[Network] OPNsense 설치 및 구성

 

 

 

 

🚀 OPNsense 설치 및 구성

    🔽 개요

        📦 소개

무료로 사용할 수 있는 UTM(Unfied Threat Management)은 굉장히 많아요.

그 중 PFsense, OPNsense, Untagle이 대표적으로 가장 인기가 많은 제품이에요.


PFsense는 가장 유명하고, 준 전문가들 사이에서도 PFsense + snort 조합으로 많이 쓰고 있다고 해요.

대표적이 기능은 아래와 같아요.

기능 이름	기능 상세
Firewall	SPI / GeoIP Blocking / Anti-Spoofing / Captive portal guest network / Time-based rules / Connection Limits / NAT mapping(inbound/outbound)
Router	Policy-based routing / Concurrent IPv4 and IPv6 Support / Configurable static routing / IPv6-to-IPv6 Network Prefix Translation / IPv6 router advertisements / Multiple IP addresses per network interface / PPPoE Server
Attack Prevention	IDS/IPS / Snort-based packet analyzer / Layer 7 application detection / Multiple rules / sources / and categories / Emerging threats database / IP blacklist database / Pre-set rule profiles / Per-interface configuration / False positive alert suppression / Deep Packet Inspection (DPI) / Application blocking
VPN	IPsec / OpenVPN / Wireguard / Site-to-site and remote access VPN / SSL encryption / VPN client for multiple operating systems / L2TP/IPsec for mobile devices / IPv6 support / Split tunneling / Multiple tunnels / VPN tunnel failover / NAT support / Automatic or custom routing / Local user authentication or RADIUS/LDAP
Proxy and Content Filtering	HTTP and HTTPS proxy / Non Transparent or Transparent caching proxy / Domain/URL filtering / Anti-virus filtering / SafeSearch for search engines / HTTPS URL and content screening / Website access reporting / Domain Name blacklisting (DNSBL) / Usage reporting
Network Services	Dynamic DNS(DDNS) / DHCP Server / DNS forwarding
Configuration Management	Web-based configuration / Setup wizard for initial configuration / Remote web-based administration / Customizable dashboard / Easy configuration backup/restore / Configuration export/import / Encrypted automatic backup to Netgate server / Variable level administrative rights / Multi-language support / Simple updates / Forward-compatible configuration / Serial console for shell access and recovery options / Wake-on-LAN
User Authentication Management	Local user and group database / User and group-based privileges / Optional automatic account expiration / External RADIUS authentication / Automatic lockout after repeated attempts
System Security Management	Web interface security protection / CSRF protection / HTTP Referer enforcement / DNS Rebinding protection / HTTP Strict Transport Security / Optional key-based SSH access
Resilience / Reliability Management	Optional multi-node High Availability Clustering / Multi-WAN for load balancing and failover / Reverse Proxy / Automatic connection failover / Bandwidth throttling / Traffic Shaping Wizard / Reserve or restrict bandwidth based on traffic priority / Fair sharing bandwidth / User data transfer quotas
System Reporting and Monitoring	Dashboard with configurable widgets / Local logging / Remote logging / Local monitoring graphs / Real-time interface traffic graphs / SNMP monitoring / Notifications via web interface, SMTP, or Growl / Hardware monitoring / Networking diagnostic tools

 

PFsense Fork Version이고, 보안에 더 특화된 HardenedBSD 기반인 OPNsense라는 것을 주니는 사용하기로 하였어요.

PFSense에 비해 더욱 깔금한 정리된 UI를 가지고 있고, OPNsense User들이 PFsense보다 더 이 제품을 선호하는 이유는 빠른 Update가 있어요.

ASLR(Address Space Layout Randomizaion) 등 FreeBSD에 비해 보안 이점이 있다는 의견, 더 자유롭고 많은 기능, 사용이 비교적 더 용이한 점과 Zerotier, LibreSSL 사용 가능과 리얼텍 Driver 내장, Web GUI가 더 빠르고 잘 만들었다는 등의 이유가 있고, PFsense Plus 출시 이후로 PFsense CE(무료 버전)에 대한 지원이 줄어들 것이라는 예측 등에 이유로 OPNSense를 선택하게 되었어요.

