¶ OPNSense
¶ ¿Qué es OPNSense?
OPNsense® es una plataforma de enrutamiento y cortafuegos basada en FreeBSD de código abierto, fácil de usar y de construir.
OPNsense incluye la mayoría de las características disponibles en los costosos cortafuegos comerciales, y más en muchos casos. Aporta el rico conjunto de características de las ofertas comerciales con los beneficios de las fuentes abiertas y verificables.
¶ Despliegue inicial de los recursos
Antes de desplegar la instancia de OPNSense, lo primero que debemos crear será subred LAN. Para ello nos dirigiremos a la cinta de objetos situada a la izquierda del espacio de trabajo y arrastraremos el objeto "red" dentro de la caja "Nuevo" situado en la parte superior del espacio de trabajo.
Por defecto vienen preconfigurados unos valores de IP y DNS que son suficientes para que nuestro proyecto funcione, aunque se puede configurar en función de las necesidades o preferencias.
Antes de pulsar el botón crear, tenemos que asegurarnos que la casilla de "DHCP" está activada.
Una vez presionado el botón "Crear", se desplegará nuestra red LAN en el espacio de trabajo y representada de color naranja.
¶ Instalación
¶ Instalación de OPNSense
Actualmente la última versión disponible en el Catálogo de Aplicaciones es la 24.7.3, que es con la que se va a realizar el despliegue. Esto es importante a la hora de consultar la documentación.
Aquí te dejamos información sobre como desplegar una instancia a partir del Market de Aplicaciones.
Market de Aplicaciones
Desplegar AplicaciónEn el despliegue de la instancia, en el apartado de "Red" lo asociaremos a la red Externa y a la red LAN.
Esto nos asignará una IP externa directamente a nuestra instancia.
Una vez desplegado nuestro router OPNSense, comprobamos que tenga los 2 puertos asociados, 1 a cada red. La topología debe quedar así:
¶ Configuración de la red LAN
Para que las instancias que despleguemos en la red LAN puedan tener conexión a internet correctamente deberemos hacer las siguientes configuraciones en la red.
Primero tendremos que indicar que la puerta de enlace de la red es la IP del router OPNSense que acabamos de levantar.
Es posible que tengamos que modificar el pool de asignación de la subred para poder cambiar la puerta de enlace. Esto se debe a que la IP de la puerta de enlace tiene que estar fuera del pool de asignación.
Ademas tendremos que realizar dos acciones, eliminar cualquier grupo de seguridad configurado y editar el puerto y desactivar la opción "Puerto de seguridad".
¶ Acceso a OPNSense
¶ Acceso desde la consola
Para poder configurar nuestro router, tendremos que acceder a la consola de la instancia. Para ello, pulsamos la opción "Lanzar consola" desde la opciones de la máquina virtual e introduciremos las credenciales por defecto asociadas a la imagen.
Puede consultar estas credenciales desde la documentación oficial: Credenciales OPNSense
Tras introducir las credenciales accederemos al menú de configuración de la instancia.
¶ Cambio de credenciales por defecto
A nivel de seguridad, es esencial cambiar la contraseña por defecto para evitar que un atacante pueda acceder al vRouter.
Hay que tener en cuenta que estas credenciales son públicas en internet y, por lo tanto, accesibles para cualquier persona.
Es por eso por lo que la primera configuración a realizar es el cambio de contraseña de root (3).
¶ Habilitar acceso a la interfaz web
Una vez modificadas las credenciales, configuraremos la interfaz de la red externa para poder acceder al panel web nativo de OPNSense.
Para ello, seleccionamos la primera opción ("1) Assign interfaces") para configurar únicamente la interfaz WAN.
Para asegurar que configuramos la interfaz correcta es recomendable comprobar la dirección MAC en los detalles del puerto.
| Pregunta | Respuesta |
|---|---|
| Do you want to configure LAGGs now? [y/N] | N |
| Do you want to configure VLANs now? [y/N] | N |
| Enter the WAN interface name or ‘a’ for auto-detection: | vtnet0 |
| Enter the LAN interface name or ‘a’ for auto-detection NOTE: this enables full Firewalling/NAT mode. | intro |
| Enter the Optional interface 1 name or 'a' for auto-detection: | intro |
| Do you want to proceed? [y/N] | y |
Una vez finalizado el proceso, podremos ver la IP configurada de nuestro puerto de la red externa asociada a la interfaz WAN.
¶ Acceder al panel web
Para acceder al panel web, tendremos que asociar al puerto de la red externa un grupo de seguridad que permita acceder al puerto 80 y al 443 a nuestra dirección IP.
