OPNsense 安装

• 最近整理网络内容，备到网络部分防火墙那总感觉少点什么，正好市面上这么多防火墙，搭一个给学生玩一玩。
• 参考文章：
  • https://gitee.com/callmer/opnsense_toss_notes/tree/main（主要，感谢大佬）
  • https://blog.51cto.com/u_13298188/5730109

前期工作准备

• OPNsense 是基于 FreeBSD 的开源防火墙系统，可以在虚拟化环境或物理机上安装部署。
• 访问 OPNsense 官网的下载页面 ，下载最新的 OPNsense 镜像文件，并找到镜像文件对应的校验信息。
• 需要注意的是：
  • Architecture 选择amd64；
  • Select the image type选择dvd；
  • Mirror Location选择Peking University，即北京大学镜像站；
  • Checksum verification即镜像文件的校验信息。

• OPNsense 镜像默认为.bz2压缩格式，因此下载完成并校验文件信息后，需要将镜像的 ISO 文件解压出来。
• 大佬这里使用的物理机安装，我就不凑热闹了，我用虚拟机 OvO。
• 目前的安装环境：
  • OPNsense-23.7-dvd-amd64.iso.bz2
  • VMware Workstation 17 Pro

OPNsense 介绍

• OPNsense 是一款基于 FreeBSD 操作系统的开源防火墙与路由平台，其目的是为企业和个人用户提供强大的网络安全解决方案。OPNsense 的开发始于 2014 年，其代码库源自于 pfsense 2.x 版本，但在其基础上进行了多项改进和优化，并扩展了更多的功能和特性。
• OPNsense 提供了一套强大的功能和特性，包括：
  • 防火墙和 NAT（网络地址转换）功能，允许管理员灵活配置访问控制和安全策略，同时支持 IPsec VPN 和 SSL/TLS VPN 等 VPN 协议；
  • 全面的网络流量分析和监控功能，通过内置的 ntopng 工具提供了网络流量统计和可视化分析。
  • 支持多 WAN 接口和负载均衡，允许企业用户将多个互联网接入线路进行汇聚和负载均衡，从而提高网络可用性和性能；
  • 提供 DNS 解析、DHCP 服务器、Radius 认证等网络基础设施服务；
  • 具有高度可定制性的 Web 界面，允许管理员根据需要自定义布局和插件，并通过插件库扩展功能；
  • 提供了丰富的插件和应用程序，例如负载均衡、反向代理、Intrusion Detection System（IDS）等。
• OPNsense 的开发团队致力于提供一个安全可靠、易于使用和可扩展的网络安全平台。在其开发过程中，团队将安全性和用户友好性放在了首位，因此 OPNsense 不仅提供了强大的安全功能，还拥有直观的 Web 界面，使得管理员能够轻松地进行配置和管理。OPNsense 是完全开源的软件，用户可以根据需要自由地定制和修改源代码。

注：以上是我一个字一个字编（百度）的。

OPNsense 安装

• 打开 VMware Workstation 点击“新建虚拟机”：

• 选择“自定义（高级）”，点击“下一步”：

• 默认下一步到安装操作系统，选择“稍后安装操作系统”，点击“下一步”：

• 选择“Linux”->“Ubuntu 64 位”，点击“下一步”：

• 虚拟机名称、位置自选，点击“下一步”：

• 我这里选择4核/4G，要是带不动2核/2G也行：

• 默认下一步直到，指定磁盘容量，建议 40G，单个还是多个看自己喜好：

• 其他默认直到点击“完成”，点击“编辑虚拟机设置”，设置 ISO 镜像（记得解压）：

• 而后点击“开启此虚拟机即可”。
• 经过一会的等待（贼够吧久），出现了登录页面，输入默认账号密码：installer/opnsense。

• 一般保持默认的 US 键盘键位即可，直接回车就好：

• 默认情况下 OPNsense 将使用UFS文件系统，因为 OPNsense 底层为 FreeBSD ，已对ZFS文件系统提供良好支持，回车继续：

• 由于此时只有一块硬盘，因此选择条带模式stripe ，这里默认回车：

• 使用空格选中磁盘，回车：

• 选择“yes”进行初始化磁盘，一般是 2-5 分钟：

• 设置 root 的密码，不设置默认是：opnsense。需要输入两次：

• 选择重启即可：

• 完成安装，但是很明显这里 IP 不对，我设置的是 NAT：

• 进入 Console 界面，进行如下配置，主要让 LAN 通过 DHCP 获取 IP 地址：

• 配置完成后，可以看到获取的 IP 地址：

注：由于OPNSense安全策略的原因，该地址无法 ping 通，可以通过 Web 登录。

• 浏览器中输入 IP 地址：10.10.8.143，使用之前设置的账号密码登录即可。

• 安装成功~~

OPNsense 更新

配置向导

• 由于 OPNsense 系统更新较快，尤其是安全更新，平均 2 周左右就会收到一次小更新。
• 因此，多数情况下使用 OPNsense ISO 镜像安装的系统并非为最新版本。
• 建议在 OPNsense 安装完成后，优先对系统进行一次跟新，然后再恢复一次出厂设置。
• 登录后，稍等片刻，系统将自动跳转到配置向导，点击 Next：

• Language 修改为 Chinese (Simplified) ， Primary/Secondary DNS Server 填入国内常用 DNS 服务器 223.5.5.5/223.6.6.6（阿里 DNS），取消勾选Override DNS，并点击Next。：

• 时区选项，Timezone 选择 Asia/Shanghai ，并点击 Next：

• WAN 配置步骤，选择 IPv4配置类型为 DHCP。取消勾选页面底部的阻止RFC1918私有网络 和 拦截bogon网络 选项，并点击 下一步：

• LAN 配置步骤需要注意，配置为 DHCP 地址即可（这里忘记改了，写成了 DHCP）：

• 暂无需修改密码，点击下一步：

• 系统需要重新加载配置，点击重新加载：

更新系统

• 打开左侧导航 系统 - 固件 - 设置 页面。
• 镜像设置为(custom)，此时系统会显示额外输入框，允许用户自定义系统镜像。
• 在对话框中输入 OPNsense 镜像站地址，这里以北京大学镜像站地址为例，并点击保存：

# 北京大学镜像站
https://mirrors.pku.edu.cn/opnsense

# 北京外国语大学镜像站
https://mirrors.bfsu.edu.cn/opnsense

# 网易镜像站
https://mirrors.163.com/opnsense

• 点击 状态 选项卡，可以看到当前系统镜像已被设置为北京大学镜像站地址，点击 检查升级：

• 系统会自动跳转到 更新 选项卡，并从镜像站同步数据。
• 当系统检测到更新时，会弹出近期更新的 Changelog，并显示待更新软件包列表。
• 点击页面底部的 更新 ，系统在更新完成后自动重启。

• 重新登录 OPNsense ，打开左侧导航 系统 - 固件 - 状态 页面，检查更新后状态：

恢复出厂

• 出于以下目的 建议 执行一次恢复出厂设置操作：
  • 当前 OPNsense 为 DHCP 模式联网，需要修改为 PPPoE 模式
  • 移除 OPNsense 配置文件中 “过时” 配置项
• 打开左侧导航 系统 - 配置 - 默认 页面，点击 是 ，即可恢复出厂设置：

注：

• 恢复出厂设置后，OPNsense 虚拟机不会自动重启，需要手动启动。
• 需要在系统开启后，重新指定 WAN / LAN 对应的网口 IP。
• 系统启动完成后，将再次使用 配置向导 对系统进行初始化配置。