'Datenbanken' lautet der Schwerpunkt der Dezember-Ausgabe des IT-Administrator. Darin werfen wir einen Blick auf den Firewall-Schutz und das ... (mehr)

Systemvoraussetzungen und Installation

Die Systemvoraussetzungen gibt OPN­Sense minimal mit einer 500 MHz Single-Core-CPU, 512 MByte RAM und mindestens 4 GByte verfügbarem Speicherplatz (Festplatte, CF-/SD-Card, USB-Stick) an. Für den optimalen Betrieb wird allerdings eine 1,5 GHz Multi-Core-CPU, 4 GByte RAM und eine SSD mit 120 GByte Kapazität empfohlen. Als professionelle Alternative zu Legacy x86-Hardware bietet Deciso auch passende Hardware-Appliances an [4]. Vom preiswerten und lüfterlosen Einstiegsmodell mit drei Ethernet-Ports bis zum 19-Zoll-Racksystem für 10-GBit-Ethernet dürfte sich hier für alle Anforderungen die passende Hardware finden.

Der Verlauf der Installation hängt vom gewählten Installationsmedium ab. Nachfolgend beschreiben wir die Installation auf Basis des CD/ISO-Mediums auf physischer oder virtueller Hardware. Für unseren Test unter VirtualBox haben wir eine virtuelle Maschine mit einem Prozessor, 4 GByte RAM und zwei Netzwerkkarten (im Bridging-Modus) erstellt und das ISO-Image unter "Massenspeicher" als optisches Laufwerk hinzugefügt. Die VM bootet dann direkt vom Image.

Der OPNSense Installer wird durch Eingabe von "I" in der Konsole gestartet und bietet eine geführte oder manuelle Installation an. Verfügen Sie aus einer früheren Installation bereits über ein Backup, kann der Installer auch eine Instanz der Firewall mit dieser Konfiguration wiederherstellen. Für die geführte Neuinstallation stellen Sie unter Keymap "german.iso.acc.kbd" ein, um den deutschen Tastaturtreiber zu laden, und wählen Sie anschließend die Festplatte aus, die der Installer komplett überschreibt. Wählen Sie nun "GPT/UEFI Mode" im Menü aus, um die Installation zu starten.

Bild 1: Mit Hilfe von URL-Aliasen kann OPNSense auch externe Datenquellen, zum Beispiel Blacklists für IP-Netzwerke, importieren, aktuell halten und in Firewall-Regeln einbinden.

Nach dem Neustart listet OPNSense die erkannten Netzwerk-Interfaces auf, denen Sie nun ihre jeweilige Funktion (LAN/ WAN) zuweisen. Wir beginnen ohne VLAN-Installation und antworten bei der Frage "Do you want to setup VLANs now?" daher mit "n". In einer VirtualBox VM erkennt OPNSense die erste Netzwerkkarte als "em0", die zweite als "em1". Weisen Sie em0 nun die LAN- und em1 die WAN-Schnittstelle zu und übernehmen Sie die Konfiguration mit "y". Per Default versucht OPNSense, für beide Interfaces per DHCP eine IP-Adresse zu beziehen, besser vergeben Sie aber eine feste IP-Adresse für alle Schnittstellen der Firewall. Dazu wählen Sie im Konsolenfenster "2) Set Interface(s) IP-Address" und geben Sie nach Aufforderung die gewünschte IP-Adresse, Netzmaske und das Gateway an.

Grundkonfiguration und System-Update

Alle weiteren Konfigurationsarbeiten nehmen Sie ab jetzt über das komfortable Web-Interface von OPNSense vor. Rufen Sie das GUI über "https://IP-Adresse" im Browser auf und melden Sie sich mit dem Benutzer "root" und dem Default-Passwort "opn-sense" an. Der System-Wizard fragt alle Daten für die Erstkonfiguration ab. Neben Hostnamen, Domain- und DNS-Server geben Sie hier auch Ihre Zeitzone an und wählen einen NTP-Server für die Synchronisation der Systemzeit aus. Der Wizard überprüft auch die Konfiguration der Netzwerk-Schnittstellen nochmals, sodass hier gegebenenfalls noch erforderliche Änderungen komfortabel vorgenommen werden können. Nachdem Sie ein neues Passwort für den Benutzer root gesetzt haben, ist der Wizard beendet und startet die Web-Session mit den neuen Einstellungen.

Rufen Sie anschließend die Seite "System / Firmware / Updates" auf. Hier können Sie unter "Firmware Flavor" wählen, ob die Firewall mit OpenSSL oder LibreSSL arbeiten soll. Unter "Firmware Mirror" wählen Sie einen deutschen Update-Mirror aus und klicken dann auf "Check Updates". Liegen für Ihre Firmware-Version Updates vor, werden sie im selben Fenster aufgelistet. Ein Klick auf "Upgrade now" bringt das System auf den neuesten Stand, gegebenenfalls warnt der Update-Mechanismus noch vor einem fälligen Reboot nach dem Update. Ein Upgrade der Firmware-Version ist jederzeit auch über die Konsole möglich. Wählen Sie aus dem Text-Menü dafür einfach den Befehl "12) Upgrade von Console".

Im nächsten Schritt sollten Sie unter "System / Access / Users" noch einen persönlichen Benutzer für sich anlegen und ihn der bereits vorhandenen Gruppe "Admins" zuweisen. Dieser Schritt ist umso wichtiger, wenn die Firewall später von mehreren Administratoren betreut werden soll. Durch persönliche Login-Accounts für Administratoren bleiben Änderungen am Firewall-Regelwerk so stets nachvollziehbar und transparent.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021