PFsense의 강력함에 훨씬 나아진 GUI를 갖춘 제품이며, 2FA 인증도 제공하는 장점도 있어요.
차세대 방화벽인 Sensei를 간단하게 Plug In 방식으로 추가할 수 있고, Python Open Source 기반으로 악성코드 탐지 System인 Maltrail, Adguard Home 역시 쉽게 추가할 수 있으며, 와이어가드 VPN, Zerotire, Geo IP, suricata 등 가정용, 개인용으로는 차고 넘치는 툴을 무료로 사용할 수 있기 때문에 이걸 사용하기로 하였어요.

 

Hardware 사양

1. 최소 사양

OPNsense 표준 기능을 실행하기 위해서는 아래와 같이 최소 사양을 맞춰줘야 해요.

Hardware 종류	내         용
CPU	1 GHz Dual Core CPU
RAM	2 GB
Install Method	Serial console or video (VGA)
Install target	최소 4GB의 SD Card 또는 CF Card를 통해 Nono Imate를 이용하여 설치 가능

2. 권장 사양

Hardware 종류	내         용
CPU	1 GHz Dual Core CPU
RAM	4 GB
Install Method	Serial console or video (VGA)
Install target	120GB SSD, 설치 프로그램을 실행하려면 최소 2GB RAM 필요.

 

 

 

    🔽 OPNsense

        📦 내려받기

OPNsense는 이 곳에서 내려 받기 할 수 있어요.

Architecture는 amd64 하나 밖에 없습니다. 그 아래 Image Type은 4개에요.

Image Type	내     용
DVD	VGA Mode에서 실행되는 Live System 기능이 있는 ISO 설치 프로그램 이미지. amd64에서는 UEFI Booting 지원.
VGA	GPT Booting으로 VGA Mode에서 실행되는 Live System 기능이 있는 USB 설치 프로그램 이미지. amd64에서는 UEFI Booting 역시 지원.
Serial	MBR Booting으로 직렬 Console(115200) Mode에서 실행되는 Live System 기능이 있는 USB 설치 프로그램 이미지.
Nano	MBR Booting으로 USB Stick. SD, CF Card용 사전 설치된 직렬 Image. 이 이미지는 크기가 3G이며, 처음 Booting한 뒤 설치된 Media 크기에 자동 적응.

주니는 Hyper-V에 설치할 것이기 때문에 DVD를 받도록 할 거에요.

 

 

 

    🔽 Hyper-V

        📦 가상 머신 준비

Hyper-V에 ISO를 Import하고 설치를 진행해 볼게요.

최초 Hyper-V 관리자에서 HOST이름을 우클릭하고 위와 같이 가상 컴퓨터를 선택해 줄게요.

그런 뒤 만들게 될 가상 머신의 이름을 위와 같이 지정해 주었어요.
그리고, 해당 가상 머신이 설치될 저장소를 선택해 주었어요.

1세대를 선택하고 넘어갈게요.

 

Memory는 4GB를 사용하게 하고, 동적 Memory를 사용하게 하여 필요 시 Memory가 늘어날 수 있도록 해 줄게요.

 

 

 

이번에는 네트워크 구성 단계에요.
준비된 vSwitch를 선택하여 인터넷이 되도록 구성해 주는 부분이에요.

OS가 설치될 가상 HDD를 어떤 Storage에 저장할지 선택하는 곳이에요.
주니쓰는 위와 같이 232GB를 주고, SSD를 사용할 수 있게 설정해 주었어요.

최초 OPNsense ISO File을 내려 받으면 BZ2로 압축이 되어 있어요.
반디집을 통해 위와 같이 압축을 해제 해 줄게요.

그런 뒤 가상 CD ROM에 ISO File이 Mount 되도록 해 주었어요.