Puede comprobar cuál es la IP asociada a su salida a internet aquí
Una vez permitido el tráfico, podremos acceder a través del navegador utilizando la IP pública de la interfaz WAN e introduciendo las crendenciales de root, las cuales habremos modificado previamente.
¶ Configuración interfaz LAN
Antes de configurar la interfaz LAN, es necesario crear una regla en la interfaz WAN que permite el acceso a la interfaz web, ya que al configurar la interfaz interna OPNSense asocia el panel web a esta nueva interfaz y, por lo tanto, perderíamos acceso al panel.
Si no se crea esta regla se perderá el acceso a la interfaz web a través de la IP pública.
La regla se crea desde la pantalla "Firewall > Rules > WAN"
A continuación, pulsaremos en añadir y configuraremos una regla que permita el tráfico entrante desde nuestra IP de origen a la IP pública del OPNSense mediante HTTP y HTTPS
Tras este paso, es recomendable permitir todo el tráfico del puerto de la red externa del vRouter y realizar el filtrado del tráfico únicamente desde el OPNSense.
Una vez creada, podremos configurar la interfaz LAN. Para ello, simplemente accedemos a la pantalla "Interfaces > Assignments".
Desde allí podremos ver como detecta la interfaz que queda por configurar (vtnet1) y añadiendo LAN en el campo "Description" se agregará correctamente la interfaz.
Tras añadirla, podremos dirigirnos a la pantalla de configuración que veremos en el panel lateral.
Desde allí, habilitaremos la interfaz y seleccionaremos la configuración de la IP estática para posteriormente configurar la IP de la interfaz en Soax, en nuestro caso, la 192.168.1.132.
Además, configuraremos la MTU a 1450 para un mejor rendimiento.
Es necesario modificar la máscara de red al configurar la IP asociada a la interfaz, ya que con el valor por defecto (32) no funcionará correctamente.
La dirección IP definida para la interfaz se aplica únicamente a este entorno, por lo que este valor puede cambiar en función de la IP que tenga asociado el puerto en cada entorno en concreto.
Por último, tendremos que crear una regla que permita el tráfico, ya que, por defecto, todo el tráfico a través de esta interfaz sera rechazado.
Nos dirigimos a la pantalla "Firewall > Rules > LAN" para crear la regla.
Y crearemos una regla que permite el tráfico desde cualquier destino hacia cualquier destino.
Esta regla puede ajustarse para evitar posibles problemas de seguridad. Para este ejemplo concreto lo realizamos de esta manera por simplicidad.
Una vez añadida la regla, ya tendremos una configuración básica de nuestro router OPNSense.
¶ Activar Rotación Logs
OPNSense por defecto acumula los logs durante 31 días, esto hace que sea muy probable que se nos llene el disco dedicado para almacenar los logs. Para evitar esto podremos indicarle tanto los días que queramos que reserve los logs, como el máximo de tamaño que queremos que tengan los logs almacenados, si este tamaño se supera, ese archivo rotará.
Para modificar estos parámetros nos iremos a System-->Settings-->Logging y podremos modificar los valores a nuestro gusto.
Si el disco dedicado para los logs se llena, el OPNSense dejará de funcionar correctamente.
¶ Ejemplo Port Forwarding
Para comprobar que la configuración se ha realizado correctamente, vamos a crear una máquina virtual con el sistema operativo Rocky para acceder y comprobar el acceso a internet.
Tendremos que desactivar el puerto de seguridad de la misma forma que en la configuración de la red LAN
Como queremos acceder a la instancia por SSH, tendremos que añadir una regla al grupo de seguridad asociado al puerto de la red externa en Soax que permita la conexión desde nuestra IP origen.
A continuación, en el panel web de OPNSense, nos dirigimos a "Firewall > NAT > Port Forward" y añadiremos una nueva regla. Esta regla redirige el siguiente tráfico:
- Origen: Nuestra IP
- Destino: IP de interfaz WAN, puerto 30000
- Redirección: IP de VM-Comprobación, puerto 22 (SSH)
Una vez creada, aplicaremos los cambios para configurar el reenvío de puertos.
Finalmente, podremos acceder a la instancia por SSH mediante la IP de la interfaz WAN en el puerto 30000. Al acceder, comprobaremos que efectivamente la IP es la 192.168.1.140 y mediante la herramiento curl comprobaremos que tenemos salida a internet por la IP de nuestra interfaz WAN.
Tras este pequeño proceso, habremos comprobado que nuestro router se ha configurado correctamente.
Puede ver dos ejemplos de casos prácticos de configuración de VPNs con OPNSense en los siguientes enlaces: VPN Site-to-Site OPNSense | VPN Cliente-Servidor OPNSense
¿Qué es opnsense?
vpn opnsense
configurar opnsense