Grundlegende Konfiguration des OPNsense v.19.1.4 Betriebssystems in der SIM-Cloud

Wichtig

Nach der Installation des virtuellen OPNsense-Betriebssystems empfehlen wir Ihnen, dessen Grundkonfiguration vorzunehmen. Dabei werden die Netzwerkschnittstellen, Sicherheitseinstellungen und andere Faktoren konfiguriert, die zu einem korrekten und störungsfreien Betrieb des Betriebssystems beitragen.

  1. Vorbereitende Maßnahmen

    Um die internen und externen Netzwerkschnittstellen der erstellten OPNsense-Instanz genau zu identifizieren, definieren Sie deren MAC-Adressen von der SIM-Cloud-Seite.
    Benutzen Sie dazu die Anleitungen in unserer Dokumentation <../../operations/network-operations/mac-for-eth-intf.html>.
  2. Definieren Sie die WAN- (extern) und LAN- (intern) Schnittstellen“.

Nach dem ersten Start der OPNsense v.19.1.4 Instanz, gehen Sie auf die Konsole (INSTANCE CONSOLE) und geben Sie den Standard-Benutzernamen und das Passwort (root / opnsense) ein.
Wählen Sie als nächstes die Option Nr. 1 (Assign interfaces) und beantworten Sie die folgende Reihe von Fragen:
  • VLANs will not be used
Do you want to configure VLANs now[y|N]? n
  • Überprüfen Sie anhand der zuvor notierten Informationen über die MAC-Adressen, welches Interface tatsächlich das externe ist (sollte dem Netz 172.16.0.0/20 entsprechen) und geben Sie es an:
Enter the WAN interface name or 'a' for auto-detection: vtnet0
  • Die andere verbleibende Schnittstelle kann als lokal definiert werden:
Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(or nothing if finished): vtnet1
  • Im nächsten Schritt drücken Sie ‚Enter‘.
Enter the Optional interface 1 name or 'a' for for auto-detection
(or nothing if finished):
  • In einem Fenster werden nun die letzten Details angezeigt. Wenn alles korrekt ist, speichern Sie die Einstellungen:
WAN  -> vtnet0
LAN  -> vtnet1

Do you want to proceed [y|N]? y
  1. Einrichten von IP-Adressen auf den Schnittstellen
Nachdem Sie die Einstellungen aus dem vorherigen Schritt übernommen haben, erscheint eine Willkommensnachricht, die die aktuellen Schnittstelleneinstellungen - ihre IP-Adressen und Empfangsmöglichkeiten - anzeigt.
Für das aktuelle Beispiel ist dies:
LAN (vtnet1)       -> v4: 192.168.1.1/24
WAN (vtnet0)       -> v4/DHCP4: 172.16.0.8/20
Hier werden die Einstellungen für die WAN-Schnittstelle über das DHCP-Protokoll bezogen und entsprechen der in den Konfigurationsinformationen der Instanz angezeigten IP-Adresse.
Für die LAN-Schnittstelle wird automatisch eine Standard-IP-Adresse eingerichtet, die geändert werden muss.
  • Um die IP-Adresse für die Schnittstelle einzustellen, verwenden Sie die Option Nr. 2 (Set interface IP address):
Enter an option: 2

Available interfaces:

1 - LAN (vtnet1 - static, track6)
2 - WAN (vtnet0 - dhcp, dhcp6)
  • Geben Sie die Nummer der LAN-Schnittstelle ein:
Enter the number of the interface to configure: 1
  • Lehnen Sie es ab, die Adresse über DHCP zu erhalten und geben Sie die auf dem Dashboard angezeigte lokale Adresse und die Subnetzmaske ein:
Configure IPv4 address LAN interface via DHCP? [y/N] n

Enter the new LAN IPv4 address. Press <enter> for none:
> 192.168.1.12

Subnet masks are entered as bit counts (like CIDR notation).
e.g. 255.255.255.0 = 24
     255.255.0.0   = 16
     255.0.0.0     = 8

