עם נתב המריץ מערכת הפעלה מתקדמת יותר על חומרה חזקה יותר מנתבים צרכניים סטנדרטיים, נפתח עולם שלם של אפשרויות חדשות. למרות שיש עקומת למידה והיא יכולה להרגיש מסובכת בהתחלה, למעשה זה הופך להיות קל יותר לעשות דברים שאולי אפשריים עם נתב של, למשל, Asus, אבל הם באמת מסובכים.
ישנן מספר מערכות הפעלה לבחירה, החל מ-Openwrt, שניתן להתקין גם על נתבים לצרכן, דרך מערכות שונות מבוססות לינוקס כמו Clear OS ו-IP Fire, ועד למערכות Unix כמו PF Sense ו-Opnsense.
נראה שהשני האחרונים הם הפופולריים ביותר, ולעצמי יש נתב עם Opnsense במשך כמה שנים אז עבור המדריך הזה בחרתי במערכת הזו.
למה לבנות את זה לבד?
לרבים מספיק לענות: כי זה אפשרי וכי זה מעניין ומלמד. אבל אתה לא צריך להיות מונע מסקרנות בלבד. יש גם כמה יתרונות מעשיים וטכניים.
ברגע שתתחיל ותלמד את היסודות, מיד נעשה הרבה יותר קל לעשות דברים כמו להגדיר מספר VLAN עם חוקי חומת אש שונים (כדי למנוע מגאדג'טים לבית חכם לגשת לאינטרנט, למשל), להשתמש ב-DNS דינמי, להפעיל שרת DNS רקורסיבי משלך, להציג הודעת פתיחה כאשר אורחים מתחברים לרשת האלחוטית ועוד הרבה יותר.
אולי היתרון הגדול ביותר, לעומת זאת, הוא אבטחה. במקום לסמוך על היצרן שישחרר עדכונים וישמור על הנתב מאובטח, אתה מקבל עדכונים חדשים כמעט מדי שבוע כך שלכל חלקי המערכת יש את תיקוני האבטחה העדכניים ביותר. יש גם תוספות שמעניקות לרשת הגנה מתקדמת יותר מהמקובל במוצרי צריכה.
בחר את החומרה הנכונה
אתה יכול לעשות שימוש חוזר במחשב ישן עבור Opnsense, ובמקרה זה כרטיס רשת אחד או שניים הם כל מה שאתה בדרך כלל צריך לקנות. אבל מחשב כזה הוא בדרך כלל זולל חשמל שלא לצורך וציוד גדול שיכול להיות קשה למקם בבית.
Opnsense מבוססת על מערכת Unix Freebsd. זה אומר שזה קצת יותר קשוח עם החומרה בהשוואה ללינוקס. מעל הכל, כרטיסי רשת הם שיכולים להוות בעיה. המערכת מעדיפה ועובדת הכי טוב עם כרטיסים מבוססי אינטל, כך שאם אתם קונים חדשים, אולי כדאי לבדוק שבמחשב שתבחרו יש שבבי רשת של אינטל.
מחשב מיני עם שני מחברי Ethernet עשוי להיות בחירה טובה יותר, ולמעשה ישנם מחשבים במבצע שתוכננו במיוחד לשימוש עם Opnsense או PF Sense. לדוגמה, אמזון מוכרת את הדגם הזה מהונסן שעולה קצת יותר מ-200 דולר ויש לו שבבי רשת של אינטל. מכיוון שהזיכרון זול, אני ממליץ על 16 גיגה-בייט מההתחלה ולפחות 128 גיגה-בייט של SSD.
בנוסף למחשב הנתב, אני ממליץ בחום על מתג מנוהל כדי לחבר, למשל, את הנתב הישן שלך שתוכל להגדיר לעבוד כנקודת גישה במקום כנתב, רק עבור Wi-Fi. זה נחוץ גם אם אתה רוצה להתחיל להשתמש ברשתות וירטואליות (VLAN).
