Anforderungen
- mind. eine Private Cloud Platform XSmall
- mind. eine öffentliche IPv4 Adresse
- mind. ein Private Network (siehe: Private Networking (LAN))
Anlegen der Firewall im Kundencenter
In Ihrer Plattform Übersicht...
... klicken Sie nun auf "Neuen Server erstellen" .
Hier können Sie die Eckdaten Ihrer neuen Firewall eintragen, beginnend mit Hostname und Installationsvorlage.
Wählen Sie als Installations-Vorlage "Installation From ISO".
Server Parameter
Für eine OPNsense Firewall empfehlen wir mindestens 2 vCPU's und 2048 MB RAM Speicher.
Wenn Sie auf Ihrer Firewall viel Traffic mit protokollieren möchten, empfehlen wir eine Festplatten Größe ab 25 GB.
Ansonsten können Sie hier auch mit 10 GB fortfahren.
Wählen Sie nun als ISO Image "OS OPNsense OpenSSL DVD Amd64" aus, das zweite ISO Image bleibt leer.
Virtuelle Netzwerke
Fügen Sie nun die gewünschte Anzahl an Netzwerkadaptern hinzu.
In unserem Beispiel sind das...
- WAN
- LAN
- DMZ
Klicken Sie auf "
" und warten Sie, bis der neue Server erfolgreich erstellt und gestartet wurde.
Sobald Ihr neuer Server fertig erstellt wurde, können Sie diesen aus Ihrer Plattform Übersicht heraus verwalten:
Hier sehen Sie alle Einzelheiten Ihres neuen Servers und können diesen von hier aus auch steuern:
Öffnen Sie die VNC Konsole, um mit der Installation Ihrer neuen OPNsense Firewall fortzufahren.
Fertigstellung der OPNsense Installation
Sie sehen nun die Anmeldemaske der OPNsense Firewall, melden Sie sich mit dem Benutzer "installer" & Passwort "opnsense" an um mit der Installation zu starten.
Im nächsten Schritt können Sie Ihr gewünschtes Tastaturlayout auswählen:
Wählen Sie nun aus, was Sie machen möchten. Für eine normale Installation können Sie mit "Install (UFS)" einfach fortfahren.
Wenn Sie "Install (UFS)" ausgewählt haben, müssen Sie als nächstes die Zielfestplatte auswählen, dies ist im Regelfall "da0":
Warten Sie, bis die Installation abgeschlossen ist.
Am Ende können Sie noch ein Root Password festlegen, achten Sie dabei aber darauf, dass es zu Problemen mit dem englischen Tastaturlayout kommen kann.
Schließen Sie nun die Installation mit "Complete Install" ab und starten Sie ihre neue OPNsense Firewall neu.
Initiale Konfiguration der Netzwerkinterfaces
Öffnen Sie zuerst in Ihrem myDataCenter.at Kundencenter die Verwaltungsoberfläche Ihrer neuen OPNsense Firewall wie in dieser Anleitung bereits beschrieben.
In der Server Übersicht, wechseln Sie nun zu "Netzwerk -> Interfaces".
Notieren Sie sich die Reihenfolge der Interfaces, die zugehörigen IP Adressen und das Gateway Ihres Internet Interfaces.
Wechseln Sie wieder zur VNC Konsole Ihrer bereits installierten OPNsense Firewall und melden Sie sich mit dem Benutzer "root" und dem zuvor festgelegten Kennwort an.
Sollten Sie kein Kennwort festgelegt haben, ist das Standardpasswort "opnsense".
Jetzt müssen Sie die Interfaces Ihrer OPNsense Firewall, entsprechend der zuvor notierten Netzwerkübersicht festlegen.
Wählen Sie daher "Assign interfaces" aus, dazu tippen Sie die Zahl 1 ein und bestätigen dies mit "Enter".
Bestätigen Sie die Nachfragen nach "LAGG" und "VLAN" Interfaces mit N für Nein.
Als erstes fragt die Firewall, welches Interface Sie als WAN (Internet) Interface festlegen möchten.
Wenn Sie als erstes Interface Ihr WAN Interface festgelegt haben, schreiben Sie hier "vtnet0" in das Terminal und bestätigen Sie dies mit "Enter".
Fahren Sie nun mit den weiteren Interfaces fort.
Als zweites Interface wird immer das LAN Interface erfragt, geben Sie hier (sollte Ihr LAN Interface das 2. Interface sein) "vtnet1" ein und bestätigen Sie dies wieder mit "Enter".
