如您有廠商邀請合作撰寫評測文章,請透過本站聯繫,感謝您們~ 聯繫我們

OPNsense 在 Proxmox 虛擬系統安裝與基本設定教學

  • URLをコピーしました!

OPNsense 是由荷蘭公司 Deciso 開發推出一個開源易用的基於 FreeBSD 路由防火牆平台,它原本是 pfSense 的一個分支,而 pfSense 又是從構建在 FreeBSD 上的 m0n0wall 衍生出來的,功能包含了 Firewall 強大的防火牆,也還具備有流量圖表、負載均衡以及虛擬私人網路功能,還能透過更新套件程式附加擴充,等級不輸於企業商用等級,與 pfSense 差不多功能,但操作視覺上還是比 pfSense 更簡單易上手,OPNsense 很快成為 pfSense 的替代品。

Essence Opnsense To Proxmox
目錄

OPNsens 常見的優點和缺點

OPNsens 優點
  • 免費開源:OPNsense 是一個開源自架平台軟體,全免費下載使用,使其成為許多不少公司、SOHO 個人的最佳選擇。
  • 安全性:OPNsense 提供一系列安全功能,包括防火牆、入侵防禦偵測、VPN、網路攻擊防禦 … 等,可保護網路免受各種威脅。
  • 介面人性化:OPNsense 是一個直觀的 Web 界面,使得組態設定和管理變得簡單易用,即使對於非專業人士也很容易上手。
  • 擴充性彈性高:OPNsense 允許用戶根據自己的需求喜好,附加第三方套件模組安裝擴充。
  • 論壇社區支援:OPNsense 有一個論壇社區支援,提供了許多教學文檔、論壇討論和技術支援,可幫助用戶解決難題問題以及分享經驗。
OPNsens 缺點
  • 配置進階:雖然 OPNsense 提供了用戶介面人性化,對於初學者很容易上手,但仍然有一定的較複雜的配置進階的設定功能。
  • 硬體配置要求:對於一些企業商用解決方案比較來看,OPNsense 可能要找適合的硬體配置要求來發揮效率性能。
  • 第三方套件模組穩定不一:OPNsense 允許附加第三方套件模組安裝擴充,但有一些穩定性可能會有所不同,需要用戶自行評估。

總而言之,OPNsense 提供強大的開源解決方案,具有許多功能,但用戶需根據自己的需求以及環境做出適當的選擇。

OPNsense 硬體配置規格需求

OPNsense 硬體配置規格需求,為強調注重於網路安全方面,慢慢了解使用這款強大的開源防火牆路由器重要性,依根據您的特定用途跟部署規模情況而有所不同。

處理器(CPU)

建議使用 Intel、AMD Ryzen 系列的多核處理器 1.2Ghz 以上,需支援 AES-NI 指令集,對 VPN 加密加速處理比較有效率。

記憶體(RAM)

最低建議配置為 2GB 記憶體,若有大量流量、入侵防禦偵測處理需求的話,建議至少 4GB 或更高。

硬碟(HDD / SSD)

需要足夠的空間來安裝 OPNsense 相關配置、Log 記錄檔案,最低建議配置為 30GB 以上的硬碟空間,比較建議用 SSD 規格,將性能和啓動時間速度。

網路卡介面(Network interface)

OPNsense 最低至少要兩個 Port 以上的網路孔,分別接 WAN 跟 LAN 連線使用,建議請用較穩定 Intel 品牌的網路卡。

OPNsense 前置準備

  • 需要一台電腦主機,不要太差的規格,當然要兩張網路卡以上最好。
  • 下載 ISO 官方映像檔
  • 鍵盤、滑鼠、網路線(廢話XD)

OPNsense ISO 官方映像檔

官方網站下載點:https://opnsense.org/download/

  • Architecture:現階都 64-bit,選 amd64
  • Select the image type:因為要下載 ISO 檔,選 dvd
  • Mirror Location:下載節點鄰近較快,選 Taiwan (Nantou County Education)

