So installierst du OPNSense Router und Firewall auf VirtualBox
OPNSense ist ein freier und quelloffener Firewall-Router, der auf FreeBSD basiert. Er wurde von einem Unternehmen namens „Deciso“ in den Niederlanden entwickelt. Es ist ein Fork von pfSense, das von m0n0wall abgeleitet wurde, auf FreeBSD aufbaut und im Januar 2015 veröffentlicht wurde.
Diese Anleitung zeigt dir, wie du die OPNSense Router Firewall auf VirtualBox installierst und konfigurierst. Mit dieser Anleitung kannst du lernen, wie du die OPNSense Router Firewall lokal einrichtest, bevor du sie in der realen Welt einsetzt.
Voraussetzung
Für diese Anleitung werden wir zwei virtuelle Maschinen in VirtualBox verwenden. Die OPNSense selbst und das Debian-Betriebssystem als Client.
Um OPNSense herunterzuladen, kannst du den unten stehenden Link verwenden.
https://opnsense.org/download/
Lade die „dvd“-Version von einem Spiegelserver in deiner Nähe herunter und entpacke die ISO-Datei mit dem Befehl bzip wie folgt.
bunzip2 -d OPNsense-19.7-OpenSSL-dvd-amd64.iso.bz2
Jetzt kannst du OPNSense in der virtuellen Umgebung VirtualBox installieren.
Konfiguration der virtuellen Maschine
Im Folgenden findest du die Details zur Konfiguration von zwei virtuellen Maschinen in VirtualBox, dem OPNSense Server und dem Debian Client. Vergewissere dich, dass alle Konfigurationen der virtuellen Maschinen mit dem unten stehenden Beispiel übereinstimmen.
1. OPNSense Firewall Router
Nachfolgend siehst du die Konfiguration von OPNSense in der lokalen Umgebung von VirtualBox.
- Typ: FreeBSD 64-bit
- Speicher: 1GB
- Festplatte: 16GB
- Audio: Deaktiviert
- Netzwerk:
- Adapter 1: Internes Netzwerk ‚intnet‘ mit dem Promiscuous-Modus ‚Allow All‘ – (für LAN)
- Adapter 2: NAT oder Bridge zu deinem WiFi mit dem Promiscuous-Modus ‚Allow All‘ – (Für WAN)
2. Debian-Client
Im Folgenden siehst du die Konfiguration des Debian 10 Betriebssystems, das bereits auf VirtualBox installiert ist.
- Typ: Debian 64-Bit
- Speicher: 512MB
- Festplatte: 8GB
- Netzwerk:
- Adapter 1: Internes Netzwerk ‚intnet‘ mit promiscuous mode ‚Allow All‘
1. Installiere den OPNSense Firewall Router
Starte zunächst die VirtualBox OPNSense VM, indem du auf die Schaltfläche „Start“ drückst. Wenn OPNSense gestartet ist, siehst du den unten abgebildeten Startbildschirm.
Drücke die Eingabetaste auf deiner Tastatur und OPNSense bootet in den „Live“-Modus.
Auf dem „dvd“-ISO-Image von OPNSense können wir OPNSense mit dem Benutzer „installer“ und dem Standardpasswort „opnsense“ installieren.
Melde dich mit dem Benutzer„installer“ und dem Passwort„opnsense“ an.
Daraufhin wird der erste Installationsbildschirm angezeigt (siehe unten).
Drücke die „Enter“-Taste bei der Option „Ok, los geht’s“, um die Installation fortzusetzen.
Jetzt musst du die Tastaturbelegung einrichten. Drücke die Eingabetaste bei der Option „Diese Einstellungen übernehmen“, um die standardmäßig erkannte Tastaturbelegung zu verwenden.
Danach wird dir der OPNSense Installationstyp angezeigt. Wenn du OPNSense zum ersten Mal installierst, kannst du die „Geführte Installation“ verwenden.
Für fortgeschrittene Benutzer kannst du die „Manuelle Installation“ verwenden. Wenn du deine OPNSense-Installation wiederherstellen möchtest, kannst du die Option „Konfiguration importieren“ verwenden.
Wähle nun den Datenträger für die OPNSense-Installation aus.
