Ein kleiner Blog zum Thema OPNsense. In den letzten Wochen habe ich einige Anfragen zum Thema OPNsense bekommen, ob diese auch auf einem APU2C4 Board läuft. Ich habe mich kurzerhand entschieden, das gleich mal in meiner Labor-Umgebung zu testen. Bei der Installation mit dem aktuellen OPNsense Image bin ich auf einige Probleme bei der Installation gestoßen, diese werde ich in diesem Blog an gegebener Stelle anmerken.
Bevor wir anfangen, möchte ich drauf hinweisen, dass die Anleitung nicht für einen Produktivbetrieb genutzt werden sollte. Der Einsatz erfolgt auf eigene Gefahr, ich übernehme keine Haftung für Schäden!
Schaubild zu Netzwerkaufbau
Vorrausetzung
- Ein PC Engines Board APU2C4
- Eine mSATA SSD (in meinem Fall eine KingFast 16GB)
- Die Software „Rufus 2.15“ um das Image auf den USB-Stick zu schreiben
- Nullmodemkabel, ein bisschen Old School aber ohne geht es nicht 😉
- Ein USB nach mSATA Adapter, um die SSD am Windows PC zu formatieren und zu betanken
- Die Opensense Software mit serieller Konsolenunterstützung
OPNsense-17.1.4-OpenSSL-serial-amd64.img - Die Software 7zip um das *.bz2 zu extrahieren
- Ein Windows PC, in meinem Fall ein Windows 10 PC
- Die Software PuTTY, um einen Konsolenzugriff zu erhalten
Übersicht der Hardware
Vorbereiten des USB-Sticks
1. Stecken Sie den USB-Stick in den PC.
2. Starten Sie ein CMD mit administrativen Berechtigungen.
3. Gehen Sie wie im nachfolgenden Dialog beschrieben vor, um den USB-Stick komplett zu löschen.
4. Wenn der USB-Stick bereinigt wurde, schließen Sie die CMD
5. Entpacken Sie die Software mit 7zip
6. Starten Sie die Software „RUFUS 2.15“ mit administrativen Berechtigungen, um das Image auf den USB-Stick zu schreiben. Gehen Sie gemäß des nachfolgenden Screenshot vor.
7. Bestätigen Sie die nachfolgende Meldung mit „OK“
8. Bestätigen Sie, dass erfolgreiche Schreiben der Software auf dem Stick, indem Sie auf „Schließen“ klicken. (Siehe nachfolgenden Screenshot)
9. Entferne Sie den USB-Stick vom PC.
Vorbereiten der mSATA SSD
1. Bauen Sie die mSATA SSD in das „USB nach mSATA“ Adapter ein und schließen diese am PC an. (siehe nachfolgendes Bild)
2. Starten Sie ein CMD mit administrativen Berechtigungen.
3. Gehen Sie wie im nachfolgende Dialog beschrieben vor, um die SSD komplett zu löschen.
4. Gehen Sie wie im nachfolgenden Dialog beschrieben vor, um die SSD komplett zu löschen.
5. Wenn die SSD bereinigt wurde, schließen Sie die CMD
Einbau der SSD in das APU2C4 Board
1. Bauen Sie die SSD aus dem „USB nach mSATA“ Adapter aus.
2. Öffnen Sie das Gehäuse des APU2C4 Boards und setzten die SSD ein (siehe Screenshot)
Installation der OPNsense Firewall
1. Schließen Sie das Nullmodemkabel an ihren PC und an das APU2C4 Board an.
2. Schließen Sie den Netzteilstecker an das APU2C4 Board an, aber noch nicht an den Strom, da das Board dann sofort bootet!