설정한 내용이 맞는지 확인하고, 맞다면 마침을 눌러 설정을 마칠 수 있어요.

추가적으로 Disk를 추가하고, CPU, RAM 등에 설정을 위해 다시 한번 설정을 들어갈게요.

먼저 RAM을 위와 같이 설정해 줄건데, 평소에는 4GB를 사용하다가 필요하면 8GB까지 사용할 수 있게 해 줄거에요.

그리고, Memory 가중치를 최대한 높여주어서 다른 Server보다 RAM 사용 우선권을 갖게 해줄거에요.

지금 설치하는 UTM OPNsense는 방화벽 역할도 할 것이기 때문에 하나의 Network Adaptor만 가지고 있으면 안되요.

Network Adaptor 즉, Network Port를 추가하여 내부망과 외부망을 나눌 수 있도록 구현할 것이에요.

기존에 연결했던 Port는 외부망으로 사용될 Port이고, 연결된 VDI들과 연결할 Port를 하나 더 만들어 줘야해요.

Hyper-V 관리자에서 가상 스위치 관리자를 열도록 할게요.

내부를 선택하고, 가상 스위치 만들기를 눌러줄게요.

이렇게 내부에서 연결될 vSwitch를 하나 만들어 줄거에요.

다시 OPNsense 설정에 들어가서 네트워크 어댑터를 위에서 만든 VDI-내부망 vSwitch와 연결해 줄게요.

주니는 이렇게 총 3개의 vPort를 만들어 주었는데, VDI에서 외부랑 통신이 되어야 하고,
내부 VDI는 OPNsense와 통신만 하면 되고, 또 Server Zone과도 연결되어야 하기 때문에 이렇게 구성을 해 주었어요.

    🔽 OPNsense

        📦 설치하기

이제 본격적으로 OPNsense를 설치해 보도록 할게요.

최초 위와 같은 화면이 나오면 Enter를 눌러 설치를 시작할 수 있어요.

그런 뒤 위와 같은 화면이 나오면 아무 Key나 눌러 주세요.

위와 같이 LAGs와 VLANs 설정을 할 것이냐고 물어보면 n을 눌러 넘어갑니다.

그런 뒤 Enter the WAN interface .... 가 나오면 인터넷과 통신이 되는 Network Port 이름 즉, WAN Port 이름을 적어주면 되요.

주니는 hn0를 선택해 줄게요.

728x90

그 다음으로는 내부에서 사용할 Port들을 설정하는 곳이에요.
즉, LAN Port를 설정하는 곳이에요.

주니는 hn1을 선택해 줄게요.

 

그런 뒤 Server와 연결될 Port hn2를 마지막으로 설정해 줄거에요.

만약 설정할 것이 더 없으면 Enter를 눌러 주면 됩니다.

설정한 Network Interface가 위와 같은지 확인하고 있어요.

맞다면 y를 입력하고, Enter를 눌러 넘어가면 됩니다.

그럼 열심히 설치를 진행할 거에요.

그럼 위와 같이 Login 하는 창이 나올거에요.

여기서 root로 Login하게 되면 Custom 하게 설치를 하는 방식이 아닌 Live Mode로 이용할 수 있게 되기 때문에
root로 Login 하면 안되는 것이에요.

 

위에 계정으로 Login을 하면 위와 같은 창을 만날 거에요.

 

keyboard Layout 설정 부분인데, 한국은 없으니 Default인 US로 설정하고 넘어갈게요.

Enter를 눌러 다음으로 넘어가면 위와 같은 화면을 만날 수 있어요.

위와 같이 UFS 또는 ZFS를 선택할 수 있어요.

하지만, 초보자 사용자 인 경우 ZFS를 선택하지 않는 것이 좋을 수 있어요.
ZFS는 다른 파일 시스템보다 강력하므로 ZFS에 대해 아무것도 이해하지 못한다면 설정이 어려울 수 있기 때문이에요.

하드웨어가 제대로 작동하는 경우 두 파일 시스템의 차이를 알지 못할 수도 있습니다.

