Architecture

Le logiciel OPNSense® est disponible en pour les architecture de processeur x86-32 et x86-64

 

Version embarquée ou complète

La version complète peut fonctionner sur une carte SD, un disque SSD ou un disque standard.
Depuis la version 15.1.10 (du 4/05/2015) l’option d’installation d’un système embarqué est disponible.
La différence principale entre la version embarquée et la version complète est présentée ci-dessous :
Embarquée    Complète
Utilise NanoBSD    Utilise FreeBSD
Ecrit sur un disque en mémoire RAM     Ecrit sur un disque local
Pas de rétention des logs après un reboot     Rétention des logs après un reboot
Non compatible avec des écritures disque    Compatible avec des écritures disque
Utilisation embarqué uniquement    Possibilité d’activer le mode disque RAM

La version embarquée (basée sur nanobsd) stock les informations de log et de cache dans la mémoire RAM, alors que la version complète conserve les données sur un disque local. Une version complète peut avoir un comportement assez similaire à une version embarquée en activant le disque RAM, particulièrement utile pour les carte mémoire SD.
 

⚠ Voir le chapitre sur les configurations hardware pour plus d’information sur les pré-requis avant installation
 

Téléchargement

La distribution logiciel OPNSense peut être téléchargée depuis différents miroirs.

 

Média d'installation

Suivant le type de hardware utilisé et votre média d’installation, différentes options sont proposées

Type Description
CD-Rom Installation d’une image ISO avec la possibilité de l’utiliser en « Live CD » fonctionne en mode VGA uniquement
VGA Installation USB via une image avec la possibilité de l’utiliser en « Live CD » fonctionne en mode VGA uniquement
Serial Installation USB via une image avec la possibilité de l’utiliser en « Live CD » fonctionne en mode console série (115200 bauds) avec support secondaire du VGA (sans message du noyau)
Nano Image pré-installée de 4GB avec un retour série destinée à une carte SD ou CF à utiliser avec des système embarqués
Attention
Attention ! Les mémoires de type flash ne tolèrent qu’un nombre limité d’écriture et de ré-écriture. Pour les système embarqués (type nano) les points de montage /var et /tmp sont donc monté en RAM afin de prolonger la durée de vie des cartes.
 

Il est possible d’activer des points de montage en mémoire RAM pour /var et /tmp dans Système => Paramètres => Divers - vous pourrez définir la taille attribuée à ces points de montage (128MB ou plus), suivant la mémoire disponible. Un re-démarrage de l’appliance est nécessaire pour une prise en compte des paramètres. Il est dans ce cas conseillé d’activer un système syslog externe.

 

Nomenclature des nommage des images

OPNSense-##.#.##-OpenSSL- cdrom- i386- iso.bz2
  nano- amd64- img.bz2
  serial-    
  vga-    
 

Note :

Veuillez noter que la dernière version d'installation disponible ne correspond pas toujours à la dernière version publiée. Les installation des images OPNSense sont fournies à interval régulier avec les mises à jour majeurs des systèmes (tout les 6 mois). Des informations détaillées sont publiées dans la section README des répertoires de mises à jour.

 

A propos de Hardened BSD

Depuis la version 17.x d’OPNSense, le système HardenedBSD est intégré en natif dans la distribution. Cette implémentation permet au projet OPNSense de bénéficier d’une sécurité importante qui permet une protection de la mémoire (plus connu sous le nom d’ASLR). Cela permet une protection efficace de certains points dans la mémoire procfs/linprocfs et ainsi d’éviter la mise en œuvre de technique d’attaque complexes de bas niveau.

 

OpenSSL & LibreSSL

Les images OPNSense sont fournies avec la possibilité d’utiliser OpenSSL ou LibreSSL et il vous est possible de choisir quelle version utiliser dans le GUI (Système => Firmware => Paramètres). Ceci est un choix intéressant compte-tenu du nombre de bug régulièrement identifié dans le code d’OpenSSL, l’alternative LibreSSL est donc la bienvenue.

 

Méthode d'installation

Téléchargez l’image d’installation depuis l’un des miroirs listé sur le site OPNSense.

La méthode d’installation la plus simple est depuis un clé USB en utilisant les images memstick. Si votre appliance dispose d’une interface série, choisissez une image « sérial_image » des versions 32 et 64-bit sont fournies. Les exemples ci-après s’appliquent aux deux versions.

Gravez votre image sur une clé USB, soit à partir de dd sous FreeBSD, Linux ou Mac OS X ou en utilisant un utilitaire de type physdiskwrite sous Windows. Avant de graver l’image, vous devez la décompresser en utilisant bunzip2.

Pour FreeBSD

dd if=OPNsense-##.#.##-[Type]-[Architecture].[img|iso] of=/dev/daX bs=16k

Ou X correspond au numéro de device de votre clé USB (vérifier dans dmesg)
 

Pour Linux

dd  if=OPNsense-##.#.##-[Type]-[Architecture].[img|iso] of=/dev/sdX bs=16k

Ou X = correspond au numéro IDE de votre clé USB  (vérifier avec hdparm -i /dev/sdX) (ignorer l’avertissement dû à la signature digitale)
 

Pour Mac OS X

sudo dd  if=OPNsense-##.#.##-[Type]-[Architecture].[img|iso] of=/dev/rdiskX bs=64k

Ou r = raw device, et ou X = le numéro de device de votre carte CF (vérifier avec la commande « diskutil list »)
 

Pour Windows

physdiskwrite -u OPNsense-##.#.##-[Type]-[Architecture].[img|iso].img

(utiliser la version v0.3 ou plus récente !)
 

