Zum Hauptinhalt springen

OPNsense-Firewall-Installation auf Proxmox VE

Veröffentlicht am:
.
10 Minuten Lesezeit
.
Für die Englische Version

OPNsense ist eine auf FreeBSD basierende Open-Source-Firewall-Distribution. OPNsense, ein Fork von pfSense, wurde 2015 veröffentlicht. Neben der Firewall stehen DHCP-Server, DNS-Server, VPNs und andere Dienste zur Verfügung. Besonders nützlich für die Administratoren, um ihre Netzwerke gegen Cyberangriffe zu schützen, ist das os-sensei-Plugin von Zenarmor, das Anwendungssteuerung und Webfilterfunktionen bietet. Es kann sowohl auf einem physischen Server als auch auf einer virtuellen Maschine installiert werden.

Proxmox VE ist eine ausgezeichnete Open-Source-Unternehmensvirtualisierungsplattform, die auf Debian Linux basiert.

Sie können VMs und Container, hochverfügbare Cluster und integrierte Notfallwiederherstellungstools ganz einfach über die integrierte webbasierte Benutzeroberfläche verwalten. PVE hat einen erheblichen Vorteil gegenüber anderen Virtualisierungslösungen in Bezug auf Einfachheit. Selbst unerfahrene Benutzer können es in wenigen Minuten einrichten und installieren. Am wichtigsten ist, dass aufgrund der Debian-Basis alle Linux-Erfahrungen erforderlich sind.

OPNsense läuft gut in einer KVM-basierten VM, die auf einem Proxmox VE-Server läuft. In dieser OPNsense Installation im Proxmox VE Tutorial werden wir erklären, warum Sie OPNsense installieren sollten, und Sie durch eine grundlegende Installation von OPNsense 21.1 führen, um Ihnen den Einstieg zu erleichtern, indem Sie die folgenden Schritte befolgen:

  1. Überprüfung der Hardwareanforderungen der OPNsense-Firewall
  2. Herunterladen des OPNsense-Images
  3. Hochladen der OPNsense-ISO-Datei zu Proxmox VE
  4. Erstellen einer virtuellen Maschine auf Proxmox VE
  5. Konfiguration des Netzwerks der OPNsense-VM auf Proxmox VE
    1. Erstellen eines Linux-Bridge
    2. Hinzufügen von Netzwerkgeräten zur OPNsense-VM auf Proxmox
  6. Installation von OPNsense
    1. Netzwerkgerätezuweisungen für OPNsense-Firewall
    2. IP-Adresseneinstellungen für die OPNsense-Firewall
    3. Aktualisierung der OPNsense-Firewall über die CLI
    4. Zugriff auf die OPNsense-Web-GUI
    5. Erste Konfiguration der OPNsense-Firewall
  7. Deaktivieren der Netzwerk-Hardware-Offloading auf der OPNsense-Firewall

Warum Sie OPNsense installieren sollten

Durch die Installation der OPNsense-Firewall zum Schutz Ihres Netzwerks erhalten Sie die folgenden Vorteile der OPNsense.

  • OPNsense hat erhebliche Vorteile gegenüber den Mitbewerbern, wie z.B. einen Forward-Caching-Proxy, Traffic-Shaping, Intrusion Detection und eine einfache OpenVPN-Client-Konfiguration.

  • Der robuste und zuverlässige Aktualisierungsmechanismus von OPNsense ermöglicht es, kritische Sicherheitsupdates rechtzeitig bereitzustellen.

Für weitere Informationen zu den OPNsense-Funktionen lesen Sie bitte den Artikel Beste Open-Source-Firewalls.

1. OPNsense Hardware-Anforderungen

Bevor Sie die OPNsense-Firewall installieren, sollten Sie die Hardwareanforderungen für die Installation überprüfen. Sie können die Anforderungen auf der offiziellen Website überprüfen. OPNsense ist für x86-64 (amd64)-Bit-Mikroprozessorarchitekturen verfügbar. Obwohl OPNsense eine breite Palette von Geräten von eingebetteten Systemen bis hin zu Rack-Servern unterstützt, muss die Hardware in der Lage sein, 64-Bit-Betriebssysteme auszuführen.

Minimale Hardwareanforderungen von OPNsense

Zum Zeitpunkt des Schreibens sind die Mindestanforderungen wie folgt angegeben. Wenn Sie OPNsense auf einem Gerät mit diesen Spezifikationen installieren, können Sie keine Funktionen nutzen, die Schreibvorgänge auf der Festplatte erfordern, z.B. einen Caching-Proxy (Cache) oder Intrusion Detection und Prevention.

TypBeschreibung
Prozessor1 GHz Dual-Core-CPU
RAM2 GB
InstallationsmethodeSerielle Konsole oder Video (VGA)
InstallationszielSD- oder CF-Karte mit mindestens 4 GB, verwenden Sie Nano-Images für die Installation.

