Nach vielen Jahren konnten wir uns endgültig von der edugroup als Internetanbindungsprovider trennen (20x mehr Bandbreite u. 20% weniger Kosten). Dadurch wurde eine Barracuda F18 frei. Diese kann mit der Open Source Firewall OPNsense noch einige Jahre weiter betrieben werden.
Wie OPNsense auf dieser Hardware installiert wird, erklären wir hier.
Da die Barracuda keinen VGA-Ausgang hat, muss die Installation per Serial-Kabel erfolgen. Ein Konsolenkabel hat auf der einen Seite einen RJ45 Stecker, also wie ein Netzwerkkabel, und auf der anderen Seite entweder einen USB Anschluss (Bild), oder noch einen klassischen RS-232 DB9 Stecker. Mit einem passenden USB-Adapter ist dieses Kabel für die Konsoleninstallation geeignet.
Jetzt laden wir uns das entsprechende Image von OPNsense herunter. Auf der OPNsense-Downloadseite gibt es verschiedene Image-Arten. In unserem Fall brauchen wir das serial Image.
Das heruntergeladene .bz2 File verifizieren wir noch. Dazu müssen noch 3 zusätzliche Files heruntergeladen werden
- OPNsense-25.1-serial-amd64.img.sig
- OPNsense-25.1.pub.sig
- OPNsense-25.1.pub
openssl sha256 OPNsense-25.1-serial-amd64.img.bz2openssl base64 -d -in OPNsense-25.1-serial-amd64.img.sig -out /tmp/image.sig
openssl dgst -sha256 -verify OPNsense-25.1.pub -signature /tmp/image.sig OPNsense-25.1-serial-amd64.imgEin „Verified OK“ zeigt uns, dass alles korrekt ist. Jetzt spielen wir das Image auf einen USB-Stick.
Das /dev/sdX entsprechend anpassen.
sudo dd if=OPNsense-25.1-serial-amd64.img of=/dev/sdX bs=16kJetzt kann der USB-Stick in die Barracuda eingesteckt werden. Weiters braucht die Firewall noch das serielle Kabel und Strom. Bevor wir die Box einschalten, starten wir noch putty mit sudo, um die notwendigen Rechte zu bekommen.
Um beim ersten Mal auch ins Bios zu kommen und von USB-Stick booten zu können, stellen wir die Geschwindigkeit auf 19200, wählen „Serial“ aus und klicken auf Open.
Jetzt kann die Firewall eingeschaltet werden. Mit der „Entfernen“-Taste (DEL) kommen wir ins Bios. Dort können wir einstellen, sodass über USB gebootet wird.
Damit booted die Firewall vom Stick und bootet ein OPNsense-live System.
Ab sofort kann man sich auch mit SSH verbinden, oder die Installation über die serielle Schnittstelle fortsetzen. Die dazu notwendige LAN-IP-Adresse wird angezeigt und ist standardmäßig 192.168.1.1. Interessanterweise war ibg0 bei meinem System nicht die 1. Netzwerkschnittstelle. Die richtige Schnittstelle ist aber mit einem ping rasch gefunden.
Die Installation kann mit dem login installer und opnsense als Passwort gestartet werden – egal ob via serieller Schnittstelle oder via SSH.
Hier ein paar Bildschirmfotos der Installation.
Nach der Installation und einem Reboot der F18 kann man sich mit den eingegebenen Zugangsdaten via Browser einloggen.
Will man noch mal per Konsole und seriellem Kabel auf die OPNsense schauen, muss die Geschwindigkeit jetzt auf 115200 ändern.
Mit dem Wizard geht die Grundinstallation (Lan/Wan) relativ zügig und die neue Firewall ist rasch im Einsatz.
Seit geraumer Zeit setzen wir erfolgreich eine OPNsense-Firewall ein. Diese Open-Source-Lösung bietet ein hervorragendes Preis-Leistungs-Verhältnis im Vergleich zu proprietären Alternativen wie Fortigate, Cisco oder Juniper. Technisch steht OPNsense diesen Lösungen in nichts nach, da es umfassende Sicherheitsfunktionen, Flexibilität und regelmäßige Updates bietet.
Trotz der offensichtlichen Vorteile von OPNsense, wie Kosteneffizienz, Anpassungsfähigkeit und Transparenz, werden in Bildungseinrichtungen weiterhin häufig die teureren proprietären Alternativen bevorzugt.
Es wäre wünschenswert, wenn Schulen und andere Institutionen die Vorteile von OPNsense stärker in Betracht ziehen würden.
Quellen:
https://www.thomas-krenn.com/de/wiki/OPNsense_FAQs
https://docs.opnsense.org/index.html
https://forum.opnsense.org/index.php
OPNsense Hardware:
https://shop.opnsense.com/
https://www.thomas-krenn.com/de/produkte/einsatzzweck/opnsense-firewalls.html
0 Kommentare