Skip to main content

Установка фаервола OPNsense 20.x для гибридного обалка RackCorp

Резюме:

Настроить OPNsense достаточно просто, если у вас есть прямой доступ к «голому железу» (bare metal) или есть виртуализация рабочего стола, где можно определить внутренние сетевые адаптеры / сети, которые можно использовать для управления со стороны локальной сети.

Однако, поскольку мы настраиваемся в гибридном публичном/частном облаке, без настройки терминала управления (ВМ) в той же подсети, что и сеть LAN, мы не сможем управлять и настраивать OPNsense, поскольку заблокированный интерфейс WAN является единственным открытым для "внешнего мира". Кроме того, ограниченная конфигурация предоставляется через его шелл.

Мы хотим, чтобы некоторые управляющие порты (должным образом защищенные) были доступны для Интернета.

Для нашего гибридного облака мы поменяем местами публичный и частный интерфейсы в OPNsense.
Это противоположно ожидаемому процессу установки. Мы делаем это, потому что интерфейс LAN имеет предустановленное правило «разрешить все», которое позволяет нам входить в портал управления.

Это позволит нам легко настроить систему удаленно через веб-браузер, а затем мы снова изменим настройки на общедоступный IP-адрес на интерфейсе WAN и частный IP-адрес на интерфейсах LAN.

Общие шаги по запуску OPNsense 20 на RackCorp Hybrid заключаются в следующем: 

Установить ISO

Организовать доступ к веб-интерфейсу (Web GUI)

Создать правило для фаервола на интерфейсе WAN для удаленного управления

Переназначить/поменять местами интерфейсы LAN/WAN

Обновить IP-адрес для интерфейсов LAN/WAN

IP-адрес WAN, включенный в это руководство, приведен только для примера. Пожалуйста, замените его на тот, который Вам предоставили сотрудники RackCorp

image-1637654675114.png


1. Установить ISO 

OPNsense назначает свои интерфейсы сетевым адаптерам (NIC) в том порядке, в котором они назначены на портале RackCorp, начиная с интерфейса LAN.

Итак, давайте «поменяем местами» интерфейсы, чтобы мы могли войти на веб-страницу управления:

1. Начните со следующей конфигурации портала RackCorp и OPNsense на вашей виртуальной машине RackCorp:

RackCorp vNIC ID RackCorp vNIC Label IP VLAN OPNsense Interface
NIC 1 Public 116.206.80.210 /27 <your assigned VLAN>
Public VLAN1 for Demo
LAN (vtnet0)
NIC 2 Private 10.0.0.1 /24 <your assigned VLAN> Public VLAN1 for Demo WAN (vtnet1)

Когда конфигурация верна, на портале Rackcorp загорится зеленый свет.

  • Не забудьте добавить сети VLAN
  • Для демонстрации мы оставили метки vNIC по умолчанию. Если метки vNIC сбивают с толку, вы можете определить их на основе интерфейса, например Частный или общедоступный в сочетании с концом MAC-адреса vNIC, например 33 или 34.

2. Следуйте инструкциям по загрузке и установке opnsense 20.x, используя файл образа ISO.
2.1 Смонтируйте ISO-образ установщика OPNsense на портале RackCorp, а затем загрузите виртуальную машину.

image-1637655239952.png

2.2 Живая среда загружается при необязательной установке.

Не запускайте назначение интерфейса во время загрузки, если вы собираетесь установить на HD.

image-1637655296211.png

2.3 После загрузки установите систему на диск, используя следующие учетные данные:

Login: installer
password: opnsense

Следуйте инструкциям по установке на жесткий диск. Значения по умолчанию подходят для установки на один диск. После завершения следуйте инструкциям, чтобы перезагрузить установку opnsense и ИЗВЛЕЧЬТЕ ISO-образ с портала RackCorp.

image-1637655411184.png


2. Организовать доступ к веб-интерфейсу (Web GUI) 

3. После установки, Opnsense загрузится в меню консоли, которая имеет встроенный мастер установки. Он помогает пользователю настроить свою сетевую карту LAN, сетевую карту WAN, любую третичную сетевую карту, например DMZ или управляющую сетевую карту, а также адресацию IPv4 / 6 и DHCP.

3.1 УСТАНОВИТЕ IP-ИНТЕРФЕЙС для WAN
Выберите NONE, это очистит интерфейс и позволит нам переназначить.

3.2 УСТАНОВИТЕ IP-ИНТЕРФЕЙС для LAN
Выберите 116.206.80.210/27 согласно таблице.

Поскольку в этом примере используется 27-битная подсеть, наш шлюз - .193, наш максимальный хост - .223.

Для DNS используйте RackCorp NS1 110.232.116.249 или Google DNS 8.8.8.8

Interface LAN
DHCP No
New LAN IP 116.206.80.210
Subnet 27
Gateway 116.206.80.193
Gateway as name server No
IPv4 Name server 8.8.88
IPv6 LAN Interface via WAN Tracking: No
IPv6 LAN Interface via DHCP: No
IPv6 Address: <enter> for none
LAN DHCP Server: n
HTTP fallback for web GUI n

4. После ввода IP-адреса LAN вы сможете получить доступ через веб-браузер. Вы увидите вводный мастер установки, но не забудьте пропустить страницу настройки WAN. Тспользуя учетные данные, войдите на веб-страницу OPNsense. Щелкните логотип вверху слева, чтобы пропустить мастер настройки.

