Установка OPNsense 20.x для гибридного обалка RackCorp

Резюме:

Настроить OPNsense достаточно просто, если у вас есть прямой доступ к «голому железу» (bare metal) или есть виртуализация рабочего стола, где можно определить внутренние сетевые адаптеры / сети, которые можно использовать для управления со стороны локальной сети.

Однако, поскольку мы настраиваемся в гибридном публичном/частном облаке, без настройки терминала управления (ВМ) в той же подсети, что и сеть LAN, мы не сможем управлять и настраивать OPNsense, поскольку заблокированный интерфейс WAN является единственным открытым для "внешнего мира". Кроме того, ограниченная конфигурация предоставляется через его шелл.

Мы хотим, чтобы некоторые управляющие порты (должным образом защищенные) были доступны для Интернета.

Для нашего гибридного облака мы поменяем местами публичный и частный интерфейсы в OPNsense.
Это противоположно ожидаемому процессу установки. Мы делаем это, потому что интерфейс LAN имеет предустановленное правило «разрешить все», которое позволяет нам входить в портал управления.

Это позволит нам легко настроить систему удаленно через веб-браузер, а затем мы снова изменим настройки на общедоступный IP-адрес на интерфейсе WAN и частный IP-адрес на интерфейсах LAN.

Общие шаги по запуску OPNsense 20 на RackCorp Hybrid заключаются в следующем:

Установить ISO

ПОрганизо~~лучи~~ватеь доступ к веб-интерфейсу (Web GUI)

Создать правило для фаервола на интерфейсе WAN для удаленного управления

Переназначить/поменять местами интерфейсы LAN/WAN

ПОбнов~~торно введ~~ит~~е правил~~ь~~ный~~ IP-адрес для интерфейсов LAN/WAN

IP-адрес WAN, включенный в это руководство, приведен только для примера. Пожалуйста, замените его на тот, который Вам предоставили сотрудники RackCorp

1. Установить ISO.

OPNsense назначает свои интерфейсы сетевым адаптерам (NIC) в том порядке, в котором они назначены на портале RackCorp, начиная с интерфейса LAN.

Итак, давайте «поменяем местами» интерфейсы, чтобы мы могли войти на веб-страницу управления:

1. Начните со следующей конфигурации портала RackCorp и OPNsense на вашей виртуальной машине RackCorp:

RackCorp vNIC ID	RackCorp vNIC Label	IP	VLAN	OPNsense Interface
NIC 1	Public	116.206.80.210 /27	<your assigned VLAN> Public VLAN1 for Demo	LAN (vtnet0)
NIC 2	Private	10.0.0.1 /24	<your assigned VLAN> Public VLAN1 for Demo	WAN (vtnet1)

Когда конфигурация верна, на портале Rackcorp загорится зеленый свет.

Не забудьте добавить сети VLAN
Для демонстрации мы оставили метки vNIC по умолчанию. Если метки vNIC сбивают с толку, вы можете определить их на основе интерфейса, например Частный или общедоступный в сочетании с концом MAC-адреса vNIC, например 33 или 34.

2. Следуйте инструкциям по загрузке и установке opnsense 20.x, используя файл образа ISO.
2.1 Смонтируйте ISO-образ установщика OPNsense на портале RackCorp, а затем загрузите виртуальную машину.

2.2 Живая среда загружается при необязательной установке.

Не запускайте назначение интерфейса во время загрузки, если вы собираетесь установить на HD.

2.3 ~~Once booted, install the system to disk using the following~~

~~2.3~~ После загрузки установите систему на диск, используя следующие. учетные данные:

~~Follow~~Следуйте ~~the~~инструкциям ~~guided~~по ~~instructions~~установке toна ~~install~~жесткий toдиск. ~~HDD.~~Значения ~~The~~по ~~defaults~~умолчанию ~~are~~подходят ~~fine~~для ~~for~~установки aна ~~single~~один ~~disk~~диск. ~~install.~~После ~~Once~~завершения ~~complete,~~следуйте ~~follow~~инструкциям, ~~the~~чтобы ~~prompt~~перезагрузить ~~to reboot the~~установку opnsense ~~install~~и ~~and~~ИЗВЛЕЧЬТЕ ~~EJECT~~ISO-образ ~~the~~с ~~ISO~~портала ~~from the RackCorp portal.~~RackCorp.

