Auswahl der Festplatte, auf der OPNsense installiert werden soll
  • Installationsmodus festlegen auf "GPT/UEFI mode"
  • Vorgeschlagene Swap-Partitionsgröße mit "Yes" bestätigen
  • root-Passwort festlegen
  • Neustart des Systems

Nach dem Neustart müssen in der Regel noch die virtuellen Netzwerkkarten richtig zugewiesen werden.

  • Die Netzwerkkarten heißen im System je nach verwendeter (virtueller) Hardware z. B. em0, em1, ... oder igb0, igb1, ... oder hn0, hn1, ...
  • Melden Sie sich zunächst an der OPNsense-Konsole als root an und wählen Sie die Option "1) Assign Interfaces".
  • VLANs werden hier nicht benötigt, da diese bereits über den Virtualisierungshost den virtuellen Netzwerkkarten zugewiesen wurden.
  • Suchen Sie im Virtualisierungshost nach den MAC-Adressen der 4 virtuellen OPNsense-Netzwerkkarten und ordnen Sie anschließend die richtigen Netzwerkkarten-Namen zu.

Die weitere Konfiguration erfolgt überwiegend über die Web-Schnittstelle von OPNsense.

  • Diese erreichen Sie nun innerhalb des Schulnetzes (intern) mit der auf der OPNsense-Konsole angezeigten LAN-IP-Adresse meist

Zugangsdaten

  • Benutzername: root
  • Passwort: <haben Sie während des Installationsprozesses selbst vergeben>

Syntax

Parameter

Optionen

Umgebungsvariablen

Exit-Status

Konfiguration

Erste Konfiguration über die Web-Schnittstelle

Rufen Sie die Web-Schnittstelle auf und melden Sie sich an. Beim ersten Start der Web-Oberfläche führt Sie ein Setup-Wizard durch wichtige Bestandteile der Erstkonfiguration. Hierbei sind folgende Angaben empfehlenswert:

General Information
  • Hostnamen: z. B. opnsense
  • Domain: z. B. schulnetz.intra
  • Haken bei "Allow DNS servers to be overriden by DHCP/PPP on WAN", sofern sie den DNS-Server Ihres Internet-Providers verwenden wollen.
Unbound DNS
  • Haken bei "Enable Resolver"
Time Server Information
  • Timezone: Europe/Berlin
Configure WAN Interface
  • IPv4 Configuration Type: DHCP, sofern sie von Ihrem Internet-Provider eine IP zugewiesen bekommen
  • Haken bei "Block RFC1918 Private Networks"
  • Haken bei "Block bogon networks"
Configure LAN Interface
  • LAN IP Address: z. B. 10.1.0.1
  • Subnet Mask: z. B. 20

Nach Klick auf "Reload" werden die Einstellungen neu geladen. Sofern sie die LAN-IP-Adresse geändert haben, müssen Sie im Browser die neue IP eingeben, um die Web-Oberfläche wieder erreichen zu können. Sie können diesen Setup-Wizard zu einem späteren Zeitpunkt erneut unter System/Setup Wizard aufrufen.

Hinweis

Sofern Sie für die WAN-Einstellungen nicht DHCP verwenden, sollten Sie unter Interfaces → WAN das IPv4-Upstream-Gateway nicht auf dem Wert "Auto" belassen, sondern explizit ein Gateway angeben. Mit der Einstellung "Auto" kann es an diversen Stellen zu unvorhersehbarem Verhalten kommen.

DNS-Weiterleitungen aktivieren

Damit DNS-Anfragen von Clients im Schulnetz von OPNsense an einen externen Nameserver weitergeleitet werden, muss die Option zur Weiterleitung der DNS-Anfragen aktiviert werden:

Services/Unbound DNS/General
  • Haken bei: DNS Query Forwarding

Installation des VMWare-Plugins

Sofern Sie OPNsense als virtuelle Maschine unter VMWare betreiben, empfiehlt sich, zur Performance-Steigerung das VMWare-Plugin zu installieren:

System/Firmware/Plugins/os-vmware → Install

SSH-Zugriff aktivieren

Sofern Sie mit einem SSH-Client auf die Konsole (z. B. via Putty) oder das Dateisystem (z. B. via WinSCP) von OPNSense zugreifen möchten, müssen Sie den SSH-Server aktivieren:

System / Settings / Administration / Secure Shell
  • Secure Shell Server: Haken bei: Enable Secure Shell

Sofern sie kein Zertifikat zur Authentifizierung verwenden:

  • Root Login: Haken bei: Permit root user login
  • Authentication Method: Haken bei: Permit password login

Anwendung

Sicherheit

Dokumentation

RFC

Man-Pages

Info-Pages

Siehe auch

Links

Projekt-Homepage

Weblinks

Einzelnachweise


Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5

Seiten in der Kategorie „OPNsense/Installation“

Folgende 5 Seiten sind in dieser Kategorie, von 5 insgesamt.

O

Abgerufen von „https://wiki.foxtom.de/index.php?title=Kategorie:OPNsense/Installation&oldid=48074