Tabelle 1: Minimale Hardwareanforderungen

Angemessene Hardware-Anforderungen von OPNsense

Wenn Sie OPNsense auf einem Gerät mit diesen Spezifikationen installieren, können Sie jede Standardfunktion von OPNsense nutzen. Allerdings könnten Sie auf einige Probleme mit hohen Lasten oder vielen Benutzern stoßen.

TypBeschreibung
Prozessor1 GHz Dual-Core-CPU
RAM4 GB
InstallationsmethodeSerielle Konsole oder Video (VGA)
Installationsziel40 GB SSD, mindestens 2 GB Speicher werden benötigt, damit der Installer läuft.

Tabelle 2: Angemessene Hardware-Anforderungen

Empfohlene Hardwareanforderungen von OPNsense

Wenn Sie OPNsense auf einem Gerät mit diesen Spezifikationen installieren, können Sie jede Standardfunktion von OPNsense problemlos nutzen.

TypBeschreibung
Prozessor1,5 GHz Multi-Core-CPU
RAM8 GB
InstallationsmethodeSerielle Konsole oder Video (VGA)
Installationsziel120 GB SSD

Tabelle 3: Empfohlene Hardware-Anforderungen

Anforderungen an die virtuelle Umgebung

Um OPNsense in einer virtuellen Umgebung wie Proxmox VE oder Virtual Box zu installieren, sind die folgenden minimalen Hardwareanforderungen erforderlich:

TypBeschreibung
Prozessor1 oder mehr virtuelle Kerne
RAMDer minimale erforderliche RAM beträgt 2 GB
InstallationsmethodeISO
InstallationszielMindestempfohlene virtuelle Festplattengröße von 8 GB

Tabelle 4: Minimale Hardwareanforderungen für virtuelle Umgebungen

warnung

Achten Sie darauf, dass einige Funktionen massive Auswirkungen auf die Hardware-Dimensionierung haben. Zum Beispiel ist die Captive Portal-Funktion eine CPU-intensive Funktion und Squid ist stark auf CPU-Last und Festplattencache-Schreibvorgänge angewiesen.

Durchsatz von OPNsense

Die wichtigsten Hardwarekomponenten, die an der OPNsense-Konfiguration beteiligt sind, umfassen die CPU, den RAM, den Massenspeicher (Festplatte) sowie die Anzahl und Qualität der Netzwerkanschlüsse. Der Durchsatz von OPNsense für verschiedene Konfigurationen ist in der folgenden Tabelle angegeben.

Durchsatz (Mbps)Hardware-AnforderungenFunktionsumfangBenutzer / Netzwerke
11-150Basis-Spezifikation.eingeschränktangepasst (10-30)
11-150Mindest-Spezifikation.reduziertangepasst (10-30)
151-350Angemessene Spezifikation.alleerheblich (30-50)
350-750+Empfohlene Spezifikation.alleerheblich+ (50-150+)

Tabelle 5. OPNsense-Durchsatz

Intel® Netzwerk-Interface-Geräte (NIC) für LAN-Verbindungen sind zuverlässig, schnell und fehlerfrei, wie in den FreeBSD-Hardware-Listen und -Empfehlungen angegeben. Intel-Chipsatz-NICs bieten eine erhöhte Durchsatzrate bei gleichzeitiger Reduzierung der CPU-Belastung.

Jetzt, da Sie überprüft haben, ob Ihr System mit OPNsense kompatibel ist, lassen Sie uns mit dem OPNsense-Setup-Guide beginnen.

OPNsense-Hardwarebeispiele für verschiedene Anwendungsfälle

In der folgenden Tabelle geben wir OPNsense-Hardwarekonfigurationsbeispiele für verschiedene Anwendungen oder Anwendungsfälle.

AnforderungNetzwerkdurchsatz (Mbps)Anzahl der ClientsCPURAMFestplatteGerät
Minimum (OPNsense Standardfunktionen, ohne Caching-Proxy oder IDS/IPS)11 - 15010 - 301 GHz Dual-Core2 GB4 GB SD- oder CF-KarteThomas Krenn Edge 4L
Angemessen (OPNsense Standardfunktionen, alle Funktionen können genutzt werden)151 - 35030 - 501 GHz Dual-Core4 GB40 GB SSDThomas Krenn LES Netzwerk 6L
Empfohlen (OPNsense Standardfunktionen, erfüllt die meisten Anwendungsfälle)350 - 750+50 - 150+1,5 GHz Multi-Core8 GB120 GB SSDThomas Krenn RI1101-SMXEFH

Tabelle 6. OPNsense-Hardwarebeispiele für verschiedene Anwendungsfälle

2. Herunterladen des OPNsense-Images

Jetzt können Sie zur offiziellen OPNsense-Download-Seite gehen. Die Installation von OPNsense auf einer virtuellen Maschine kann durch die Verwendung des DVD-ISO-Images erfolgen. Laden Sie also das DVD ISO-Abbild von der OPNsense-Mirror-Seite herunter, die Ihnen am nächsten ist.

