{"id":5176,"date":"2023-01-31T13:36:10","date_gmt":"2023-01-31T12:36:10","guid":{"rendered":"https:\/\/nsix.pl\/kb\/?p=5176"},"modified":"2023-01-31T13:36:11","modified_gmt":"2023-01-31T12:36:11","slug":"opnsense-pierwsze-kroki-i-podstawowe-opcje-konfiguracji","status":"publish","type":"post","link":"https:\/\/nsix.pl\/kb\/opnsense-pierwsze-kroki-i-podstawowe-opcje-konfiguracji\/","title":{"rendered":"OPNsense – pierwsze kroki i podstawowe opcje konfiguracji"},"content":{"rendered":"\n

Po zakupie i uruchomieniu wirtualnej zapory sieciowej OPNsense, nale\u017cy przej\u015b\u0107 do swojego panelu klienta i wej\u015b\u0107 w zak\u0142adk\u0119 „Maszyny wirtualne” a nast\u0119pnie przej\u015b\u0107 do jej konsoli w celu pocz\u0105tkowej konfiguracji.<\/p>\n\n\n\n

Pierwsz\u0105 zmian\u0105 jakiej nale\u017cy dokona\u0107, jest zmiana przypisania interfejs\u00f3w sieciowych. Jako \u017ce OPNsense domy\u015blnie ustawia pierwszy interfejs sieciowy jako LAN a drugi jako WAN, musimy zmieni\u0107 to przypisanie r\u0119cznie. Logujemy si\u0119 do konsoli za pomoc\u0105 domy\u015blnych po\u015bwiadcze\u0144 (login: root, has\u0142o: opnsense). Po zalogowaniu naszym oczom ukazuje si\u0119 menu podobne do tego poni\u017cej.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Tutaj pierwszym krokiem konfiguracji jest zmiana przypisania interfejs\u00f3w. W powy\u017cszym przypadku interfejs em0 jest przypisany jako LAN, a em1 jako WAN, jednak docelowo, ma to by\u0107 na odwr\u00f3t, dlatego z menu wybieramy opcj\u0119 numer 1 (Assign interfaces) a nast\u0119pnie dwukrotnie wybieramy opcj\u0119 N kiedy jeste\u015bmy pytani o konfiguracj\u0119 VLAN oraz LAGG. Kolejnym krokiem jest wybranie interfejsu WAN – em0, a po klikni\u0119ciu klawisza enter wpisujemy nazw\u0119 interfejsu LAN – em1. Po tym jeste\u015bmy pytani czy na pewno chcemy zastosowa\u0107 wprowadzone ustawienia, na co odpowiadamy Y (tak). Od tego momenty ko\u0142o interfejsu WAN powinien widnie\u0107 publiczny adres IP z kt\u00f3rego b\u0119dzie wychodzi\u0142 ca\u0142y ruch z maszyn wirtualnych, a ko\u0142o adresu LAN b\u0119dzie widnia\u0142 adres podsieci jaka jest przypisana dla maszyn wirtualnych podpi\u0119tych do prywatnego PVLAN.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Dzi\u0119ki takiemu ustawieniu, od teraz mo\u017cemy po\u0142\u0105czy\u0107 si\u0119 z bram\u0105 w celu jej skonfigurowania np. z serwer\u00f3w wirtualnych. Aby tego dokona\u0107 otwieramy konsol\u0119 maszyny wirtualnej z Windows a nast\u0119pnie otwieramy przegl\u0105dark\u0119 i wpisujemy w pasek adresu, taki kt\u00f3ry pokazuje si\u0119 przy interfejsie LAN, w tym przypadku jest to 192.168.1.1. Po jego otworzeniu ukazuje si\u0119 nam okno logowania.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Je\u017celi jednak nie mamy dost\u0119pu do \u017cadnej z maszyn wirtualnych, istnieje mo\u017cliwo\u015b\u0107 wy\u0142\u0105czenia filtrowania pakiet\u00f3w kt\u00f3ra pozwoli na po\u0142\u0105czenie z zapor\u0105 z sieci publicznej. Wystarczy jedynie wybra\u0107 z menu w konsoli OPNsense opcj\u0119 8 (shell) a nast\u0119pnie wykona\u0107 komend\u0119.<\/p>\n\n\n\n

pfctl -d<\/code><\/pre>\n\n\n\n
Od tego momentu mo\u017cemy post\u0119powa\u0107 w podobny spos\u00f3b jak np. z poziomu maszyny wirtualnej.<\/p>\n\n\n\n
Logujemy si\u0119 do zapory takimi samymi po\u015bwiadczeniami jak do konsoli (root:opnsense) po czym uruchamiany jest konfigurator kt\u00f3ry przeprowadza u\u017cytkownika przez poszczeg\u00f3lne etapy wst\u0119pnej konfiguracji, kt\u00f3rej poszczeg\u00f3lne kroki zosta\u0142y opisane w dalszej cz\u0119\u015bci artyku\u0142u. Po zako\u0144czeniu konfiguracji zostajemy przeniesieni do strony g\u0142\u00f3wnej zapory gdzie przedstawione s\u0105 r\u00f3\u017cne statystyki pracy jak np. obci\u0105\u017cenie procesora, zaj\u0119to\u015b\u0107 pami\u0119ci wewn\u0119trznej oraz RAM, itd..<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Domy\u015blnie dost\u0119p do konsoli administracyjnej jest zablokowany z poziomu sieci publicznej WAN, jednak mo\u017cemy to zmieni\u0107.