3. Starten Sie PuTTY und selektieren „Serial“ und setzen Sie die „Speed“ auf 115200
Klicken Sie auf „Open
4. Schalten Sie den Strom ein. Das APU2C4 Board sollte nun booten.
Sobald „PCengines Press F10 key…….“ erscheint drücken Sie F10 um in das Boot-Menü zu gelangen. (siehe Screenshot)
5. Im Boot Menü selektieren Sie 1, um von USB-Stick zu booten. (siehe Screenshot)
6. Warten Sie bist der Autoboot startet. (siehe nachfolgenden Screenshot)
7. Warten Sie bis die automatische Interface Konfiguration startet.
(siehe nachfolgende Screenshot)
8. Melden Sie sich mit dem Standard Login root und dem Password opnsense an und starten mit der Taste 8 die Shell. (siehe nachfolgende Screenshot)
9. Führen Sie die nachfolgenden Befehle in der Shell aus, um den Installations-Modus zu starten. (siehe nachfolgenden Screenshot)
10. Warten Sie bis der Installer startet!
11. Bestätigen Sie den nachfolgenden Dialog mit ENTER
12. Selektieren Sie „Accept These Settings“ und bestätigen Sie den Dialog mit ENTER
13. Selektieren Sie „Guides installations“ und bestätigen Sie den Dialog mit ENTER
14. Selektieren Sie ihre SSD, in meinem Fall ist das die „ada0“ und bestätigen Sie den Dialog mit ENTER
15. Selektieren Sie „GPT/UEFI mode“ und bestätigen Sie den Dialog mit ENTER
Die Installation startet nachdem Sie die Eingabe bestätigt haben, dieses kann einige Zeit in Anspruch nehmen und ist abhängig von der Größe ihrer SSD.
16. Bestätigen Sie den Dialog mit ENTER um die Firewall zu rebooten.
Konfiguration der OPNsense Firewall
1. Nach dem Neustart melden Sie sich an der Firewall wieder an.
Login: root
Password: opnsense
Drücken Sie die 2 um die Option „Set Interface(s) IP address“ zu selektieren, damit die LAN Schnittstelle konfiguriert wird (siehe nachfolgenden Screenshot)
2. Konfigurieren Sie im nächsten Schritt die IP-Konfiguration für die LAN Schnittstelle der Firewall. (siehe Nachfolgende Screenshot)
3. Drücken Sie nun erneut die 2 um die Option „Set Interface(s) IP address“ zu selektieren, damit die WAN Schnittstelle konfiguriert wird. (siehe nachfolgenden Screenshot)
4. Konfigurieren Sie im nächsten Schritt die IP-Konfiguration für die WAN Schnittstelle der Firewall. (siehe Nachfolgende Screenshot)
Beenden Sie die Console Session
5. Wenn Sie alles richtig konfiguriert haben, dann starten Sie den Webbrowser und geben https://<die IP der OPNsense> ein. In meinem Fall https://192.168.11.1 und quittieren die nachfolgende Zertifikatsmeldung (siehe Screenshot)
6. Melden Sie sich an.
Login: root
Password: opnsense
7. Warten Sie das die initial Konfiguration automatisch startet.
8. Klicken Sie im Wizard auf „Next“
9. Konfigurieren Sie die nachfolgenden Felder gemäß ihren Angaben. In meinem Fall lasse ich den Hostname, Domain und die Language auf den Standardwert stehen. Bei den DNS Optionen gebe ich die Googel DNS Server an und entferne die Option „Override DNS“.
Nachdem Sie die Eingaben gemacht haben, klicken Sie auf „Next“
10. Konfigurieren Sie im nächsten Schritt den Zeit-Service und klicken auf „Next“
11. Konfiguriern Sie das WAN Interface gemäß Screenshot.
– Blog RFC1918 Private Networks
– Blog bogon Networks
12. Bestätigen Sie die LAN IP-Adresse und Subnetz-Mask indem Sie mit „Next“ fortfahren
13. Vergeben Sie ein neues Passwort und bestätigen mit „Next“
14. Klicken Sie auf „Reload“ um die Konfiguration abzuschließen.
15. Warten Sie bis der Reload abgeschlossen ist.
16. Die initiale Konfiguration ist abgeschlossen.
Klicken Sie auf „continue to the Dashboard“
Die Installation der OPNsense Firewall auf einem PC Engines Board ist abgeschlossen. Ich hoffe, ich konnte Ihnen einen kleinen Einblick geben. Sollten Sie Fragen haben, so scheuen Sie nicht mich zu kontaktieren. Nutzen Sie hier die <strong>“Kommentar Funktion”</strong> des Blogs oder wenn es ihnen lieber ist via E-Mail.
