Cài đặt và cấu hình cơ bản OPNsense

Chọn phần cứng: #

Bước đầu tiên là chọn phần cứng để chạy OPNsense. Bạn có thể chạy OPNsense trực tiếp trên hệ thống hoặc trong máy ảo trên hypervisor như Proxmox, ESXi, v.v.

Một lựa chọn phổ biến là thiết bị tường lửa mini-PC . Nếu bạn không quen với máy ảo, nên bắt đầu với thiết bị tường lửa mini-PC.

Download OPNsense #

Tải phiên bản cài đặt mặc định “vga” hay ISO vì nó phù hợp cho cả thiết bị tường lửa mini-PC và máy ảo. Chọn một mirror gần bạn để tải tệp nhanh hơn, sau đó nhấp “Download”

Flash USB Drive #

Install OPNsense #

Nếu cài đặt OPNsense trực tiếp trên hệ thống, bạn có thể tiếp tục. Giả sử ổ đĩa trống hoặc không quan tâm đến việc xóa nội dung trên ổ đĩa hiện tại.

Nếu cài đặt trên máy ảo, cần chuẩn bị máy ảo trước khi tiếp tục. Hướng dẫn này sẽ để cấu hình máy ảo làm việc của người dùng, vì nhiều người mới sẽ cài đặt trên hệ thống bare metal. Sau khi máy ảo được cài đặt, các bước cài đặt giống như cài đặt trên hệ thống bare metal.

Khi khởi động bộ cài đặt OPNsense, sẽ thấy menu mặc định dưới đây. Nó chỉ hiển thị trong vài giây và không cần nhập bất kỳ tùy chọn nào để tiếp tục.

Bạn sẽ được hỏi liệu bạn có muốn bắt đầu công cụ nhập cấu hình hay không. Tùy chọn này rất hữu ích nếu bạn muốn khôi phục từ việc sao lưu cấu hình trước đó nếu hệ thống của bạn gặp sự cố do lỗi phần cứng hoặc nếu bạn quyết định cài đặt lại từ đầu để trả lại hệ thống về trạng thái hoạt động đã biết. Vì laf một cài đặt mới, hãy chờ vài giây để bộ cài đặt tiếp tục.

Nhấn bất kỳ phím nào để gán thủ công các card mang. Bạn chỉ có vài giây để nhấn bất kỳ phím nào. Lý do bạn nên gán card mạng thủ công là vì  nó thường chọn sai các giao diện mà bạn muốn sử dụng làm giao diện WAN hoặc LAN. Việc gán tự động sẽ chọn giao diện đầu tiên mà nó gặp trong phần cứng, điều này có thể không phản ánh vị trí vật lý của nó trên thiết bị định tuyến/tường lửa của bạn.

Nếu bạn quen với các router dành cho người dùng thông thường, cổng Ethernet ở bên trái thường được sử dụng làm giao diện WAN, vì vậy bạn có thể làm tương tự trên thiết bị của bạn, đặc biệt nếu các cổng không được ghi rõ là WAN, LAN, v.v.  Nếu thiết bị của bạn có nhãn, bạn nên cố gắng đảm bảo rằng nó khớp để giảm thiểu sự nhầm lẫn.

có thể nhập “N” hoặc nhấn “Enter” vì “N” là giá trị mặc định để bỏ qua cấu hình LAGG.

Chọn N để bỏ qua cả Vlan, cấu hình sau

Trong bước này, bạn sẽ thấy một danh sách các card mạng của bạn. Nhập tên card để chọn giao diện WAN. Trên hình có 2 card mạng có tên vtnet0 và vtnet1. Vì đang sử dụng máy ảo để thể hiện quá trình cài đặt, có thể dễ dàng nhận ra giao diện nào là WAN và giao diện nào là LAN dựa trên số cuối trong tên giao diện. Nó tương ứng với các bộ chuyển mạng net0 và net1

Nếu bạn có các bộ chuyển mạng khác nhau được cài đặt trong hệ thống của bạn, các card mạng có thể dễ dàng phân biệt dựa trên tên của các card mạng. Trường hợp xấu nhất là bạn phải gán lại các giao diện sau khi hoàn thành việc cài đặt OPNsense.

