Grundlegende Konfiguration des OPNsense v.19.1.4 Betriebssystems in der SIM-Cloud¶
Wichtig
Nach der Installation des virtuellen OPNsense-Betriebssystems empfehlen wir Ihnen, dessen Grundkonfiguration vorzunehmen. Dabei werden die Netzwerkschnittstellen, Sicherheitseinstellungen und andere Faktoren konfiguriert, die zu einem korrekten und störungsfreien Betrieb des Betriebssystems beitragen.
- Vorbereitende Maßnahmen
- `Definieren der WAN (externen) und LAN (internen) Schnittstellen`_
- Einrichten von IP-Adressen auf den Schnittstellen
- `Endkonfiguration von OPNsense über die Weboberfläche`_
- Erlaubte Adresspaare
Vorbereitende Maßnahmen
Um die internen und externen Netzwerkschnittstellen der erstellten OPNsense-Instanz genau zu identifizieren, definieren Sie deren MAC-Adressen von der SIM-Cloud-Seite.Benutzen Sie dazu die Anleitungen in unserer Dokumentation <../../operations/network-operations/mac-for-eth-intf.html>.Definieren Sie die WAN- (extern) und LAN- (intern) Schnittstellen“.
- VLANs will not be used
Do you want to configure VLANs now[y|N]? n
- Überprüfen Sie anhand der zuvor notierten Informationen über die MAC-Adressen, welches Interface tatsächlich das externe ist (sollte dem Netz 172.16.0.0/20 entsprechen) und geben Sie es an:
Enter the WAN interface name or 'a' for auto-detection: vtnet0
- Die andere verbleibende Schnittstelle kann als lokal definiert werden:
Enter the LAN interface name or 'a' for auto-detection NOTE: this enables full Firewalling/NAT mode. (or nothing if finished): vtnet1
- Im nächsten Schritt drücken Sie ‚Enter‘.
Enter the Optional interface 1 name or 'a' for for auto-detection (or nothing if finished):
- In einem Fenster werden nun die letzten Details angezeigt. Wenn alles korrekt ist, speichern Sie die Einstellungen:
WAN -> vtnet0 LAN -> vtnet1 Do you want to proceed [y|N]? y
- Einrichten von IP-Adressen auf den Schnittstellen
LAN (vtnet1) -> v4: 192.168.1.1/24
WAN (vtnet0) -> v4/DHCP4: 172.16.0.8/20
- Um die IP-Adresse für die Schnittstelle einzustellen, verwenden Sie die Option Nr. 2 (Set interface IP address):
Enter an option: 2
Available interfaces:
1 - LAN (vtnet1 - static, track6)
2 - WAN (vtnet0 - dhcp, dhcp6)
- Geben Sie die Nummer der LAN-Schnittstelle ein:
Enter the number of the interface to configure: 1
- Lehnen Sie es ab, die Adresse über DHCP zu erhalten und geben Sie die auf dem Dashboard angezeigte lokale Adresse und die Subnetzmaske ein:
Configure IPv4 address LAN interface via DHCP? [y/N] n
Enter the new LAN IPv4 address. Press <enter> for none:
> 192.168.1.12
Subnet masks are entered as bit counts (like CIDR notation).
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new LAN IPv4 subnet bit count (1 to 31):
> 24
- Im nächsten Schritt drücken Sie einfach ‚Enter‘:
For a WAN, enter the new LAN IPv4 upstream gateway address.
For a LAN, press for none:
>
- IPv6 für die LAN-Schnittstelle ablehnen:
Configure IPv6 address LAN interface via WAN tracking? [Y/n] n
Configure IPv6 address LAN interface via DHCP6? [y/N] n
Enter the new LAN IPv6 address. Press <ENTER> for none:
> press enter
- Deaktivieren Sie den DHCP-Server im LAN:
Do you want to enable the DHCP server on LAN? [y/N] n
- Erlauben Sie den Zugriff auf die Webschnittstelle nur über das HTTPS-Protokoll:
Do you want to revert to HTTP as the web GUI protocol? (y/N) n
- Jetzt kann man sehen, dass die LAN-Schnittstelle die erforderliche IP-Adresse hat:
LAN (vtnet1) -> v4: 192.168.1.12/24
WAN (vtnet0) -> v4/DHCP4: 172.16.0.8/20
- Endgültige Konfiguration von OPNsense über die Weboberfläche
Standardmäßig ist der Zugriff auf OPNsense nur über eine LAN-Schnittstelle möglich. Rufen Sie daher die OPNsense-Weboberfläche von der Instanz aus auf, die sich im lokalen Netzwerk befindet. Im vorliegenden Fall ist dies der Host von 192.168.1.0/24.
Änderung des Passwortes für den Benutzer ‚root‘
Gehen Sie in den Bereich ‚System > Zugriff > Benutzer‘.Klicken Sie auf die Schaltfläche ‚Benutzer bearbeiten‘ (mit Stiftsymbol) für den Benutzer ‚root‘. Es öffnet sich ein Fenster mit den Eigenschaften für diesen Benutzer.Geben Sie im Feld ‚Passwort‘ das neue Passwort ein, bestätigen Sie es und speichern Sie die Änderungen durch Anklicken der Schaltfläche ‚Speichern‘ am unteren Rand.Ermöglichen Sie den Zugriff auf die OPNsense-Web-Oberfläche von der definierten IP
Gehen Sie dazu in den Bereich ‚Firewall > Regeln > WAN‘ und fügen Sie die Regel gemäß der Tabelle hinzu:
Action Pass Interface WAN Address Family IPv4 Protocol TCP Source Single host or Network Here specify the IP address from which access is required to the OPNsense web interface Destination WAN address Destination Port Range HTTPS Allow access by https only Speichern Sie die Regel durch Klicken auf Speichern und übernehmen Sie sie durch Klicken auf ‚Apply changes‘.
Standardmäßig ist der Zugriff auf das Webinterface über die WAN-Schnittstelle gesperrt. Daher erscheint nach der Eingabe des Benutzernamens und des Passworts eine Fehlermeldung:
The HTTP_REFERER "https://<плавающий-IP>/" does not match the predefined settings. You can disable this check if needed under System: Settings: Administration.
Um dies zu korrigieren, gehen Sie zum Abschnitt „System > Einstellungen > Verwaltung“.Aktivieren Sie das Kontrollkästchen neben “ Disable HTTP_REFERER enforcement check“.Speichern Sie die Änderungen, indem Sie auf die Schaltfläche “ Save “ klicken.
Erlaubte Adresspaare
Es bleibt nun noch, das erlaubte Adresspaar für die LAN-Schnittstelle von Seiten der SIM-Cloud anzugeben.Dies ist notwendig, damit der Netzwerkverkehr aus dem lokalen Netzwerk über OPNsense laufen kann.Dieser Vorgang ist in unserem Artikel </operations/network-operations/allowed-address-pairs.html> ausführlich beschrieben.