Schlagwort-Archive: OPNsense

OPNsense ist eine freie Firewall-Distribution auf Basis von FreeBSD und der Address Space Layout Randomization von HardenedBSD. OPNsense erlaubt die Benutzung der freien Kryptobibliothek LibreSSL, alternativ zum Standard OpenSSL

OPNsense Setup als virtuelle Maschine

OPNsense als virtual Machine. In diesem Beitrag wird gezeigt, wie eine OPNsense als virtuelle Maschine auf VMware ESXi installiert wird. Abschliessend das Erstellen der Konfiguration für den Zugriff auf das Web GUI via WAN. Dieses How To kann auch für die Bereitstellung mit anderen Virtualisierungsplattformen verwendet werden.

INSTALLATION

OPNsense kann als ISO Image hier heruntergeladen werden. Bei Select the image type: dvd wählen. Die Hardware mit min. 2 GB Arbeitsspeicher und 16 GB Festplatte und zwei oder mehere Netzwerkadapter konfigurieren, als Betriebssystem FreeBSD 64 bit wählen.

VMware ESXi Browser Console OPNsense

Mit einschalten der virtuellen OPNsense erscheint der Login.

Nach dem Login befindet man sich im Hauptmenü (Option 0 – 13).

Wähle die Option 2 für „Set interface IP address“, für die zuweisung zum WAN Interface der Static Public IPv4 Adresse und die Gateway Adresse.

Die IPv4 Konfiguration wird wie folgt eingegeben.

Enter the number of the interface to configure: 2

Configure IPv4 address WAN interface via DHCP? [Y/n] n

Enter the new WAN IPv4 address. Press <ENTER> for none:
> 108.156.231.190

Subnet masks are entered as bit counts (like CIDR notation).
e.g. 255.255.255.0 = 24
     255.255.0.0   = 16
     255.0.0.0     = 8

Enter the new WAN IPv4 subnet bit count (1 to 32);
> 28

For a WAN. enter the new WAN IPv4 upstream gateway address.
For a LAN. press <ENTER> for none:
> 108.156.231.177

Do you want to use the gateway as the IPv4 name server. too? [Y/n] n
Enter the IPv4 name server or press <ENTER> for none:
> 1.1.1.1

Configure IPv6 address WAN interaces via DHCP6? [Y/n] n

Enter the new WAN IPv6 address. Press <ENTER> for none:
>

Do you want to change the web GUI protocol from HTTPS to HTTP [y/N] N
Do you want to generate a new self-signet web GUI certificate? [y/N] y
Restore web GUI access defaults? [y/N] N

Die IPv4 Konfiguration für das WAN Interface ist abgeschlossen. Im nächsten Schritt muss die Paket-Filter Firewall vorübergehend deaktiviert werden, wähle hierzu die Nummer 8 für Shell, und führe den Befehl „pfctl“ aus.

root@OPNsense:~ # pfctl -d
pf disabled

Nun kann das OPNsense Web GUI in einem Browser geöffnet werden, hier in diesem Beispiel https://108.156.231.190

OPNsense Default Username root und Passwort opnsense

Nun eine neue Regel erstellen, unter Firewll – Rules – WAN mit Klick auf das Plus (+) in der rechten oberen Ecke.

Klick für Zoom

Die Regel soll eingehende Anfragen mit pass für diese Firewall erlauben.

WICHITG! Nach Übernahme der neuen Regel mit „Apply changes“ muss die OPNsense neu gestartet werden. Dies in der VM Console mit 6 Reboot system.

Abschliessend können weitere Interfaces, Regeln oder beispielsweise OpenVPN und weiteres mehr eingerichtet werden.

VORSICHT! Nicht vergessen jetzt das root Passwort zu ändern. OPNsense erlaubt die 2FA Authentifizierung mit TOTP und Google Authenticator, die Anleitung gibt es hier. Dazu muss man erst zum Abschnitt Status gehen und die Schaltfläche Check for updates klicken.