Nếu bạn kết nối trực tiếp với thiết bị tường lửa của mình bằng một màn hình và bàn phím, bạn có thể dễ dàng gán lại các giao diện sau khi cài đặt vì bạn không cần lo lắng về việc mất kết nối mạng trong khi thay đổi cấu hình của các giao diện.

Sau khi chọn giao diện WAN, bạn sẽ cần chọn giao diện LAN. Mạng cơ bản nhất cho người dùng gia đình chỉ có một giao diện WAN và một giao diện LAN.

Bây giờ bạn sẽ thấy cả hai giao diện của bạn được liệt kê cùng với địa chỉ IP của chúng. Mặc định, giao diện LAN sẽ được gán mạng 192.168.1.1/24.

Giao diện WAN sẽ sử dụng DHCPv4/DHCPv6 theo mặc định và bạn có thể thấy địa chỉ IPv4/IPv6 công cộng được gán bởi nhà cung cấp dịch vụ internet (ISP) của bạn. Lý do tôi nói ‘có thể’ là do có thể có một số độ trễ từ khi bạn rút dây cáp từ router cũ và cắm vào router mới khi địa chỉ MAC mới sẽ được đăng ký tự động với ISP của bạn. Nếu bạn không cắm trực tiếp vào modem của mình trong quá trình cài đặt, rõ ràng bạn sẽ chưa thấy địa chỉ IP WAN công cộng của bạn.

Bạn có thể nhận thấy địa chỉ IP WAN trong ảnh chụp màn hình dưới đây là một địa chỉ mạng nội bộ thay vì địa chỉ IP công cộng. Tôi đã kết nối máy ảo của mình vào mạng LAN nên nó tự động được gán một địa chỉ IP trong mạng LAN của tôi thông qua DHCP. Bạn có thể đang làm điều tương tự nếu bạn đang kiểm tra hệ thống OPNsense của bạn phía sau một router khác. Tôi thường khuyến nghị làm OPNsense làm router chính của bạn, nhưng điều này yêu cầu cấu hình modem/router được cung cấp bởi ISP của bạn sang chế độ bridge

Cảnh báo

Nếu bạn đang sử dụng một máy ảo trên một hypervisor như Proxmox và bạn đang thử OPNsense phía sau một router khác, hãy cẩn thận khi chọn giao diện cho LAN. Nếu bạn đang sử dụng một giao diện cầu nối trên cùng mạng với router chính của bạn và router chính đang sử dụng địa chỉ IP 192.168.1.1/24, bạn có thể gặp sự cố về xung đột địa chỉ IP vì OPNsense sẽ sử dụng mạng đó theo mặc định cho giao diện LAN.

Nhập tên người dùng của người cài đặt và mật khẩu opnsense để tiếp tục quá trình cài đặt. Đừng đăng nhập với quyền root vì bạn sẽ chạy phiên bản OPNsense trực tiếp mà không cài đặt vào hệ thống của bạn. Chế độ trực tiếp (live mode) thích hợp nếu bạn chỉ muốn thử OPNsense mà không cần cài đặt bất cứ điều gì, nhưng hướng dẫn này liên quan đến việc cài đặt OPNsense trên hệ thống của bạn, vì vậy không cần chạy ở chế độ trực tiếp.

bạn có thể chỉ cần nhấn “Enter”.

Bạn có thể chọn giữa chạy UFS hoặc ZFS. Nếu bạn là người dùng mới, bạn có thể  không thích sử dụng ZFS vì nó là một hệ thống tập tin phức tạp hơn. ZFS mạnh mẽ hơn so với các hệ thống tập tin khác, vì vậy bạn có thể muốn sử dụng ZFS ngay cả khi bạn không hiểu gì về ZFS. Nếu phần cứng của bạn hoạt động bình thường, bạn có thể thậm chí không nhận ra sự khác biệt giữa hai hệ thống tập tin này.

Một điều quan trọng cần xem xét với ZFS là nó yêu cầu nhiều RAM hơn so với các hệ thống tập tin khác, vì vậy nếu hệ thống của bạn không có nhiều bộ nhớ, bạn nên sử dụng UFS thay vì ZFS.

Để đơn giản cho ví dụ này, tôi sẽ sử dụng hệ thống tập tin mặc định là UFS.

