Kılavuz: Opnsense ile kendi yönlendiricinizi/güvenlik duvarınızı oluşturun

Bilgisayarlarla uğraşmayı seviyor musunuz ve daha gelişmiş bir proje üstlenme fikrinden mi hoşlanıyorsunuz? O halde bir önerim var: Kendi yönlendiricinizi/güvenlik duvarınızı oluşturun.

Standart tüketici yönlendiricilerinden daha güçlü bir donanım üzerinde daha gelişmiş bir işletim sistemi çalıştıran bir yönlendiriciyle, yepyeni olasılıklarla dolu bir dünyanın kapıları açılıyor. Bir öğrenme eğrisi olmasına ve ilk başta karmaşık gelse de, örneğin Asus'un bir yönlendiricisiyle mümkün olabilecek, ancak gerçekten karmaşık olan şeyleri yapmak aslında daha kolay hale geliyor.

Tüketici yönlendiricilerine de yüklenebilen Openwrt'tan Clear OS ve IP Fire gibi çeşitli Linux tabanlı sistemlere ve PF Sense ve Opnsense gibi Unix sistemlerine kadar aralarından seçim yapabileceğiniz çok sayıda işletim sistemi vardır.

Son ikisi en popüler gibi görünüyor ve ben de birkaç yıldır Opnsense'li bir yönlendiriciye sahibim, bu nedenle bu kılavuz için bu sistemi seçtim.

Bu serideki diğer makaleler:

Neden kendin inşa ediyorsun?

Birçoğu için şu cevabı vermek yeterli: Çünkü mümkün ve ilginç ve öğretici. Ancak yalnızca merakla motive olmanıza gerek yok. Birçok pratik ve teknik avantajı da vardır.

Başlayıp temel bilgileri öğrendikten sonra, farklı güvenlik duvarı kurallarıyla birden fazla VLAN ayarlamak (örneğin, akıllı ev cihazlarının internete erişmesini önlemek için), dinamik DNS kullanmak, kendi özyinelemeli DNS'nizi çalıştırmak gibi şeyleri yapmak hemen çok daha kolay hale gelir. sunucu, konuklar kablosuz ağa bağlandığında bir karşılama mesajı görüntüler ve çok daha fazlasını sağlar.

Ancak belki de en büyük fayda güvenliktir. Güncellemeleri yayınlaması ve yönlendiriciyi güvende tutması için üreticiye güvenmek yerine, sistemin tüm parçalarının en son güvenlik düzeltmelerine sahip olması için neredeyse haftada bir yeni güncellemeler alırsınız. Ağa, tüketici ürünlerinde normalden daha gelişmiş koruma sağlayan eklentiler de vardır.

Doğru donanımı seçin

Eski bir bilgisayarı Opnsense için yeniden kullanabilirsiniz; bu durumda normalde satın almanız gereken tek şey bir veya iki ağ kartıdır. Ancak böyle bir bilgisayar genellikle gereksiz derecede güç tüketir ve eve yerleştirilmesi zor olabilecek büyük bir ekipman parçasıdır.

Opnsense, Unix sistemi Freebsd'yi temel alır. Bu da donanım konusunda Linux'a göre biraz daha titiz olduğu anlamına geliyor. Her şeyden önce sorun olabilecek şey ağ kartlarıdır. Sistem Intel tabanlı kartları tercih eder ve en iyi şekilde onlarla çalışır; bu nedenle yeni satın alıyorsanız, seçtiğiniz bilgisayarın Intel ağ yongalarına sahip olup olmadığını kontrol etmeniz faydalı olabilir.

İki Ethernet konektörlü bir mini bilgisayar daha iyi bir seçim olabilir ve aslında Opnsense veya PF Sense ile kullanılmak üzere özel olarak tasarlanmış bilgisayarlar da mevcuttur. Örneğin Amazon, fiyatı 200 doların biraz üzerinde olan ve Intel ağ çiplerine sahip olan bu modeli Hunsn'dan satıyor. Bellek ucuz olduğu için başlangıçta 16 gigabayt ve en az 128 gigabayt SSD öneriyorum.