然後,下載回來是 iso.bz2 格式,可用 7-Zip 來解壓縮檔案,解出來才是 iso 格式檔案存放。

Pve Opnsense 01

Proxmox 建立 OPNsense 虛擬機

解壓出來 iso 格式檔案後,把它上傳到 Proxmox 虛擬平台內。

Pve Opnsense 02

建立虛擬機,一般自定名稱,隨意都可以。

Pve Opnsense Create 01

作業系統將 ISO 映像載入剛上傳的 iso 檔案,然後客體作業系統因為沒有 FreeBSD 可選,所以選 Other 類別。

Pve Opnsense Create 02

系統大多都預設,Qemu Agent 客戶機代理需要勾選。

Pve Opnsense Create 03

磁碟裝置請選 SCSI 裝置,讀寫 IOPS 性能比較快,大小設 30GB 以上,SSD 模擬部分,我不確定有沒有差異,所以我原硬碟是 SSD 規格,還是開了?!

Pve Opnsense Create 04

CPU 建議從 2 核心起跳,若有大量處理需求的話,依您喜好多少個核心運作,類別選 host 相當於完全模擬 CPU 處理器,包括 AES-IN 指令集提高加密性能。

Pve Opnsense Create 05

記憶體最低 2GB 起跳,但若要加上入侵防禦偵測的話,可能要 4GB 以上才有可能足夠運行。

Pve Opnsense Create 06

網路配置部分,至少要兩張以上網路介面,型號建議用 VirtIO 比較有效能,然後記得要把防火牆關閉。

第二張網路的話,需等建立完成後,才能再新增第二張網路介面。

Pve Opnsense Create 07

最後確認清單是否正確配置,若沒問題的話,按下完成,但先不要開機。

Pve Opnsense Create 08

在選項內,把開機後自動啓動,這樣可以在 Proxmox 重新啓動時,會把 OPNsense 隨著啓動;再來開機順序,把光碟機改到第一個順位開機載入。

Pve Opnsense Create 10

完成設定後,到主控台,按下 Start Now 開機吧~

Pve Opnsense Installer 01

OPNsense 最初配置

開機時,會看到檢測畫面,讓它倒數完後,會進入最初配置模式。

Pve Opnsense Installer 02

跑到出現這個 Press any key to start the configuration importer 訊息,詢問您是否要引導組態,若有需求就請按 Enter 進入引導手動設定,不然就是忽略讓它跑完。

Pve Opnsense Installer 03

再次跳出 Press any key to start the manual interface assignment 訊息,詢問您是否要網路配置,這一定要按 Enter 進入手動網路組態。

Pve Opnsense Installer 05

這次先不設定 LAGGs、VLANs 組態,之後會在 Web UI 後面設定組態會比較方便,所以這兩項就先輸入 N 跳過。

Pve Opnsense Installer 06

接著,出現網路清單對應接埠,要留意網路卡配置(例如網路卡型號、MAC 位址 … 等不同資訊)

目前看到只有兩張網路卡,我將把 WAN interface 輸入 vtnet0 對應,然後 LAN interface 輪入 vtnet1 對應,最後 Optional interface 通常暫不會用到,所以留空下一步,它會列出目前網路配置對應是否正確,若沒有問題的話,請輸入 y 執行目前當前的配置。

