Установка фаервола OPNsense 20.x для гибридного обалка RackCorp

Резюме:

Настроить OPNsense достаточно просто, если у вас есть прямой доступ к «голому железу» (bare metal) или есть виртуализация рабочего стола, где можно определить внутренние сетевые адаптеры / сети, которые можно использовать для управления со стороны локальной сети.

Однако, поскольку мы настраиваемся в гибридном публичном/частном облаке, без настройки терминала управления (ВМ) в той же подсети, что и сеть LAN, мы не сможем управлять и настраивать OPNsense, поскольку заблокированный интерфейс WAN является единственным открытым для "внешнего мира". Кроме того, ограниченная конфигурация предоставляется через его шелл.

Мы хотим, чтобы некоторые управляющие порты (должным образом защищенные) были доступны для Интернета.

Для нашего гибридного облака мы поменяем местами публичный и частный интерфейсы в OPNsense.
Это противоположно ожидаемому процессу установки. Мы делаем это, потому что интерфейс LAN имеет предустановленное правило «разрешить все», которое позволяет нам входить в портал управления.

Это позволит нам легко настроить систему удаленно через веб-браузер, а затем мы снова изменим настройки на общедоступный IP-адрес на интерфейсе WAN и частный IP-адрес на интерфейсах LAN.

Общие шаги по запуску OPNsense 20 на RackCorp Hybrid заключаются в следующем: 

Установить ISO

Организовать доступ к веб-интерфейсу (Web GUI)

Создать правило для фаервола на интерфейсе WAN для удаленного управления

Переназначить/поменять местами интерфейсы LAN/WAN

Обновить IP-адрес для интерфейсов LAN/WAN

IP-адрес WAN, включенный в это руководство, приведен только для примера. Пожалуйста, замените его на тот, который Вам предоставили сотрудники RackCorp

image-1637654675114.png


1. Установить ISO 

OPNsense назначает свои интерфейсы сетевым адаптерам (NIC) в том порядке, в котором они назначены на портале RackCorp, начиная с интерфейса LAN.

Итак, давайте «поменяем местами» интерфейсы, чтобы мы могли войти на веб-страницу управления:

1. Начните со следующей конфигурации портала RackCorp и OPNsense на вашей виртуальной машине RackCorp:

RackCorp vNIC ID RackCorp vNIC Label IP VLAN OPNsense Interface
NIC 1 Public 116.206.80.210 /27 <your assigned VLAN>
Public VLAN1 for Demo
LAN (vtnet0)
NIC 2 Private 10.0.0.1 /24 <your assigned VLAN> Public VLAN1 for Demo WAN (vtnet1)

Когда конфигурация верна, на портале Rackcorp загорится зеленый свет.


2. Следуйте инструкциям по загрузке и установке opnsense 20.x, используя файл образа ISO.
2.1 Смонтируйте ISO-образ установщика OPNsense на портале RackCorp, а затем загрузите виртуальную машину.

image-1637655239952.png

2.2 Живая среда загружается при необязательной установке.

Не запускайте назначение интерфейса во время загрузки, если вы собираетесь установить на HD.

image-1637655296211.png

2.3 После загрузки установите систему на диск, используя следующие учетные данные:

Login: installer
password: opnsense

Следуйте инструкциям по установке на жесткий диск. Значения по умолчанию подходят для установки на один диск. После завершения следуйте инструкциям, чтобы перезагрузить установку opnsense и ИЗВЛЕЧЬТЕ ISO-образ с портала RackCorp.

image-1637655411184.png


2. Организовать доступ к веб-интерфейсу (Web GUI) 

3. После установки, Opnsense загрузится в меню консоли, которая имеет встроенный мастер установки. Он помогает пользователю настроить свою сетевую карту LAN, сетевую карту WAN, любую третичную сетевую карту, например DMZ или управляющую сетевую карту, а также адресацию IPv4 / 6 и DHCP.

3.1 УСТАНОВИТЕ IP-ИНТЕРФЕЙС для WAN
Выберите NONE, это очистит интерфейс и позволит нам переназначить.

3.2 УСТАНОВИТЕ IP-ИНТЕРФЕЙС для LAN
Выберите 116.206.80.210/27 согласно таблице.

Поскольку в этом примере используется 27-битная подсеть, наш шлюз - .193, наш максимальный хост - .223.

Для DNS используйте RackCorp NS1 110.232.116.249 или Google DNS 8.8.8.8

Interface LAN
DHCP No
New LAN IP 116.206.80.210
Subnet 27
Gateway 116.206.80.193
Gateway as name server No
IPv4 Name server 8.8.88
IPv6 LAN Interface via WAN Tracking: No
IPv6 LAN Interface via DHCP: No
IPv6 Address: <enter> for none
LAN DHCP Server: n
HTTP fallback for web GUI n

4. После ввода IP-адреса LAN вы сможете получить доступ через веб-браузер. Вы увидите вводный мастер установки, но не забудьте пропустить страницу настройки WAN. Тспользуя учетные данные, войдите на веб-страницу OPNsense. Щелкните логотип вверху слева, чтобы пропустить мастер настройки.

После того, как мы вошли на страницу управления OPNsense, это подтверждение того, что мы можем получить доступ к системе.

image-1637655966988.png


3. Создать правило для фаервола на интерфейсе WAN для удаленного управления 

5. Добавьте псевдоним для определения портов управления. Брандмауэр (Firewall)-> Псевдонимы (Aliases). В этом примере мы используем порты 80, 443, 8080.
[Сохранить]. [Применить]

image-1637655998622.png


6. Добавьте правило переадресации порта WAN в Firewall -> Rules -> WAN.

Protocol: TCP
Source Port: Any
Destination port range Start: <Your alias name> Scroll UP in the list to find it.
Destination port range End: <Your alias name> Scroll UP in the list to find it.
Log Packets: Enabled

[Save]. [Apply].

image-1637656148345.png


4. Переназначить/поменять местами интерфейсы LAN/WAN

7. Интерфейсы (Interfaces)-> Назначения (Assignments). Сравните настройки здесь с данными на портале Rackcorp.

На данный момент мы должны находится: LAN-интерфейс с публичным IP-адресом, установленным в OPNsense, и WAN-интерфейс без WAN-IP (a LAN Interface with public IP set in OPNsense and WAN interface with no WAN IP set).

Поскольку наш Port Forward, который позволит нам получить доступ к интерфейсу управления извне, теперь определен, мы можем поменять местами интерфейсы. Вам необходимо поменять местами оба интерфейса на портале OPNsense .

7.1 На портале OPNense (Интерфейсы (Interfaces)-> Назначения (Assignments)) поменяйте местами настройки
(LAN) -> VTNET1 RackCorp NIC 2
(WAN) -> VTNET0 RackCorp NIC 1