早上起太早,装了一遍OPNsense体验,结果失败了,原因是退出安装镜像后,系统直接不给面子的崩了,连个缓存都没。
网上看到有人分享安装过程才知道,这玩意有大病,第一次安装后,登陆帐号需要登陆个installer的账户,才能正式开启安装到硬盘。
。。。
算了,转个教程,以后有空再研究。
简介
开篇简述
相信防火墙大多人都很熟悉,但用 OPNsense 的人可能并不多,后面我计划把 OPNsense 写成一个系列的博客。一来 OPNsense 确实是个了不起的开源防火墙系统,想把它推荐给更多的人认识。二来也想锻炼锻炼自己,即使自己已经对该防火墙系统大多数功能比较熟悉了,但是能不能把所知的写出来,能否写到别人看了也会的地步,这还是很有挑战性的。
OPNsense 简介
OPNsense 是一个开源、易于使用且易于构建的基于 FreeBSD 的防火墙和路由平台。它包含昂贵的商业防火墙中可用的大部分功能。在功能上绝对能够秒杀大多数商业防火墙。它的安装方式和正常操作系统的安装一样,可以在虚拟环境下使用 ISO 镜像安装,也可用 DVD、USB 方式安装进服务器设备,同时 OPNsense 也出售自家的硬件防火墙设备。当使用虚拟机或者物理机进行安装时候需要注意:由于它是基于 FreeBSD 开发的防火墙系统,所以安装也需要符合FreeBSD 的硬件要求[1]
系统安装
硬件要求
影响 OPNsense 的吞吐量主要硬件因素包括 CPU、RAM、存储、网络接口的数量和质量。
最小安装(Minimum):可满足基础标准功能。 合理安装(Reasonable):所有功能可正常运行。 推荐安装(Recommended):可实现高负载。
吞吐量(Mbps) | 硬件要求 | 用户/网络 |
---|---|---|
11-150 | Minimum | 10-30 |
151-350 | Reasonable | 30-50 |
350-750+ | Recommended | 50-150+ |
配置参考
指标 | 阈值 |
---|---|
CPU | 1GHz 双核 |
MEM | 2G |
DISK | 4G SSD |
最小安装
指标 | 阈值 |
---|---|
CPU | 1GHz 双核 |
MEM | 4G |
DISK | 40G SSD |
合理安装
指标 | 阈值 |
---|---|
CPU | 1.5GHz 多核 |
MEM | 8G |
DISK | 120G SSD |
推荐安装
vsphere 下安装系统
创建虚拟机
以 vsphere 为例,创建一台 2C4G,40G 硬盘的虚拟机。opnsense 23.1 默认需要划分 WAN 口和 LAN 口,也称为上联口下联口,所以需要划分两块网卡。另外需要提前从OPNsense 官网下载[2],并挂载到虚拟机 CD。
系统安装
启动后会有如下选项:
Do you want to configure LAGGs now? 【y/N】分配聚合口,选择 N Do you want to configure VLAN now? 【y/N】划分 Vlan,选择 N Enter the WAN interface name or ‘a’ for auto-detection: 人工分配 wan 口,还是自动监测,根据上文选择 em0 后面选项为出站策略默认为 NAT,以及划分 LAN 口,全部回车默认 Do you want to proceed?【y/N】是否继续,选择 y
等待加载完成后,进入登录状态,这并不代表已安装完成。这里需要输入 安装账户 用户名“installer”和密码“opnsense”。进入到安装界面!
第一步:需要我们选择相应键盘,选择默认键盘回车。
第二步:选择文件系统,在 FreeBSD 论坛,普遍看法是UFS 优于 ZFS[3]。ZFS 设计复杂,占用资源相对较多。如果在资源足够情况下ZFS 在稳定可靠方面是最佳选择[4]。
第三步:选择安装盘,勿用 cd 盘。
第四步:开启 8G 大小的 SWAP 分区缓存。
第五步:确认清空数据盘用于安装系统。
第六步:开始安装,等待读条。
第七步:修改 Root 密码。
第八步:完成安装,退出重启。
基础配置
安装完成重启后登入系统,可以看到如下图。 如果虚拟机的网络适配器下存在dhcp server的话,可以直接看到分配到的IP。如果没有则需要手动配置。
*** OPNsense.localdomain: OPNsense 23.1 ***
WAN (em0) -> v4: 192.168.200.84/24
HTTPS: SHA256 48 D3 C6 35 37 29 18 D7 9A 60 27 4F 6E B4 78 6D
8F 88 C5 A0 89 D1 0A 36 5A FE 3C 51 06 D6 9A 1A
SSH: SHA256 3CSyxTVdVNqMAG1/Ple9NJPZ9jW54fBtBliisqjUeRg (ECDSA)
SSH: SHA256 +BjKLnOOpgm7YZJ2I/g37nOZjpYD7HrZb4NenjsE7JU (ED25519)
SSH: SHA256 WUH1OQPSHcBi1+MKdUUBThEyuCLqIZqruZfAjc5myeU (RSA)
0) Logout 7) Ping host
1) Assign interfaces 8) Shell
2) Set interface IP address 9) pfTop
3) Reset the root password 10) Firewall log
4) Reset to factory defaults 11) Reload all services
5) Power off system 12) Update from console
6) Reboot system 13) Restore a backup
Enter an option: 2 #选择手动设置接口IP地址
Configure IPv4 address WAN interface via DHCP? [Y/n] n #WAN口不需要dhcp自动配置,下面进行手工配置
Enter the new WAN IPv4 address. Press <ENTER> for none:
> 192.168.200.84 #WAN口IP
Subnet masks are entered as bit counts (like CIDR notation).
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new WAN IPv4 subnet bit count (1 to 32):
> 24 #WAN口掩码
For a WAN, enter the new WAN IPv4 upstream gateway address.
For a LAN, press <ENTER> for none:
> 192.168.200.1 #WAN口网关
Do you want to use the gateway as the IPv4 name server, too? [Y/n] y #DNS保持和网关一致
Configure IPv6 address WAN interface via DHCP6? [Y/n] y #WAN口自动配置IPv6地址
Do you want to enable the DHCP server on WAN? [y/N] n #启动WAN口DHCP服务器,进行地址分发
Do you want to change the web GUI protocol from HTTPS to HTTP? [y/N] n #将防火墙web从https切换为http
Restore web GUI access defaults? [y/N] n #还原防火墙web默认设置,首次安装y和n任意都可以,不会影响WAN口IP来访问web。
配完后即可登录,账号为,密码为系统安装第七步所设置的密码。
参考资料
[1] 官网: https://www.freebsd.org/releases/13.1R/hardware/[2] 官网: https://opnsense.org/download/[3] 论坛: https://forums.freebsd.org/threads/ufs-vs-zfs.85941/[4] 官方文档: https://docs.opnsense.org/manual/install.html
本文转自吴星宇:阅读原文
没有回复内容