Herunterladen der OPNsense DVD ISO-Datei

Abbildung 1. Herunterladen der OPNsense DVD ISO-Datei

Nachdem Sie die bzip-komprimierte ISO-Datei (OPNsense-21.1-dvd-amd64.iso.bz2) heruntergeladen haben, entpacken Sie sie auf Ihre lokale Festplatte.

3. OPNsense-ISO-Datei auf Proxmox VE hochladen

Um die Installation von OPNsense in der Proxmox-Umgebung zu starten, müssen Sie das OPNsense-ISO-Image von Ihrer lokalen Festplatte auf den Proxmox-Knoten hochladen. Sie können die ISO-Datei ganz einfach auf Ihr Proxmox VE-System hochladen, indem Sie die folgenden Anweisungen befolgen.

  1. Verbinden Sie Ihre Proxmox VE-Weboberfläche (zum Beispiel https://192.168.0.100:8006) mit Ihrem bevorzugten Browser und melden Sie sich als root an.

  2. Navigieren Sie zu Datacenterpve/nodelocal disk (pve)ISO Images

    Hochladen des OPNsense-ISO-Images auf den Proxmox-Knoten

    Abbildung 2. Hochladen des OPNsense-ISO-Images auf den Proxmox VE-Knoten

  3. Klicken Sie auf die Schaltfläche Upload

  4. Wählen Sie das OPNsense-ISO-Image von Ihrer lokalen Festplatte zum Hochladen aus.

    Auswahl des OPNsense-ISO-Images von der lokalen Festplatte zum Hochladen auf Proxmox

    Abbildung 3. Auswahl des OPNsense-ISO-Images von der lokalen Festplatte zum Hochladen auf Proxmox VE

  5. Klicken Sie auf die Schaltfläche Upload.

tipp

Sie können das OPNsense-ISO-Image auch in Ihre Proxmox-Umgebung kopieren, indem Sie eine SCP/SFTP-Clientanwendung verwenden. Sie sollten die ISO-Datei in das Verzeichnis /var/lib/vz/template/iso auf dem Proxmox VE-Server hochladen.

4. Erstellen einer virtuellen Maschine auf Proxmox VE

Nachdem wir das OPNsense-ISO-Image auf den Proxmox VE hochgeladen haben, werden wir eine virtuelle Maschine für unsere OPNsense-Firewall erstellen. Um eine virtuelle Maschine auf Proxmox zu erstellen, sollten Sie die folgenden Schritte befolgen.

  1. Klicken Sie auf die blaue Schaltfläche Create VM in der oberen rechten Ecke der Proxmox VE-Weboberfläche.

  2. Geben Sie einen Namen für Ihre virtuelle Maschine ein, wie zum Beispiel OPNsensefw. Dann klicken Sie auf Next

    Benennung der OPNsense-VM auf Proxmox

    Abbildung 4. Benennung der OPNsense-VM auf Proxmox

  3. Wählen Sie das OPNsense-ISO-Image unter dem Tab OS aus und klicken Sie dann auf Next.

    Auswahl der OPNsense-ISO zur Installation auf Proxmox als Betriebssystem

    Abbildung 5. Auswahl der OPNsense-ISO zur Installation auf Proxmox VE als Betriebssystem

  4. Sie können die Standardeinstellungen auf der Registerkarte System akzeptieren, indem Sie auf Next klicken.

    Systemeinstellungen der OPNsense-VM auf Proxmox

    Abbildung 6. Systemeinstellungen der OPNsense-VM auf Proxmox

  5. Stellen Sie die Größe der Hard Disk nach Ihren Wünschen ein. Wir empfehlen, den IO-Thread zu aktivieren, was die IO-Leistung verbessern sollte, indem der Festplatte ihr Datacenter-Worker-Thread zugewiesen wird.

    Festlegen der Festplattengröße auf 32 GB für OPNsense auf Proxmox VE

    Abbildung 7. Festlegen der Festplattengröße auf 32 GB für OPNsense auf Proxmox VE

  6. Stellen Sie die CPU-Konfiguration nach Ihren Wünschen ein.

    CPU-Einstellungen für die OPNsense-Firewall auf Proxmox

    Abbildung 8. CPU-Einstellungen für die OPNsense-Firewall auf Proxmox VE

  7. Stellen Sie die Memorygröße nach Ihren Wünschen ein.

    Speichergröße auf 8 GB für die OPNsense-Firewall auf Proxmox einstellen

    Abbildung 9. Einstellung der Speicherkapazität auf 8 GB für die OPNsense-Firewall auf Proxmox

  8. Setzen Sie Multiqueue to 8, was dem BSD-Kernel ermöglichen wird, den optimalen Wert mit Proxmox VE in der Netzwerkkonfiguration auszuhandeln. Wir werden diese Konfiguration für unsere Topologie später ausführlich behandeln.

