Всем привет, собираюсь поделиться очень краткой инструкцией по настройке opnsense в качестве основного роутера. Делаю что-то подобное впервые (пишу инструкцию), поэтому не судите строго.
вдохновлялся этим плейлистом:
https://www.youtube.com/watch?v=R5LZuPm_eoY&list=PLcp2t_6Vo_sDO7rFoHrRgs5NLkQh7o34Y
но opnsense уже успел обновиться и некоторые вещи теперь выглядят по другому, поэтому может кому то поможет этот пост.
в данном посте я собираюсь показать как сделать “MVP”(минимально рабочий продукт). Если нужно что то подробнее, то лучше смотреть видео, opnsense хоть и обновился в некоторых местах, но концептуально все так же, как и в видео
дальше я собираюсь добавить ipv6, AGH с передачей его как dns сервера по dhcp и селективный роутинг по доменам. Если вдруг это кому нибудь будет полезно, то напишу про это отдельный пост
что нужно
вот что использовал я:
-
компьютер с linux и одним rj45 портом
-
китайская железка для фаервола (https://aliexpress.ru/item/1005010292700074.html?spm=a2g2w.orderdetail.0.0.7ba14aa6pGt9jw&sku_id=12000056708566769&_ga=2.118258825.1470179399.1777583249-38091791.1777583249)
-
патчкорд
в железке есть 6 портов (0-5)
в eth0(nic0) будет вставлен кабель от провайдера
в eth1(nic1) будет вставлен кабель в свитч
подготовка компьютера
кабель из компа вставляем в eth1 железки.
на компе делаем
ip addr add 192.168.1.100 dev enp5s0
ip route add 192.168.1.0/24 dev enp5s0
enp5s0 надо заменить на имя своего устройства (ip l)
установка proxmox
стандартная установка. (подробно расписывать не буду, т.к. все свелось к прокликиванию next и указании своих данных (timezone и т.д.))
nic0 - WAN
nic1 - LAN
ip адрес: 192.168.1.50
графический интерфейс будет доступен с компьютера, т.к. мы вручную добавили ip адрес (192.168.1.100) и маршрут в эту подсеть.
заходим в web gui (192.168.1.50:8006) и логинимся.
в Datacenter → pve → System → Network конфигруем два linux bridge
-
vmbr0 → nic0 (WAN)
-
vmbr1 → nic1 | vlanAware yes |192.168.1.50/24 |192.168.1.1 (LAN)
установка opnsense
с компьютера загрузить iso образ opnsense
для ВМ я выделил 8GiB RAM, 2 vcpu, 64G disk.
нужно добавить два интерфейса
net0 → vmbr0 (WAN)
net1 → vmbr1 (LAN)
установка в основном сводится к прожатию enter, поэтому тут тоже останавливаться не буду (процесс установки проказан в видео из плейлиста)
после загрузки я вручную указал
-
wan vtnet0
-
lan vtnet1
теперь дашборд opnsense так же доступен с компьютера.
настройка opnsense
system-> configuration → wizard
Все, дальше вставляем wan кабель от провайдера в eth0
(у моего провайдера надо в лк указать mac адрес, указываем mac адрес net0(в настройках вм указан)), немного ждем и проверяем
System → Firmware → Status → Check for updates.
Настройка сервисов
я использую keaDHCP
дальше отключаем dnsmasq DNS & DHCP и включаем kea DHCPv4
я вытащил и вставил кабель в комп, чтобы leases перенесся в keadhcp
в теории MVP сделан.
создание VLAN
Interfaces → Devices → VLAN
главно выбрать Parent: vtnet1 [LAN], по умолчанию vtnet0 [WAN]
потом заходим в редактирование и ставим имя (vlan0.10)
вот список моих влан, можно делать меньше, можно больше. кому сколько нужно
дальше
Interfaces → Assignments
дальше переходим в настройки интерфейсов
дальше переходим в keadhcp и повторяем все что было сделано для lan
(добавляем subnet для каждого и в Kea DHCP → Kea DHCPv4 → Settings добавляем vlanы в Interfaces)
firewall
тут будет минимальная настройка фаервола(как в видео), потому что только вы знаете, куда должны иметь доступ разные vlan
Добавляем Alias на частные сети
