Werbung
Aufgrund der Tatsache, dass OPNsense als Router- und Firewall-Distribution nahezu unendliche Möglichkeiten der Konfiguration bietet, können wir natürlich nicht auf alles eingehen. Deswegen beschränken wir uns auf die wichtigsten Merkmale. Von wichtigen Einstellungen, Vorsichtsmaßnahmen bis hin zu Tipps haben wir eine gute Portion an Punkten berücksichtigt.
Benutzer und Benutzergruppen
Nach der OPNsense-Installation existiert nur ein Benutzer und nur eine Benutzergruppe. Der User root als Superuser sowie die Administrator-Gruppe. Es lassen sich aber weitere Gruppen mit unterschiedlichen Berechtigungen und auch neue Benutzer erstellen und den unterschiedlichen Benutzergruppen zuordnen. Für den Anfang reicht der root-Superuser völlig aus und hat natürlich Zugang zu allen Einstellungen sowie allen Berechtigungen, die OPNsense zu bieten hat.
Konfigurationen sichern und wiederherstellen
Gerade dann, wenn man der Meinung ist, die OPNsense ist komplett fertig eingerichtet, empfiehlt es sich, die erfolgte Gesamt-Konfiguration zu sichern. Dies kann entweder manuell erfolgen - optional auch verschlüsselt - oder auch automatisiert über Google Drive. Im selben Fenster kann die Konfiguration bei einer neuen Installation beispielsweise auch wiederhergestellt werden. Vordefiniert ist der Wiederherstellungsbereich "ALLE", es können allerdings auch einzelne Bereiche wiederhergestellt werden.
Generell sind Backups dieser Art natürlich sehr wichtig.
Firmware-Updates und Erweiterungen
Gelegentlich werden natürlich auch neue Firmware-Updates für die OPNsense durch Deciso B.V. veröffentlicht. Generell gilt zu beachten, dass die OPNsense aus guten Gründen nicht eigenmächtig nach Firmware-Updates sucht und diese installiert. Dies muss der Administrator selbst manuell tun. Der Spiegelserver lässt sich manuell auswählen sowie auch der Typ der OPNsense-Installation. Ähnlich zu den Widgets im Dashboard ist das gesamte OPNsense-Betriebssystem modular aufgebaut und kann auf Wunsch mit zahlreichen Plugins erweitert werden. Dazu gehört beispielsweise auch der Darkmode mit dem Namen "os-theme-rebellion".
Werden zusätzlich noch weitere Repositories hinzugefügt, erweitert sich die Plugin-Anzahl. Um ein Plugin zu installieren, ist der Plus-Button auf der rechten Seite zu klicken. Ein installiertes Plugin kann natürlich an derselben Stelle durch das Mülleimer-Icon wieder deinstalliert werden.
Administration im Allgemeinen
Unter System -> Einstellungen -> Verwaltung werden die generellen Settings zur Administration der OPNsense sichtbar. Dort lassen sich diverse Einstellungen vornehmen, darunter auch der TCP-Port, über den die OPNsense erreichbar ist. Standardmäßig ist der HTTPS-Port 443 eingetragen, kann allerdings auch manuell abgeändert werden. Dann allerdings sollte beachtet werden, dass die OPNsense anschließend lediglich über diesen Port erreichbar ist. Wenn das LAN-Interface die IP-Adresse 192.168.10.1 erhalten hat, muss in der Browser-Adresszeile folgendes eingegeben werden: https://192.168.10.1:Portnummer. Statt dem Wort "Portnummer" natürlich die eingestellte Port-Zahl.
Gleiches gilt auch für den SSH-Zugang, der für den Notfall aktiviert sein sollte. Vordefiniert ist hierbei der Port 22, aber auch dieser kann auf einen anderen Wert abgeändert werden. Um sich mit dem root-Benutzer anmelden zu können, müssen die drei Haken aktiviert sein. Zur Absicherung des root-Benutzers kommen wir später noch. Bei jeder Änderung muss unten stets auf Speichern geklickt werden, sollen diese Änderungen umgesetzt werden.
Globale DNS-Einstellungen
Ganz oben können der Hostname für die OPNsense, der Domainname, die Zeitzone, die Sprache und auch das Design eingestellt werden. Weiter unten werden die globalen DNS-Einstellungen vorgenommen, sprich, mit welchen DNS-Servern die OPNsense selbst sowie die Clients dann über das Gateway Kontakt aufnehmen, um die Hostnames aufzulösen. Über die Wahl der DNS-Server lässt sich natürlich streiten. Wir haben in unserem Fall die DNS-Server von Google genommen. So gibt man bestenfalls sowohl die IPv4- und IPv6-Adressen zu den DNS-Servern ein. Dahinter legt man das entsprechende Gateway fest.
Es sollte an dieser Stelle klar sein, dass man für die IPv6-DNS-Adressen nicht das IPv4-Gateway verwendet. Die Einstellungen sollten demnach korrekt zugeordnet sein. Bei den DNS-Server-Einstellungen sollte unten der Haken bei "Erlaube das Überschreiben der DNS Serverliste durch DHCP/PPP auf WAN" rausgenommen werden, sofern dieser gesetzt ist.
