Recherche de site Web

Comment installer et configurer le pare-feu OpnSense de base

Dans un article précédent, une solution de pare-feu connue sous le nom de PfSense a été évoquée. Début 2015, la décision a été prise de créer PfSense et une nouvelle solution de pare-feu appelée OpnSense a été lancée.

OpnSense a commencé sa vie comme un simple fork de PfSense mais a évolué vers une solution de pare-feu entièrement indépendante. Cet article couvrira l'installation et la configuration initiale de base d'une nouvelle installation OpnSense.

Comme PfSense, OpnSense est une solution de pare-feu open source basée sur FreeBSD. La distribution est gratuite à installer sur son propre équipement ou la société Decisio, vend des appliances pare-feu préconfigurées.

OpnSense a un ensemble minimal d'exigences et une tour de maison ancienne typique peut facilement être configurée pour fonctionner comme un pare-feu OpnSense. Les spécifications minimales suggérées sont les suivantes :

Configuration matérielle minimale

  • Processeur 500 MHz
  • 1 Go de RAM
  • 4 Go de stockage
  • 2 cartes d'interface réseau

Matériel suggéré

  • Processeur 1 GHz
  • 1 Go de RAM
  • 4 Go de stockage
  • 2 cartes d'interface réseau PCI-e ou plus.

Si le lecteur souhaite utiliser certaines des fonctionnalités les plus avancées de OpnSense (Suricata, ClamAV, serveur VPN, etc.), le système doit disposer d'un meilleur matériel.

Plus l'utilisateur souhaite activer de modules, plus il doit inclure d'espace RAM/CPU/Drive. Il est suggéré que les minimums suivants soient respectés s'il est prévu d'activer des modules avancés dans OpnSense.

  • Processeur multicœur moderne exécutant au moins 2,0 GHz
  • 4 Go+ de RAM
  • 10 Go+ d'espace HD
  • 2 cartes d'interface réseau Intel PCI-e ou plus

Installation et configuration du pare-feu OpnSense

Quel que soit le matériel choisi, l'installation de OpnSense est un processus simple mais nécessite que l'utilisateur porte une attention particulière aux ports d'interface réseau qui seront utilisés dans quel but (LAN, WAN, sans fil, etc.).

Une partie du processus d'installation consistera à inviter l'utilisateur à commencer à configurer les interfaces LAN et WAN. L'auteur suggère de brancher uniquement l'interface WAN jusqu'à ce qu'OpnSense ait été configuré, puis de terminer l'installation en branchant l'interface LAN.

Téléchargement du pare-feu OpnSense

La première étape consiste à obtenir le logiciel OpnSense. Plusieurs options sont disponibles en fonction de l'appareil et de la méthode d'installation, mais ce guide utilisera le fichier « OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2'.

L'ISO a été obtenue à l'aide de la commande suivante :

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Une fois le fichier téléchargé, il doit être décompressé à l'aide de l'outil bunzip comme suit :

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Une fois le programme d'installation téléchargé et décompressé, il peut soit être gravé sur un CD, soit copié sur une clé USB à l'aide de l'outil 'dd'<. inclus dans la plupart des distributions Linux.

Le processus suivant consiste à écrire l'ISO sur un lecteur USB pour démarrer le programme d'installation. Pour ce faire, utilisez l'outil « dd » sous Linux.

Tout d’abord, le nom du disque doit être localisé avec « lsblk ».

lsblk

Avec le nom du lecteur USB déterminé comme '/dev/sdc', l'ISO OpnSense peut être écrite sur le lecteur avec le outil 'ajouter'.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Remarque : La commande ci-dessus nécessite les privilèges root, utilisez donc 'sudo' ou connectez-vous en tant qu'utilisateur root pour exécuter la commande. De plus, cette commande Supprimera TOUT sur le lecteur USB. Assurez-vous de sauvegarder les données nécessaires.

Installation du pare-feu OpnSense

Une fois que dd a fini d'écrire sur la clé USB, placez le support dans l'ordinateur qui sera configuré comme pare-feu opnsense. Démarrez cet ordinateur sur ce support et l'écran suivant sera présenté.