Wähle dann den Installationsmodus. Die Option „GPT/UEFI“ wird für die Unterstützung neuerer Hardware empfohlen.
Jetzt beginnt die OPNSense-Installation, die keine Zeit in Anspruch nimmt.
Danach musst du das „root“-Passwort einrichten. Gib dein sicheres Passwort für den „root“-Benutzer ein und drücke die „Enter“-Taste bei „Accept and Set Password“.
Wenn die OPNSense-Installation abgeschlossen ist, starte den Server neu und entferne das ISO-Image-Installationsprogramm.
Jetzt ist der OPNSense Firewall Router installiert. Melde dich mit dem Benutzer „root“ und dem Passwort, das du oben verwendest, am OPNSense-System an.
Du erhältst dann den OPNSense-Bildschirm wie unten abgebildet.
2. Konfiguriere die LAN- und WAN-IP-Adresse von OPNSense
Standardmäßig läuft OPNSense unter der lokalen IP-Adresse „192.168.1.1“. In dieser Anleitung richten wir eine statische IP-Adresse für die WAN-Schnittstelle ein und richten ein neues Subnetz für die LAN-Schnittstelle ein.
Im Folgenden findest du Details zu den LAN- und WAN-Schnittstellen, die wir konfigurieren wollen.
1. LAN-Schnittstelle
- Schnittstelle: em0
- IP-Adresse: 10.5.5.1/24
- DHCP: EIN
- DHCP-Bereich: 10.5.5.10-10.5.5.50
- Gateway: KEINE
2. WAN-Schnittstelle
- Schnittstelle: em1
- IP-Adresse: 192.168.1.25/24
- Gateway: 192.168. 1.1
Zunächst weisen wir sowohl für das LAN als auch für das WAN eine Schnittstelle zu. Das LAN mit der Schnittstelle ‚em0‘ und das WAN mit der Schnittstelle ‚em1‘.
– Netzwerkinterfaces zuweisen
Wähle auf dem Bildschirm des OPNSense Firewall-Routers die Nummer „1“ für„Interfaces zuweisen„.
Do you want to configure VLANs now? y Enter the parent interface for the new VLAN: Just press the 'ENTER' key Enter the WAN interface name or 'a' for auto-detection: em1 Enter the LAN interface name or 'a' for auto-detection: em0
Enter the optional Interface: Just press the 'ENTER' key Do you want to proceed? y
Jetzt werden alle Dienste neu gestartet und jede Schnittstelle ist zugewiesen worden. Für das LAN wird die Schnittstelle „em0“ und für das WAN die Schnittstelle „em1“ verwendet.
Als Nächstes richten wir die IP-Adressen für die LAN- und WAN-Schnittstellen ein.
– LAN-IP-Adresse einrichten
Wähle auf dem Bildschirm des OPNSense Firewall-Routers die Nummer„2“ für„Interface-IP-Adresse festlegen„.
Enter the number of interface to configure: 1 (For LAN interface) Configure IPv4 address LAN interface via DHCP: N Enter the new LAN IPv4 address: 10.5.5.1 Enter the new LAN IPv4 subnet bit count: 24 Enter the new LAN IPv4 upstream gateway address: Just press 'ENTER' key
Configure IPv6 address LAN interface via WAN tracking? n Configure IPv6 address LAN interface via DHCP6? N Enter the new LAN IPv6 address: Just press 'Enter' key for none
Do you want to enable the DHCP server on LAN? y Enter the start address of the IPv4 client address range: 10.5.5.10 Enter the end address of the IPv4 client address range: 10.5.5.50
Do you want to revert to HTTP as the web GUI protocol? N
Jetzt werden alle Dienste neu gestartet und die Web-GUI von OPNSense ist über das HTTPS-Protokoll mit der LAN-IP-Adresse „10.5.5.1“ verfügbar.
Die LAN-Schnittstelle und die IP-Adresse sind nun konfiguriert.
– WAN-IP-Adresse einrichten
Als nächstes wählst du wieder die Option Nummer ‚2 ‚ und wählst die WAN-Schnittstelle aus.