Interfaces, PPPoE und VLANs
Eins der wichtigsten Standbeine der OPNsense sind natürlich die Interfaces. Zu unterscheiden sind hierbei physische und virtuelle Interfaces. Während physische Interfaces direkt mit dem jeweiligen LAN-Port arbeiten, sind virtuelle Interfaces an LAN-Ports gekoppelt. Unter Schnittstellen -> Zuweisungen wird übersichtlich dargestellt, welche Interfaces aktuell mit welchem Netzwerk aktiv sind.
Damit auch IPv6-Verbindungen über DHCPv6 möglich sind, müssen in den Einstellungen zum WAN-Port (zumindest bei der Deutschen Telekom als Provider) unten die drei Haken gesetzt werden. Die Präfixdelegationsgröße wird bei 56 festgesetzt. Weiter oben sollten die PPPoE-Zugangsdaten eingegeben werden. Wie das geht, beschreiben wir weiter unten.
Bei dem jeweiligen Interface, das über IPv6 verfügen soll, wird unter IPv6-Konfigurationstyp "Schnittstelle aufzeichnen" ausgewählt. Ganz unten wählt man als IPv6-Schnittstelle den WAN-Port aus. Unterhalb davon hingegen die IPv6-Präfix-ID. Jede Schnittstelle mit IPv6-Zugang muss dabei einen eigenen Wert haben, also zum Beispiel: LAN -> 0x0, WLAN -> 0x1 usw.
Mit der Unterstützung des Router-Advertisement-Daemons berücksichtigt die OPNsense die Privacy-Extensions in der IPv6-Spezifikation in vollem Umfang.
Da im Regelfall auch PPPoE für die Einwahl in das Internet zum Einsatz kommt, haben wir diesen Part natürlich mit reingenommen. Zunächst muss ein neues Punkt-zu-Punkt-Gerät eingerichtet werden. Zu finden ist dieser Punkt unter Schnittstellen -> Punkt-zu-Punkt -> Geräte. Mit einem Klick auf den Plus-Button kann ein PPPoe-Gerät erstellt werden. Unter Verbindungstyp muss natürlich PPPoE ausgewählt und anschließend das WAN-Interface ausgewählt werden. In unserem Fall ist dies igc0.
Für den Login muss unter "Benutzername" der Provider-Login hinterlegt werden. Im Falle der Deutschen Telekom besteht der Login aus folgenden Merkmalen: Anschlusskennung, T-Online-Zugangsnummer und die Mitbenutzernummer (meist ist dies 0001). Wenn die Zugangsnummer weniger als 12 Zahlen beinhaltet, müssen die übrigen Stellen mit dem Raute-Zeichen (#) aufgefüllt werden, sodass es insgesamt 12 Stellen sind. Diese gesamten Zahlen müssen in einem Rutsch eingegeben werden. Abgeschlossen wird der Benutzername mit "@t-online.de". Bei Passwort dann das persönliche Kennwort eingeben. Schließlich das Ganze noch unten abspeichern. Die Schnittstelle trägt dann die Bezeichnung pppoe0.
Und diese pppoe0-Schnittstelle muss schließlich noch bei den Interface-Zuweisungen unter WAN ausgewählt werden. Sofern euer Modem bereits das zwingend erforderliche VLAN-7-Tagging vornimmt, sollte die OPNsense sich nun mit dem Internet verbinden. Je nach Provider kann sich der VLAN-Tag unterscheiden. Bei der Deutschen Telekom ist es jedenfalls VLAN 7.
Sollte das Modem das VLAN-7-Tagging nicht vornehmen, muss das Modem entweder so eingestellt werden oder aber der OPNsense das VLAN 7 mitgeteilt werden. Hierfür wechselt man zum VLAN-Menü unter Schnittstellen -> Andere Typen -> VLAN. Mit einem Klick auf den Plus-Button kann ein VLAN erstellt werden. Oben wird automatisch der Gerätename vlan01 angelegt, man kann allerdings auch einen anderen Namen vergeben. Bei Parent teilt man der OPNsense mit, mit welchem physikalischen Interface das zu erstellende VLAN arbeiten soll. In unserem Fall wäre dies igc0. Bei der PPPoE-Schnittstelle muss dann bei der Verbindungsschnittstelle zu dem VLAN-Gerät gewechselt werden.
Wichtiger Hinweis: Beim VLAN-7-Tagging gilt das Entweder-Oder-Prinzip! Entweder übernimmt die OPNsense das VLAN-Tagging für die Einwahl ins Internet oder das Modem. Nicht beide! Wenn in beiden Fällen das VLAN-Tagging aktiviert wird, kommt es zu keiner Internet-Einwahl.
Auf die gleiche Weise lassen sich natürlich für die anderen physikalischen Interfaces VLANs einrichten, wie beispielsweise dann, wenn ein LAN-Port sowohl für das private- als auch für das Gäste-WLAN dienen soll. In diesem Fall muss dann neben dem VLAN-Tag als Parent-Interface der LAN-Port ausgewählt werden, der für die WLAN-Netzwerke eingeplant ist. In unserem Fall ist dies igc2.