
OPNsense 是基于 FreeBSD 的开源防火墙系统,可以在 虚拟化环境 或 物理机 上安装部署。访问 OPNsense 官网的下载页面,下载最新的 OPNsense 镜像文件,并找到镜像文件对应的校验信息。
OPNsense 官方下载地址:https://opnsense.org/download/
Architecture 选择 amd64
Select the image type 选择 dvd
Mirror Location 选择 Peking University ,即北京大学镜像站
Checksum verification 即镜像文件的校验信息

OPNsense 镜像默认为 压缩格式,因此下载完成并校验文件信息后,需要将镜像的 ISO 文件解压出来。
本文将使用物理机安装 OPNsense ,启动盘制作工具请参考系列文章 Proxmox VE 折腾手记 # 启动盘制作工具 。
硬件资源要求可以参考官方文档 Hardware sizing & setup 。
https://docs.opnsense.org/manual/hardware.html
官方建议硬件配置参数如下:
CPU:1.5 GHz multi core cpu
RAM:8 GB
DISK:120 GB SSD
因此在安装 OPNsense 之前,需准备以下内容:
一台已经联网的 前置路由器 或 光猫
OPNsense ISO 镜像文件
物理机安装时,需要制作 USB 启动盘
用于安装 OPNsense 的虚拟机或物理机
额外说明:
经过测试,一般情况下 4 核心 4 GB 内存足够使用,但若开启 Suricata 模块,内存建议不少于 8 GB 。
OPNsense 至少需要 4 GB 硬盘空间,但若保留大量日志以及流量图表数据,硬盘建议不少于 40 GB 。
OPNsense 支持 Legacy/UEFI 引导模式,但更建议使用 UEFI 模式。
关于 OPNsense 网口数量,除非将 OPNsense 作为旁路设备,通常情况下至少需要 2 个网口。4.1. 虚拟机或物理机只有双网口时,通常情况下无需创建 bridge 接口,即网桥。4.2. 对于双网口虚拟机,建议初始化阶段有 3 个网口,配置完成后可移除不必要的网口。4.3. 对于双网口物理机,建议准备一个千兆 USB 网卡,配置完成后可移除 USB 网卡。4.4. 第 3 网口为可选项,仅用于保证 OPNsense 在 PPPoE 拨号场景下网口分配顺序与物理顺序保持一致。
由于机型不同,BIOS 的设置也不同,所以本文不演示具体如何将机器设置成从 U 盘启动。
1.1.设备引导
使用 进行设备引导后,出现如下画面,选择 OPNsense 的 ISO 镜像文件 :

1.2.配置导入
进入引导跑码阶段,系统会出现提示,信息如下:
Press any key to start the configuration importer: ...
表示系统正在等待用户决定是否需要导入配置,一般情况下 忽略 即可。

1.3.分配网口
系统将继续跑码,并再次出现提示,信息如下:
Press any key to start the manual interface assignment: 5
表示系统正在等待用户决定是否 手动 分配网口,有 秒倒计时。
此时需要在倒计时结束之前,按下键盘 任意 按键(例如 或 )进入网口分配流程。

系统提示是否配置 ,输入 并回车:
Do you want to configure LAGGs now? [y/N]: N

系统提示是否配置 ,输入 并回车:
Do you want to configure VLANs now? [y/N]: N

系统会显示出网口列表,并提示信息:
Enter the WAN interface name or 'a' for auto-detection:
表示系统等待用户输入 对应的网口名称,或输入 进行自动探测。
此时,需要根据 列表中的信息,选择 对应的网口。
注意:不同硬件类型的网卡,此处显示的网口名称会有所不同,请注意区分。

本文以 第一个 网口 分配为 口进行演示:

口分配完成后,系统会提示如下信息:
Enter the LAN interface name or 'a' for auto-detection NOTE: this enables full Firewalling/NAT mode. (or nothing if finished):
表示系统等待用户输入 对应的网口名称,或输入 进行自动探测。
而且一旦分配了 ,OPNsense 将默认激活 和 相关功能。
如果用户不想指定任何 ,留空即可。

为了后续 OPNsense 网口顺序与物理网口保持一致,请选则 最后一个 网口。
当前最后一个网口为 ,将其分配为 口:

口分配完成后,系统会提示如下信息:
Enter the Optional interface 1 name or 'a' for auto-detection (or nothing if finished):
表示系统等待用户输入 (可选网口)对应的网口名称,或输入 进行自动探测。
如果用户不想指定任何 ,留空即可。
本文后续将会创建内部网桥,因此不对其分配网口,直接按 结束网口分配流程。

系统展示当前网口分配结果,并询问是否执行,输入 并回车:
Do you want to proceed? [y/N]: y

1.4.登录安装账户
系统将继续跑码,并停留在如图所示处。
与其他路由器系统不同,OPNsense 提供了一个免安装的 方便大家体验。
处于 下的 OPNsense 可通过地址 进行访问。
但所有对 OPNsense 的参数修改,将在系统重启后丢失。

此时,使用账户 和默认密码 进行登录,进入系统安装流程。
与 Linux 系统一样,输入密码时不会有任何提示符出现。

1.5.选择键盘键位
一般保持默认的 键盘键位即可,按键盘 继续。

1.6.配置文件系统
默认情况下 OPNsense 将使用 文件系统,但本文以 进行演示。
因为 OPNsense 底层为 FreeBSD ,已对 文件系统提供良好支持。
按键盘 选择 ,按 继续。

提供了多种冗余模式,不同模式之间的区别可参考 TrueNAS 相关文档,简单来说区别如下:
stripe: single disk stripe pool mirror: mirror pool (similar to raid-1, ≥ 2 disks, 1:1 redundancy) raidz1 pool (similar to raid-5, ≥ 3 disks, 1 disk redundancy) raidz2 pool (similar to raid-6, ≥ 4 disks, 2 disks redundancy) raidz3 pool (similar to raid-7, ≥ 5 disks, 3 disks redundancy)
由于此时只有一块硬盘,因此选择条带模式 。

选择安装目标硬盘,按键盘 来选择,按 选中,按 继续。
被选中的硬盘前面将出现 标记,这里以 固态硬盘进行演示。

系统提示该操作会 格式化 硬盘,按键盘 选择 ,按 继续。

1.7.安装进度
OPNsense 安装正式开始,可以看到当前执行步骤以及进度。

1.8.安装完成
按键盘 选择 ,按 继续。
此时系统将重新启动,对于物理机安装时,可移除引导 U 盘。

至此 OPNsense 安装步骤全部完成。