Enter the new LAN IPv4 subnet bit count (1 to 31):
> 24
  • Im nächsten Schritt drücken Sie einfach ‚Enter‘:
For a WAN, enter the new LAN IPv4 upstream gateway address.
For a LAN, press for none:
>
  • IPv6 für die LAN-Schnittstelle ablehnen:
Configure IPv6 address LAN interface via WAN tracking? [Y/n] n

Configure IPv6 address LAN interface via DHCP6? [y/N] n

Enter the new LAN IPv6 address. Press <ENTER> for none:
> press enter
  • Deaktivieren Sie den DHCP-Server im LAN:
Do you want to enable the DHCP server on LAN? [y/N] n
  • Erlauben Sie den Zugriff auf die Webschnittstelle nur über das HTTPS-Protokoll:
Do you want to revert to HTTP as the web GUI protocol? (y/N) n
  • Jetzt kann man sehen, dass die LAN-Schnittstelle die erforderliche IP-Adresse hat:
LAN (vtnet1)       -> v4: 192.168.1.12/24
WAN (vtnet0)       -> v4/DHCP4: 172.16.0.8/20
  1. Endgültige Konfiguration von OPNsense über die Weboberfläche

Standardmäßig ist der Zugriff auf OPNsense nur über eine LAN-Schnittstelle möglich. Rufen Sie daher die OPNsense-Weboberfläche von der Instanz aus auf, die sich im lokalen Netzwerk befindet. Im vorliegenden Fall ist dies der Host von 192.168.1.0/24.

  • Änderung des Passwortes für den Benutzer ‚root‘

    Gehen Sie in den Bereich ‚System > Zugriff > Benutzer‘.
    Klicken Sie auf die Schaltfläche ‚Benutzer bearbeiten‘ (mit Stiftsymbol) für den Benutzer ‚root‘. Es öffnet sich ein Fenster mit den Eigenschaften für diesen Benutzer.
    Geben Sie im Feld ‚Passwort‘ das neue Passwort ein, bestätigen Sie es und speichern Sie die Änderungen durch Anklicken der Schaltfläche ‚Speichern‘ am unteren Rand.
  • Ermöglichen Sie den Zugriff auf die OPNsense-Web-Oberfläche von der definierten IP

    Gehen Sie dazu in den Bereich ‚Firewall > Regeln > WAN‘ und fügen Sie die Regel gemäß der Tabelle hinzu:

    Action Pass  
    Interface WAN  
    Address Family IPv4  
    Protocol TCP  
    Source Single host or Network Here specify the IP address from which access is required to the OPNsense web interface
    Destination WAN address  
    Destination Port Range HTTPS Allow access by https only

    Speichern Sie die Regel durch Klicken auf Speichern und übernehmen Sie sie durch Klicken auf ‚Apply changes‘.

  • Standardmäßig ist der Zugriff auf das Webinterface über die WAN-Schnittstelle gesperrt. Daher erscheint nach der Eingabe des Benutzernamens und des Passworts eine Fehlermeldung:

    The HTTP_REFERER "https://<плавающий-IP>/" does not match the predefined settings. You can disable this check if needed under System: Settings: Administration.
    
    Um dies zu korrigieren, gehen Sie zum Abschnitt „System > Einstellungen > Verwaltung“.
    Aktivieren Sie das Kontrollkästchen neben “ Disable HTTP_REFERER enforcement check“.
    Speichern Sie die Änderungen, indem Sie auf die Schaltfläche “ Save “ klicken.
  1. Erlaubte Adresspaare

    Es bleibt nun noch, das erlaubte Adresspaar für die LAN-Schnittstelle von Seiten der SIM-Cloud anzugeben.
    Dies ist notwendig, damit der Netzwerkverkehr aus dem lokalen Netzwerk über OPNsense laufen kann.
    Dieser Vorgang ist in unserem Artikel </operations/network-operations/allowed-address-pairs.html> ausführlich beschrieben.