Zum Hauptinhalt springen

Wie installiere ich OPNsense auf AWS?

Veröffentlicht am:
.
10 Minuten Lesezeit
.
Für die Englische Version

Amazon Web Services (AWS) ist die weltweit vollständigste und am häufigsten genutzte Cloud-Plattform, die über 200 voll funktionsfähige Dienste aus Rechenzentren auf der ganzen Welt anbietet. Millionen von Kunden, darunter Startups, Unternehmen und Regierungsbehörden, nutzen AWS, um Kosten zu senken, agiler zu werden und schneller zu innovieren. Gartner Research hat Amazon Web Services im Leaders-Quadranten des neuen Magic Quadrant 2021 für Cloud Infrastructure & Platform Services (CIPS) platziert.

OPNsense ist die am schnellsten wachsende Open-Source-Firewall- und Routing-Plattform mit einer von der Open Source Initiative (OSI) zertifizierten 2-Klausel- oder vereinfachten BSD-Lizenz. Es verfügt über ein umfassendes Funktionsset, das alles von einem Router/Firewall bis hin zu integrierter Eindringungs- und Präventionsüberwachung umfasst.

Modularisierung, Mehrsprachigkeit, gehärtete Sicherheit, einfache und zuverlässige Firmware-Updates, schnelle Übernahme von Upstream-Software-Updates und eine große und einladende Community sind allesamt Markenzeichen des Projekts. Obwohl es allgemein als traditionelle Paketfilter-Firewall bezeichnet wird, bietet OPNsense, unterstützt durch das Zenarmor-Plugin, Next-Generation-Firewall-Funktionen und wird zunehmend in Unternehmensnetzwerken eingesetzt. Es gibt ein offiziell unterstütztes OPNsense-Image für die Amazon Cloud. Es gibt jedoch kein öffentlich verfügbares OPNsense-Image auf der Google Cloud Platform. Aber Sie können auch eine OPNsense-Instanz in Ihrer Google Cloud-Konsole erstellen und starten.

Die OPNsense-Instanz auf AWS bietet die folgenden Funktionen:

  • Stateful Inspection Firewall mit umfangreichen Routing-Funktionen, einschließlich OSPF und BGP, und vielen dynamischen Protokollen
  • OpenVPN, IPsec und WireGuard sind einige der bekannten VPN-Technologien, die dazu beitragen können, Ihre Cloud-Architektur zu sichern.
  • Die hochwertigen Regelsets von Proofpoint (ET Open, ET Pro [Telemetry], je nach Lizenz) sind in der Inline-Eindringungserkennung und -verhinderung enthalten.

In diesem Artikel erklären wir Ihnen 9 Schritte zur Installation einer OPNsense-Firewall in der AWS-Cloud. Dies ermöglicht es Ihnen, eine leistungsstarke Firewall in der AWS-Cloud einzurichten, um einen VPN Server bereitzustellen. Nach der Installation Ihrer OPNsense-Instanz können Sie nach Belieben entweder den WireGuard- oder den OpenVPN-Dienst darauf installieren.

Best Practice

Sie können das Zenarmor NGFW Plug-in schnell auf Ihrem OPNsense VPN-Server, der auf AWS läuft, installieren, um entfernte Mitarbeiter vor Cyber-Bedrohungen zu schützen.

Das Zenarmor NGFW-Plugin für OPNsense ist eines der beliebtesten OPNsense-Plugins und ermöglicht es Ihnen, Ihre Firewall in Sekundenschnelle auf eine Next-Generation-Firewall aufzurüsten. NG-Firewalls ermöglichen es Ihnen, modernen Cyberangriffen entgegenzuwirken, die jeden Tag raffinierter werden.

Einige der Funktionen sind Layer-7-Anwendungs-/Benutzer-bewusstes Blockieren, granulare Filterrichtlinien, kommerzielles Webfiltering mit cloudbasierter KI-gestützter Bedrohungsintelligenz, Kindersicherungen und die besten Netzwerk-Analysen und -Berichte der Branche.