Pour continuer vers le programme d'installation, appuyez simplement sur la touche 'Entrée'. Cela démarrera OpnSense en mode Live, mais il existe un utilisateur spécial pour installer OpnSense sur le support local à la place.

Lorsque le système démarre à l'invite de connexion, utilisez le nom d'utilisateur 'installer' avec un mot de passe 'opnsense'.

Le support d'installation se connectera et lancera le programme d'installation OpnSense. ATTENTION : La poursuite des étapes suivantes entraînera l'effacement de toutes les données du disque dur du système ! Procédez avec prudence ou quittez le programme d'installation.

Appuyer sur la touche 'Entrée' lancera le processus d'installation. La première étape consiste à sélectionner le keymap. Le programme d'installation détectera probablement le mappage de clavier approprié par défaut. Vérifiez le plan de clavier sélectionné et corrigez-le si nécessaire.

L'écran suivant fournira quelques options pour l'installation. Si l'utilisateur souhaite effectuer un partitionnement avancé ou importer une configuration depuis une autre boîte OpnSense, cela peut être accompli à cette étape. Ce guide suppose une nouvelle installation et sélectionnera l'option « Installation guidée ».

L'écran suivant affichera les périphériques de stockage reconnus pour l'installation.

Une fois le périphérique de stockage sélectionné, l'utilisateur devra décider quel schéma de partitionnement est utilisé par le programme d'installation (MBR ou GPT/EFI).

La plupart des systèmes modernes prennent en charge GPT/EFI, mais si l'utilisateur réutilise un ordinateur plus ancien, MBR peut être la seule option prise en charge. Vérifiez dans les paramètres du BIOS du système s'il prend en charge EFI/GPT.

Une fois le schéma de partitionnement choisi, le programme d'installation commencera les étapes d'installation. Le processus ne prend pas particulièrement de temps et demandera périodiquement à l’utilisateur des informations telles que le mot de passe de l’utilisateur root.

Une fois que l'utilisateur a défini le mot de passe de l'utilisateur root, l'installation sera terminée et le système devra redémarrer afin de configurer l'installation. Lorsque le système redémarre, il devrait automatiquement démarrer l'installation OpnSense (assurez-vous de retirer le support d'installation au redémarrage de la machine).

Lorsque le système redémarre, il s'arrête à l'invite de connexion à la console et attend que l'utilisateur se connecte.

Désormais, si l'utilisateur était attentif lors de l'installation, il aurait peut-être remarqué qu'il aurait pu préconfigurer les interfaces lors de l'installation. Supposons cependant pour cet article que les interfaces n’ont pas été attribuées lors de l’installation.

Après vous être connecté avec l'utilisateur root et le mot de passe configurés lors de l'installation, vous pouvez noter qu'OpnSense n'a utilisé qu'une des cartes d'interface réseau (NIC) sur cette machine. Dans l'image ci-dessous, il est nommé « LAN (em0) ».

OpnSense utilisera par défaut le réseau « 192.168.1.1/24 » standard pour le réseau local. Cependant, dans l’image ci-dessus, l’interface WAN est manquante ! Ceci est facilement corrigé en tapant '1' à l'invite et en appuyant sur Entrée.

Cela permettra la réaffectation des cartes réseau sur le système. Notez dans l'image suivante que deux interfaces sont disponibles : 'em0' et 'em1'.

L'assistant de configuration permettra également des configurations très complexes avec des VLAN, mais pour l'instant, ce guide suppose une configuration de base à deux réseaux ; (c'est-à-dire un côté WAN/ISP et un côté LAN).

Entrez 'N' pour ne configurer aucun VLAN pour le moment. Pour cette configuration particulière, l'interface WAN est 'em0' et l'interface LAN est 'em1' comme indiqué ci-dessous.

Confirmez les modifications apportées aux interfaces en tapant 'Y' dans l'invite. Cela amènera OpnSense à recharger bon nombre de ses services pour refléter les modifications apportées à l'affectation de l'interface.

