• Leon Thiel

Installation von OPNsense in einer virtuellen Maschine

Aktualisiert: Juni 25

Neu bei OPNsense? Dann viel Spaß mit diesem Blogbeitrag zur Installation von OPNsense in einer virtuellen Umgebung.


In diesem Tutorial erklären wir, wie man OPNsense in einer virtuellen Maschine installiert.

Dazu verwenden wir Virtualbox in der Version 6.1 und OPNsense in der Version 20.1. Als Hostsystem nehmen wir Windows 10. Grundsätzlich ist dieses Turrial auch für weitere Versionen anwendbar.

Auf der Internetseite von OPNsense laden wir die neueste Version herunter. Dafür wählen wir folgende Einstellungen für den Download:

  • als Architektur wählen wir „amd64”

  • für Image-Type wählen wir „dvd”

  • als Mirror-Location sollte der geographisch nächstgelegene Ort gewählt werden



Mit einem Klick auf „Download“ wird dieser gestartet.

Während das ISO herunterlädt, erstellen wir uns eine neue virtuelle Maschine.

Dazu öffnen wir VirtualBox und klicken auf „Neu“.


Als Typ wählen wir BSD und als Version FreeBSD (64-bit).




Im nächsten Schritt weisen wir der virtuellen Maschine mindestens einen Gigabyte Arbeitsspeicher zu. Danach erzeugen wir eine neue Festplatte mit 10-15 Gigabyte-Speicher (besser und wenn es die Festplatte hergibt: 40GB). Den Dateityp belassen wir bei VDI (VirtualBox Disk Image) und wählen dann „dynamisch alloziert“. Mit der Bestätigung des Speicherortes im nächsten Fenster wird die Festplatte erzeugt und wir können das heruntergeladene ISO entpacken. Die komprimierte Datei kommt in einem „bz2”-Format. Dieses wird von Windows 10 nicht direkt unterstützt. Deshalb wird ein Tool wie „7-zip” benötigt, um zu entpacken. Nach dem Entpacken laden wir die ISO-Datei in unsere virtuelle Maschine.


Dazu wählen wir unsere virtuelle Maschine in der VirtualBox aus und klicken in der Tool-Leiste auf „ändern“.

In dem Reiter „Massenspeicher“ wählen wir das DVD-Laufwerk und klicken oben rechts auf die Disk, um ein Image auszuwählen. Hier klicken wir dann auf „Abbild auswählen“ und suchen unsere entpackte OPNsense Iso aus.




Danach wählen wir den Reiter „Netzwerk” aus und legen dort zwei Netzwerk-Adapter an:

  • Adapter 1 soll eine „Netzwerkbrücke“ sein

  • Adapter 2 wird als „Host-Only Netzwerk“ angelegt. (Adapter 2 muss noch aktiviert werden, direkt unter dem Reiter für Adapter 2).





Damit die IP-Adresse des Host-Only- Adapters angenommen wird, müssen wir noch eine Einstellung in Windows vornehmen.

Hierfür gehen wir unter Windows in die Adapter-Eigenschaften der Netzwerkadapter (Einstellungen → Netzwerk → Adapteroptionen ändern).


Mit einem Rechtsklick auf den Adapter „Host-Only Netzwerk“ können wir unter „Eigenschaften“ die Einstellungen für das Internetprotokoll Version 4 (TCP/IPv4) ändern:





Mit einem Klick auf „Eigenschaften“ können wir die Daten, die auf dem rechten Bild zu sehen sind, einstellen.

Damit ist es soweit: wir können die virtuelle Maschine starten und mit der Installation von OPNsense beginnen. Wir schließen alle Fenster wieder mit einem Klick auf „OK“ oder mit einem Klick auf „X“. In der VirtualBox auf Übersicht klicken wir nun auf „Starten“.

Falls beim Starten die Bestätigung für das einzulegende Medium kommt, bestätigen wir hier mit „Starten“:




Der Bootloader der ISO wählt automatisch nach Ablauf der Zeit den für uns richtigen Modus.

