Базовая настройка операционной системы OPNsense v.19.1.4 в SIM-Cloud

Важно

После установки виртуальной ОС OPNsense рекомендуется произвести её базовую настройку. При этом будут сконфигурированы сетевые интерфейсы, настройки безопасности и другие вещи влияющие на корректную и бесперебойную работу ОС.

  1. Предварительные действия

    Для точной идентификации внутреннего и внешнего сетевых интерфейсов созданного инстанса OPNsense, определим их MAC адреса со стороны SIM-Cloud.
  2. Определение WAN (внешнего) и LAN (внутреннего) интерфейсов

После первого запуска инстанса OPNsense v.19.1.4 перейдём в его консоль (INSTANCE CONSOLE) и введём имя пользователя и пароль по умолчанию (root / opnsense).
После чего используем опцию №1 (Assign interfaces) и ответим на ряд вопросов::
  • VLAN-ы использовать не будем
Do you want to configure VLANs now[y|N]? n
  • По собранной раннее информации про MAC адреса убедимся какой именно интерфейс у нас является внешним (должен относиться к сети 172.16.0.0/20) и укажем его:
Enter the WAN interface name or 'a' for auto-detection: vtnet0
  • Второй, оставшийся интерфейс укажем как локальный:
Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(or nothing if finished): vtnet1
  • На следующем шаге нажимаем Enter
Enter the Optional interface 1 name or 'a' for for auto-detection
(or nothing if finished):
  • Тут увидим окно с финальной информацией, если все верно - сохраним настройки:
WAN  -> vtnet0
LAN  -> vtnet1

Do you want to proceed [y|N]? y
  1. Установка IP адресов на интерфейсах
После применения настроек из предыдущего шага, появится приглашение в котором будут отображены текущие настройки интерфейсов - их IP адреса и способ получения.
Например нашем случае, это:
LAN (vtnet1)       -> v4: 192.168.1.1/24
WAN (vtnet0)       -> v4/DHCP4: 172.16.0.8/20
Тут, для WAN интерфейса настройки получены по DHCP протоколу и совпадают с IP адресом отображающимся в информации про настройки инстанса.
Для LAN интерфейса, автоматически установлен IP адрес по умолчанию и его нужно поменять.
  • Чтобы задать IP-адрес интерфейсу используем опцию №2 (Set interface IP address):
Enter an option: 2

Available interfaces:

1 - LAN (vtnet1 - static, track6)
2 - WAN (vtnet0 - dhcp, dhcp6)
  • Введём номер интерфейса LAN:
Enter the number of the interface to configure: 1
  • Откажемся от получения адреса через DHCP и введём локальный адрес, указанный в панели управления и маску подсети:
Configure IPv4 address LAN interface via DHCP? [y/N] n

Enter the new LAN IPv4 address. Press <enter> for none:
> 192.168.1.12

Subnet masks are entered as bit counts (like CIDR notation).
e.g. 255.255.255.0 = 24
     255.255.0.0   = 16
     255.0.0.0     = 8

Enter the new LAN IPv4 subnet bit count (1 to 31):
> 24
  • На следующем шаге просто нажимаем Enter:
For a WAN, enter the new LAN IPv4 upstream gateway address.
For a LAN, press for none:
>
  • Отказываемся от IPv6 для интерфейса LAN:
Configure IPv6 address LAN interface via WAN tracking? [Y/n] n

Configure IPv6 address LAN interface via DHCP6? [y/N] n

Enter the new LAN IPv6 address. Press <ENTER> for none:
> press enter
  • Отключаем DHCP сервер на LAN:
Do you want to enable the DHCP server on LAN? [y/N] n
  • Разрешаем доступ к веб-интерфейсу только по протоколу HTTPS:
Do you want to revert to HTTP as the web GUI protocol? (y/N) n
  • После, видно, что LAN интерфейсу присвоен нужный IP адрес:
LAN (vtnet1)       -> v4: 192.168.1.12/24
WAN (vtnet0)       -> v4/DHCP4: 172.16.0.8/20
  1. Финальная настройка OPNsense через веб-интерфейс

По умолчанию доступ к OPNsense разрешён только через LAN интерфейс. Поэтому зайдём на веб-интерфейс OPNsense с интсанса расположенного в локальной сети. В нашем случае это хост из 192.168.1.0/24.

  • Замена пароля для пользователя «root»

    Перейдем в меню «System > Access > Users».
    После нажатия кнопки «Edit user» (иконка с изображением карандаша) для пользователя «root», откроется окно со свойствами пользователя.
    Тут, в поле «Password» нужно вписать новый пароль, подтвердить его и сохранить изменения нажатием на кнопку «Save» внизу страницы.
  • Пропишем доступ к веб-интерфейсу OPNsense с определённого IP

    Для этого перейдем в меню «Firewall > Rules > WAN» и добавим («Add») правило согласно таблице:

    Action Pass  
    Interface WAN  
    Address Family IPv4  
    Protocol TCP  
    Source Single host or Network тут укажем IP адрес с которого нужно разрешить доступ к веб-интерфейсу OPNsense
    Destination WAN address  
    Destination Port Range HTTPS разрешим доступ только по https

    Сохраним правило нажатием на кнопку «Save» и применим его нажатием на кнопку «Apply changes».

  • По умолчанию, доступ к веб-интерфейсу через WAN интерфейс блокируется. При этом после ввода имени пользователя и пароля будет отображаться ошибка:

    The HTTP_REFERER "https://<плавающий-IP>/" does not match the predefined settings. You can disable this check if needed under System: Settings: Administration.
    
    Чтобы исправить это, перейдем в меню «System > Settings > Administration».
    Поставим отметку у пункта «Disable HTTP_REFERER enforcement check».
    Сохраним изменения нажатием на кнопку «Save».
  1. Разрешённая пара адресов

    Теперь осталось прописать разрешённую пару адресов для LAN интерфейса со стороны облака SIM-Cloud.
    Это нужно для того, чтобы разрешить сетевой трафик из локальной сети через OPNsense.
    Подробно этот процесс описан в нашей статье.