Schlagwort-Archive: OPNsense Firewall

OPNsense ist eine freie Firewall-Distribution auf Basis von FreeBSD und der Address Space Layout Randomization von HardenedBSD. OPNsense bietet einen großen Funktionsumfang, ist einfach zu bedienen und lässt sich als Firewall und Routing-Plattform einsetzen.

OPNsense Setup als virtuelle Maschine

OPNsense als virtual Machine. In diesem Beitrag wird gezeigt, wie eine OPNsense als virtuelle Maschine auf VMware ESXi installiert wird. Abschliessend das Erstellen der Konfiguration für den Zugriff auf das Web GUI via WAN. Dieses How To kann auch für die Bereitstellung mit anderen Virtualisierungsplattformen verwendet werden.

INSTALLATION

OPNsense kann als ISO Image hier heruntergeladen werden. Bei Select the image type: dvd wählen. Die Hardware mit min. 2 GB Arbeitsspeicher und 16 GB Festplatte und zwei oder mehere Netzwerkadapter konfigurieren, als Betriebssystem FreeBSD 64 bit wählen.

VMware ESXi Console OPNsense virtual machine
VMware ESXi Browser Console OPNsense

Nach einschalten der virtuellen OPNsense erfolgt der Login mit root, Passwort opnsense.

VMware ESXi vSphere Console OPNsense Login

Nun befindet man sich im Hauptmenü (Option 0 – 13).

VMware ESXi vSphere Console OPNsense Hauptmenu

Wähle die Option 2 für „Set interface IP address“, für die zuweisung zum WAN Interface der Static Public IPv4 Adresse und die Gateway Adresse.

Die IPv4 Konfiguration wird wie folgt eingegeben.

Enter the number of the interface to configure: 2

Configure IPv4 address WAN interface via DHCP? [Y/n] n

Enter the new WAN IPv4 address. Press <ENTER> for none:
> 108.156.231.190

Subnet masks are entered as bit counts (like CIDR notation).
e.g. 255.255.255.0 = 24
     255.255.0.0   = 16
     255.0.0.0     = 8

Enter the new WAN IPv4 subnet bit count (1 to 32);
> 28

For a WAN. enter the new WAN IPv4 upstream gateway address.
For a LAN. press <ENTER> for none:
> 108.156.231.177

Do you want to use the gateway as the IPv4 name server. too? [Y/n] n
Enter the IPv4 name server or press <ENTER> for none:
> 1.1.1.1

Configure IPv6 address WAN interaces via DHCP6? [Y/n] n

Enter the new WAN IPv6 address. Press <ENTER> for none:
>

Do you want to change the web GUI protocol from HTTPS to HTTP [y/N] N
Do you want to generate a new self-signet web GUI certificate? [y/N] y
Restore web GUI access defaults? [y/N] N

Die IPv4 Konfiguration für das WAN Interface ist abgeschlossen. Im nächsten Schritt muss die Paket-Filter Firewall vorübergehend deaktiviert werden, wähle hierzu die Nummer 8 für Shell, und führe den Befehl „pfctl“ aus.

root@OPNsense:~ # pfctl -d
pf disabled

Nun kann das OPNsense Web GUI in einem Browser geöffnet werden, hier in diesem Beispiel https://108.156.231.190

OPNsense Web GUI Login

OPNsense Default Username root und Passwort opnsense

Nun eine neue Regel erstellen, unter Firewll – Rules – WAN mit Klick auf das Plus (+) in der rechten oberen Ecke.

OPNsense Firewall Rules WAN
Klick für Zoom

Die Regel soll eingehende Anfragen mit pass für diese Firewall erlauben.

WICHITG! Nach Übernahme der neuen Regel mit „Apply changes“ muss die OPNsense neu gestartet werden. Dies in der VM Console mit 6 Reboot system.

Abschliessend können weitere Interfaces, Regeln oder beispielsweise OpenVPN und weiteres mehr eingerichtet werden.

OPNsense Interfaces LAN

VORSICHT! Nicht vergessen jetzt das root Passwort zu ändern. OPNsense erlaubt die 2FA Authentifizierung mit TOTP und Google Authenticator, die Anleitung gibt es hier. Dazu muss man erst zum Abschnitt Status gehen und die Schaltfläche Check for updates klicken.