Yönlendirici bilgisayara ek olarak, örneğin yönlendirici yerine erişim noktası olarak çalışacak şekilde ayarlayabileceğiniz eski yönlendiricinize, yalnızca Wi-Fi için bağlanmak için yönetilen bir anahtar kullanmanızı şiddetle tavsiye ederim. Sanal ağları (VLAN) kullanmaya başlamak istiyorsanız da gereklidir.

Opnsense'i yükleme

Opnsense'in en son sürümünü indirerek başlayın (önceden seçilmiş seçeneklerle doğrudan İndir düğmesine tıklayın). Ayrıca .iso ve .img dosyalarını USB çubuklara yazmaya yönelik basit bir program olan Balena Etcher'ı indirip yükleyin.

Bir .img dosyası elde etmek için indirilen .bz2 dosyasını açın. Bir USB çubuğu takın, Etcher'ı başlatın, tıklayın Dosyadan flaş ve o dosyayı seçin. USB çubuğunuzu hedef olarak seçin ve ardından tıklayın. Flaş.

Bu işlem tamamlandıktan sonra, flash sürücüyü çıkarıp, başlangıçta bir monitör ve klavyenin bağlı olması gereken yönlendirici bilgisayara bağlayabilirsiniz. Bilgisayarı önyükleme menüsü veya BIOS aracılığıyla USB çubuğundan önyükleyin.

Sistem yalnızca metinle başlar ve bu metin bir süreliğine kaydırılır. İşlem tamamlandığında, oturum açma istemine yönlendirileceksiniz. Kullanıcı adını girin yükleyici ve şifre görüş. Kurulum programı şimdi başlayacaktır.

Klavyede dili seçin ve devam edin. Seçme Kurulum (ZFS) bu artık normal önerilen yöntemdir. Seçme Şerit ve ardından hedef SSD'yi seçmek için boşluk çubuğunu kullanın. Devam edin ve kabul edin; diski biçimlendirecek ve tüm dosyaları kopyalayacaktır. Tamamlandığında, seçebilirsiniz Kurulumu Tamamla (bir sonraki adımda root şifresini daha kolay değiştirebilirsiniz).

Temel ayarlar

Yönlendirici bilgisayar yeniden başlatıldığında, USB çubuğunu çıkarabilir ve SSD'den önyükleme yapmasını sağlayabilirsiniz. Daha önce olduğu gibi, siz oturum açma istemine ulaşıncaya kadar, önyükleme sırasında bir grup metin kaydırılacaktır.

İnternet bağlantısını Opnsense'e taşımaya hazır olmadan önce her ikisine de aynı anda bağlanmak istiyorsanız Opnsense'in eski yönlendiricinizle uğraşmaması için LAN arayüzünün adresini değiştirerek başlamanızı öneririm.

Kullanıcı adınızla giriş yapın kök ve şifre görüş. Basmak 2 IP adresini değiştirmek için. LAN için doğru numaraya basın (normalde 1). DHCP'yi kullanmamayı seçmek için geri dönüş tuşuna basın. Uygun bir adres girin, örneğin 10.1.1.1 ve ardından 10.1.1.x biçimindeki adreslere sadık kalmak için 24 girin. Geri kalan sorularda önceden seçilen seçeneği kabul etmek için geri dön tuşuna basabilirsiniz.

Başka bir şey yapmadan önce Opnsense makinesini ve normal bilgisayarınızı bir ağ kablosuyla doğrudan veya bir anahtar aracılığıyla bağlamanız gerekir.

Açık Ayarlar normal bilgisayarınızda Ağ ve İnternet > Ethernet. Opnsense ile aynı formatta (örneğin 10.1.1.2) ve az önce seçtiğiniz adrese sahip bir adresiniz olmalıdır. geçit Ve maske 255.255.255.0. Kendi kendine görünmediyse, üzerine tıklayabilirsiniz. Düzenlemek IP atamasının sağına gidin ve kendiniz doldurun.

Daha sonra bir tarayıcı açın ve şunu yazın: 10.1.1.1 ve Opnsense web arayüzüne ulaşmak için geçmişe tıklamanız gereken geçersiz sertifikayla ilgili bir güvenlik uyarısı alacağınızı umuyoruz. Kullanıcı adı: kök ve varsayılan şifre bu mantıklı.