주니는 UFS를 선택해서 넘어갈 거에요.

설치할 Storage(Disk)를 고르는 곳이에요.

da0를 선택해서 넘어가 줄게요.

swap prtition을 8GB로 잡겠다고 물어보고 있어요.

주니쓰는 허락을 해 주도록 할거에요.

Disk에 Data가 모두 지워진다고 경고하고 있어요.

YES를 선택하고 넘어가 줄게요.

 
그럼 위와 같이 열심히 설치를 진행할 거에요.

root 비밀번호 변경 뒤 Complete Install을 선택해서 설치를 끝낼게요.

참고로 이 때 들어있던 ISO 또는 CD를 제거해 줘야해요.

안 그러면 Live Mode로 동작하는 문제가 발생합니다.

위와 같이 다시 Login 창을 만나게 되면 아래 계정으로 접속을 해줘야 해요.

Login이 완료되면 위와 같은 화면을 만날 수 있어요.

첫번째로 해야 하는 작업은 LAN IP 주소를 변경하는 것이에요.

2를 누르고, Enter를 눌러줄게요.

LAN 번호가 1번이기 때문에 1을 누르고, Enter를 눌러줄게요.

위에서 분명 hn0를 WAN으로 hn1을 LAN으로 잡혔는데, 반대로 잡힌것을 볼 수 있어요.

이 곳에서 1번을 눌러 다시 설정을 해 줄게요.

설정 방법은 위에서 초기에 설정했던 것과 동일합니다.

위와 같이 다시 설정을 해주었어요.

다만 이번에는 hn2는 잡지 않았어요.

이번에는 잘 잡힌 것을 확인할 수 있어요.

다시 2번을 통해 작업을 진행해 볼게요.

위와 같이 설정을 해 주도록 할게요.

여기까지 완료 되었다면 0번을 눌러 Logout을 해주면 되요.

 

 

        📦 초기 구성

위에서 설정했던 LAN IP를 통해 Hyper-V가 설치된 HOST Server 브라우저로 접속을 시도해 보았어요.

 

위와 같이 정상 접속 되는걸 확인할 수 있어요.

계정(ID): root
비밀번호(Password): opnsense

위의 계정 정보를 입력해서 Login을 해 줍니다.

그럼 위와 같이 초기 구성을 할 수 있는 화면을 만날 수 있어요.

Next를 눌러 진행해 볼게요.

너무 안타깝게도 언어는 한글이 없네요.

로컬 도메인을 다른 도메인으로 변경할 수 있어요.
도메인 이름을 소유하지 않는 한 실제 도메인 이름이 아닌 도메인을 사용할 수 있습니다.

 

 

주니는 이렇게 설정하고 넘어가 줄게요.

다음은 시간 설정하는 부분이에요.

주니는 Hyper-V Host Server에서 시간을 가져오도록 설정해 줄거에요.

WAN Interface 설정 부분에서 주니는 연결한 WAN Interface가 외부에서 DHCP로 IP를 받아오게 해놨기 때문에 DHCP로 하고 넘어가 줄게요.

두 개 모두 기본값으로 활성화 시키고 넘어가 줄게요.

반응형

LAN Interface 설정부는 위에서 CLI로 설정했기 때문에 위와 같이 두고, 넘어갈게요.

root Password를 입력하는 곳이에요.


입력하고, 다음으로 넘어가 줄게요.

그런 뒤 Reload를 눌러 설정이 입력되게 해 줄게요.

설정이 완료되면 위와 같은 화면을 만날 수 있어요.

위에 내용을 클릭하여 Dashboard를 한번 확인해 볼게요.

UI가 꽤나 깔끔한 편이에요.

한글만 지원되면 더할 나위 없을 거 같아요.

오른쪽에 Add widget을 눌러 widget을 더 추가할 수 있어요.

이 곳에서 필요한 것들을 추가해 주면 되겠네요.

 

 

 

 

🧐 참고 자료