2.Организовать Getдоступ accessк toвеб-интерфейсу (Web GUI.GUI).

3. После установки, Opnsense ~~has~~загрузится aв ~~built~~меню inконсоли, ~~wizard~~которая inимеет ~~the~~встроенный ~~console~~мастер ~~menu~~установки. ~~that~~Он ~~aids~~помогает ~~the~~пользователю ~~user~~настроить toсвою ~~setup~~сетевую ~~their~~карту ~~LAN~~LAN, ~~NIC,~~сетевую ~~WAN~~карту ~~NIC,~~WAN, ~~any~~любую ~~tertiary~~третичную ~~NIC~~сетевую ~~such~~карту, ~~as a~~например DMZ orили ~~management~~управляющую ~~NIC~~сетевую asкарту, ~~well~~а asтакже ~~IPv4/~~адресацию IPv4 / 6 ~~addressing and~~и DHCP. ~~Your Opnsense will have booted to this menu after install.~~

3.1 ~~SET~~УСТАНОВИТЕ ~~INTERFACE IP~~IP-ИНТЕРФЕЙС ~~for~~для WAN
~~Select~~Выберите NONE, ~~this~~это ~~will~~очистит ~~clear~~интерфейс ~~the~~и ~~interface~~позволит ~~and~~нам ~~let us re-assign.~~переназначить.

3.2 ~~SET~~УСТАНОВИТЕ ~~INTERFACE IP~~IP-ИНТЕРФЕЙС ~~for~~для LAN
~~Select~~Выберите 116.206.80.~~210~~210/27~~/27~~ asсогласно ~~per table.~~таблице.

~~Since~~Поскольку ~~this~~в ~~example~~этом ~~uses~~примере aиспользуется 2727-битная ~~bit~~подсеть, ~~subnet,~~наш ~~our~~шлюз ~~gateway is~~- .~~193~~193, ~~and~~наш ~~our~~максимальный ~~maximum~~хост ~~host is~~- .223.

~~For~~Для DNS ~~use~~используйте RackCorp NS1 110.232.116.249 orили Google DNS 8.8.8.8

Interface	LAN
DHCP	No
New LAN IP	116.206.80.210
Subnet	27
Gateway	116.206.80.193
Gateway as name server	No
IPv4 Name server	8.8.88
IPv6 LAN Interface via WAN Tracking:	No
IPv6 LAN Interface via DHCP:	No
IPv6 Address:	<enter> for none
LAN DHCP Server:	n
HTTP fallback for web GUI	n

4. ~~Once~~После ~~you~~ввода ~~have keyed in the~~IP-адреса LAN IPвы ~~address,~~сможете ~~you~~получить ~~should~~доступ beчерез ~~able~~веб-браузер. toВы ~~access~~увидите itвводный ~~via~~мастер ~~web~~установки, ~~browser.~~но ~~There~~не ~~will~~забудьте beпропустить anстраницу ~~introductory~~настройки ~~setup~~WAN. ~~wizard~~Тспользуя ~~but~~учетные beданные, ~~sure~~войдите toна ~~skip~~веб-страницу ~~the~~OPNsense. ~~WAN~~Щелкните ~~setup~~логотип ~~page.~~вверху ~~Login~~слева, toчтобы ~~OPNsense~~пропустить ~~web~~мастер ~~page. Click logo top left to skip configuration wizard.~~настройки.

~~Once~~После weтого, ~~have~~как ~~logged~~мы ~~into~~вошли ~~the~~на ~~opnsense~~страницу ~~management~~управления ~~page,~~OPNsense, ~~this~~это isподтверждение ~~verification~~того, ~~that~~что weмы ~~can~~можем ~~access~~получить ~~the~~доступ ~~system~~к системе.

3.Создать Makeправило firewallдля ruleфаервола onна интерфейсе WAN interfaceдля forудаленного remote management.управления.