Artık Opnsense destekli temel ayarlara yönlendirileceksiniz. Yapılacak ilk şey DNS ayarlarıdır. Burada DNS sunucuları alanlarını boş bırakmanızı öneririm, işareti kaldırın DNS'yi geçersiz kıl ve Sınırsız DNS altındaki üç kutuyu işaretleyin.

Kök hesabın şifresini değiştirmeyle ilgili bir soruya ulaşana kadar kalan adımları tıklayabilirsiniz. Yeni bir güvenli şifre seçin ve onu yazın.

İnternete gir

Opnsense'in internete erişmesi ve yönlendirici/güvenlik duvarı görevi görmesi için ona bir Ethernet kablosu bağlamanız gerekir. Kabloyu eski yönlendiricinizin geniş bant soketinden alıp Opnsense'e bağlayabilirsiniz. Alternatif olarak, eski yönlendiricinizdeki bir sokete veya varsa bir anahtara bağlanabilirsiniz, ancak bu biraz daha karmaşık olacaktır.

DHCP'ye bağlanan fiber üzerinden normal geniş bantınız varsa, Opnsense otomatik olarak bağlanmalı ve harici bir IP almalıdır. Bunu seçerek kontrol edebilirsiniz. Arayüzler > Genel Bakış web arayüzünde.

WAN'a bir adres verildiyse güncellemeleri kontrol ederek her şeyin çalıştığını test edebilirsiniz. Seçme Sistem > Firmware > Durum ve tıklayın Güncellemeleri kontrol edin. İşe yararsa, gelecek birçok güncellemeden ilkini yüklemek için iyi bir zamandır.

Daha sonra normal bilgisayarınızdaki herhangi bir web sitesine gitmeyi deneyin. Bu da işe yararsa, çalışan bir Opnsense yönlendiriciniz var demektir. Sistemdeki diğer ayarlar şimdilik olduğu gibi bırakılabilir; sistemin güvenli olmayan varsayılan seçenekleri yoktur.

Arayüzü öğrenin ve güvenlik duvarını anlayın

Opnsense web arayüzü çoğu yönlendiriciden biraz farklı yapılandırılmıştır. Sol tarafta, farklı kategorilere ayrılmış tüm ayarları bulacağınız hiyerarşik bir menü var. Sağ üstte, hiyerarşilerin en altlarındaki ayarları bulmak için gerçekten iyi çalışan bir arama çubuğu da var.

Sistem menüsü esas olarak Opnsense'in kendisi için ayarların yanı sıra eklentilerin güncellemeleri ve kurulumu da vardır; yönlendiriciyi akıllı özelliklerle oluşturmaya başlamak istediğinizde önemli bir özellik.

Arayüzler normalde LAN ve WAN gibi farklı ağ arayüzleriyle ilgilidir, ancak burada ayrıca internet operatörü bir VPN sunucusu için oturum açma ve arayüzler gerektiriyorsa VLAN, PPPoE'yi de bulacaksınız.

Güvenlik duvarı elbette trafiğin engellenmesi ve izin verilmesine ilişkin kurallarla ilgilidir, aynı zamanda bağlantı noktası yönlendirmeyle de ilgilidir. Altında Takma adlarörneğin güvenlik duvarı kurallarında kullanımlarını kolaylaştırmak için ayrı ayrı cihazlar için takma adlar oluşturabilirsiniz.

VPN menüsü her iki VPN sunucusunun dışarıdan yerel ağınıza bağlanması ve tüm ağın harici bir VPN hizmetine bağlanması içindir.

Hizmetler DHCP ve DNS (Unbound) gibi diğer yerleşik işlevler ve ayrıca yüklü eklentilerden gelen işlevler için bir koleksiyon menüsüdür.

Akıllı ev için internetsiz VLAN

Opnsense gibi daha gelişmiş bir yönlendiricinin yaygın kullanım durumu, bağlı bazı cihazları farklı güvenlik duvarı kurallarına sahip ayrı bir ağa yerleştirmektir. Örneğin, internete erişimi olmayan ve ağın geri kalanına sınırlı erişimi olan akıllı ev aygıtları için bir ağ.