Configure IPv4 address LAN interface via DHCP: N Enter the new WAN IPv4 address: 192.168.1.25 Enter the new WAN IPv4 subnet bit count: 24 Enter the new LAN IPv4 upstream gateway address: 192.168.1.1
Do you want to use the gateway as the IPv4 name server, too? Y
Configure IPv6 address LAN interface via DHCP6? N Enter the new LAN IPv6 address: Just press 'Enter' key for none
Do you want to revert to HTTP as the web GUI protocol? N
Jetzt werden alle Dienste neu gestartet, und die WAN-Schnittstelle „em1“ mit der IP-Adresse „192.168.1.25“ ist konfiguriert.
– Internetverbindung testen
Um die Internetverbindung des OPNSense Firewall-Routers zu testen, kannst du im Menü‚7‚ die Option‚Ping host‚ wählen.
Enter a hostname or IP address: howtoforge.com
Vergewissere dich, dass du die ICMP-Antwort vom Server erhältst (siehe unten).
Damit ist der Verbindungstest des OPNSense Firewall Routers erfolgreich.
3. OPNSense Einrichtungsassistent über Debian Client
Für diese Anleitung verwenden wir die virtuelle Debian-Maschine als Client. Sie hat nur eine Netzwerkschnittstelle, „Adapter 1“ mit „Internes Netzwerk“. Wir werden den OPNSense Installationsassistenten über diese Debian-VM mit dem Firefox-Browser einrichten.
Starte den Debian-Client und er erhält automatisch eine IP-Adresse über DHCP vom OPNSense-Firewall-Router.
Überprüfe die IP-Adresse des Debian-Clients und die Internetverbindung mit den folgenden Befehlen.
ifconfig ping -c3 howtoforge.com
Du erhältst dann das unten stehende Ergebnis.
Das Ergebnis ist, dass das Client-Netzwerk wie gewünscht funktioniert. Der Debian-Client erhält die IP-Adresse „10.5.5.10“ über DHCP vom OPNSense-Router und das Internet funktioniert auf dem Client-Rechner.
Als nächstes öffnest du den Webbrowser und gibst die LAN-IP-Adresse des OPNSense-Routers ein.
https://10.5.5.1/
Daraufhin wird die OPNSense-Anmeldeseite wie unten dargestellt angezeigt.
Melde dich mit dem Benutzer „root“ an, gib dein Passwort ein, das du bereits bei der Installation festgelegt hast, und klicke dann auf die Schaltfläche „Anmelden“.
Nun wird der OPNSense Setup Wizard angezeigt.
Klicke auf die Schaltfläche „Weiter“, um fortzufahren.
Ändere die allgemeinen Informationen über deinen Firewall-Router und klicke auf „Weiter“.
Wähle deine eigene Zeitzone und klicke auf „Weiter“.
Belasse es bei der Standardeinstellung für die WAN-Schnittstellenkonfiguration und scrolle bis zum Ende. Deaktiviere dann die Optionen „RFC1918-Netzwerke“ und „Bogon-Netzwerke blockieren“ und klicke auf „Weiter“.
Belasse es bei der Standardeinstellung für die LAN-Schnittstellenkonfiguration und klicke auf „Weiter“.
Danach müssen wir das neue Root-Passwort einrichten und wieder auf „Weiter“ klicken.
Wenn der OPNSense Einrichtungsassistent abgeschlossen ist, klicke auf die Schaltfläche „Neu laden“, um die Seite neu zu laden.
Klicke nun auf das Menü „Dashboard“ auf der linken Seite und du erhältst das OPNSense-Dashboard wie unten dargestellt.
Damit ist die Konfiguration des OPNSense Firewall-Routers erfolgreich abgeschlossen.
Der OPNSense-Server läuft mit der WAN-IP-Adresse „192.168.1.25“ auf dem Interface „em1“. Und die LAN-Schnittstelle mit der ‚em0‘ und der IP-Adresse ‚10.5.5.1/24‘.
Der OPNSense Firewall-Router läuft mit aktiviertem DHCP auf der LAN-Schnittstelle und dem IP-Pool „10.5.5.10-10.5.5.50“. Alle Clients unter der Firewall erhalten die IP-Adresse aus dem Poolbereich.
Der Debian-Client erhält eine IP-Adresse über DHCP und bekommt die IP-Adresse „10.5.5.10“.