オープンソースでFreeBSD ベースのファイアウォールおよびルーティング プラットフォームです。
自身でPCもしくは仮想マシン環境を準備し、OSとして使用することで、自宅ルーターとして動作します。
これさえなければ…
NICを途中から増設したりすると、Interface IDの認識順がずれる。
そうすると既に設定済みのネットワーク情報が別のNICに紐付いてしまったりする。
NICが1つのみならWAN設定として割り当てする。その場合のみWAN側からのWEB GUIにアクセス出来る。
NICが2つ以上だとWANとLAN設定することになりLAN側からのみWEB GUIにアクセス出来る。
要するに、NIC増設する機会が発生すると環境が崩れてアクセスすら出来なくなる事態が発生するのである。
初期設定でLAN側のデフォルトIPアドレスが 192.168.1.1 になるのが残念。
自宅のインターネットルーターとIPアドレスが被るので残念すぎる。
迂闊にWAN側でDHCP Serverを起動させるとインターネットルーターのDHCPを上書きしてOPNsenseのDHCPでIPが割り当たってしまうので実験時は要注意。
そーいう時に限ってDHCPでIP割り振るけどDNSが正常に動作せずインターネット側に出れないという罠が発生したりする。
WEB GUIの設定で必ずLAN側からのみ有効にしてWAN側は無効にしないとならない。
無効化しないとWAN側ネットワークが汚染される。
最低でもクライアントPCは2台必要になるはずなので、事前準備は必要である。
[OPNsense-23.7]を利用
下記より好みの方式でダウンロードしてきます。
https://opnsense.org/download/
実験用途なら「dvd: ISO」、物理サーバーなどにUSBメモリから入れるなら「vga」、SDカードからいれるなら「nano」でしょうか。
組み込み系ならUSBメモリに書き込んでシリアルポート接続の「serial」でしょうか。
通常はdvdかvgaの2択でしょうか。
インストール方法は下記からブラウザ翻訳など使用して進めましょう。
https://opnsense.org/users/get-started/
上記の「残念なところ」項目で一通り挙げていますが、それを踏まえると仮想NICとしてWANとLANだけを渡してあげるだけなら特に影響を受けにくい印象でした。
仮想NIC上で1つのNICとしてまとめ上げてあげれば、うまく回避出来るようです。
WANの設定
LANの設定
仮想NICとしては「VirtIO (準仮想化)」として渡しているため、NICとしては 10Gbase-Tとして認識しているのでボトルネックになることは通常無い。
ただ、ホストOS側の物理LAN上で100Mとしてリンクアップしていると、その速度に引きずられてしいます。
DNSサービスはUnbound DNSをそのまま使用。
個人的にはDnsmasqでDHCPと一緒に取りまとめてしまう方が好きなのですが、Unbound DNSのキャッシュDNSの動作が高速過ぎると体感したため、そのままとしています。
セキュリティ上速いのが正義とは言えないので、なんとも言えないところではあります。
基本はデフォルト設定に任せていますが、現状は検証環境なのでファイアウォール設定で既存ネットワークアドレスの許可くらいは入れています。
本運用はノウハウを得てからでしょうが、まずはWEBサーバーのHTTPSポートの解放・割り当て、OpenVPNの設定、VLANの設定方法が確立出来たら本運用ですかね。
-
購入金額
0円
-
購入日
2023年08月17日
-
購入場所
OPNsense公式
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。