Sobald OPNsense gebootet hat, erscheint die Aufforderung zum Login:




Zum Einloggen benutzen wir jetzt den Standard-Login mit dem Benutzer „root“ und dem Passwort „opnsense“ (das Passwort wird bei der Eingabe nicht angezeigt!). Jetzt kann die eigentliche Installation starten. Dafür wählen wir aus dem Menü den Punkt 8 aus, um in die Shell zu gelangen.

Hier geben wir jetzt „opnsense-installer“ ein, um den Installationsprozess zu starten.
















Nachdem wir unser Keyboard-Layout korrekt ausgewählt haben, wählen wir „Accept these Settings“ und bestätigen mit „Enter”. Jetzt wählen wir „Guided Installation“ aus und wählen die Festplatte. In unserem Beispiel gibt es nur eine Festplatte, sodass wir einfach mit „Enter” zum nächsten Schritt vorrücken. Hier bestätigen wir wieder mit „Enter”, um „GPT/UEFI mode“ auszuwählen.


Damit beginnt der Kopiervorgang und die Installation von OPNsense.


Nach dem Kopiervorgang wird nach einem neuen Root-Passwort gefragt. Hier sollte ein sicheres Passwort angelegt werden, auch wenn wir uns nur in einer lokalen virtuellen Umgebung befinden. Unsichere Passwörter werden sonst oft in die produktive Umgebung „importiert”. Bevor wir den Neustart im nächsten Schritt durchführen, öffnen wir noch einmal die Einstellungen von unserer virtuellen Maschine und entfernen die ISO und bestätigen mit „OK“:




Nachdem die virtuelle Maschine neugestartet ist, loggen wir uns wieder mit „root“ und dem gewählten Passwort ein. Dann wählen wir Punkt 1), um die Interfaces zu assignen.


Auf die Frage, ob wir VLANs einrichten möchten, antworten wir mit „n“ oder drücken einfach „Enter”. Für das WAN-Interface geben wir jetzt „em0“ ein, als LAN-Interface wählen wir „em1“. Dann überspringen wir den nächsten Schritt für optionale Interfaces mit „Enter”. Wir akzeptieren die Änderungen, indem wir „y“ eingeben und mit „Enter” bestätigen.


Wenn das Hauptmenü wieder geladen wird, können wir die veränderten Einstellungen sehen.

LAN und WAN haben jetzt eine IP-Adresse bekommen.

Jetzt wählen wir den Punkt 2) „Set interface IP address“, um die richtige Adresse unserer LAN-Umgebung einzustellen.



In der Aufforderung, welches Interface wir bearbeiten möchten, wählen wir „LAN (em1...)“.

Den nächsten Schritt zur DHCP-Einstellung überspringen wir, indem wir ein „n“ eingeben oder einfach mit „Enter” bestätigen.


Dann erfolgt die Eingabe der IPv4-Adresse für dieses Interface.

Hier wählen wir „10.0.0.1“ und als Subnetzmaske „24“.

Den nächsten Schritt bestätigen wir einfach mit „Enter”.



„Configure IPv6 address LAN interface via WAN tracking“ akzeptieren wir durch „Enter” und wählen im nächsten Schritt „y” auf die Frage, ob wir DHCP im LAN aktivieren möchten.

Unser DHCP-Server soll IP-Adressen im Bereich von 10.0.0.10 bis 10.0.0.20 vergeben.

Das heißt, wir geben als Startadresse „10.0.0.10“ ein und im nächsten Schritt „10.0.0.20“.



Dann aktivieren wir „revert to HTTP“ mit der Eingabe von „y“.

Zurück im Hauptmenü, sehen wir nun, dass sich die Einstellungen zur IP-Zuweisung geändert haben. Wir können nun das Webinterface der Firewall aufrufen, indem wir einen Webbrowser öffnen und die IP des LAN eingeben oder einfach auf diesen Link klicken:


http://10.0.0.1/




Auf der Oberfläche loggen wir uns mit dem Benutzernamen „root” ein und geben unser vergebenes Passwort ein.


