OPNsense: Installation und erste Einrichtung

OPNsense ist eine hervorragende Opensource-Firewall und durch diverse Module wie Antispam usw. erweiterbar.

Voraussetzungen
opnsense-hardware.png
opnsense-hardware.png

Wir entscheiden uns hier für eine dedizierte Appliance, also die Hardwareversion. Es ginge auch eine Virtualisierung. Die ist hier aber nicht das Thema. Bei mir kommt dieser Mini-PC zum Einsatz.

  1. Technische Daten

    • Prozessor: AMD Ryzen 5 3550H
    • RAM: 16GB DDR4
    • 512GB PCIe3.0 SSD
    • Dual LAN RJ45

  2. Download: Für die Installation über einen USB-Stick wird die VGA-Version empfohlen. Hat bei mir nicht funktioniert. Ich konnte keinen USB-Stick damit bootbar machen. Bei mir hat das DVD-Image in Verbindung mit einem durch Ventoy vorbereiteten USB-Stick funktioniert. Die Version hat den Vorteil, dass man das Image einfach auf den Stick kopieren kann, oder mehrere, und bei Bedarf einfach durch ein neueres Image ersetzt. Wenn man mehrere Images auf dem Stick hat, kann man beim booten das betreffende auswählen.

Hier gibt es eine Hardware-Kompatibilitätsliste (FreeBSD.org).

Netzwerk-Diagramm

Einfaches Netzwerk mit Minimalanforderung.

OPNsense: einfaches Netzwerk mit Modem, Firewall und Switch
Einfaches Netzwerk mit Modem, Firewall und Switch
Installation
  1. den vorbereiteten PC vom Ventoy USB-Stick booten
  2. das entsprechende Image auswählen
  3. nach dem booten am Anmeldeprompt mit dem Benutzer installer und dem Passwort opnsense anmelden

  4. OPNsense: Install ZFS belassen
    Install ZFS belassen
  5. OPNsense: bei Einzeldatenträger Stripe belassen
    bei Einzeldatenträger Stripe belassen
  6. OPNsense: können wir auch später im Web-Interface ändern
    können wir auch später im Web-Interface ändern
  7. OPNsense: zum Abschluss Complete Install bestätigen
    zum Abschluss Complete Install bestätigen
  8. OPNsense: nach dem Reboot Screenshot
    Nach dem Reboot erscheint folgender Screenshot. Die vorhandenen Schnittstellen werden erkannt. Die Lan-Schnittstelle bekommt automatisch die 192.168.1.1.
  9. OPNsense: wenn die Interfaces nicht richtig erkannt wurden, kann man sie mit Punkt 1 ändern oder umbenennen.
    Wenn die Interfaces nicht richtig erkannt wurden, kann man sie mit Punkt 1 ändern oder umbenennen.
  10. OPNsense: mit Punkt 2 kann man die gewünschten IP-Adressen vergeben.
    Unter Punkt 2 kann man die gewünschten IP-Adressen vergeben. Die LAN-Schnittstelle muss eine zu seinem Netzwerk passende IP-Adresse bekommen, z.B. 192.168.0.254. Unter dieser Adresse ist nach dem Reboot das Web-Interface im Browser erreichbar.
  11. OPNsense: nach dem Reboot kann man sich am Web-Interface anmelden.
    Nach dem Reboot kann man sich am Web-Interface anmelden.
Einrichtung

Nach der Anmeldung an der Web-Gui kann man den Wizard laufen lassen, um die erste Grundkonfiguration abzuschließen.

OPNsense: Anfangskonfiguration mit Wizard
Anfangskonfiguration mit Wizard

Hier lassen sie die Time-Zone, die LAN- und WAN-Intefaces, das Admin-Passwort, DNS-Server, Host-Name usw. anpassen.

Anleitungen
  1. OPNsense: Dokumentation (engl.)
  2. OPNsense: Mail-relay konfigurieren (deutsch)
  3. biteno.com: OPNsense Firewall installieren (deutsch)
  4. Thomas Krenn: OPNsense installieren (deutsch)
  5. Zenamor.com: diverse Anleitungen für OPNsense (deutsch)
  6. Zenamor.com: Best-Practice-Leitfaden zur Sicherheit und Härtung (deutsch)
  7. Zenamor.com: ACME-Client Einrichtung (deutsch)
  8. homenetworkguy.com: Beginner’s Guide to Set Up a Home Network Using OPNsense (engl.)
  9. homenetworkguy.com: Harden Your Home Network Against Network Intrusions mit IDS/IPS (engl.)

Support
  1. OPNsense: Harware-Vorraussetzungen (engl.)
  2. OPNsense: Forum (engl.)
  3. OPNsense: deutsches Forum

Nextcloud: Client keine Verbindung zum Server

Ich habe eine Nextcloud-Instanz in einer VM zu laufen. Die VM ist ein Linux-Mint, Nextcloud wurde als SNAP installiert und läuft hinter einem IIS als Proxy. Es war keine Verbindung eines Desktop-Clients zum Server möglich. Der Anmeldeprozess hing einfach in einer Dauerschleife. Abhilfe schafft hier ein Eintrag in der Config.php von Nextcloud:

‘overwriteprotocol’ => ‘https’,

Die ist zu finden unter:

/var/snap/nextcloud/current/nextcloud/config/

Quellen & Hinweise

[¹] gefunden im Nextcloud-Forum
[²]