大家好,又见面了,我是你们的朋友全栈君。
OPNsense的安装和使用(二)
前面我们已经完成了OPNsense的安装和基本设置,现在开始OPNsense的各项常用功能设置。本文主要是讨论OPNsense的系统管理部分的常用内容。
内容列表
- 基本设置
- 证书颁发机构(CA)管理
- 证书管理
- 授权管理
- 系统软件管理
- 其他管理
基本设置
这是首次进入配置模式时才能见到的欢迎页面,然后就会进入设置过程。为能方便起见 ,我们先把界面设成中文了。
简单click“Next”,进入下一步。
这里我们可以把界面语言设成中文[Chinese(Simplified)],方便使用。其他必须设置的是电脑名和域名 (域名用了lswin.cn,应该是未注册的域名,如您已注册该域名,抱歉了!)。如使用DHCP方式获取WAN的IP地址,那DNS地址可以不设,但也可以根据自己的喜好设置DNS。这个DNS地址可能被DHCP/PPP覆盖,如您不希望被覆盖,请不要勾选“Override DNS”。后面三项设置是为默认的DNS服务器的,应根据您的需求选择,一般情况下可以保持不变。点击Next进入下一个设置页面。这时页面可能还是英文的,只要重新加载就会变成中文界面。
默认的网络时间服务器池用的是opnsense.pool.ntp.org,建议换成asia.pool.ntp.org,时区用Asia/Shanghai。完成后click下一步,进行WAN设置。
WAN端口设置非常通用,除了最后二项。
分别是:阻止RFC1918私有网络 和 拦截bogon网络,如您的WAN地址是私网地址,这二项 不得勾选!如不是,为了安全,最好勾选。
后面是LAN设置和管理员密码设置。
和安装时一样,不用输入密码,直接click下一步就可以,保持密码不变。
到此基本设置已经完成,click重新加载,加载新的配置。
证书颁发机构(CA)管理
为了方便企业内部的SSL加密通讯,我们将在OPNsense配置企业内部的证书颁发机构(CA),所有内部用到的证书,将由此机构签发。
从【系统:信任:认证】进入证书颁发机构管理页面
已有的颁发机构会在列出,如我们这已经有了一个(LSWIN-ROOT-CA)。我们下面将示范如何建立颁发机构和中级颁发机构。
首先点击右上角的【+添加或导入CA】
首先建立颁发机构:
除了【描写名字】外,尽量用英文填写,并不是所有软件都能很好处理证书中的UTF-8编码。click【保存】,一个颁发机构的证书就形成了。
下面是使用刚生成的颁发机构颁发一张中级颁发机构证书,这二种颁发机构都有权颁发客户端 / 服务器证书,不同处是颁发机构有权颁发中级颁发机构证书,中级颁发机构没有权利签发任何颁发机构证书。
证书管理
从【系统:信任:证书】进入证书管理页面,页面上显示的是现有各类证书。
颁发的证书一般分为二类,服务器证书和终端证书,顾名思义,服务器证书给提供服务的设备使用,终端证书给接入服务的终端设备使用。证书一经签发,不可修改。
点击右上角的【+添加或导入证书】,进入签发页面。
证书管理提供三种功能,导入现有证书、形成签发证书请求和颁发证书,我们只讨论颁发证书 – 颁发服务器证书和颁发终端证书。
将用于OpenVPN服务的证书
张三的个人证书
在管理中心,我们可以看到这二张证书。
授权管理
授权管理主要是管理二类用户,一个是OPNsense管理员,另一类是远程接入用户,我们在这只讨论OpenVPN用户。
入口:【系统:访问:用户】
点击用户右边的小铅笔符号是修改,小垃圾桶是删除。新增用户是点击右下角的 + 号。
新增用户
新增用户张三,登录名是zhang.san,邮箱是zhang.san@exampleco.cn,远程接入(OpenVPN)用户,账号有效期到2020年12月31里。
因为我们的VPN接入将采用个人证书加密码的形式,所以我们勾选了【 点击以生成一个用户证书 】,信息填好后点击【保存】。
因勾选了【 点击以生成一个用户证书 】,保存用户信息后,自动跳转到证书页面。
我们已经为张三生成了个人证书,所以在此选用了【选择一个现存的证书】。选好后点击【保存】,重新回到新增用户页面。我们可以看到用户证书一栏已经更新,再点击【save and goback】,新增用户张三的任务就完成了。
完成后将返还用户管理页面。
系统软件管理
系统软件菜单上被称为固件
更新表
如有更新,可更新部件会被列出。
设置表
【固件镜像】选用Aivian。这是唯一的一个国内镜像,明显比其他镜像快。
【固件Flavor】其实就有二种,一种是用OpenSSL,一种是用LibreSSL,可根据自己的喜好选择。(default)是使用OpenSSL。
【Release Type】也是有二种选择生产版(Production)和开发版(Development)。OPNsense的开发版也很稳定。OPNsense的质量,在开源项目中有明显优势,这是我们选择它的重要原因之一。
软件包表
这里列出的是系统中已经安装的插件包。
插件表
排在上面,使用粗体字的表示是已安装的插件包,其余的表示是未安装的插件包。图中,每种插件包都有二个版本,生产版和开发版。这是因为我们在设置中的【Release Type】选了开发版,否则不显示开发版。
【现在审查】功能是很有用的独特功能组,有二个功能,分别是安全审查(Security)和健康审查(Health)。
下图是安全审查的结果。
下图是健康审查的结果。
看了这二个图,安全审查和健康审查的意思应该是很明确了。
其他管理在这里我们不做讨论。几个高级配置(网关、高可靠和路由)在后面配置其他应用是可能会碰到,到时再讨论。其他的配置,没什么可以多说的,多玩玩就行了。
OPNsense的系统配置到此告一段落,下一个主题是VPN的配置和使用。IPsec和OpenVPN是最常用和可靠的二个加密通讯开放标准。相对来说,业界更偏好OpenVPN,我们也归于这一类。我们的系统,只支持OpenVPN远程接入,所以下一讲的标题会是 “ OpenVPN的配置和使用 ”。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/126120.html原文链接:https://javaforall.net