VMware Tools Plugin

VMware Tools ist eine Reihe von Diensten und Modulen, die mehrere Funktionen für eine bessere Verwaltung von Gastbetriebssystemen und nahtlose Benutzerinteraktionen ermöglichen. Es lohnt sich für optimale Performance das os-vmware Plugin zu installieren, unter System – Firmware – Plugins.

Troubleshooting

Hat man sich beim Konfigurieren verthan, gibt es die Möglichkeit der Zurücksetzung, mit der Option 4) Reset to factory defaults. Die Firewall wird dann neu gestartet und man findet sich, nach dem Login mit dem Default Passwort, im Wizard zur Grundeinrichtung der OPNsense. Es kann hier die IP Adressierung des Interfaces erneut vorgenommen werden.

OPNsense 2FA TOTP mit Google Authenticator

Diese Anleitung zeigt die Bereitstellung von One-time Password (OTP) für 2 Factor-Authentifizierung mit OPNsense und Googles Authenticator. Alle Dienste von OPNsense können mit der 2FA-Lösung genutzt werden.

Schritt 1 – Authentifizierungsserver hinzufügen

Um einen TOTP-Server hinzuzufügen, gehe zu System ‣ Access ‣ Servers und klicke auf das Plus (+) für Add server oben rechts.

Type aus Dropdown-Liste Local+Timebased One Time Password wählen.

Schritt 2 – Benutzer hinzufügen oder ändern

Für dieses Beispiel erstellen wir einen neuen Benutzer, dafür gehe zu System ‣ Access ‣ Users und klicke auf das Plus (+) in der rechten Ecke.

Gib einen Benutzernamen und ein Passwort ein und fülle die weiteren Felder aus, so wie für jeden anderen Benutzer. Aktiviere dann unter OTP-Seed das Kästchen bei Generate new secret (160bit).

Dann klicke auf die Schaltfläche Save.

Schritt 3 – Aktiviere den Authenticator für OTP-Seed

Um den neuen OTP-Seed auf dem Google Authenticator zu aktivieren, öffne zunächst den gerade erstellten Benutzer erneut, dazu auf das Stiftsymbol klicken, dann auf die Schaltfläche Click to unhide.

VORSICHT mit dem Seed- oder QR-Code, da dies das einzige ist, was zur Berechnung des Tokens benötigt wird. SEED und QR-CODE an einem sicheren Ort aufbewahren!

Schritt 4 – Authenticationserver aktivieren

Nun noch den Authenticationserver aktivieren und Lokal Database deaktivieren, unter System ‣ Settings ‣ Administration bei Authentication: Server klicke auf TOTP Server.

Die Auswahl Local Database diese nicht aktivieren und Save klicken.

Schritt 5 – Google Authenticator Installation

Öffne auf deinem iOS oder Android Gerät den App Store und suche nach Google Authenticator. Installiere die App wie gewohnt auf deinem Gerät.

Schritt 6 – QR-Code scannen

Öffne nun die Google Authenticator App auf dem Smartphone oder Tablett-PC und wähle die Option (Plus +) zum QR-Code scannen, alternativ kann der Seed direkt eingegeben werden.

Zum Testen der Benutzerauthentifizierung bietet OPNsense einen einfachen Tester an, unter System ‣ Zugriff ‣ Tester.

Wähle den zuvor konfigurierte Authentifizierungsserver aus und gib den Benutzername ein. Die Eingabe muss in der Form aus Token + Passwort zusammen im Passwortfeld erfolgen.

Das Passwortfeld wird verwendet, um sowohl den Token als auch das Passwort einzugeben, Beispiel Passwort: 123456PASSWORD, bei verwendung der Standardkonfiguration. Der OTP-Authentifizierungs-server kann auch so konfiguriert werden, dass er in umgekehrter Reihenfolge wie PASSWORD123456 verwendet wird.