OPNSense

最近まで自宅の対外接続Router兼FirewallとしてpfSenseを利用していた。 しかし、pfSenseの来船に関する変更を見て、ちょっと調べ直したら、OPNSense がかなりよくなっていることに気がついたので、OPNSenseに切り替えてみる気になった。

1. OPNSenseのIPSがsuricataになってた (いつからかわかってない)
2. OpenVPN を利用するためのClient ConfigurationがExportできるようになってた
3. Commandlineからの制御とは言え、pkgが利用できる
   1. すなわち、CEoRで多少の面倒はみられると言うこと
4. pfSenseで自分が利用していた機能は全てOPNSenseで動作する
5. 実質の影響はないとは言え、pfSenseのライセンス変更は正直気に入らなかった
   1. もちろん、彼らはOpenであんなに素晴らしいシステムを公開しているのだから、彼らに文句を言う気はない。むしろ当然とも思う
   2. 気に入らなかったら意見は述べて良い。それでも気に入らなければ別実装を使え！は鉄則。彼らだって完全なVoluntierではないのだから

というわけで、Installしたのでそのメモを。

（最終的なやつは別記事にしてあげるので、ここではメモのみ記述する）

基盤は例によってXenServer。

• OPNSenseのInstall ISO ImageをDownloadし、XenServer用のISO供給用NFSサーバーに設置
• 上記SpecでVMを作成し、ISOイメージから起動
• Login Promptが出るので、User: installer / Passwd: opnsense でloginする
• 画面の指示に従いInstallを進める
• Installが終了したら、再起動し、ISOイメージをEjectする

• 起動すると、Login Promptが出るので、User: root / Passwd: opnsense でloginする
• Network関連の設定をする
  • 1) Assign interfaces から、認識しているNICを設定する
  • 2) Set interface IP address から、LAN I/FにIP Addressを割り当てる
  • ここまでを行うとconsole画面に割り当てたIPアドレスが表示されるようになる。
• ここまで実行するとGUIで設定できるようになる

ここからは、普通に色々設定すれば良いのだが、特に気にしておくべきことをメモしておく。

• まず、XenServer側で TSO をOffにしておく。
  • XenServerにloginした上で、以下を実行

  • xe vif-param-set uuid=[VMのVIF UUID] other-config:ethtool-tso="off"

• Browserで、設定したIPアドレスにアクセスする
• System → Access → Users
  • 自分用アカウントを作成する
• System → Settings → Administration
  • Secure Shell をEnableにし、SSH portを変更する
• System → Settings → Tunables
  • net.inet.tcp.tso を 0にする

• sshでlogin
  1. sudo pkg update
  2. sudo pkg install xe-guest-utilities
  3. sudo echo “xenguest_enable=YES” » /etc/rc.conf.local