5. ~~Add~~Добавьте anпсевдоним ~~alias~~для toопределения ~~define~~портов ~~management ports.~~управления. ~~Firewall-~~Брандмауэр (Firewall)-> ~~Aliases~~Псевдонимы (Aliases). WeВ ~~use~~этом ~~ports~~примере мы используем порты 80, 443, 8080 ~~in this example.~~.
[~~Save]~~Сохранить]. [~~Apply]~~Применить]

6. ~~Add~~Добавьте правило переадресации порта WAN ~~port forward rule to~~в Firewall -> Rules -> ~~WAN.~~WAN.

Protocol:	TCP
Source Port:	Any
Destination port range Start:	<Your alias name> Scroll UP in the list to find it.
Destination port range End:	<Your alias name> Scroll UP in the list to find it.
Log Packets:	Enabled

[Save]. [Apply].

4.Переназначить/поменять Reassign/swapместами theинтерфейсы LAN/WAN interfaces.WAN.

7. ~~Interfaces-~~Интерфейсы (Interfaces)-> ~~Assignments~~Назначения (Assignments). ~~Compare~~Сравните ~~the~~настройки ~~settings~~здесь ~~here~~с ~~versus~~данными ~~Rackcorp~~на ~~portal~~портале Rackcorp.

~~Where~~На ~~are~~данный weмомент ~~now:~~мы должны находится: LAN-интерфейс с публичным IP-адресом, установленным в OPNsense, и WAN-интерфейс без WAN-IP (a LAN Interface with public IP set in OPNsense and WAN interface with no WAN IP ~~set.~~set).

~~Since~~Поскольку ~~our~~наш Port ~~Forward~~Forward, ~~that~~который ~~will~~позволит ~~allow~~нам usполучить toдоступ ~~access~~к ~~management~~интерфейсу ~~interface~~управления ~~externally~~извне, isтеперь ~~now~~определен, ~~defined,~~мы weможем ~~can~~поменять ~~swap~~местами ~~the~~интерфейсы. ~~interfaces.~~Вам ~~You~~необходимо ~~need~~поменять toместами ~~swap~~оба ~~both~~интерфейса ~~the~~на ~~interfaces~~портале inOPNsense ~~opnsense portal.~~.

7.1 InНа портале OPNense ~~portal,~~(Интерфейсы (~~Interfaces-~~Interfaces)-> Назначения (Assignments)) ~~Swap~~поменяйте soместами ~~that~~настройки
(LAN) -> VTNET1 RackCorp NIC 2
(WAN) -> VTNET0 RackCorp NIC 1

[SAVE]

5.Обновить RekeyIP-адрес inдля the correct IP address for theинтерфейсов LAN/WAN interfaces.WAN.

8. ~~Once~~После ~~you~~того, ~~have~~как ~~swapped,~~вы ~~opnsense~~поменяли ~~might~~местами ~~forget~~порты, ~~the~~OPNense может забыть об IP-подсетях, и нам нужно повторно ввести их в консоли.

Повторно введите IP ~~subnets~~/ ~~and~~подсети, weиспользуя ~~need to re-key them into the console.~~

~~Re-key in the IP/subnets using option~~опцию 2. ~~Clear~~Удалите ~~them~~их, ifесли ~~necessary~~необходимо, ~~with~~с помощью <ENTER NONE>.

Interface	LAN
Configure via DHCP	No
New LAN IP	10.0.0.1
Subnet	24
Gateway	<enter> for none
IPv6 LAN Interface via WAN Tracking:	N
IPv6 LAN Interface via DHCP6:	N
IPv6 Address:	<enter for none
LAN DHCP Server:	Y
SDHCP End Address:	10.0.0.20
Revert to HTTP as web GUI protocol	N

Interface	WAN
Configure via DHCP	N
New WAN IP	116.206.80.210
Subnet	27
Gateway	116.206.0.193
Gateway as name server	no
IPv4 Name server	8.8.8.8
IPv6 WAN Interface via DHCP6:	N
IPv6 Address:	<enter> for none
Revert to HTTP as web GUI protocol	N

9. ~~Once~~После ~~both~~изменения ключей LAN ~~and~~и WAN ~~have~~вы ~~been~~сможете ~~rekeyed,~~войти ~~you~~в ~~should~~портал beуправления ~~able~~OPNsense toчерез ~~log~~его inадрес toWAN, ~~the~~а ~~opnsense~~индикаторы ~~management portal via its WAN address and~~состояния RackCorp vNIC ~~status~~загорятся ~~lights turn green.~~зеленым.