Une fois terminé, connectez un ordinateur avec un navigateur Web à l’interface côté LAN. L'interface LAN dispose d'un serveur DHCP à l'écoute des clients sur l'interface afin que l'ordinateur puisse obtenir les informations d'adressage nécessaires pour se connecter à la page de configuration Web d'OpnSense.

Une fois l'ordinateur connecté à l'interface LAN, ouvrez un navigateur Web et accédez à l'URL suivante : http://192.168.1.1.

Pour vous connecter à la console Web ; utilisez le nom d'utilisateur 'root' et le mot de passe qui a été configuré lors du processus d'installation. Une fois connecté, la dernière partie de l’installation sera terminée.

La première étape du programme d'installation sert simplement à collecter plus d'informations telles que le nom d'hôte, le nom de domaine et les serveurs DNS. La plupart des utilisateurs peuvent laisser l'option « Remplacer le DNS » sélectionnée.

Cela permettra au pare-feu OpnSense d'obtenir des informations DNS du FAI via l'interface WAN.

L'écran suivant vous demandera les serveurs NTP. Si l'utilisateur ne dispose pas de ses propres systèmes NTP, OpnSense fournira un ensemble par défaut de pools de serveurs NTP.

L'écran suivant est la configuration de l'interface WAN. La plupart des FAI destinés aux utilisateurs domestiques utiliseront DHCP pour fournir à leurs clients les informations de configuration réseau nécessaires. En laissant simplement le type sélectionné sur 'DHCP', OpnSense tentera de collecter sa configuration côté WAN auprès du FAI.

Faites défiler vers le bas de l’écran de configuration WAN pour continuer. ***Remarque*** au bas de cet écran se trouvent deux règles par défaut pour bloquer les plages réseau qui ne devraient généralement pas être vues entrer dans l'interface WAN. Il est recommandé de laisser ces cases cochées, sauf s'il existe une raison connue pour autoriser ces réseaux via l'interface WAN !

L'écran suivant est l'écran de configuration LAN. La plupart des utilisateurs peuvent simplement laisser les valeurs par défaut. Sachez qu'il existe des plages de réseau spéciales qui doivent être utilisées ici, communément appelées RFC 1918. Assurez-vous de laisser la valeur par défaut ou de choisir une plage réseau dans la plage RFC1918 pour éviter les conflits/problèmes !

Le dernier écran de l'installation demandera si l'utilisateur souhaite mettre à jour le mot de passe root. Ceci est facultatif, mais si un mot de passe fort n’a pas été créé lors de l’installation, ce serait le bon moment pour corriger le problème !

Une fois passée l'option de changement de mot de passe, OpnSense demandera à l'utilisateur de recharger les paramètres de configuration. Cliquez simplement sur le bouton 'Recharger' et donnez à OpnSense une seconde pour actualiser la configuration et la page actuelle.

Lorsque tout est terminé, OpnSense accueillera l'utilisateur. Pour revenir au tableau de bord principal, cliquez simplement sur « Tableau de bord » dans le coin supérieur gauche de la fenêtre du navigateur Web.

À ce stade, l'utilisateur sera redirigé vers le tableau de bord principal et pourra continuer à installer/configurer n'importe lequel des plugins ou fonctionnalités OpnSense utiles ! L'auteur recommande de vérifier et de mettre à niveau le système si des mises à niveau sont disponibles. Cliquez simplement sur le bouton « Cliquez pour rechercher les mises à jour » sur le tableau de bord principal.

Ensuite, sur l'écran suivant, « Vérifier les mises à jour » peut être utilisé pour voir une liste des mises à jour, ou « Mettre à jour maintenant » peut être utilisé pour simplement appliquer toutes les mises à jour disponibles.

À ce stade, une installation de base d’OpnSense devrait être opérationnelle et entièrement mise à jour ! Dans les prochains articles, l'agrégation de liens et le routage inter-VLAN seront abordés pour montrer davantage les capacités avancées d'OpnSense !