StepanovPlaton/HomeServerServices
1
0
Fork 0
mirror of https://github.com/StepanovPlaton/HomeServerServices.git synced 2026-04-03 12:20:43 +04:00
Code Issues Packages Projects Releases Wiki Activity

Update readme

Browse Source
This commit is contained in:
Степанов Платон
2026-01-29 16:10:31 +04:00
parent a26639debe
commit 7ca59cf365
6 changed files with 310 additions and 154 deletions
Download Patch File Download Diff File Expand all files Collapse all files

103
OPNsense.md
View File

@@ -1,38 +1,56 @@
# Настройка OPNsense
# 🔒 Настройка OPNsense
## 1. Установка OPNsense
> Этот гайд описывает установку и настройку OPNsense в качестве роутера и файрвола для домашней сети.
Ничего не трогаем в момент загрузки. Авторизуемся как `installer`, пароль по умолчанию - `opnsense`.
---
## 1⃣ Установка OPNsense
Ничего не трогаем в момент загрузки. Авторизуемся как `installer`, пароль по умолчанию — `opnsense`.
- Добавляем английскую локаль
- Выбираем ФС - **ZFS RAID0**
- Выбираем ФС **ZFS RAID0**
- Предупреждение о недостатке ОЗУ можно пропустить
- Устанавливаем систему
## 2. Создаём второй сетевой мост
---
Создаём второй сетевой мост для второго порта, подключаем сетевое устройство в ВМ OPNsense. Перезагружаем ВМ OPNsense.
## 2⃣ Создание второго сетевого моста
## 3. Настройка OPNsense
Создаём второй сетевой мост в Proxmox для второго порта, подключаем сетевое устройство в ВМ OPNsense. Перезагружаем ВМ OPNsense.
---
## 3⃣ Настройка OPNsense
В меню терминала:
1. Выбираем **1 - assign interfaces**:
- Назначаем одному порту **WAN** (порт для провайдера, во внешний интернет)
- Второму порту **LAN** (порт для локальной сети)
### 1. Назначение интерфейсов
2. Выбираем **2 - set interface ip address**:
- Для LAN указываем статический IPv4 (это будет наш Gateway)
- DHCP можно пока не включать, настроим позже
Выбираем **1 - assign interfaces**:
## 4. Обновляем OPNsense
- Назначаем одному порту **WAN** (порт для провайдера, во внешний интернет)
- Второму порту **LAN** (порт для локальной сети)
1. Открываем web интерфейс по адресу установленному для LAN
### 2. Настройка IP адресов
Выбираем **2 - set interface ip address**:
- Для LAN указываем статический IPv4 (это будет наш Gateway)
- DHCP можно пока не включать, настроим позже
---
## 4⃣ Обновление OPNsense
1. Открываем web интерфейс по адресу, установленному для LAN
2. Заходим **Система > Программное обеспечение > Статус > Проверить наличие обновлений**
3. Потом раздел обновления, снизу кнопка **обновить**
4. Ждём обновления всех пакетов
## 5. Устанавливаем плагин Qemu Agent
---
## 5⃣ Установка плагина Qemu Agent
Нужен для управления OPNsense из Proxmox.
@@ -40,7 +58,9 @@
2. Включаем галочку **показать плагины сообщества**
3. Ставим плагин `os-qemu-guest-agent`
## 6. Настраиваем доступ в интернет
---
## 6⃣ Настройка доступа в интернет
Можно воспользоваться стандартным мастером настройки:
@@ -49,38 +69,54 @@
3. Устанавливаем логин и пароль провайдера
4. Остальное уже должно быть настроено, но можно что-то изменить
## 7. Настройка DHCP
---
## 7⃣ Настройка DHCP
В разделе **Службы**:
- Выключаем **Dnsmasq DNS & DHCP**
- Включаем **ISC DHCPv4**
- В настройках DNS первым сервером указываем IP адрес OPNsense. Сам DNS сервер настроем в следущем шаге
- В настройках DNS первым сервером указываем IP адрес OPNsense. Сам DNS сервер настроим в следующем шаге
## 8. Настройка DNS
---
## 8⃣ Настройка DNS
> Для безопасности домашней сети от чрезмерной рекламы и сбора статистики добавим фильтр [AdGuard Home](https://github.com/AdguardTeam/AdGuardHome)
> Если для вашей сети достаточно обычного DNS просто включите в настройках **Unbound DNS**
>
> Если для вашей сети достаточно обычного DNS, просто включите в настройках **Unbound DNS**
В консоли OPNsense добавим новый репозиторий:
