0.前期準(zhǔn)備工作

OPNsense 是基于 FreeBSD 的開源防火墻系統(tǒng)，可以在 虛擬化環(huán)境 或 物理機(jī) 上安裝部署。訪問 OPNsense 官網(wǎng)的下載頁面，下載最新的 OPNsense 鏡像文件，并找到鏡像文件對應(yīng)的校驗信息。

OPNsense 官方下載地址：https://opnsense.org/download/

• Architecture?選擇?amd64

• Select the image type?選擇?dvd

• Mirror Location?選擇?Peking University?，即北京大學(xué)鏡像站

• Checksum verification?即鏡像文件的校驗信息

OPNsense 鏡像默認(rèn)為?.bz2?壓縮格式，因此下載完成并校驗文件信息后，需要將鏡像的 ISO 文件解壓出來。

本文將使用物理機(jī)安裝 OPNsense ，啟動盤制作工具請參考系列文章?Proxmox VE 折騰手記 # 啟動盤制作工具?。

硬件資源要求可以參考官方文檔?Hardware sizing & setup?。

https://docs.opnsense.org/manual/hardware.html

官方建議硬件配置參數(shù)如下：

• CPU：1.5 GHz multi core cpu

• RAM：8 GB

• DISK：120 GB SSD
  

因此在安裝 OPNsense 之前，需準(zhǔn)備以下內(nèi)容：

• 一臺已經(jīng)聯(lián)網(wǎng)的?前置路由器?或?光貓

• OPNsense ISO 鏡像文件

• 物理機(jī)安裝時，需要制作 USB 啟動盤

• 用于安裝 OPNsense 的虛擬機(jī)或物理機(jī)

額外說明：

1. 經(jīng)過測試，一般情況下?4?核心?4 GB?內(nèi)存足夠使用，但若開啟?Suricata?模塊，內(nèi)存建議不少于?8 GB?。

2. OPNsense 至少需要?4 GB?硬盤空間，但若保留大量日志以及流量圖表數(shù)據(jù)，硬盤建議不少于?40 GB?。

3. OPNsense 支持?Legacy/UEFI?引導(dǎo)模式，但更建議使用?UEFI?模式。

4. 關(guān)于 OPNsense 網(wǎng)口數(shù)量，除非將 OPNsense 作為旁路設(shè)備，通常情況下至少需要?2?個網(wǎng)口。

   4.1. 虛擬機(jī)或物理機(jī)只有雙網(wǎng)口時，通常情況下無需創(chuàng)建?bridge?接口，即網(wǎng)橋。

   4.2. 對于雙網(wǎng)口虛擬機(jī)，建議初始化階段有?3?個網(wǎng)口，配置完成后可移除不必要的網(wǎng)口。

   4.3. 對于雙網(wǎng)口物理機(jī)，建議準(zhǔn)備一個千兆 USB 網(wǎng)卡，配置完成后可移除 USB 網(wǎng)卡。

   4.4. 第?3?網(wǎng)口為可選項，僅用于保證 OPNsense 在 PPPoE 撥號場景下網(wǎng)口分配順序與物理順序保持一致。

1. OPNsense 系統(tǒng)安裝

由于機(jī)型不同，BIOS 的設(shè)置也不同，所以本文不演示具體如何將機(jī)器設(shè)置成從 U 盤啟動。

1.1.設(shè)備引導(dǎo)

使用?Ventoy?進(jìn)行設(shè)備引導(dǎo)后，出現(xiàn)如下畫面，選擇 OPNsense 的 ISO 鏡像文件 ：

1.2.配置導(dǎo)入

進(jìn)入引導(dǎo)跑碼階段，系統(tǒng)會出現(xiàn)提示，信息如下：

Press any key to start the configuration importer: ...

表示系統(tǒng)正在等待用戶決定是否需要導(dǎo)入配置，一般情況下?忽略?即可。

1.3.分配網(wǎng)口

系統(tǒng)將繼續(xù)跑碼，并再次出現(xiàn)提示，信息如下：

Press any key to start the manual interface assignment: 5

表示系統(tǒng)正在等待用戶決定是否?手動?分配網(wǎng)口，有?5?秒倒計時。

此時需要在倒計時結(jié)束之前，按下鍵盤?任意?按鍵（例如?空格鍵?或?回車鍵?）進(jìn)入網(wǎng)口分配流程。

系統(tǒng)提示是否配置?LAGGs?，輸入?N?并回車：

Do you want to configure LAGGs now? [y/N]: N

系統(tǒng)提示是否配置?VLANs?，輸入?N?并回車：

Do you want to configure VLANs now? [y/N]: N

系統(tǒng)會顯示出網(wǎng)口列表，并提示信息：

Enter the WAN interface name or 'a' for auto-detection:

表示系統(tǒng)等待用戶輸入?WAN?對應(yīng)的網(wǎng)口名稱，或輸入?a?進(jìn)行自動探測。

此時，需要根據(jù)?Valid interface are?列表中的信息，選擇?WAN?對應(yīng)的網(wǎng)口。

注意：不同硬件類型的網(wǎng)卡，此處顯示的網(wǎng)口名稱會有所不同，請注意區(qū)分。

本文以?第一個?網(wǎng)口?igc0?分配為?WAN?口進(jìn)行演示：

WAN?口分配完成后，系統(tǒng)會提示如下信息：

Enter the LAN interface name or 'a' for auto-detection
NOTE: this enables full Firewalling/NAT mode.
(or nothing if finished):

表示系統(tǒng)等待用戶輸入?LAN?對應(yīng)的網(wǎng)口名稱，或輸入?a?進(jìn)行自動探測。

而且一旦分配了?LAN?，OPNsense 將默認(rèn)激活?防火墻?和?NAT?相關(guān)功能。

如果用戶不想指定任何?LAN?，留空即可。

為了后續(xù) OPNsense 網(wǎng)口順序與物理網(wǎng)口保持一致，請選則?最后一個?網(wǎng)口。

當(dāng)前最后一個網(wǎng)口為?igc3?，將其分配為?LAN?口：

LAN?口分配完成后，系統(tǒng)會提示如下信息：

Enter the Optional interface 1 name or 'a' for auto-detection
(or nothing if finished):

表示系統(tǒng)等待用戶輸入?OPT1?（可選網(wǎng)口）對應(yīng)的網(wǎng)口名稱，或輸入?a?進(jìn)行自動探測。

如果用戶不想指定任何?OPT1?，留空即可。

本文后續(xù)將會創(chuàng)建內(nèi)部網(wǎng)橋，因此不對其分配網(wǎng)口，直接按?回車鍵?結(jié)束網(wǎng)口分配流程。

系統(tǒng)展示當(dāng)前網(wǎng)口分配結(jié)果，并詢問是否執(zhí)行，輸入?y?并回車：

Do you want to proceed? [y/N]: y

1.4.登錄安裝賬戶

系統(tǒng)將繼續(xù)跑碼，并停留在如圖所示處。

與其他路由器系統(tǒng)不同，OPNsense 提供了一個免安裝的?live mode?方便大家體驗。

處于?live mode?下的 OPNsense 可通過地址?192.168.1.1?進(jìn)行訪問。

但所有對 OPNsense 的參數(shù)修改，將在系統(tǒng)重啟后丟失。

此時，使用賬戶?installer?和默認(rèn)密碼?opnsense?進(jìn)行登錄，進(jìn)入系統(tǒng)安裝流程。

與 Linux 系統(tǒng)一樣，輸入密碼時不會有任何提示符出現(xiàn)。

1.5.選擇鍵盤鍵位

一般保持默認(rèn)的?US?鍵盤鍵位即可，按鍵盤?回車鍵?繼續(xù)。

1.6.配置文件系統(tǒng)

默認(rèn)情況下 OPNsense 將使用?UFS?文件系統(tǒng)，但本文以?ZFS?進(jìn)行演示。

因為 OPNsense 底層為 FreeBSD ，已對?ZFS?文件系統(tǒng)提供良好支持。

按鍵盤?方向鍵?選擇?Install (ZFS)?，按?回車鍵?繼續(xù)。

ZFS?提供了多種冗余模式，不同模式之間的區(qū)別可參考 TrueNAS 相關(guān)文檔，簡單來說區(qū)別如下：

stripe: single disk stripe pool
mirror: mirror pool (similar to raid-1, ≥ 2 disks, 1:1 redundancy)
raidz1 pool (similar to raid-5, ≥ 3 disks, 1 disk redundancy)
raidz2 pool (similar to raid-6, ≥ 4 disks, 2 disks redundancy)
raidz3 pool (similar to raid-7, ≥ 5 disks, 3 disks redundancy)

由于此時只有一塊硬盤，因此選擇條帶模式?stripe?。

選擇安裝目標(biāo)硬盤，按鍵盤?方向鍵?來選擇，按?空格鍵?選中，按?回車鍵?繼續(xù)。

被選中的硬盤前面將出現(xiàn)?[*]?標(biāo)記，這里以?NVMe?固態(tài)硬盤進(jìn)行演示。

系統(tǒng)提示該操作會?格式化?硬盤，按鍵盤?方向鍵?選擇?YES?，按?回車鍵?繼續(xù)。

1.7.安裝進(jìn)度

OPNsense 安裝正式開始，可以看到當(dāng)前執(zhí)行步驟以及進(jìn)度。

1.8.安裝完成

按鍵盤?方向鍵?選擇?Complete Install?，按?回車鍵?繼續(xù)。

此時系統(tǒng)將重新啟動，對于物理機(jī)安裝時，可移除引導(dǎo) U 盤。

至此 OPNsense 安裝步驟全部完成。