Wir gelangen so auf die Oberfläche zur Konfiguration der Firewall.

Hier wird automatisch der „Wizard“ gestartet, der helfen soll, die Umgebung für uns anzupassen.

Wir klicken auf „Next“






Zu den allgemeinen Informationen belassen wir den Hostnamen bei „OPNsense“ und ändern die Domain auf „iternasintern” ab.


Dann geben wir die Primary- und Secondary- DNS-Server ein.

Für den DNS-Server verwenden wir Google: 8.8.8.8 bzw. 8.8.4.4 für den Secondary-Server.

Dann klicken wir auf „Next“.




Angaben zum Zeitserver akzeptieren wir unverändert und bestätigen wieder mit einem Klick auf „Next“. Auch in den nächsten Schritten akzeptieren wir die voreingestellten Werte, da diese für unsere Testumgebung nicht relevant sind, bzw. bereits eingestellt wurden.



Am Ende laden wir die Einstellungen neu mit einem Klick auf „reload“ und gelangen dann auf die Begrüßungsseite des Dashboards.

Da das System nun fertig eingerichtet ist, wird es auf Updates und Patches überprüft.

Dafür wählen wir in der Navigation „System“ → „Firmware“ → „Updates“ aus.

Oben rechts befindet sich ein Button mit der Beschriftung „Check for updates“:




Das System sucht daraufhin nach verfügbaren Updates. Dieser Schritt kann wenige Minuten benötigen. Falls Updates gefunden wurden, erscheint neben dem „Check for updates“-Button ein Feld mit der Aufschrift „Update now“. Dann beginnt das System zu updaten.


Beim initialen Update wird die vorhandene Software mit der Software in den Repositories überprüft und eine Liste mit allen verfügbaren Upgrades erstellt. Jetzt müssen wir ein weiteres Mal mit einem Klick auf „Update now“ die Softwareaktualisierung durchführen:




Dieser Schritt dauert nun eine Weile und das System wird automatisch neu gestartet.



Wichtig:
Bei dem Updateprozess wird hin und wieder ein Fehler der Checksums festgestellt und der Prozess abgebrochen. Meistens reicht es, wenn der Prozess einfach neugestartet wird mit einem klick auf „Check for Updates“ und dann erneut „Update now“. Sobald das Update einmal vollständig  abgeschlossen wurde, sollte dieser Fehler nicht mehr auftreten. 
Falls der Fehler öfter auftaucht, kann auch versucht werden, einen Mirror selber festzulegen und die gewünschte SSL-Bibliothek festzulegen. Dafür wechselt man auf der Updateseite auf den Reiter „Settings“ und wählt hier einen nahegelegenen Mirror aus, sowie als Flavour OpenSSL oder LibreSSL. Der Release-Type sollte nicht verändert werden und weiterhin auf „Production“ sein. Dann speichert man die Einstellung, sucht erneut nach Updates und versucht erneut einen Updateprozess zu starten.

OPNsense ist nun installiert und Update-to-Date!


Wir können nun weitere virtuelle Maschinen erstellen, die den Netzwerk-Adapter „Host-Only“ verwenden, um sie so durch unser installiertes OPNsense zu sichern.

In dem Dashboard der OPNsense GUI können die Datenströme überwacht und Statistiken zu der Firewall angezeigt werden:




Im nächsten Tutorial zeigen wir, wie man OPNsense einrichten kann und einzelne Dienste in der Firewall erlaubt.


Haben Sie Fragen zur Einrichtung, Installation oder Betrieb?

kontakt@iternas.com


Viel Spaß beim Absichern Ihrer IT-Infrastruktur!


Ihr Leon Thiel

© 2020 iternas GmbH

  • Facebook Social Icon
  • Twitter Social Icon
  • LinkedIn Social Icon

Kontakt:

iternas GmbH

Wagenburgstraße 94

70186 Stuttgart

+49 711 219 5093-0

iternas GmbH

Pappelallee 78/79

10437 Berlin

+49 30 609 80024-0