VMware Tools Plugin

VMware Tools ist eine Reihe von Diensten und Modulen, die mehrere Funktionen für eine bessere Verwaltung von Gastbetriebssystemen und nahtlose Benutzerinteraktionen ermöglichen. Es lohnt sich für optimale Performance das os-vmware Plugin zu installieren, unter System – Firmware – Plugins.

OPNsense VMware Tools Installation, unter System - Firmware - Plugins

Troubleshooting

Hat man sich beim Konfigurieren verthan, gibt es die Möglichkeit der Zurücksetzung, mit der Option 4) Reset to factory defaults. Die Firewall wird dann neu gestartet und man findet sich, nach dem Login mit dem Default Passwort, im Wizard zur Grundeinrichtung der OPNsense. Es kann hier die IP Adressierung des Interfaces erneut vorgenommen werden.

OPNsense 2FA TOTP mit Google Authenticator

Diese Anleitung zeigt die Bereitstellung von One-time Password (OTP) für 2 Factor-Authentifizierung (2FA) mit OPNsense und Google Authenticator. Alle Dienste von OPNsense können mit der 2FA-Lösung genutzt werden.

Schritt 1 – Authentifizierungsserver hinzufügen

Um einen TOTP-Server hinzuzufügen, gehe zu System ‣ Access ‣ Servers und klicke auf das Plus (+) für Add server oben rechts.

OPNsense System Access TOTP Server mit 2FA Google Authenticator

Type aus Dropdown-Liste Local+Timebased One Time Password wählen.

Schritt 2 – Benutzer hinzufügen oder ändern

Für dieses Beispiel erstellen wir für die OPNsense mit dem 2FA Google Authenticator, einen neuen Benutzer, dafür gehe zu System ‣ Access ‣ Users und klicke auf das Plus (+) in der rechten Ecke.

OPNsense Benutzer hinzufügen oder ändern

Gib einen Benutzernamen und ein Passwort ein und vervollständige für den Benutzer die weiteren Felder. Aktiviere dann unter OTP-Seed das Kästchen bei Generate new secret (160bit).

Generate new secret OPNsense System Access Users OTP-seed

Dann klicke auf die Schaltfläche Save.

Schritt 3 – Aktiviere den Authenticator für OTP-Seed

Um den neuen OTP-Seed auf dem Google Authenticator zu aktivieren, öffne zunächst den gerade erstellten Benutzer erneut, dazu auf das Stiftsymbol klicken, dann auf die Schaltfläche Click to unhide.

Aktiviere in OPNsense den Google 2FA Authenticator für den OTP-Seed

VORSICHT mit dem Seed- oder QR-Code, da dies das einzige ist, was zur Berechnung des Tokens benötigt wird. SEED und QR-CODE an einem sicheren Ort aufbewahren!

Schritt 4 – Authenticationserver aktivieren

Nun noch den Authenticationserver aktivieren und Lokal Database deaktivieren, unter System ‣ Settings ‣ Administration bei Authentication: Server klicke auf TOTP Server.

OPNsense Authenticationserver aktivieren

Die Auswahl Local Database diese nicht aktivieren und Save klicken.

Schritt 5 – Google Authenticator Installation

Öffne auf deinem iOS oder Android Gerät den App Store und suche nach Google Authenticator. Installiere die App wie gewohnt auf deinem Gerät.

Schritt 6 – QR-Code scannen

Öffne nun die Google Authenticator App auf dem Smartphone oder Tablett-PC und wähle die Option (Plus +) zum QR-Code scannen, alternativ kann der Seed direkt eingegeben werden.

Zum Testen der Benutzerauthentifizierung bietet OPNsense einen einfachen Tester an, unter System ‣ Zugriff ‣ Tester.

Wähle den zuvor konfigurierte Authentifizierungsserver aus und gib den Benutzername ein. Die Eingabe muss in der Form aus Token + Passwort zusammen im Passwortfeld erfolgen.

Das Passwortfeld wird verwendet, um sowohl den Token als auch das Passwort einzugeben, Beispiel Passwort: 123456PASSWORD, bei verwendung der Standardkonfiguration. Der OTP-Authentifizierungs-server kann auch so konfiguriert werden, dass er in umgekehrter Reihenfolge wie PASSWORD123456 verwendet wird.