10. ~~Follow~~Следуйте ~~our~~далее ~~additional~~для ~~tasks~~дальнейшей ~~for~~настройки ~~further~~по ~~configuration~~мере ~~as required.~~необходимости.

11. IfЕсли ~~you~~у ~~have~~вас ~~problems~~возникли ~~with~~проблемы ~~this~~с ~~procedure,~~этой ~~select~~процедурой, выберите (4) Reset Factory Settings inв ~~the~~меню ~~console~~консоли. ~~menu.~~OPNsense ~~The~~перезагрузится, ~~Opnsense~~а ~~will~~затем ~~reset~~выключится. ~~itself,~~Перезагрузите ~~then~~виртуальную ~~shutdown.~~машину ~~Restart the VM from~~из RackCorp ~~and~~и ~~try~~повторите ~~again.~~попытку. ~~11)~~Перезагрузка ~~Reload~~всех ~~all~~сервисов ~~services~~тоже ~~can~~может ~~also help~~помочь.

ADDITIONALДОПОЛНИТЕЛЬНЫЕ TASKSНАСТРОЙКИ

~~Once~~После ~~your~~того, ~~basic~~как ~~setup~~ваша isбазовая ~~running,~~установка itбудет ~~can~~запущена, beее ~~further~~можно ~~configured~~будет toдополнительно ~~suit~~настроить ~~your~~в ~~requirements.~~соответствии с вашими требованиями.

~~Consult~~Ознакомьтесь ~~your~~с ~~security~~политикой ~~policy~~безопасности onвашей ~~how~~компании toа ~~handle~~именно, ~~such~~о том, как обращаться с управлением устройством (appliance ~~management.~~management).

~~Things~~Также toдля ~~consider~~размышления, ~~can~~многие ~~be,~~из ofкоторых ~~which~~являются ~~many~~лучшими ~~are~~отраслевыми ~~industry best practice~~практиками.

~~Considering~~Рассмотрение ~~adding~~вопроса aо ~~management~~добавлении ~~network~~сети orуправления 1или orодной ~~more~~или нескольких сетей DMZ ~~networks~~к toфаерволу ~~the~~для ~~firewall~~дополнительной ~~for added functionality~~функциональности
~~Use~~Используйте функцию VPN ~~functionality~~для ~~for~~входа ~~management~~в ~~login~~систему ~~instead~~управления ofвместо ~~HTTP/~~портов HTTP / S ~~ports.~~
~~Use~~Используйте функции VPN ~~functionality~~для ~~for~~удаленных ~~remote~~сотрудников, ~~workers~~чтобы toиметь beдоступ ~~able~~к toкорпоративному ~~access enterprise content.~~контенту
IfЕсли ~~HTTP/~~порты HTTP / S ~~ports~~требуются ~~are~~для ~~desired~~управления ~~for~~через ~~management~~WAN ~~via~~/ ~~WAN/Internet,~~Интернет, ~~consider~~рассмотрите ~~changing~~возможность ~~the~~изменения ~~port~~номеров ~~numbers~~портов ~~and~~и or/ ~~whitelisting~~или ~~the~~внесения ~~opnsense~~в ~~IP/~~белый список OPNSense IP / URL toдля ~~particular~~определенных ~~authorised~~авторизованных ~~management~~систем ~~systems.~~управления
~~Configure~~При ~~and~~необходимости ~~test~~настройте и протестируйте доступ по SSH ~~access~~с ifпомощью ~~necessary,~~разрешенного ~~bound~~списка, byинтерфейса ~~whitelisting,~~управления ~~management~~или ~~interface or VPN tunnel.~~VPN-туннеля
~~Install~~Установите ~~additional~~дополнительные ~~plugins,~~плагины, ~~such~~такие asкак Wireguard VPN orили ~~other~~другие ~~utilities~~утилиты, ~~via~~через ~~the~~страницу ~~plugins~~плагинов, ~~page~~чтобы toрасширить ~~enhance~~функциональность ~~the functionality of the firewall.~~фаервола