התקנת Opnsense
התחל בהורדת הגרסה העדכנית ביותר של Opnsense (לחץ ישירות על כפתור ההורדה עם האפשרויות שנבחרו מראש). הורד והתקן גם את Balena Etcher , תוכנה פשוטה לכתיבת קבצי .iso ו-.img למקלוני USB.
פתח את קובץ ה-.bz2 שהורדת כך שתקבל קובץ .img. חבר מקל USB, הפעל את Etcher, לחץ על Flash from file ובחר את הקובץ הזה. בחר את מקל ה-USB שלך כמטרה ולאחר מכן לחץ על Flash .
לאחר שזה נעשה, אתה יכול להוציא את כונן ההבזק ולחבר אותו למחשב הנתב, אליו תצטרך לחבר צג ומקלדת מלכתחילה. אתחל את המחשב ממקל ה-USB דרך תפריט האתחול או ה-BIOS.
המערכת מתחילה עם טקסט בלבד, אשר יגלול מעבר לזמן מה. כשזה יסתיים, תועבר לבקשת התחברות. הזן שם משתמש מתקין וסיסמה opnsense . תוכנית ההתקנה תתחיל כעת.
בחר את השפה במקלדת ועבור הלאה. בחר התקן (ZFS) שהיא כעת השיטה המומלצת הרגילה. בחר Stripe ולאחר מכן השתמש במקש הרווח כדי לבחור את SSD היעד. קדימה וקבל וזה יפרמט את הדיסק ויעתיק את כל הקבצים. לאחר שזה נעשה, אתה יכול לבחור התקנה מלאה (תוכל לשנות את סיסמת השורש בקלות רבה יותר בשלב הבא).
הגדרות בסיסיות
כאשר מחשב הנתב מאתחל, אתה יכול להוציא את מקל ה-USB ולתת לו לאתחל מה-SSD. כמו קודם, חבורה של טקסט תגלול במהלך האתחול, עד שתגיע לבקשת ההתחברות.
אני ממליץ לך להתחיל בשינוי הכתובת של ממשק ה-LAN, כדי ש-Opnsense לא תתעסק עם הנתב הישן שלך אם אתה רוצה להיות מחובר לשניהם בו-זמנית לפני שאתה מוכן להעביר את חיבור האינטרנט ל-Opnsense.
היכנס עם שם המשתמש root והסיסמה opnsense . הקש 2 כדי לשנות את כתובת ה-IP. הקש על המספר הנכון עבור LAN (בדרך כלל 1). לחץ על חזרה כדי לבחור לא להשתמש ב-DHCP. הזן כתובת מתאימה, למשל 10.1.1.1, ולאחר מכן 24 כדי לדבוק בכתובות בפורמט 10.1.1.x. בשאר השאלות ניתן ללחוץ על חזרה כדי לקבל את האפשרות שנבחרה מראש.
לפני שתוכל לעשות משהו אחר, עליך לחבר את מכונת Opnsense למחשב הרגיל שלך באמצעות כבל רשת, ישירות או באמצעות מתג.
פתח את ההגדרות במחשב הרגיל שלך ועבור אל רשת ואינטרנט > Ethernet . צריכה להיות לך כתובת באותו הפורמט של Opnsense (לדוגמה 10.1.1.2 ), עם הכתובת שבחרת זה עתה כשער ומסיכה 255.255.255.0. אם הוא לא הופיע בפני עצמו, אתה יכול ללחוץ על ערוך מימין להקצאת IP ולמלא בעצמך.
לאחר מכן פתחו דפדפן והקלידו את 10.1.1.1 ובתקווה תקבלו אזהרת אבטחה לגבי אישור לא חוקי, שעליכם ללחוץ על העבר כדי להגיע לממשק האינטרנט של Opnsense. שם המשתמש הוא root וסיסמת ברירת המחדל היא opnsense .