Zenarmor Free Edition ist kostenlos für alle OPNsense-Nutzer verfügbar.

Starten Sie noch heute kostenlos mit Zenarmor

Kosten von OPNsense auf AWS

In der AWS-Cloud ist eine Instanz ein virtueller Server. Ein Amazon Machine Image wird verwendet, um eine Instanz zu starten (AMI). Das Betriebssystem Ihrer Instanz, der Anwendungsserver und die Apps werden alle von der AMI bereitgestellt.

Das AWS Free Tier ermöglicht es Ihnen, kostenlos mit Amazon EC2 zu beginnen, wenn Sie sich für AWS anmelden. Sie können eine t2.micro-Instanz für 12 Monate kostenlos starten und nutzen, wenn Sie die kostenlose Stufe auswählen (in Regionen, in denen t2.micro nicht verfügbar ist, können Sie eine t3.micro-Instanz in der kostenlosen Stufe verwenden). Wenn Sie eine Instanz starten, die nicht im kostenlosen Kontingent enthalten ist, müssen Sie die üblichen Amazon EC2-Nutzungsgebühren zahlen.

Das OPNsense EC2-Image ist im AWS Marketplace für eine kostenlose Testversion von Deciso Sales B.V. verfügbar. Dieses Produkt ist für einen 30-tägigen Testzeitraum verfügbar. Es fallen keine Softwaregebühren für dieses Gerät an, aber es werden AWS-Infrastrukturgebühren erhoben. Je nach Ihren Einrichtungsauswahlen werden Infrastrukturgebühren anfallen. Wenn Ihre kostenlose Testphase endet, wird sie automatisch in ein kostenpflichtiges Abonnement umgewandelt, und Ihnen werden alle nachfolgenden Nutzungen über die Ihnen gegebenen kostenlosen Einheiten in Rechnung gestellt.

OPNsense-Instanzen auf AWS können optional auf die Business Edition aufgerüstet werden, indem eine separate Lizenz von shop.opnsense.com erworben wird. Mengenrabatte sind ebenfalls verfügbar.

Bereitstellung von OPNsense auf AWS

Der Startassistent für Instanzen kann verwendet werden, um eine OPNsense-Instanz auf AWS zu starten. Der Instanzstart-Assistent gibt alle Startparameter an, die zum Starten der Instanz erforderlich sind. Wenn der Startassistent für die Instanz einen Standardwert anbietet, können Sie ihn akzeptieren oder Ihren eigenen eingeben. Um eine Instanz zu starten, müssen Sie zuerst ein AMI und ein Schlüsselpaar auswählen.

Um eine OPNsense-Instanz auf AWS zu installieren, können Sie die unten beschriebenen Schritte befolgen.

Schritt 1 - Wählen Sie OPNsense AMI

Um das OPNsense AMI auszuwählen, können Sie die folgenden Schritte befolgen:

  1. Gehen Sie zur Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie auf Instanz starten in Ihrer EC2-Ansicht, um eine neue Instanz zu starten. Dies wird Sie zur Seite "Wählen Sie ein Amazon Machine Image (AMI)" weiterleiten.

    Neue Instanz auf AWS starten

Abbildung 1. Neue Instanz auf AWS starten

  1. Geben Sie opnsense in die Suchleiste ein.

  2. Klicken Sie auf den AWS Marketplace in der linken Seitenleiste.

  3. Wählen Sie das von Deciso Sales B.V. verkaufte OPNsense® Firewall/Router/VPN/IDPS-Image aus.

    Auswahl der OPNsense AMI

Abbildung 2. Auswahl von OPNsense AMI

  1. Klicken Sie auf Weiter in der rechten unteren Ecke des Dialogfelds, das Produktdetails und Preisinformationen enthält. Dies bringt Sie zur Seite "Wählen Sie einen Instanztyp".