Weiter Blogs folgen in den nächsten Tagen. Ich würde mich sehr freuen, wenn Sie wieder vorbeischauen.
Hallo Daniel,
danke für diese Anleitung!
Ein paar Änderungen ergeben sich für die neueste OPNsense version.
– Der Installer wird über den Loginuser gestartet, das Skript aus deinem Artikel gibt es nicht mehr.
login: installer
PW: opnsense
– Das ZFS Dateisystem konnte ich nicht installieren, da hat es immer gemeckert, dass ich nicht genug discs für die Installation ausgewählt hatte (RAID Typ: Stripe)
– Da heutzutage IPv6 mit zum Standardrepertoire gehört (mMn), habe ich Schritt vier bei dir einfach weggelassen. Zudem würde ich das WAN Interface hinter einer FRITZ!Box immer auf DHCP belassen, dann erhält man immer die aktuelle Prefix Delegation für IPv6 und in der FRITZ!Box setzt man für die OPNsense und IPv4 einfach den Haken „Diesem Geräte immer dieselbe IPv4 Adresse zuweisen“. Dann ändert sich die private IPv4 Adresse des WAN Anschlusses auch nicht. Mittels der Funktion „Exposed host“ bei den IPv4 und den IPv6 Einstellungen ist die Firewall der FRITZ!Box für den ausgewählten Host auch aus. Lediglich doppeltes NAT für IPv4 bleibt bestehen, aber damit kann ich leben.
Da ich von Sophos Home komme, habe ich meine FRITZ!Box entsprechend dieser Anleitung konfiguriert: https://www.frankysweb.de/active-directory-ipv6-fritzbox-sophos-utm-domain-controller/ und das hat immer super funktioniert. Die Beschränkungen der Sophos in Bezug auf DHCPv6 Prefix Delegation, DNS und DynDNS haben mich nun dazu gebracht, das OS meiner/s Firewall/Routers zu ändern.
Der Rest hat mit OPNsense immer noch funktioniert.
Schöne Grüße
Tim
Ich setze seit 2 Jahren ein ganz ähnliches Setup ein, allerdings mit dem Original des Forks zu opensense: pfsense. Ich bin mit pfsense auf APU2C4 grundsätzlich sehr zufrieden und es gab bisher noch kein Szenario, welches ich damit nicht einfach abbilden konnte (voip, streaming, diverse VPNs/IPsec). Die pfsense ist mir wesentlich lieber als die auf dem anderen Beitrag vorgeschlagene Sophos, da die Administration der pfsene nicht in einem Maus-Marathon ausartet und die Konfiguration für meinen Geschmack sehr übersichtlich dargestellt wird. Dies ist aber sicherlich Gemacks- und Gewohnheitssache. Ich bin allerdings immer erstaunt, wie kompliziert Dinge in Sophos umgesetzt sind.
Das einzige Manko sehe ich in der APU2C4 Hardware, die bei der Ausschöpfung von Gigabit zu schnell an seine Grenzen kommt und die volle Bandbreite auf allen Ports nur eingeschränkt mit Leichtgewichten wie IPFire schafft, was aufgrund der zu geringen Funktionalität für mich nicht in Frage kommt. Im Office läuft bei uns die pfsense auf dem ESX mit „echter“ Server-Hardware und kennt dort keine Belastungsgrenzen wie die APU2C4. Fazit: eine aktuelle, schnellere i86-CPU und Intel-Netzwerkkarten wäre sinnvoll.
Hallo,
Welche Probleme sind jetzt aufgetreten? Ich habe keines gefunden.
Dass der Installer nicht startet ist Absicht, da OPNsense auch vom USB-Stick gestartet und verwendet werden kann.
Wo sind also die erwähnten Probleme aufgetreten? Ich plane auch eine Installation.
Danke.