    Netzwerkkonfiguration der OPNsense-VM auf Proxmox VE

    Abbildung 10. Netzwerkkonfiguration der OPNsense-VM auf Proxmox VE

  9. Bestätigen Sie die OPNsense-VM-Konfiguration, indem Sie auf die Schaltfläche Finish klicken. Bestätigung der OPNsense-VM-Konfiguration

    Abbildung 11. Bestätigung der OPNsense-VM-Konfiguration

5. Konfiguration des Netzwerks der OPNsense-VM auf Proxmox VE

In diesem Tutorial werden wir zwei physische NICs für unsere OPNsense-Firewall konfigurieren. Diese NICs werden für die folgenden Zwecke verwendet und konfiguriert.

  • WAN-Verbindung: Internetverbindung/Untrusted zone.

  • LAN-Verbindung: Clients und Server befinden sich in dieser vertrauenswürdigen Zone.

Sie können die Netzwerkkonfiguration der OPNsense-VM auf Proxmox VE abschließen, indem Sie die nächsten 2 Schritte befolgen:

  1. Erstellen eines Linux-Bridge
  2. Hinzufügen von Netzwerkgeräten zur OPNsense-VM auf Proxmox

5.1. Erstellen einer Linux-Brücke

Um zwei Netzwerkschnittstellen für die OPNsense-VM definieren zu können, müssen wir zunächst Linux-Brückengeräte auf dem Proxmox-Gerät erstellen.

Um eine Network Bridge zu erstellen, folgen Sie den nächsten Schritten.

  1. Navigieren Sie zu Data centerpveNetwork.

    Anzeigen der Netzwerkgeräte von Proxmox VE

    Abbildung 12. Anzeigen der Netzwerkgeräte von Proxmox VE

  2. Klicken Sie auf die SchaltflächeCreate . Dies öffnet das Konfigurationsfenster für Linux Bridge.

  3. Sie können den Namen als Standard belassen, wie zum Beispiel vmbr1. Geben Sie die IPv4/CIDR-Adresse und die Bridge-Ports ein. (Network devices name seen on Network configuration window, such as ens3f0). Dann klicken Sie auf die Schaltfläche Create .

    Erstellen einer Linux-Brücke auf dem Proxmox VE

    Abbildung 13. Erstellen einer Linux-Brücke auf dem Proxmox VE

  4. Klicken Sie auf die Schaltfläche Apply Configuration oder Reboot Sie das Proxmox-Gerät neu, um die neuen Linux-Bridges zu verwenden.

Jetzt haben Sie zwei Linux-Bridges, wie in der untenstehenden Abbildung zu sehen.

Anzeigen der Netzwerkgeräte von Proxmox VE

Abbildung 14. Anzeigen der Netzwerkgeräte von Proxmox VE

5.2. Hinzufügen von Netzwerkgeräten zur OPNsense-VM auf Proxmox

Es ist Zeit, ein Netzwerkgerät hinzuzufügen, das für LAN-Verbindungen verwendet wird.

Um eine neue Netzwerkschnittstelle zur OPNsense-VM auf Proxmox hinzuzufügen, können Sie diese Schritte befolgen.

  1. Navigieren Sie zu Data centerpveOPNsensefw VMHardwareAdd..

  2. Klicken Sie auf Network Device.

    Hinzufügen einer zusätzlichen NIC zur OPNsense-VM auf Proxmox VE

    Abbildung 15. Hinzufügen einer NIC zur OPNsense-VM auf Proxmox VE

  3. Wählen Sie den Linux Bridge, wie z.B. vmbr1.

    Auswahl der Linux-Brücke

    Abbildung 16. Auswahl einer Linux-Brücke für eine NIC

  4. Wählen Sie Model als VirtlO(paravirtualized).

    Modell für ein Netzwerkgerät der OPNsense-VM auf Proxmox VE einstellen

    Abbildung 17. Modellkonfiguration für ein Netzwerkgerät der OPNsense-VM auf Proxmox VE

  5. Deaktivieren Sie die Option Firewall.

  6. Setzen Sie Multiqueue auf 8.

  7. Klicken Sie auf die Schaltfläche Add

Nachdem Sie die Netzwerkkonfiguration der OPNsense-VM auf Proxmox abgeschlossen haben, sollten Sie die Hardwarekonfiguration für die OPNsense-VM ähnlich der folgenden Abbildung sehen.

Hardwarekonfiguration der OPNsense-VM auf Proxmox VE

Abbildung 18. Hardwarekonfiguration der OPNsense-VM auf Proxmox VE

Jetzt hat Ihre OPNsense-Firewall 2 verschiedene physische Schnittstellen, die bereit sind, sich mit verschiedenen Netzwerken zu verbinden, Internet und LAN jeweils.

tipp

Es wird empfohlen, die MAC-Adresse der von der OPNsense-VM verwendeten Netzwerkgeräte zu notieren. Sie werden sie benötigen, um die Netzwerkeinstellungen der Firewall nach der Installation der OPNsense-Software abzuschließen.