    Produkt- und Preisinformationen der OPNsense AWS-Instanz

Abbildung 3. Produkt- und Preisinformationen der OPNsense AWS-Instanz

Schritt 2: Wählen Sie einen Instanztyp

Amazon EC2 bietet eine Vielzahl von Instanztypen, die auf spezifische Anwendungsfälle zugeschnitten sind. Instanzen sind virtuelle Server, auf denen Anwendungen ausgeführt werden können. Sie haben unterschiedliche Kombinationen von CPU, Speicher, Speicherplatz und Netzwerkbandbreite, was Ihnen die Freiheit gibt, die beste Ressourcenkombination für Ihre Anwendungen auszuwählen.

Sie können die Hardwarekonfiguration und Größe der OPNsense-Instanz auf der Seite Wählen Sie einen Instanztyp auswählen. Obwohl Deciso empfiehlt, eine m4.large Instanz (oder größer) für die beste Erfahrung mit OPNsense zu verwenden, können Sie t2.micro (- ECUs, 1 vCPUs, 2,5 GHz, -, 1 GiB Speicher, nur EBS) auswählen, um für die kostenlose Stufe während Ihrer Testphase berechtigt zu bleiben.

Um den Instanztyp auszuwählen, können Sie die folgenden Schritte befolgen:

  1. Wählen Sie t2.micro oder m4.large je nach Ihren Anforderungen aus, indem Sie auf das Kontrollkästchen in der ersten Spalte klicken.

  2. Klicken Sie auf Weiter: Instanzdetails konfigurieren, um Ihre Instanz weiter zu konfigurieren.

Auswahl des Instanztyps

Abbildung 4. Auswahl des Instanztyps

Schritt 3: Konfigurieren der Instanzdetails

Auf der Seite Instanzdetails konfigurieren können Sie die OPNsense-Instanz so konfigurieren, dass sie Ihren Anforderungen entspricht. Sie können mehrere Instanzen aus demselben AMI starten, Spot-Instanzen anfordern, um von niedrigeren Preisen zu profitieren, eine Zugriffsverwaltungrolle der Instanz zuweisen und andere Dinge tun.

Standardmäßig wird ein Netzwerk zugewiesen, das von einer externen IPv4-Adresse aus zugänglich ist.

Sie können die Instanz-Einstellungen ändern, indem Sie die nächsten Schritte befolgen.

  1. Lassen Sie alle Optionen auf Standard oder ändern Sie die Einstellung je nach Ihren Anforderungen.

  2. Klicken Sie auf Weiter: Speicher hinzufügen.

Konfigurieren der Instanzdetails

Abbildung 5. Instanzdetails konfigurieren

Schritt 4 - Speicher hinzufügen

Ihre Instanz wird mit den auf dieser Seite aufgeführten Speichereinstellungen gestartet. Sie können Ihrer Instanz weitere EBS-Volumes und Instanzspeicher-Volumes hinzufügen sowie die Einstellungen des Root-Volumes ändern. Nach dem Starten einer Instanz können Sie auch zusätzliche EBS-Volumes anhängen, jedoch keine Instance-Store-Volumes.

Um den Speicher der OPNsense-Instanz zu konfigurieren, können Sie die folgenden Schritte ausführen:

  1. Stellen Sie die Größe ein, zum Beispiel 30.

  2. Wählen Sie den Volumentyp. Kunden, die für das kostenlose Kontingent berechtigt sind, können bis zu 30 GB EBS General Purpose (SSD) oder Magnet-Speicher erhalten.

  3. Sie können Löschen bei Beendigung auswählen, um das Volume zu löschen, wenn die Instanz beendet wird.

  4. Klicken Sie auf Weiter: Tags hinzufügen.

Speicher hinzufügen AWS-Instanz

Abbildung 6. Speicher hinzufügen

Schritt 5 - Tags hinzufügen

Auf der Seite "Tags hinzufügen" können Sie optional Schlüssel-Wert-Kombinationen eingeben, um Tags zu spezifizieren. Sie haben die Möglichkeit, die Instanz, die Volumes oder beides zu taggen. Um ein Tag hinzuzufügen, können Sie die folgenden Schritte ausführen:

  1. Klicken Sie auf die Schaltfläche Tag hinzufügen.

  2. Geben Sie Schlüssel an, wie z.B. Name.

  3. Geben Sie Wert an, wie z.B. OPNsense.

  4. Um mehr als ein Tag zu Ihren Ressourcen hinzuzufügen, können Sie Einen weiteren Tag hinzufügen auswählen.

  5. Wenn Sie fertig sind, klicken Sie auf Weiter: Sicherheitsgruppe konfigurieren.

    Tags hinzufügen

    Abbildung 7. Tags hinzufügen

Schritt 6 - Sicherheitsgruppe konfigurieren

Eine Sicherheitsgruppe ist eine Sammlung von Firewall-Regeln, die den Datenverkehr zu und von Ihrer Instanz steuern. Sie können Regeln auf dieser Seite hinzufügen, um bestimmten Datenverkehr zu Ihrer Instanz zuzulassen. Um die Sicherheitsgruppe zu konfigurieren, können Sie die unten aufgeführten Schritte befolgen:

  1. Lassen Sie alle Einstellungen auf den Standardwerten und klicken Sie dann auf Überprüfen und Starten.

    warnung

    Regeln, die allen IP-Adressen (0.0.0.0/0) erlauben, sich über SSH und HTTP(S) mit Ihrer Instanz zu verbinden, sind für diese kurze Übung in Ordnung, aber in Produktionsumgebungen gefährlich. Nur eine bestimmte IP-Adresse oder ein IP-Adressbereich sollte Zugriff auf Ihre Instanz haben.

    Sicherheitsgruppe für OPNsense-Instanz auf AWS konfigurieren

    Abbildung 8. Konfigurieren der Sicherheitsgruppe für die OPNsense-Instanz auf AWS

Schritt 7 - Überprüfen des Instanzstarts und Auswählen des Schlüsselpaares

Um den Start der Instanz zu überprüfen und ein SSH-Schlüsselpaar auszuwählen, können Sie die folgenden Schritte ausführen:

  1. Sie die Details Ihrer Instanz auf der Seite "Überprüfung der Instanzstart" und nehmen Sie alle notwendigen Änderungen vor, indem Sie den entsprechenden Bearbeitungslink auswählen.

  2. Wenn Sie bereit sind, klicken Sie auf Start.

    Überprüfung des Instanzstarts

    Abbildung 9. Start der Überprüfungsinstanz

  3. Wählen Sie ein vorhandenes Schlüsselpaar aus und wählen Sie ein Schlüsselpaar aus oder erstellen Sie ein neues im Dialogfeld Wählen Sie ein vorhandenes Schlüsselpaar oder erstellen Sie ein neues Schlüsselpaar.

  4. Aktivieren Sie das Bestätigungsfeld, und klicken Sie dann auf Instanzen starten.

    Wählen Sie ein vorhandenes Schlüsselpaar aus oder erstellen Sie ein neues Schlüsselpaar

    Abbildung 10. Wählen Sie ein vorhandenes Schlüsselpaar aus oder erstellen Sie ein neues Schlüsselpaar

Schritt 8. Erhalten Sie das anfängliche Passwort

Um das anfängliche ec2-user- und root-Passwort für Ihre OPNsense-Instanz zu erhalten, können Sie die folgenden Schritte befolgen:

  1. Gehen Sie zur Seite EC2-Instanzen in Ihrer AWS-Konsole.

  2. Wählen Sie die OPNsense-Instanz aus.

  3. Navigieren Sie zu Aktionen > Überwachen und beheben > Systemprotokoll abrufen.

    Systemprotokoll für OPNsense-Instanz auf AWS abrufen

    Abbildung 11. Abrufen des Systemprotokolls für die OPNsense-Instanz auf AWS

  4. Scrollen Sie im Protokollfenster nach oben, um das ursprüngliche Passwort zu finden. Sie können sowohl die anfänglichen Passwörter für ec2-user als auch für root einsehen.