כעת תועבר להגדרות הבסיסיות המודרכות של Opnsense. הדבר הראשון שצריך לעשות הוא הגדרות DNS. כאן אני ממליץ להשאיר את שדות שרתי ה-dns ריקים, בטל את הסימון של Override DNS וסמן את שלושת התיבות תחת Unbound DNS.
את שאר השלבים תוכל ללחוץ על עד שתגיע לשאלה על שינוי הסיסמה לחשבון השורש. בחר סיסמה מאובטחת חדשה ורשום אותה.
היכנס לאינטרנט
כדי ש-Opnsense תוכל לגשת לאינטרנט ולשמש כנתב/חומת אש, עליך לחבר אליו כבל Ethernet. אתה יכול לקחת את הכבל משקע הפס הרחב של הנתב הישן שלך ולחבר אותו ל-Opnsense במקום זאת. לחילופין, אתה יכול להתחבר לשקע בנתב הישן או למתג אם יש לך, אבל זה יהיה קצת יותר מסובך.
אם יש לך פס רחב רגיל דרך סיבים שמתחבר ל-DHCP, Opnsense אמור להתחבר אוטומטית ולקבל IP חיצוני. תוכל לבדוק זאת על ידי בחירה בממשקים > סקירה כללית בממשק האינטרנט.
אם ה-WAN קיבל כתובת, אתה יכול לבדוק שהכל עובד על ידי בדיקת עדכונים. בחר מערכת > קושחה > סטטוס ולחץ על בדוק אם קיימים עדכונים . אם זה עובד, זה זמן טוב להתקין את העדכונים הראשונים מבין רבים הקרובים.
לאחר מכן נסה להיכנס לכל אתר במחשב הרגיל שלך. אם גם זה עובד, יש לך נתב Opnsense עובד. ניתן להשאיר הגדרות אחרות במערכת כפי שהן לעת עתה – למערכת אין אפשרויות ברירת מחדל לא בטוחות.
למד את הממשק והבין את חומת האש
ממשק האינטרנט של Opnsense בנוי מעט שונה מרוב הנתבים. בצד שמאל, יש תפריט היררכי שבו תמצאו את כל ההגדרות, מחולקות לקטגוריות שונות. בצד ימין למעלה, יש גם סרגל חיפוש שעובד ממש טוב כדי למצוא הגדרות רחוק למטה בהיררכיות.
בתפריט System יש בעיקר הגדרות עבור Opnsense עצמה, אבל גם עדכונים והתקנה של תוספים – תכונה חשובה כשרוצים להתחיל לבנות את הנתב עם תכונות חכמות.
ממשקים עוסקים בממשקי הרשת השונים, בדרך כלל LAN ו-WAN אבל כאן תמצאו גם VLAN, PPPoE אם מפעיל האינטרנט דורש התחברות וממשקים עבור שרת VPN.
חומת אש עוסקת, כמובן, בכללים לחסימה והתרת תעבורה, אבל גם בהעברת פורטים. תחת כינויים , אתה יכול ליצור כינויים עבור מכשירים בודדים, למשל, כדי להקל עליהם להשתמש בכללי חומת אש.
תפריט ה-VPN מיועד גם לשרתי VPN לחיבור מבחוץ לרשת המקומית שלך וגם לחיבור כל הרשת לשירות VPN חיצוני.
שירותים הוא תפריט אוסף לפונקציות מובנות אחרות כמו DHCP ו-DNS (Unbound) וגם פונקציות מתוספים מותקנים.
VLAN ללא אינטרנט לבית החכם
מקרה שימוש נפוץ עבור נתב מתקדם יותר כמו Opnsense הוא הצבת כמה מכשירים מחוברים ברשת נפרדת עם חוקי חומת אש שונים. למשל, רשת לגאדג'טים לבית חכם שאין להם גישה לאינטרנט וגישה מוגבלת לשאר הרשת.