Pve Opnsense Installer 07

來到這個畫面部分,最初預設帳號為 installer / 密碼:opnsense,就會進入安裝模式。

若是還原初始化的話,預設帳號為 root / 密碼:opnsense

Pve Opnsense Installer 09

OPNsense 安裝

來到安裝模式,這保持預設 US 配置,按 Enter 下一步。

Pve Opnsense Installer 10

OPNsense 預設是 UFS 格式,因為主要底層是 FreeBSD 確保完善檔案支援性,選擇 ZFS 格式,按 Enter 下一步。

Pve Opnsense Installer 11

RAID模式,對照列表說明如下

stripe (raid0)
  • 僅一顆硬碟以上。
  • 優點:讀寫速度提升,但不提供資料備援容錯能力。
  • 缺點:如果一個硬碟故障,將會所有資料遺失毀損。
mirror (raid1)
  • 需兩顆或多顆硬碟以上。
  • 優點:提供資料備援容錯能力,就算其中一顆硬碟故障,資料就不會遺失毀損,仍正常使用。
  • 缺點:依兩顆4TB硬碟為列,將相同資料同時寫入所有硬碟,容量實際上是4TB為主。
raid10
  • 需四顆硬碟以上。
  • 優點:將 raid0 跟 raid1 結合,同時具備效能兼顧資料備援容錯能力,會比 raid1 效能好。
  • 缺點:硬碟數量高,成本高。
raidz1
  • 需三顆硬碟,容許一顆硬碟損壞。
  • 優點:相對於 raid5 模式,可保護資料不會因硬碟故障資料遺失毀損。
  • 缺點:如果大於容許一顆硬碟損壞,I/O系統效能會大幅降低。
raidz2
  • 需四顆硬碟,容許二顆硬碟損壞。
  • 優點:相對於 raid6 模式,可保護資料不會因硬碟故障資料遺失毀損。
  • 缺點:系統效能略降。
raidz3
  • 需五顆硬碟,容許三顆硬碟損壞。
  • 優點:相對於 raid7 模式,可保護資料不會因硬碟故障資料遺失毀損。
  • 缺點:硬碟數量高,成本高。

本次只有一顆硬碟,所以預設選擇 stripe 模式進行,按 Enter 下一步。

Pve Opnsense Installer 12

選擇安裝硬碟,若有二顆以上硬碟的話,請方向鍵上下選好那一顆硬碟安裝,再按 空白鍵 將 [*] 鎖定選擇,然後按 Enter 下一步。

Pve Opnsense Installer 13

它會提醒您是否確認要格式化硬碟,請按 YES 確認。

Pve Opnsense Installer 14

就開始安裝到硬碟進度了~

Pve Opnsense Installer 15

進度條跑完後,建議選 [Root Password] 先修改密碼,再選擇 [Complete Install] 完成安裝程序並自動重新開機,記得要把光碟機拿掉,將硬碟順位移到第一個做為開機硬碟。

Pve Opnsense Installer 16

開機完後,會看到 LAN 預設 IP 位址,就可以進入 Web UI 後台設定配置。

Pve Opnsense Installer 17

OPNsense 基本設定組態

一開始,去 System → Settings → General 頁面,將 Language 改成 Chinese (Traditional) 繁體中文,並且套用生效。

Pve Opnsense Wizard 02
一般資訊 General Information
  • 主機名稱:可自定名稱
  • 主 / 次 DNS 伺服器:常見 8.8.8.8 / 8.8.4.4 或是您自訂喜好的 DNS IP 伺服器
  • 覆寫 DNS:請取消勾選 [允許 DNS 伺服器被 WAN 上的 DHCP/PPP 覆寫]
Pve Opnsense Wizard 03
時間伺服器資訊 Time Server Information
  • 時間伺服器主機名稱:time.google.com time.cloudflare.com (每組有空格隔間)
  • 時區:Asia/Taipei
Pve Opnsense Wizard 04
組態 WAN 介面 Configure WAN interface
  • IPv4 組態類型:
    [ 第四台 Cable 用戶 ] DHCP 類型
    [ ADLS / 光纖非固定制用戶 ] PPPoE 類型
    [ ADLS / 光纖固定制用戶 ] Static IP 類型
  • 封鎖私有網路:須勾選
  • 封鎖專用網路:須勾選
  • IPv6 組態類型:改無
Pve Opnsense Wizard 05
組態 LAN 介面 Configure LAN interface
  • LAN IP 位址:依需求調整或維持預設值作為網段閘道
Pve Opnsense Wizard 06

最後,會詢問是否要修改密碼。

Pve Opnsense Wizard 07

以上精靈設定完成後,點選重新載入,並且自動套用變更,完成生效。

Pve Opnsense Wizard 08

OPNsense 更新

到系統 → 韌體 → 設定,將鏡像站改成 Taiwan 節點(https://mirror.ntct.edu.tw/opnsense),並且套用。

Pve Opnsense Firmware 01

點選狀態,按下檢查更新。

Pve Opnsense Firmware 02

等它跑完,有沒有可用更新列表出來。

Pve Opnsense Firmware 03

跑完後,就會看到有可用更新列表,點選更新,到這裡就一告段落完成 OPNsense 囉~~

Pve Opnsense Firmware 04
如果喜歡文章,歡迎分享~!よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目錄