    Anzeigen des Systemprotokolls, um die anfänglichen OPNsense-Instanzpasswörter auf AWS zu erhalten

    Abbildung 12. Anzeigen des Systemprotokolls, um die anfänglichen OPNsense-Instanzpasswörter auf AWS zu erhalten

Schritt 9. Erste Konfiguration

Sie können sich über https://public_ip_of_opnsense_instance mit der OPNsense-Weboberfläche verbinden und den WebUI-Assistenten abschließen, indem Sie die folgenden Schritte ausführen.

  1. Verbinden Sie sich mit https://public_ip_of_opnsense_instance über Ihren bevorzugten Browser.

  2. Melden Sie sich als root mit dem Standard-OPNsense-Passwort opnsense an.

  3. Schließen Sie die Ersteinrichtung der OPNsense-Firewall ab, indem Sie die Standardeinstellungen akzeptieren.

    Ersteinrichtungsassistent für OPNsense-Instanz auf AWS

    Abbildung 13. Ersteinrichtungsassistent für OPNsense-Instanz auf AWS

  4. Ändern Sie das root-Passwort in ein neues. Nach Abschluss des Assistenten sollten Sie SSH aktivieren und Firewall-Regeln hinzufügen.

  5. Navigieren Sie zu System > Einstellungen > Verwaltung im OPNsense Web-UI.

  6. Scrollen Sie nach unten zum Secure Shell Server.

  7. Aktivieren Sie die Option Secure Shell aktivieren.

  8. Aktivieren Sie die Option „Root-Benutzeranmeldung erlauben“.

  9. Aktivieren Sie die Option „Passwortanmeldung erlauben“.

  10. Klicken Sie unten auf der Seite auf Speichern.

    Aktivieren Sie Secure Shell für OPNsense

    Abbildung 14. Aktivieren Sie Secure Shell für OPNsense

  11. Um eine Firewall-Regel auf der OPNsense-Firewall zu definieren Beispiel, um SSH und HTTP(S) von den IP-Adressen der Firewall-Administratoren zuzulassen, navigieren Sie zu Firewall > Regeln > WAN.

  12. Setzen Sie Aktion auf Bestehen.

  13. Setzen Sie die Schnittstelle auf WAN.

  14. Setzen Sie Protokoll auf TCP.

  15. Wählen Sie Quelle als Einzelner Host oder Netzwerk und geben Sie die IP-Adresse Ihres Administrators ein.

  16. Setzen Sie Ziel: WAN-Adresse.

  17. Setzen Sie den Zielportbereich auf any.

  18. Aktivieren Sie die Option „Pakete protokollieren, die von dieser Regel verarbeitet werden“.

  19. Setzen Sie Beschreibung: auf Admin-Zugriff auf OPNsense erlauben

  20. Klicken Sie auf Speichern.

    WAN-Firewall-Regeln für unbegrenzten Administratorzugang auf OPNsense

    Abbildung 15. WAN-Firewall-Regeln für unbegrenzten Administratorzugang auf OPNsense

  21. Änderungen anwenden, um die Änderungen zu aktivieren.

  22. Navigieren Sie zu Firewall > Einstellungen > Erweitert, um die Anti-Sperrregel zu deaktivieren.

  23. Aktivieren Sie die Option „Administrations-Anti-Sperrregel deaktivieren“.

    Deaktivierung der Anti-Lockout-Regel für Administratoren in OPNsense

    Abbildung 16. Deaktivierung der Anti-Sperrregel für Administratoren in OPNsense

  24. Klicken Sie auf Speichern am unteren Rand der Seite.

  25. Schließlich, aktualisieren Sie die OPNsense-Firewall und halten Sie Ihre Firewall immer auf dem neuesten Stand für bessere Netzwerksicherheit.

Ihre OPNsense-Firewall-Instanz ist jetzt auf AWS Cloud einsatzbereit.

Hier ist das praktische Video zur Installation einer OPNsense-Instanz auf Amazon Web Services (AWS):

Letztes Update am von Zenarmor