Hãy chọn ổ đĩa mà bạn muốn cài đặt OPNsense. Trong nhiều thiết bị định tuyến/tường lửa, chỉ có một ổ đĩa được cài đặt, vì vậy bạn chỉ có một lựa chọn duy nhất.

Chọn “Yes” cho kích thước phân vùng swap được đề xuất. Nếu bạn hết bộ nhớ hệ thống, điều này có thể dẫn đến sự cố, vì vậy thường tốt nhất là có một chút không gian swap. Như bạn có thể thấy, kích thước được đề xuất khá nhỏ, do đó không ảnh hưởng đáng kể đến dung lượng lưu trữ tổng thể của bạn. OPNsense không yêu cầu nhiều không gian đĩa trừ khi bạn thực hiện một lượng lớn ghi chú.

Vì mục đích bảo mật, khuyến nghị là thay đổi mật khẩu người dùng root mặc định. Bạn nên làm điều này ngay bây giờ để không quên sau này. Mật khẩu có thể được thay đổi sau này trong giao diện web nếu bạn quyết định thay đổi nó một lần nữa.

Enter the new password.

Enter the password thêm lần nữa

để cấu hình mạng cho hệ thống OPNsense của bạn:

1. Kết nối một switch mạng vào cổng LAN trên hệ thống OPNsense của bạn.
2. Kết nối ít nhất một PC hoặc laptop vào switch mạng.
3. Đảm bảo rằng PC hoặc laptop của bạn được thiết lập để tự động lấy địa chỉ IP (DHCP).
4. Khi đã kết nối, PC hoặc laptop của bạn sẽ nhận được địa chỉ IP từ OPNsense, tương tự như khi sử dụng một bộ định tuyến dành cho người dùng cá nhân.
5. Mở trình duyệt web trên PC hoặc laptop và nhập địa chỉ IP của hệ thống OPNsense vào thanh địa chỉ. Địa chỉ IP mặc định thường là 192.168.1.1, nhưng có thể khác nhau tùy thuộc vào cấu hình mạng của bạn.
6. Bây giờ bạn có thể truy cập giao diện web OPNsense và tiếp tục với việc cấu hình.

Bằng cách làm theo các bước này, bạn sẽ có thể truy cập giao diện web OPNsense và tiếp tục với việc cấu hình chi tiết hơn cho hệ thống OPNsense của bạn.

Configure OPNsense #

Từ hệ thống kết nối với mạng LAN của OPNsense, bạn có thể truy cập giao diện web OPNsense bằng cách sử dụng tên máy chủ/miền mặc định của cài đặt OPNsense mới: https://opnsense.localdomain (hoặc nếu bạn thích sử dụng địa chỉ IP, bạn có thể sử dụng https://192.168.1.1).

Khi bạn đăng nhập vào giao diện web người dùng OPNsense lần đầu tiên, bạn sẽ được yêu cầu hoàn thành quá trình thiết lập chung. Mặc dù không bắt buộc phải hoàn thành trình hướng dẫn, tôi khuyến nghị người dùng mới thực hiện trình hướng dẫn để giúp hướng dẫn bạn qua một số cài đặt cơ bản mà bạn có thể muốn thay đổi theo sở thích của mình. Nhấp vào “Next” để tiếp tục.

Nếu bạn muốn, bạn có thể thay đổi “Hostname” của OPNsense thành một tên khác như “router”.

Tương tự, bạn cũng có thể thay đổi “localdomain” thành một tên miền khác. Bạn có thể sử dụng bất kỳ tên miền nào không phải là tên miền thực sự, trừ khi bạn sở hữu tên miền đó. Lý do là nó sẽ xung đột với tên miền thực sự nếu bạn tình cờ truy cập vào trang web hoặc bất kỳ dịch vụ nào sử dụng tên miền đó.

