HomeServerServices/OPNsense.md

Настройка OPNsense

1. Установка OPNsense

Ничего не трогаем в момент загрузки. Авторизуемся как installer, пароль по умолчанию - opnsense.

• Добавляем английскую локаль
• Выбираем ФС - ZFS RAID0
• Предупреждение о недостатке ОЗУ можно пропустить
• Устанавливаем систему

2. Создаём второй сетевой мост

Создаём второй сетевой мост для второго порта, подключаем сетевое устройство в ВМ OPNsense. Перезагружаем ВМ OPNsense.

3. Настройка OPNsense

В меню терминала:

1. Выбираем 1 - assign interfaces:

   • Назначаем одному порту WAN (порт для провайдера, во внешний интернет)
   • Второму порту LAN (порт для локальной сети)

2. Выбираем 2 - set interface ip address:

   • Для LAN указываем статический IPv4 (это будет наш Gateway)
   • DHCP можно пока не включать, настроим позже

4. Обновляем OPNsense

1. Открываем web интерфейс по адресу установленному для LAN
2. Заходим Система > Программное обеспечение > Статус > Проверить наличие обновлений
3. Потом раздел обновления, снизу кнопка обновить
4. Ждём обновления всех пакетов

5. Устанавливаем плагин Qemu Agent

Нужен для управления OPNsense из Proxmox.

1. Заходим Система > Программное обеспечение > Плагины
2. Включаем галочку показать плагины сообщества
3. Ставим плагин os-qemu-guest-agent

6. Настраиваем доступ в интернет

Можно воспользоваться стандартным мастером настройки:

1. Открываем его в разделе Система > Конфигурация > Мастер
2. Для доступа в WAN выбираем пункт PPPoE
3. Устанавливаем логин и пароль провайдера
4. Остальное уже должно быть настроено, но можно что-то изменить

7. Настройка DHCP

В разделе Службы:

• Выключаем Dnsmasq DNS & DHCP
• Включаем ISC DHCPv4
  • В настройках DNS первым сервером указываем IP адрес OPNsense. Сам DNS сервер настроем в следущем шаге

8. Настройка DNS

Для безопасности домашней сети от чрезмерной рекламы и сбора статистики добавим фильтр AdGuard Home Если для вашей сети достаточно обычного DNS просто включите в настройках Unbound DNS

В консоли OPNsense добавим новый репоизторий

fetch -o /usr/local/etc/pkg/repos/mimugmail.conf https://www.routerperformance.net/mimugmail.conf
pkg update

После чего в разделе Система > ПО > Плагины появится пакет os-adguardhome-maxit (ставим калочку показать пользовательские пакеты). Устанавливаем его и включаем в разделе Службы. Мастер настройки запуститься на IP OPNsense на 3000 порту.

В настройках указываем внутренний интерфейс LAN и ставим WebUI AdGuardHome на 3000 порт. В разделе DNS-сервер так же выбираем только внутренний интерфейс LAN, порт по умолчанию 53. По какой-то причине AdGuard думает что у нас динамический IP, хотя это не так - игнорируем предупреждение.

В настройках добавляем блоклисты по выбору:

• Hagezi Multi Pro++ — Идеальный баланс. Блокирует почти всё, при этом редко «ломает» сайты
• Hagezi Multi Ultimate — Самый жесткий вариант. Блокирует агрессивно, включая глубокую телеметрию. Может потребоваться ручная разблокировка некоторых сервисов (белый список)
• и любые другие на своё усмотрение

9. Проброс портов

Для начала нужно освободить 80 порт, потому что на нём по умолчанию доступен сам OPNsense. В разделе Система > Настройки > Администрирование заменим 80 порт на 8000

В разделе Межсетевой экран > NAT > Передаресация портов добавим правило.

• Interface: WAN
• TCP/IP Version: IPv4
• Protocol: TCP
• Destination: WAN address
• Destination port range: Внешний порт
• Redirect target IP: Введите локальный IP вашего сервера
• Redirect target port: Порт назначения
• Pool Options: Default
• Filter rule association: Add associated filter rule
  • Это важно: OPNsense автоматически создаст разрешающее правило в брандмауэре

Для HTTP нужно добавить перенаправления на 8080 порт сервера, для HTTPS на 8443. Базовые порты 80 и 443 недоступны в rootless контейнере. Сохраняем изменения и проверяем в разделе Межсетевой экран > Правила > WAN.

Для доступа из домашней сети нужно добавить зеркальный NAT в разделе Межсетевой экран > Настройки > Дополнительно ставим галочки Отображение для перенаправлений портов и Автоматический исходящий NAT для отображения