OPNSense

higeon

by seirios

ほほほのほ / 2017-11-11 11:19

最近まで自宅の対外接続Router兼FirewallとしてpfSenseを利用していた。 しかし、pfSenseの来船に関する変更を見て、ちょっと調べ直したら、OPNSense がかなりよくなっていることに気がついたので、OPNSenseに切り替えてみる気になった。

  1. OPNSenseのIPSがsuricataになってた (いつからかわかってない)
  2. OpenVPN を利用するためのClient ConfigurationがExportできるようになってた
  3. Commandlineからの制御とは言え、pkgが利用できる
    1. すなわち、CEoRで多少の面倒はみられると言うこと
  4. pfSenseで自分が利用していた機能は全てOPNSenseで動作する
  5. 実質の影響はないとは言え、pfSenseのライセンス変更は正直気に入らなかった
    1. もちろん、彼らはOpenであんなに素晴らしいシステムを公開しているのだから、彼らに文句を言う気はない。むしろ当然とも思う
    2. 気に入らなかったら意見は述べて良い。それでも気に入らなければ別実装を使え!は鉄則。彼らだって完全なVoluntierではないのだから

というわけで、Installしたのでそのメモを。

(最終的なやつは別記事にしてあげるので、ここではメモのみ記述する)

Install

基盤は例によってXenServer。

vCPU 2
Mem 1G
HDD 10G
NIC 3

まずは最初の作業

  • OPNSenseのInstall ISO ImageをDownloadし、XenServer用のISO供給用NFSサーバーに設置
  • 上記SpecでVMを作成し、ISOイメージから起動
  • Login Promptが出るので、User: installer / Passwd: opnsense でloginする
  • 画面の指示に従いInstallを進める
  • Installが終了したら、再起動し、ISOイメージをEjectする

Consoleからの設定

  • 起動すると、Login Promptが出るので、User: root / Passwd: opnsense でloginする
  • Network関連の設定をする
    • 1) Assign interfaces から、認識しているNICを設定する
    • 2) Set interface IP address から、LAN I/FにIP Addressを割り当てる
    • ここまでを行うとconsole画面に割り当てたIPアドレスが表示されるようになる。
  • ここまで実行するとGUIで設定できるようになる

GUIからの設定

ここからは、普通に色々設定すれば良いのだが、特に気にしておくべきことをメモしておく。

  • まず、XenServer側で TSO をOffにしておく。
    • XenServerにloginした上で、以下を実行
    • xe vif-param-set uuid=[VMのVIF UUID] other-config:ethtool-tso="off"

  • Browserで、設定したIPアドレスにアクセスする
  • System → Access → Users
    • 自分用アカウントを作成する
  • System → Settings → Administration
    • Secure Shell をEnableにし、SSH portを変更する
  • System → Settings → Tunables
    • net.inet.tcp.tso を 0にする

その他

  • sshでlogin
    1. sudo pkg update
    2. sudo pkg install xe-guest-utilities
    3. sudo echo “xenguest_enable=YES” » /etc/rc.conf.local

Shared via Inoreader

OPNSense

留下评论