6. Installation von OPNsense

Um die Installation von OPNsense in Ihrer Proxmox-Umgebung zu starten, sollten Sie zuerst die OPNsense-virtuelle Maschine starten. Um die Maschine zu starten,

  1. Klicken Sie auf die virtuelle Maschine OPNsensefw in der Knotentabelle.

  2. Klicken Sie auf die Schaltfläche Start.

Um die Installation von OPNsense fortzusetzen, sollten Sie die virtuelle Maschine über die Proxmox-Konsole verbinden, indem Sie auf die Console klicken.

Verbindung zur OPNsense-VM-Konsole auf Proxmox herstellen

Abbildung 19. Verbindung zur OPNsense-VM-Konsole auf Proxmox VE

Und dann können Sie die unten aufgeführten Schritte befolgen.

  1. Während das System bootet, drücken Sie keine Taste und warten Sie auf die Anmeldeaufforderung.

    OPNsense-Bootmenü

    Abbildung 20. OPNsense-Bootmenü

  2. Anmeldung: Melden Sie sich als installer an und das Standardpasswort ist opnsense. Dies wird den Installationsprozess starten.

    info

    Auf OPNsense ist das Standard-Installationspasswort opnsense.

    OPNsense-Installations-Login-Aufforderung

    Abbildung 21. Anmeldeaufforderung zur OPNsense-Installation

  3. Bestätigung: Um die Installation zu bestätigen, drücken Sie Ok, let's go.

    Bestätigung der OPNsense-Installation

    Abbildung 22. Bestätigung der OPNsense-Installation

  4. Konsole-Konfiguration: Klicken Sie auf Accept these settings für die Konsole. Der Installer wird wahrscheinlich standardmäßig das richtige Tastaturlayout erkennen. Oder Sie können Keymap und Video Font nach Belieben ändern.

    Konsole konfigurieren

    Abbildung 23. Konsole konfigurieren

  5. Aufgabe auswählen: Klicken Sie auf die Guided Installation. Wenn Sie eine erweiterte Partitionierung durchführen oder eine Konfiguration von einer anderen OpnSense-Firewall importieren möchten, können Sie diese Einstellungen in diesem Schritt vornehmen.

    Auswahl der geführten Installation

    Abbildung 24. Auswahl der geführten Installation

  6. Wählen Sie eine Festplatte: Wählen Sie die Festplatte aus, auf der OPNsense installiert werden soll. Seien Sie vorsichtig, dass alle Dateien auf dieser Festplatte gelöscht werden.

    Auswahl der Festplatte zur Installation von OPNsense

    Abbildung 25. Auswahl der Festplatte zur Installation von OPNsense

  7. Auswahl des Installationsmodus: Wählen Sie GBT/UEFI als Installationsmodus. Die meisten modernen Systeme unterstützen GPT/EFI, aber wenn Sie einen älteren Computer verwenden, ist MBR möglicherweise die einzige unterstützte Option. Sie können in den BIOS-Einstellungen Ihres Systems nachsehen, ob es EFI/GPT unterstützt.

    Auswahl des Installationsmodus für die OPNsense-Installation

    Abbildung 26. Auswahl des Installationsmodus für die OPNsense-Installation auf Proxmox VE

  8. Swap-Größe: Akzeptieren Sie die empfohlene Partition-Swap-Größe, indem Sie Yes drücken.

    Festlegen der Swap-Partition-Größe

    Abbildung 27. Festlegen der Größe der Swap-Partition

  9. Paketinstallation: Pakete werden bis zu zehn Minuten in Ihrem System installiert.

    Installation von OPNsense-Paketen

    Abbildung 28. Installation von OPNsense-Paketen

  10. Root-Passwort festlegen: Sie können Ihr Root-Passwort festlegen oder es vorerst auf dem Standardwert opnsense belassen.

    Root-Passwort festlegen

    Abbildung 29. Root-Passwort festlegen

  11. Neustart: Durch Drücken von Reboot sollten Sie Ihr System neu starten.

  12. ISO-Image aushängen: Verlassen Sie die Konsole und kehren Sie zur Proxmox-GUI zurück.

    • Navigieren Sie zum OPNsensefw VM-Knoten → HardwareCD/DVD Drive.
    • Klicken Sie auf Remove.
    • Bestätigen Sie das Entfernen des CD/DVD-Laufwerks, indem Sie auf Yes klicken.

  13. Kehren Sie zur Console der OPNsense-Firewall in Proxmox VE zurück. Nachdem der OPNsense-Neustart abgeschlossen ist, sehen Sie die Anmeldeaufforderung.