В консоли OPNsense добавим новый репоизторий
```bash
fetch -o /usr/local/etc/pkg/repos/mimugmail.conf https://www.routerperformance.net/mimugmail.conf
pkg update
```
После чего в разделе **Система > ПО > Плагины** появится пакет os-adguardhome-maxit (ставим калочку показать пользовательские пакеты). Устанавливаем его и включаем в разделе **Службы**. Мастер настройки запуститься на IP OPNsense на 3000 порту.
В настройках **указываем внутренний интерфейс LAN** и ставим WebUI AdGuardHome на 3000 порт. В разделе DNS-сервер так же **выбираем только внутренний интерфейс LAN**, порт по умолчанию 53. По какой-то причине AdGuard думает что у нас динамический IP, хотя это не так - игнорируем предупреждение.
После чего в разделе **Система > ПО > Плагины** появится пакет `os-adguardhome-maxit` (ставим галочку показать пользовательские пакеты). Устанавливаем его и включаем в разделе **Службы**. Мастер настройки запустится на IP OPNsense на 3000 порту.
В настройках:
- **Указываем внутренний интерфейс LAN** и ставим WebUI AdGuardHome на 3000 порт
- В разделе DNS-сервер также **выбираем только внутренний интерфейс LAN**, порт по умолчанию 53
> ⚠️ По какой-то причине AdGuard думает, что у нас динамический IP, хотя это не так — игнорируем предупреждение.
В настройках добавляем блоклисты по выбору:
- [Hagezi Multi Pro++ — Идеальный баланс. Блокирует почти всё, при этом редко «ломает» сайты](https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.plus.txt)
- [Hagezi Multi Ultimate — Самый жесткий вариант. Блокирует агрессивно, включая глубокую телеметрию. Может потребоваться ручная разблокировка некоторых сервисов (белый список)](https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/ultimate.txt)
- и любые другие на своё усмотрение
## 9. Проброс портов
- [Hagezi Multi Pro++](https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.plus.txt) — Идеальный баланс. Блокирует почти всё, при этом редко «ломает» сайты
- [Hagezi Multi Ultimate](https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/ultimate.txt) — Самый жесткий вариант. Блокирует агрессивно, включая глубокую телеметрию. Может потребоваться ручная разблокировка некоторых сервисов (белый список)
- И любые другие на своё усмотрение
---
## 9⃣ Проброс портов
> Для начала нужно освободить 80 порт, потому что на нём по умолчанию доступен сам OPNsense. В разделе **Система > Настройки > Администрирование** заменим 80 порт на 8000
В разделе **Межсетевой экран > NAT > Передаресация портов** добавим правило.
В разделе **Межсетевой экран > NAT > Переадресация портов** добавим правило:
- **Interface:** WAN
- **TCP/IP Version:** IPv4
- **Protocol:** TCP
@@ -89,9 +125,12 @@ pkg update
- **Redirect target IP:** Введите локальный IP вашего сервера
- **Redirect target port:** Порт назначения
- **Pool Options:** Default
- **Filter rule association:** Add associated filter rule
- **Это важно:** OPNsense автоматически создаст разрешающее правило в брандмауэре
- **Filter rule association:** Add associated filter rule
- OPNsense автоматически создаст разрешающее правило в брандмауэре
Для HTTP нужно добавить перенаправления на 8080 порт сервера, для HTTPS на 8443. Базовые порты 80 и 443 недоступны в rootless контейнере. Сохраняем изменения и проверяем в разделе **Межсетевой экран > Правила > WAN**.
Для доступа из домашней сети нужно добавить зеркальный NAT в разделе **Межсетевой экран > Настройки > Дополнительно** ставим галочки **Отображение для перенаправлений портов** и **Автоматический исходящий NAT для отображения**
Для доступа из домашней сети нужно добавить зеркальный NAT в разделе **Межсетевой экран > Настройки > Дополнительно** ставим галочки:
- **Отображение для перенаправлений портов**
- **Автоматический исходящий NAT для отображения**