После того, как мы вошли на страницу управления OPNsense, это подтверждение того, что мы можем получить доступ к системе.

image-1637655966988.png


3. Создать правило для фаервола на интерфейсе WAN для удаленного управления 

5. Добавьте псевдоним для определения портов управления. Брандмауэр (Firewall)-> Псевдонимы (Aliases). В этом примере мы используем порты 80, 443, 8080.
[Сохранить]. [Применить]

image-1637655998622.png

 


6. Добавьте правило переадресации порта WAN в Firewall -> Rules -> WAN.

Protocol: TCP
Source Port: Any
Destination port range Start: <Your alias name> Scroll UP in the list to find it.
Destination port range End: <Your alias name> Scroll UP in the list to find it.
Log Packets: Enabled

[Save]. [Apply].

 

image-1637656148345.png

 


4. Переназначить/поменять местами интерфейсы LAN/WAN

7. Интерфейсы (Interfaces)-> Назначения (Assignments). Сравните настройки здесь с данными на портале Rackcorp.

На данный момент мы должны находится: LAN-интерфейс с публичным IP-адресом, установленным в OPNsense, и WAN-интерфейс без WAN-IP (a LAN Interface with public IP set in OPNsense and WAN interface with no WAN IP set).

Поскольку наш Port Forward, который позволит нам получить доступ к интерфейсу управления извне, теперь определен, мы можем поменять местами интерфейсы. Вам необходимо поменять местами оба интерфейса на портале OPNsense .

7.1 На портале OPNense (Интерфейсы (Interfaces)-> Назначения (Assignments)) поменяйте местами настройки
(LAN) -> VTNET1 RackCorp NIC 2
(WAN) -> VTNET0 RackCorp NIC 1

image-1637656231088.png

[SAVE]

5. Обновить IP-адрес для интерфейсов LAN/WAN 

8. После того, как вы поменяли местами порты, OPNense может забыть об IP-подсетях, и нам нужно повторно ввести их в консоли.

Повторно введите IP / подсети, используя опцию 2. Удалите их, если необходимо, с помощью <ENTER NONE>.

Interface LAN
Configure via DHCP No
New LAN IP 10.0.0.1
Subnet 24
Gateway <enter> for none
IPv6 LAN Interface via WAN Tracking: N
IPv6 LAN Interface via DHCP6: N
IPv6 Address: <enter for none
LAN DHCP Server: Y
SDHCP End Address: 10.0.0.20
Revert to HTTP as web GUI protocol N
Interface WAN
Configure via DHCP N
New WAN IP 116.206.80.210
Subnet 27
Gateway 116.206.0.193
Gateway as name server no
IPv4 Name server 8.8.8.8
IPv6 WAN Interface via DHCP6: N
IPv6 Address: <enter> for none
Revert to HTTP as web GUI protocol N

image-1637656639516.png


9. После изменения ключей LAN и WAN вы сможете войти в портал управления OPNsense через его адрес WAN, а индикаторы состояния RackCorp vNIC загорятся зеленым.

image-1637656707606.png

image-1637656714913.png


10. Следуйте далее для дальнейшей настройки по мере необходимости.


11. Если у вас возникли проблемы с этой процедурой, выберите (4) Reset Factory Settings в меню консоли. OPNsense перезагрузится, а затем выключится. Перезагрузите виртуальную машину из RackCorp и повторите попытку. Перезагрузка всех сервисов тоже может помочь. 

image-1637656756688.png

ДОПОЛНИТЕЛЬНЫЕ НАСТРОЙКИ

После того, как ваша базовая установка будет запущена, ее можно будет дополнительно настроить в соответствии с вашими требованиями.

Ознакомьтесь с политикой безопасности вашей компании а именно, о том, как обращаться с управлением устройством (appliance management).

Также для размышления, многие из которых являются лучшими отраслевыми практиками.

  • Рассмотрение вопроса о добавлении сети управления или одной или нескольких сетей DMZ к фаерволу для дополнительной функциональности
  • Используйте функцию VPN для входа в систему управления вместо портов HTTP / S
  • Используйте функции VPN для удаленных сотрудников, чтобы иметь доступ к корпоративному контенту
  • Если порты HTTP / S требуются для управления через WAN / Интернет, рассмотрите возможность изменения номеров портов и / или внесения в белый список OPNSense IP / URL для определенных авторизованных систем управления
  • При необходимости настройте и протестируйте доступ по SSH с помощью разрешенного списка, интерфейса управления или VPN-туннеля
  • Установите дополнительные плагины, такие как Wireguard VPN или другие утилиты, через страницу плагинов, чтобы расширить функциональность фаервола