Sollten Sie noch weitere Interfaces angelegt haben, so wie in unserem Beispiel ein DMZ Netzwerk, können Sie dies nun als "Optional Interface" ebenfalls hinterlegen:
Wenn Sie alle Interfaces angelegt haben, bestätigen Sie dies einfach ohne weiterer Eingabe mit "Enter".
Überprüfen Sie ihre Eingaben und bestätigen Sie diese mit "Y" & "Enter".
Sie gelangen wieder zu der Übersicht von vorher.
Damit die neue Firewall nun auch die richtigen IP Adressen hat, müssen wir diese mittels der Funktion "Set interface IP address"
Tippen Sie dazu also die Zahl 2 und bestätigen Sie dies mit "Enter"
Konfigurieren Sie jetzt als erstes Ihr WAN (Internet) Interface.
Wählen Sie dieses also über die Nummer aus.
Das Interface soll nicht über DHCP konfiguriert werden, bestätigen Sie dies also mit N für Nein.
Geben Sie nun Ihre Interface IP Daten ein, welche Sie zuvor aus der Netzwerkübersicht notiert haben.
Führen Sie selbiges für die weiteren Interfaces wie LAN, DMZ oder sonstige Netzwerke durch.
Bei internen Interfaces wie LAN & DMZ ist keine Gateway Adresse einzutragen.
Wenn Sie mit allen Interfaces fertig sind sollten Sie sich wieder auf der Übersichtsseite befinden, allerdings mit nun richtig konfigurierten Interfaces.
Fertigstellung der Konfiguration über das Web Interface
Um die Installation & Einrichtung Ihrer neuen OPNsense Firewall abzuschließen, müssen Sie nun das Web Interface aufrufen.
Allerdings blockiert die Firewall intial alle Anfragen aus dem Internet, daher müssen Sie diese vorrübergehend deaktivieren, damit Sie die Einrichtung abschließen können.
Um die Firewall zu deaktivieren, müssen Sie in die "Shell" wechseln, wählen Sie diese mit "8" und anschließend mit "Enter" aus.
Hier geben Sie nun "pfctl -d" ein und bestätigen Sie dies mit "Enter" (Es kann hier zu Problemen mit dem Tastaturlayout kommen, sollte dies der Fall sein, drücken Sie ß um ein - einzufügen).
Navigieren Sie jetzt mit einem Browser Ihrer Wahl auf die WAN-IP Adresse der OPNsense Firewall und melden Sie sich mit den zuvor erstellten Logindaten an.
Vergeben Sie Hostname, Domain & DNS Server:
Anschließend stellen Sie die richtige Zeitzone ein.
Die Interface Konfigurationen können Sie einfach überspringen, da Sie dies bereits über die Shell durchgeführt haben.
Sie können nun auch nochmal Ihr Root Passwort ändern.
Die Einrichtung ist somit abgeschlossen, bestätigen Sie dies mit "Reload".
WICHTIG! Durch den Reload aktiviert sich wieder die Firewall und Sie können erneut nicht mehr auf Ihre Firewall zugreifen.
Wechseln Sie daher wieder über die VNC Console in die Shell wie oben breits beschrieben, und setzen Sie erneut den Befehl "pfctl -d" ab.
Es kann sein, dass Sie dies 2-3 mal machen müssen.
Wenn alles funktioniert hat, sollen Sie zum Abschluss auch eine Bestätigung in Ihrem Browser sehen:
Damit Sie in Zukunft auch ohne die Firewall zu deaktivieren auf Ihre OPNsense Firewall zugreifen können, muss eine entsprechende Firewall Regel angelegt werden.
Navigieren Sie zu "Firewall -> Rules -> WAN" um eine neue Firewall Regel anzulegen (Das Plus im rechten oberen Bereich).
Erstellen Sie eine Firewall Regel, welche HTTPS Traffic auf die Firewall selbst zulässt und speichern Sie diese ab.
Übernehmen Sie im Anschluss die ausstehenden Änderungen:
Sie müssen von nun an die Firewall nicht mehr deaktivieren um auf diese zuzugreifen.
Es kann aber sein, dass dies nicht sofort nach Anlegen der neuen Firewall Regel funktioniert, schließen Sie in diesem Fall alle Ihre Browser Fenster und öffnen Sie Ihre Firewall erneut.
Hinweise:
- Es ist nicht empfohlen, den Zugriff auf Ihre Firewall für das ganze Internent offen zu lassen, verwenden Sie falls vorhanden, Ihre statischen IP Adressen als Source Adresse bei der zuvor
erstellten Firewall Regel, um den Zugriff auf diese zu beschränken. - Konfigurieren Sie einen VPN Server auf Ihrer Firewall, damit Sie über diesen verschlüsselt und sicher auf Ihre Firewall und Server zugreifen.