Pierwszym krokiem kt\u00f3ry warto wykona\u0107, jest zmiana has\u0142a. Je\u017celi podczas pierwszej konfiguracji po uruchomieniu has\u0142o u\u017cytkownika root nie zosta\u0142o zmienione, nale\u017cy dokona\u0107 jego modyfikacji. Drugim krokiem kt\u00f3ry warto wykona\u0107 przed udost\u0119pnieniem konsoli na sie\u0107 publiczn\u0105, jest zmiana portu TCP na kt\u00f3rym jest dost\u0119pna. Mo\u017cna to zrobi\u0107 po wybraniu odpowiedniej zak\u0142adki w lewym panelu.
System > Settings > Administration<\/strong>, jak na poni\u017cszym zrzucie ekranu.<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Tam, w g\u00f3rnej cz\u0119\u015bci strony mamy ustawienie TCP port<\/strong>, kt\u00f3re odpowiada za to, na jakim porcie dost\u0119pna jest konsola. Na potrzeb\u0119 tego artyku\u0142u zostanie on zmieniony na 2234.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Po wpisaniu, zje\u017cd\u017camy na sam d\u00f3\u0142 strony i zatwierdzamy zmian\u0119 przyciskiem Save. Je\u017celi nie zostajemy automatycznie przekierowani na now\u0105 stron\u0119, mo\u017cna klikn\u0105\u0107 na link kt\u00f3ry pojawia si\u0119 po zapisaniu ustawie\u0144 aby zosta\u0107 przeniesionym.<\/p>\n\n\n\n
Ostatnim krokiem, kt\u00f3ry nale\u017cy wykona\u0107 aby udost\u0119pni\u0107 konsol\u0119 na adresie publicznym, jest dodanie odpowiedniej regu\u0142y do wewn\u0119trznej zapory sieciowej kt\u00f3ra na to pozwala. Aby tego dokona\u0107, wchodzimy w zak\u0142adk\u0119 Firewall > Rules > WAN<\/strong> i tam klikn\u0105\u0107 w pomara\u0144czowy przycisk z plusem.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Kiedy otworzy si\u0119 kreator tworzenia nowej regu\u0142y upewniamy si\u0119, \u017ce wybrany jest odpowiedni interfejs (WAN), kierunek (in) oraz akcja (Pass). Poni\u017cej wybieramy protok\u00f3\u0142 TCP, jako cel wybieramy adres publiczny WAN oraz wpisujemy w zakres port\u00f3w, wybrany wcze\u015bniej port TCP. Mo\u017cemy tak\u017ce doda\u0107 opis danej regu\u0142 aby w \u0142atwy spos\u00f3b mo\u017cna by\u0142o j\u0105 zidentyfikowa\u0107 w przysz\u0142o\u015bci.<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Po zapisaniu regu\u0142y przyciskiem u do\u0142u strony, jeste\u015bmy przekierowani z powrotem do poprzedniego okna, gdzie aby uruchomi\u0107 w\u0142a\u015bnie utworzony dost\u0119p musimy zatwierdzi\u0107 zmiany klikaj\u0105c przycisk u g\u00f3ry ekranu.<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Od tego momentu, ka\u017cdy kto b\u0119dzie zna\u0142 port oraz adres publiczny danego OPNsense b\u0119dzie w stanie si\u0119 do niego po\u0142\u0105czy\u0107. Wystarczy w przegl\u0105darce wpisa\u0107 https:\/\/adres_publiczny_ip:port_tcp<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Opis pierwszej konfiguracji<\/h4>\n\n\n\n
Po zalogowaniu si\u0119 po raz pierwszy do konsoli administracyjnej w przegl\u0105darce, system zaproponuje u\u017cytkownikowi przeprowadzenie wst\u0119pnej konfiguracji kt\u00f3ra pozwoli na \u0142atwe ustawienie po\u017c\u0105danych podstawowych ustawie\u0144. Pierwszy krok pozwala m.in. na ustawienie nazwy hosta, j\u0119zyka oraz zmian\u0119 domy\u015blnych serwer\u00f3w DNS. Domy\u015blnie, te ostatnie s\u0105 przypisywane przez serwer DHCP, je\u017celi jednak z jakiego\u015b powodu jest potrzeba ich zmiany, wystarczy je wpisa\u0107 w polach Primary<\/strong> oraz Secondary DNS Server<\/strong>.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