    OPNsense CLI-Anmeldeaufforderung

    Abbildung 30. OPNsense CLI-Anmeldeaufforderung


Starten Sie noch heute kostenlos mit Zenarmor

Jetzt können Sie die Installation von OPNsense in Ihrer Proxmox-Umgebung abschließen, indem Sie die nächsten 6 Hauptschritte befolgen:

  1. Zuweisungen von Netzwerkgeräten für die OPNsense-Firewall
  2. IP-Adresseneinstellungen für die OPNsense-Firewall
  3. Aktualisierung der OPNsense-Firewall über die CLI
  4. Zugriff auf die OPNsense-Web-GUI
  5. Erste Konfiguration der OPNsense-Firewall
  6. Deaktivieren Sie die Netzwerk-Hardware-Offloading auf der OPNsense-Firewall

6.1. Zuweisungen von Netzwerkgeräten für die OPNsense-Firewall

Standardmäßig wird das System mit 2 Schnittstellen, LAN und WAN, konfiguriert. Der erste gefundene Netzwerkport wird als LAN konfiguriert und der zweite als WAN. Allerdings könnte OPNsense die Netzwerkkarten möglicherweise nicht korrekt den richtigen Netzwerken zuordnen. Dann müssen Sie die Netzwerkgeräte manuell den richtigen Netzwerken zuweisen.

Zum Beispiel hat OPNsense in unserer Installation das Gerät vtnet0 dem LAN und das Gerät vtnet1 dem WAN zugewiesen. Aber die richtige Konfiguration ist umgekehrt. Während das vtnet0-Gerät dem WAN zugewiesen werden sollte, sollte das vtnet1-Gerät dem LAN zugewiesen werden. Lassen Sie uns die Netzwerkkonfiguration für unser OPNsense-Gerät korrigieren.

warnung

Die Standard-DHCP-Konfiguration der Netzwerkschnittstellen auf der OPNsense-Firewall lautet wie folgt:

  • Die WAN-Schnittstelle funktioniert als DHCP-Client und erwartet, eine IP-Adresse zugewiesen zu bekommen.

  • Die LAN-Schnittstelle fungiert als DHCP-Server, hat eine statische IP-Adresse von 192.168.1.1/24 und bietet IP-Adressen im Bereich von 192.168.1.100-200 an.

Für die Zuweisung von Netzwerkgeräten auf Ihrer OPNsense-Firewall können Sie die folgenden Schritte befolgen:

  1. Melden Sie sich als Root an. Dann wird das Optionsmenü auf dem Bildschirm angezeigt.

    Optionsmenü auf OPNsense CLI

    Abbildung 31. Optionsmenü auf OPNsense CLI

  2. Drücken Sie 1, um Schnittstellen zuzuweisen.

  3. VLAN-Konfiguration: Der Assistent wird nach der VLAN-Konfiguration fragen. Sie können die VLAN-Einstellungen später auch über die OPNsense-GUI konfigurieren. Da wir jetzt keine VLAN konfigurieren werden, drücken Sie n, um fortzufahren.

    VLAN-Konfiguration für Netzwerkschnittstellen von OPNsense über die CLI

    Abbildung 32. VLAN-Konfiguration für Netzwerkschnittstellen von OPNsense in der CLI

  4. WAN-Schnittstelle einrichten: Der Assistent wird nach dem Namen der WAN-Schnittstelle fragen. Geben Sie den Namen der WAN-Schnittstelle ein und drücken Sie dann die Eingabetaste. Zum Beispiel heißt in unserem OPNsense-System die WAN-Schnittstelle vtnet0.

    Zuweisung der WAN-Schnittstelle in der OPNsense-CLI

    Abbildung 33. Zuweisung der WAN-Schnittstelle im OPNsense-CLI

  5. Einstellung der LAN-Schnittstelle: Der Assistent wird nach dem Namen der LAN-Schnittstelle fragen. Geben Sie den Namen der LAN-Schnittstelle ein und drücken Sie dann die Eingabetaste. Zum Beispiel, in unserem OPNsense-System heißt die Schnittstelle vtnet1.

    Zuweisung der LAN-Schnittstelle auf OPNsense CLI

    Abbildung 34. Zuweisung der LAN-Schnittstelle im OPNsense-CLI

  6. Optionale Schnittstelle einstellen: Da wir keine andere Netzwerkschnittstelle haben, drücken Sie die Eingabetaste, um fortzufahren.

    Optionale Schnittstellenzuweisung auf OPNsense CLI

    Abbildung 35. Optionale Schnittstellenzuweisung auf OPNsense CLI

  7. Bestätigung: Die Zuordnungen der Netzwerkschnittstellen werden aufgelistet. Drücken Sie y, um fortzufahren.

    Bestätigen der Netzwerk-Schnittstellenzuweisungen auf OPNsense CLI

    Abbildung 36. Bestätigung der Netzwerkschnittstellenzuweisungen auf OPNsense CLI

Alle Netzwerkschnittstellen auf Ihrer OPNsense-Firewall sind den richtigen Netzwerken zugewiesen.

6.2. IP-Adresseneinstellungen für die OPNsense-Firewall

Nachdem Sie die Netzwerkschnittstellen den entsprechenden Netzwerken (WAN und LAN) zugewiesen haben, sollten Sie die IP-Adresse für die Netzwerkschnittstellen Ihrer OPNsense-Firewall konfigurieren.