Đối với tất cả các cài đặt DNS, nếu bạn để mọi thứ mặc định, cài đặt OPNsense của bạn sẽ hoạt động tương tự như một bộ định tuyến dành cho người dùng cá nhân. Các máy chủ DNS của nhà cung cấp dịch vụ Internet (ISP) của bạn sẽ được sử dụng. Đó là chức năng của tùy chọn “Override DNS” – nó sẽ ưu tiên sử dụng DNS của ISP hơn bất kỳ máy chủ DNS nào bạn cung cấp. Nếu bạn muốn sử dụng các máy chủ DNS thay thế như 1.1.1.1 hoặc 8.8.8.8, bạn cần bỏ chọn tùy chọn “Override DNS” và nhập các máy chủ DNS vào các ô “Primary DNS Server” và “Secondary DNS Server”. Nếu bạn biết ISP hoặc các máy chủ DNS được chỉ định hỗ trợ DNSSEC, bạn cũng có thể chọn vào ô “Enable DNSSEC Support” (và chọn “hardening the DNSSEC data” có thể làm tăng tính bảo mật của DNSSEC, trừ khi cài đặt này không tương thích với máy chủ DNS của bạn).

Tôi khuyến nghị bạn để lại tất cả các cài đặt DNS ở các cài đặt mặc định, trừ khi bạn thoải mái thay đổi chúng và hiểu rõ tác động của những thay đổi đó. Khi bạn có hiểu biết sâu hơn, bạn có thể thay đổi máy chủ DNS sau này. Nhấp vào “Next” để tiếp tục.

Cài đặt chính mà bạn có thể muốn thay đổi trên màn hình này là đặt múi giờ địa phương của bạn. Nếu bạn muốn sử dụng các máy chủ thời gian khác, bạn có thể thay thế các máy chủ thời gian mặc định của OPNsense. Nhấp vào “Next” để tiếp tục.

Trang cấu hình giao diện WAN có nhiều cài đặt khả dụng vì có nhiều cách để kết nối với Internet. Nếu bạn có một nhà cung cấp dịch vụ Internet (ISP) cho phép sử dụng DHCP, bạn có thể để lại mọi thứ ở cài đặt mặc định và nhấp vào “Next”. Tuy nhiên, cấu hình ISP khác có thể phức tạp hơn và OPNsense cung cấp nhiều cách bạn có thể kết nối với ISP của mình.

Vì tính đơn giản của hướng dẫn này, tôi sẽ giả định rằng bạn đang sử dụng OPNsense làm bộ định tuyến chính. Nhấp vào “Next” sau khi bạn đã nhập các cài đặt thích hợp.

So sánh với giao diện WAN, các cài đặt giao diện LAN có vẻ rất đơn giản. Trình hướng dẫn cài đặt không cung cấp toàn bộ tùy chọn cấu hình có sẵn cho giao diện LAN (có thể do việc bạn có thể mất kết nối hoặc bị khóa không thể truy cập vào giao diện web nếu không cẩn thận).

Hãy nhớ rằng nếu bạn thay đổi địa chỉ mạng mặc định cho LAN, bạn sẽ mất kết nối khi kết thúc trình hướng dẫn và bạn sẽ cần tải lại DHCP của mình hoặc ngắt kết nối/kết nối lại mạng để nhận địa chỉ IP mới

Để giữ mọi thứ đơn giản cho một cài đặt OPNsense cơ bản, chỉ cần nhấp vào “Next” mà không thay đổi gì.

Nếu bạn đã thay đổi mật khẩu người dùng root trong quá trình cài đặt, chỉ cần nhấp vào “Next” vì bạn không cần phải thay đổi nó lại. Đây sẽ là thời điểm tuyệt vời để thay đổi mật khẩu mặc định nếu bạn chưa làm như vậy trong quá trình cài đặt.

Sẽ rất ngớ ngẩn nếu bạn để lại mật khẩu mặc định không thay đổi khi bạn đang cài đặt một hệ điều hành bộ định tuyến/tường lửa vô cùng an toàn như OPNsense – đừng để cửa chính mở trong một tòa nhà an toàn nếu không!

Nhấp vào “Reload” để áp dụng tất cả các thay đổi bạn đã thực hiện cho đến nay. Nếu bạn đã thay đổi tên máy chủ/tên miền, bạn có thể cần nhập tên máy chủ/tên miền mới để truy cập vào giao diện web lại hoặc chỉ cần sử dụng địa chỉ IP của giao diện LAN.

Bạn sẽ thấy một thông báo trạng thái về việc tải lại cấu hình.

Tất cả các thay đổi đã được áp dụng!