W kolejnym kroku mamy mo\u017cliwo\u015b\u0107 wybrania strefy czasowej. Warto wybra\u0107 poprawn\u0105 dla naszej obecnej aby w przysz\u0142o\u015bci w razie potrzeby diagnozy jakiego\u015b problemu u\u0142atwi\u0107 sobie jego rozwi\u0105zanie. Oczywi\u015bcie mo\u017cemy tak\u017ce zmieni\u0107 serwer z kt\u00f3rego b\u0119dziemy korzysta\u0107, wystarczy jedynie wpisa\u0107 jego adres lub nazw\u0119 FQDN w polu Time server hostname<\/strong>.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Po przej\u015bciu dalej mamy mo\u017cliwo\u015b\u0107 konfiguracji interfejsu WAN, w kt\u00f3rej wi\u0119kszo\u015b\u0107 opcji mo\u017cemy zostawi\u0107 w warto\u015bciach domy\u015blnych. Jako \u017ce interfejsy sieciowe s\u0105 w naszym centrum danych konfigurowane przez protok\u00f3\u0142 DHCP, taki rodzaj konfiguracji musimy wybra\u0107.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Po zjechaniu na sam d\u00f3\u0142 strony mamy tak\u017ce dwie mo\u017cliwo\u015bci zabezpieczenia poprzez blokowanie ruchu z adres\u00f3w z pul prywatnych oraz adres\u00f3w IP kt\u00f3re s\u0105 niepoprawne b\u0105d\u017a nie przypisane. Obie funkcje zwi\u0119kszaj\u0105 bezpiecze\u0144stwo dlatego warto zachowa\u0107 je w\u0142\u0105czone.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Nast\u0119pnym krokiem jest wybranie adresu podsieci dla sieci wewn\u0119trznej na interfejsie LAN, mo\u017cna tak\u017ce pozostawi\u0107 to ustawienie w warto\u015bci domy\u015blnej.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Ostatnim krokiem w konfiguratorze jest zmiana has\u0142a dla domy\u015blnego konta root. Jest to krok najwa\u017cniejszy w przypadku rozwi\u0105za\u0144 kt\u00f3re posiadaj\u0105 adresy IP publiczne i zalecamy zmian\u0119 tego\u017c has\u0142a na silne. Dzi\u0119ki temu, potencjalny atakuj\u0105cy nie b\u0119dzie w stanie w \u0142atwy spos\u00f3b odgadn\u0105\u0107 po\u015bwiadcze\u0144 i uzyska\u0107 dost\u0119pu do zapory co mo\u017ce spowodowa\u0107 wyciek danych wra\u017cliwych z serwer\u00f3w.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Po wpisaniu silnego has\u0142a, nale\u017cy prze\u0142adowa\u0107 zapor\u0119 w celu zastosowania ustawie\u0144.<\/p>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n
Gdy tylko ustawienia zostan\u0105 za\u0142adowane poka\u017ce si\u0119 ekran potwierdzaj\u0105cy poprawn\u0105 pocz\u0105tkow\u0105 konfiguracj\u0119.<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Po zakupie i uruchomieniu wirtualnej zapory sieciowej OPNsense, nale\u017cy przej\u015b\u0107 do swojego panelu klienta i wej\u015b\u0107 w zak\u0142adk\u0119 „Maszyny wirtualne” a nast\u0119pnie przej\u015b\u0107 do jej konsoli w celu pocz\u0105tkowej konfiguracji. Pierwsz\u0105 zmian\u0105 jakiej nale\u017cy dokona\u0107, jest zmiana przypisania interfejs\u00f3w sieciowych. Jako \u017ce OPNsense domy\u015blnie ustawia pierwszy interfejs sieciowy jako LAN a drugi jako WAN, musimy […]<\/p>\n","protected":false},"author":8,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[393],"tags":[42,67,392,200,41,389],"class_list":["post-5176","post","type-post","status-publish","format-standard","hentry","category-opnsense","tag-firewall","tag-konfiguracja","tag-opnsense","tag-router","tag-zabezpieczenia","tag-zapora-sieciowa"],"_links":{"self":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5176","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/comments?post=5176"}],"version-history":[{"count":8,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5176\/revisions"}],"predecessor-version":[{"id":5210,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/posts\/5176\/revisions\/5210"}],"wp:attachment":[{"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/media?parent=5176"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/categories?post=5176"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nsix.pl\/kb\/wp-json\/wp\/v2\/tags?post=5176"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}