Installer sur le système

Créer une clé USB bootable avec l’image téléchargée et décompressez l’image img. Configurez votre système pour booter depuis la clé USB.

Le comportement par défaut est de démarrer avec l’installation (I). Si vous choisissez de démarrer à partir du Live CD, choisissez (C).

Le processus d’installation se décompose en plusieurs étapes :

  1. Configurez la console - La configuration par défaut doit être ok dans la plupart des cas.
  2. Sélectionner la tâche - l'option Quick/Easy Install est ok dans la plupart des cas. Pour une installation sur des systèmes embarqués ou des systèmes sur mesure, sélectionnez Custom Installation et ne créez pas de partition de swap. Continuez avec les options par défaut.
  3. Etes-vous certain ? - Quand il procède à l’installation, le système OPNSense s’installe sur le premier disque du système.
  4. Re-démarrer - Le système est maintenant prêt à être installé et nécessite d’être rebooté pour terminer la configuration.

Attention :

Vous perdrez tous les fichiers présents sur le disque d’installation. Si un autre disque doit être utilisé, il faut choisir la méthode d’installation Custom et non la méthode Quick/Easy Install.
 

Configuration initiale

Après l’installation le système vous demandera de choisir l’assignation des interfaces. Si vous ignorez cette étape, la configuration par défaut sera appliquée. La configuration se termine par un prompt de loggin.

Par défaut vous devez vous connecter pour accéder à la console.

Message de bienvenue

* * * Welcome to OPNsense [OPNsense 15.7.25 (amd64/OpenSSL) on OPNsense * * *

WAN (em1)     ->
LAN (em0)     -> v4: 192.168.1.1/24

FreeBSD/10.1 (OPNsense.localdomain) (ttyv0)

login:

Conseil :

Un utilisateur peu accéder à la console avec ses information de connexion (login / password). Les informations de connexion par défaut sont « root » pour l'utilisateur et « opnsense » pour le mot de passe.

VLANs et assignation des interfaces

Si vous choisissez de faire une installation manuelle ou quand aucune configuration ne peut être trouvée, il vous est alors demandé de procéder à l’assignation des interfaces et des VLAN’s. Si vous avez besoin d’un VLAN alors sélectionnez l’option « no ». Vous pourrez toujours configurer les interfaces VLAN plus tard.
 

LAN, WAN et interfaces optionnelles

La première interface est l’interface LAN. Saisissez le nom adéquat pour cette interface, par exemple « em0 ». La seconde interface est l’interface WAN. Saisissez le nom adéquat pour cette interface, par exemple « em1 ». Des interfaces optionnelles peuvent être attribuées en tant qu’interface Optionnelles (OPT). Si vous assignez toutes vos interfaces, vous pouvez presser la touche « ENTER » et confirmer vos réglages. OPNSense configurera votre système et vous présentera le prompt de login lorsqu’il aura terminé.

Actions minimales requises

Dans le cas d’une installation minimale (par exemple sur une carte CF), OPNSense peut être démarré avec la plupart des fonctions, excepté pour celles qui nécessitent une écriture disque (par exemple un proxy tel que Squid). Ne créez pas une partition SWAP, mais un disque RAM à la place. Dans l’interface GUI, activez dans Système => Paramètres => Divers => Paramètres Disque RAM et choisissez une taille de disque de 128MB ou plus, suivant la RAM disponible sur votre système. Après re-démarrez votre appliance.
 

Activez la RAM manuellement

Puis, via la console, vérifiez vos paramètres dans  /etc/fstab et vérifiez que votre partition primaire est bien accessible en lécture et écriture  rw,noatime à la place de rw.

Console :
La console vous présente 13 options.

0)     Logout                              7)      Ping host
1)     Assign interfaces                   8)      Shell
2)     Set interface(s) IP address         9)      pfTop
3)     Reset the root password             10)     Filter logs
4)     Reset to factory defaults           11)     Restart web interface
5)     Reboot system                       12)     Upgrade from console
6)     Halt system                         13)     Restore a configuration
Table: Le menu de la console
 

opnsense-update

OPNsense propose une interface en ligne de commande (CLI) “opnsense-update”. Via l’option 8) Shell du menu, l’utilisateur peut obtenir un shell et exécuter la commande opnsense-update.

Pour obtenir de l’aide, saisissez  opnsense-update -help et [Enter]
 

Mise à jour depuis la console

L’autre méthode qui permet de mettre à jour son système depuis la console est via le GUI avec l’option 12) Upgrade from console

Une mise à jour peut aussi être déclenchée via le menu Système⇒Firmware.

 

Note générale

La plupart des informations transmises ici sont aussi valables pour le logiciel pfSense®