In unserer OPNsense-Firewall werden wir die WAN- und LAN-Schnittstellen wie unten angegeben konfigurieren.

NetzwerkSchnittstellennameIP-ZuweismethodeIP-Adresse
WANvtnet0Automatisch über DHCP-Server-
LANvtnet1statisch10.10.10.1/24

Wir werden einen DHCP-Server für das LAN auf unserer OPNsense-Firewall aktivieren. Der DHCP-Server weist die IP-Adresse im Bereich 10.10.10.11-200/24 für unsere Clients im LAN zu.

Für die IP-Adresseneinstellungen der OPNsense-Firewall können Sie die folgenden Schritte befolgen:

  1. Wählen Sie 2 im OPNsense-Optionsmenü, um die Set interface IP address.

    IP-Adresse für das Netzwerk-Interface von OPNsense über die CLI einstellen

    Abbildung 37. Festlegen der IP-Adresse für die Netzwerkschnittstelle von OPNsense über die CLI

  2. Auswahl der zu konfigurierenden Schnittstelle: Verfügbare Schnittstellen werden angezeigt. Drücken Sie 1, um die LAN-Schnittstelle zu konfigurieren.

    Auswahl der LAN-Schnittstelle zur Konfiguration in der OPNsense-CLI

    Abbildung 38. Auswahl der LAN-Schnittstelle zur Konfiguration in der OPNsense-CLI

  3. IP-Zuweismethode. Der Assistent wird Sie auffordern, die IPv4 über den DHCP-Server zu konfigurieren. Da wir eine statische IP-Adresse manuell zuweisen werden Drücken Sie n.

    Auswahl der IP-Zuweisung für die LAN-Schnittstelle in der OPNsense-CLI

    Abbildung 39. Auswahl der IP-Zuweisung für die LAN-Schnittstelle in der OPNsense-CLI

  4. IP-Adresse festlegen: Geben Sie die IPv4-Adresse für die LAN-Schnittstelle ein. Zum Beispiel, 10.10.10.1.

    IP-Adresse für LAN-Schnittstelle auf OPNsense CLI festlegen

    Abbildung 40. Festlegen der IP-Adresse für die LAN-Schnittstelle in der OPNsense-CLI

  5. Subnetzmaske einstellen: Geben Sie die Subnetzmaske für die LAN-Schnittstelle ein. Zum Beispiel, 24.

    Festlegen der Subnetzmaske für die LAN-Schnittstelle in der OPNsense-CLI

    Abbildung 41. Festlegen der Subnetzmaske für die LAN-Schnittstelle in der OPNsense-CLI

  6. Gateway einstellen: Drücken Sie Enter.

    Gateway für LAN-Schnittstelle in OPNsense CLI festlegen

    Abbildung 42. Gateway für LAN-Schnittstelle in OPNsense CLI einstellen

  7. IPv6 über WAN-Tracking einstellen: Sie können n drücken.

  8. IPv6 über DHCPv6 einstellen: Sie können n drücken.

    IPv6-Einstellungen der LAN-Schnittstelle auf OPNsense CLI

    Abbildung 43. IPv6-Einstellungen der LAN-Schnittstelle auf OPNsense CLI

  9. IPv6 einstellen: Sie können Enter drücken.

  10. DHCP-Server aktivieren: Um den DHCP-Server in Ihrem LAN zu aktivieren, drücken Sie y.

  11. Festlegen der Startadresse des IPv4-Client-Adressbereichs: Geben Sie die Startadresse des IPv4-Client-Adressbereichs ein, z. B. 10.10.10.11.

  12. Festlegen der Endadresse des IPv4-Client-Adressbereichs: Geben Sie die Endadresse des IPv4-Client-Adressbereichs ein, z. B. 10.10.10.200.

    Konfiguration des DHCP-Servers auf der LAN-Schnittstelle von OPNsense

    Abbildung 44. Konfiguration des DHCP-Servers auf der LAN-Schnittstelle von OPNsense

  13. Aktivierung von HTTP: Durch Drücken von n können Sie auf die OPNsense-GUI über das HTTPS-Protokoll zugreifen, das sicher ist. Wenn Sie die Weboberfläche mit HTTP verwenden möchten, können Sie y drücken.

    HTTP-Einstellung für die OPNsense-Web-GUI

    Abbildung 45. HTTP-Einstellung für die OPNsense-Web-GUI

  14. Web-GUI-Standardeinstellungen wiederherstellen. Drücken Sie n. Durch Drücken von y können Sie auf die OPNsense-GUI mit dem Standardbenutzer und -passwort zugreifen.

hinweis

Standard-OPNsense-Benutzer: root

Standard-OPNsense-Passwort: opnsense

6.3. Aktualisierung der OPNsense-Firewall über die CLI

Nach Abschluss der Installation der OPNsense-Firewall auf Proxmox VE sollten Sie Ihre Firewall aktualisieren. Sie können das OPNsense-System ganz einfach aktualisieren, indem Sie im Optionsmenü auf der CLI 12) Update from console auswählen.