כדי לעשות זאת, התחל בפתיחת ממשקים > סוגים אחרים > VLAN . לחץ על כפתור הפלוס כדי ליצור VLAN חדש. תנו לזה שם קצר, למשל SMART ומלאו מספר לתג VLAN בין 1 ל-4,094, אני בדרך כלל בוחר עשר, למשל 10. שמור.
כעת עבור אל ממשקים > משימות ומלא את אותו השם תחת תיאור עבור הממשק החדש. לחץ על הוסף .
כעת לחץ על ממשקים > [SMART] וסמן את הפעל ממשק ומניעת הסרת ממשק . בחר סטטי IPv4 תחת IPv4 Configuration Type . גלול למטה למטה ומלא כתובת IP מתאימה ובחר 24 במקום 32 מימין לכתובת. אם בחרתם לתת לרשת הרגילה את הכתובת 10.1.1.1, תוכלו לבחור 10.1.10.1 עבור רשת ה-VLAN (בדרך כלל אני משתמש באותו מספר בקבוצה השלישית כמו תג ה-VLAN, כך שרשת אורח עם התג 20 מקבלת את הכתובת 10.1.20.1 וכן הלאה). שמור והחל את השינויים.
פתרונות מחשוב ענן מעניקים לעסקים גמישות, יעילות ואבטחה מתקדמת, תוך חיסכון בעלויות תשתית. באמצעות שירותי ענן ניתן לנהל נתונים, להפעיל אפליקציות ולהבטיח גיבוי מאובטח מכל מקום ובכל זמן. פתרונות אלו כוללים אחסון בענן, שרתים וירטואליים, תוכנות כשירות (SaaS) ואבטחת מידע מתקדמת. עסקים בכל גודל יכולים ליהנות מביצועים משופרים וניהול IT פשוט יותר. עברו לענן ותנו לעסק שלכם יתרון טכנולוגי עם גישה מהירה, שדרוגים אוטומטיים וזמינות מירבית!
עבור אל שירותים > ISC DHCPv4 > [SMART] . סמן את הפעל שרת DHCP… ומלא טווח כתובות, למשל 10.1.10.100-10.1.10.254 (בדרך כלל אני משאיר כתובות מתחת ל-100 עבור מכשירים שצריכה להיות להם כתובת IP קבועה). שמור והחל את השינויים.
אם תסתכל ב- Firewall > Rules > SMART תראה שאין כללים, מה שאומר שכל התעבורה נעצרת. אם תסתכל על הכללים עבור ה-LAN, תראה ש-Opnsense הוסיפה אוטומטית כללים כדי להעביר את כל התעבורה שמקורה ברשת זו. אז אם אתה רוצה לאפשר אינטרנט עבור גאדג'טים לבית חכם, אתה צריך ליצור כלל עבור זה.
כדי להשתמש ולחבר גאדג'טים בפועל לרשת ה-VLAN, אתה צריך מתג מנוהל. בהגדרות שלו, אתה יכול להפעיל תיוג VLAN עבור מחבר Ethernet אחד או יותר, וגאדג'טים שתחבר למחברים אלה יראו רק את רשת ה-VLAN. בתמונה הסמוכה תוכלו לראות איך זה נראה עם מתג מ-Unifi – ליצרנים אחרים כמו D-Link ו-TP-Link יש הגדרות דומות. אם למכשיר Opnsense שלך יש יותר מחברי רשת, אתה יכול "לתייג" אותם ולהשתמש בהם במקום זאת.
טיפ: נתב וירטואלי
אם אתה רוצה לנסות את Opnsense ולראות איך הממשק מרגיש, אתה יכול לעשות זאת במכונה וירטואלית במקום במחשב פיזי. אתה יכול לעשות זאת עם, למשל, Virtualbox ישירות ב-Windows, רק כדי להכיר את הממשק ואיך להגדיר דברים. אתה יכול גם להפעיל את המערכת באופן קבוע יותר על מחשב שרת המריץ לינוקס, בדרך כלל גרסת Proxmox.