Bunu yapmak için, açarak başlayın Arayüzler > Diğer Türler > VLAN. Tıklayın artı düğmesi yeni bir VLAN oluşturmak için. Kısa bir ad verin, örneğin SMART ve için bir sayı girin. VLAN etiketi 1 ile 4.094 arasında genellikle 10'u seçerim, örneğin 10. Kaydet.

Şimdi git Arayüzler > Atamalar ve altına aynı adı girin Tanım yeni arayüz için. Tıklamak Eklemek.

Şimdi tıklayın Arayüzler > [SMART] ve işaretleyin Arayüzü Etkinleştir Ve Arayüzün kaldırılmasını önle. Seçme Statik IPv4 altında IPv4 Yapılandırma Türü. Aşağıya doğru kaydırın ve uygun bir IP adresi girin ve adresin sağındaki 32 yerine 24'ü seçin. Normal ağa 10.1.1.1 adresini vermeyi seçtiyseniz, VLAN ağı için 10.1.10.1'i seçebilirsiniz (Genellikle üçüncü grupta aynı numarayı VLAN etiketi olarak kullanırım, dolayısıyla 20 etiketli bir misafir ağı adres 10.1.20.1 vb.). Değişiklikleri kaydedin ve uygulayın.

Git Hizmetler > ISC DHCPv4 > [SMART]. Kene DHCP sunucusunu etkinleştirin… ve bir adres aralığını doldurun, örneğin 10.1.10.100-10.1.10.254 (Sabit bir IP adresine sahip olması gereken cihazlar için genellikle adresleri 100'ün altında bırakıyorum). Değişiklikleri kaydedin ve uygulayın.

Eğer içeri bakarsan Güvenlik Duvarı > Kurallar > SMART hiçbir kuralın olmadığını göreceksiniz, bu da tüm trafiğin durdurulduğu anlamına geliyor. LAN kurallarına bakarsanız, Opnsense'in o ağdan gelen tüm trafiğin geçmesine izin vermek için otomatik olarak kurallar eklediğini göreceksiniz. Yani akıllı ev aletleri için internete izin vermek istiyorsanız bunun için bir kural oluşturmanız gerekiyor.

Gadget'ları gerçekten kullanmak ve VLAN ağına bağlamak için yönetilen bir anahtara ihtiyacınız vardır. Ayarlarında, bir veya daha fazla Ethernet konektörü için VLAN etiketlemeyi etkinleştirebilirsiniz ve bu konektörlere bağladığınız araçlar bu durumda yalnızca VLAN ağını “görecektir”. Yandaki resimde Unifi'den bir anahtarla nasıl göründüğünü görebilirsiniz; D-Link ve TP-Link gibi diğer üreticiler de benzer ayarlara sahiptir. Opnsense makinenizde daha fazla ağ konektörü varsa bunları “etiketleyebilir” ve bunların yerine kullanabilirsiniz.

Yardıma mı ihtiyacınız var?

Bir yerde takılıp kalırsanız yardımcı olacak birçok kaynak var. Home Network Guy blogunda, kurulumdan VLAN gibi daha gelişmiş konulara kadar Opnsense hakkında çeşitli kılavuzlar bulunmaktadır. Ayrıca tavsiye edebileceğim çok iyi bir YouTube kanalı var. Reddit'te r/opnsense ve r/homelab gibi çeşitli gruplarda yardım mevcuttur.

İpucu: Sanal yönlendirici

Opnsense'i denemek ve arayüzün nasıl hissettirdiğini görmek istiyorsanız bunu fiziksel bilgisayar yerine sanal makinede yapabilirsiniz. Arayüze ve ayarların nasıl yapılacağına alışmak için bunu örneğin Virtualbox ile doğrudan Windows'ta yapabilirsiniz. Ayrıca sistemi, genellikle Proxmox çeşidi olan Linux çalıştıran bir sunucu bilgisayarda daha kalıcı olarak çalıştırabilirsiniz. Home Network Guy'ın bunun için iyi bir rehberi var.