Aktualisierung der OPNsense-Firewall über die Konsole

Abbildung 46. Aktualisierung der OPNsense-Firewall über die Konsole

warnung

Achten Sie darauf, dass einige kritische Updates einen Neustart Ihres Systems erfordern.

6.4. Zugriff auf die OPNsense-Web-GUI

Herzlichen Glückwunsch! Sie haben die Installation der OPNsense-Firewall erfolgreich abgeschlossen. Sie können auf die Web-GUI Ihrer OPNsense-Firewall von einem Client im LAN aus über einen Browser zugreifen. https://10.10.10.1 oder http://10.10.10.1.

Login OPNsense GUI

Abbildung 47. Anmeldung OPNsense GUI

tipp

Aus Sicherheitsgründen ist SSH standardmäßig deaktiviert und der Konsolenzugriff ist auf der OPNsense-Firewall passwortgeschützt.

Wenn Sie sich in die OPNsense-GUI einloggen, wird die Dashboard-Seite angezeigt.

OPNsense-Dashboard

Abbildung 48. OPNsense-Dashboard

6.5. Erste Konfiguration der OPNsense-Firewall

Um die Erstkonfiguration Ihrer OPNsense-Firewall abzuschließen, können Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemWizard im OPNsense Web-GUI.

  2. Dieser Assistent wird Sie durch die anfängliche Systemkonfiguration führen. Klicken Sie auf die Schaltfläche Next.

  3. Sie können Ihren Hostnamen und Domainnamen für Ihr Gerät festlegen. Sie können die OptionOverride DNS ausgewählt lassen. Dies ermöglicht es der OpnSense-Firewall, DNS-Informationen über die WAN-Schnittstelle vom ISP zu erhalten. Dann klicken Sie auf die Schaltfläche Next.

    Erstkonfiguration von OPNsense

    Abbildung 49. Erstkonfiguration von OPNsense

  4. Stellen Sie den NTP-Server und die Timezone für Ihre OPNsense-Firewall ein. Wenn Sie keine eigenen NTP-Systeme haben, stellt OpnSense ein Standardset von NTP-Server-Pools zur Verfügung. Dann klicken Sie auf die SchaltflächeNext.

    NTP-Server und Zeitzone in der OPNsense-GUI einstellen

    Abbildung 50. Einstellung des NTP-Servers und der Zeitzone in der OPNsense-GUI

  5. Sie können die WAN-Schnittstellenkonfigurationen ändern oder sie auf den Standardwerten belassen. Sie sollten die Einstellungen für RFC1918-Netzwerke aus Sicherheitsgründen als aktiviert belassen.

    WAN-Schnittstellenkonfiguration in der OPNsense-GUI

    Abbildung 51. WAN-Schnittstellenkonfiguration in der OPNsense-GUI

    RFC1918-Netzwerkeinstellungen für die WAN-Schnittstelle in der OPNsense-GUI

    Abbildung 52. RFC1918-Netzwerkeinstellungen für die WAN-Schnittstelle in der OPNsense-GUI

  6. Sie können die LAN-Schnittstellenkonfigurationen ändern oder sie auf den Standardwert belassen.

    LAN-Schnittstellenkonfiguration in der OPNsense-GUI

    Abbildung 53. Konfiguration der LAN-Schnittstelle in der OPNsense-GUI

  7. Sie können das root-Passwort ändern oder es wie zuvor belassen.

    Root-Passwort in der OPNsense-GUI festlegen

    Abbildung 54. Festlegen des Root-Passworts in der OPNsense-GUI

  8. Klicken Sie auf Reload, um die Änderungen anzuwenden.

  9. Wenn alles erfolgreich abgeschlossen ist, wird OpnSense den Benutzer willkommen heißen. Sie können zum Haupt-Dashboard zurückkehren, indem Sie auf Dashboard in der oberen linken Ecke des Webbrowserfensters klicken.

    Abgeschlossene Erstkonfiguration der OPNsense-Firewall

    Abbildung 55. Abgeschlossene Erstkonfiguration der OPNsense-Firewall

6.6. Deaktivieren Sie die Netzwerk-Hardware-Offloading auf der OPNsense-Firewall

Deaktivierung der Hardware-Offloading in der OPNsense-GUI

Abbildung 56. Deaktivierung der Hardware-Offloading auf der OPNsense-GUI

Nach Abschluss der Installation von OPNsense sollten Sie sicherstellen, dass die Hardware-Offload-Funktionen auf den Netzwerkschnittstellen deaktiviert sind. Weil VirtIO-Schnittstellen Probleme mit NAT haben. Um das Hardware-Offloading auf der Netzwerkschnittstelle zu deaktivieren,

  • Navigieren Sie zu InterfacesSettings im OPNsense GUI.

  • Setzen Sie Hardware CRC, Hardware TSO und Hardware LRO auf Deaktiviert.

  • Klicken Sie auf Save.

  • Reboot die Firewall neu.

Letztes Update am von Zenarmor