[OPNSense] – Lesson 4 – Assign interfaces

1. Assign interfaces trong OPNsense là gì?

Assign interfaces trong OPNsense là một tính năng cho phép người dùng cấu hình và gán các interface vật lý trên máy chủ vào các giao diện ảo trên OPNsense, ví dụ như VLANs, Bridge, VPN, v.v.

Khi chọn “Assign interfaces”, người dùng sẽ được hướng dẫn để gán giao diện WAN, LAN và Optional cho máy chủ. Nếu chọn ‘a’ cho auto-detection, OPNsense sẽ cố gắng xác định các giao diện tương ứng với các kết nối mạng được kết nối với máy chủ.

Sau khi hoàn tất quá trình gán, OPNsense sẽ cập nhật cấu hình và kích hoạt các giao diện được gán. Sau đó, người dùng có thể cấu hình các tính năng mạng bổ sung trên các giao diện đã được gán bằng cách sử dụng các tính năng mạng khác trong OPNsense.

2. Thực hành gán chức năng cho interface.

Mình có sơ đồ đấu nối như sau:

Sau khi khởi động OPNSense, nếu login thành công bạn sẽ có màn hình như dưới. Bạn sẽ thấy một giao diện đơn giản bao gồm 2 interface WAN và LAN được OPNSense tự động gắn giản như hình dưới.

Bạn hãy bấm phím 1 để lựa chọn Assign interfaces bạn nhận được câu hỏi “Do you want to configure LAGGs now?” xuất hiện trong quá trình cài đặt và cấu hình mạng trên OPNsense. LAGGs là viết tắt của Link Aggregation Groups, là một kỹ thuật cho phép kết nối nhiều cổng Ethernet thành một kênh truyền đường truyền thống. Kỹ thuật này còn được gọi là Trunking hoặc NIC Teaming.

Khi xuất hiện câu hỏi này, OPNsense đang hỏi bạn có muốn cấu hình LAGGs hay không. Nếu bạn muốn sử dụng tính năng này, bạn có thể chọn “y” để tiếp tục quá trình cấu hình.

Nếu không muốn sử dụng LAGGs, bạn có thể chọn “n” để bỏ qua bước này và tiếp tục cấu hình mạng cho OPNsense. Trường hợp của mình thì mình sẽ lựa chọn “n”.

Tiếp theo bạn nhận được câu hỏi “Do you want to configure VLANs now?“ nó xuất hiện khi bạn đang cấu hình các thiết bị mạng trên OPNsense. Nếu bạn chọn “y”, nghĩa là bạn muốn tiếp tục cấu hình VLAN trên OPNsense. VLAN là viết tắt của Virtual Local Area Network, nó cho phép bạn tạo nhiều mạng con ảo trên một mạng vật lý duy nhất. Điều này có thể giúp bạn quản lý mạng của mình một cách hiệu quả hơn, giảm độ trễ và tăng tốc độ truyền dữ liệu.

Nếu bạn chọn “N”, nghĩa là bạn không muốn cấu hình VLAN trên OPNsense và quay trở lại màn hình chính của giao diện cấu hình OPNsense. Trường hợp của mình thì mình sẽ lựa chọn “n”.

Hãy để ý tại phần “Valid interfaces are” nó thông báo hiển thị danh sách tất cả các interface có thể được sử dụng trên hệ thống Opnsense. Những giao diện này có thể là các cổng vật lý hoặc các giao diện ảo như VLAN hoặc LAGG.

Danh sách này có thể thay đổi tùy thuộc vào phần cứng và cấu hình hệ thống OPNsense. Tên interface được hiển thị có thể bao gồm WAN, LAN, OPT1, OPT2, VLAN1, VLAN2, vv. Chọn một trong số interface này để cấu hình và sử dụng trong quá trình cài đặt và cấu hình Opnsense.

Đồng thời bạn sẽ gặp câu hỏi “Enter the WAN interface name or ‘a’ for auto-detection.”. Bạn cần nhập tên interface WAN hoặc nhập ‘a’ để OPNSense tự động xác định giao diện WAN. Nếu bạn biết chính xác tên interface WAN của mình (ví dụ: em0, em1, enp0s3, eth0, eth1, …), bạn có thể nhập tên đó. Nếu không biết chính xác tên, bạn có thể nhập ‘a’ để OpnSense tự động phát hiện giao diện WAN. OpnSense sẽ tự động tìm kiếm các interface có kết nối internet và hiển thị danh sách để bạn chọn. Nhưng theo ý kiến cá nhân của mình thì bạn nên tự xác định interface, vì mình đang có 2 card mạng (vtnet0, vtnet1) và mình sẽ lựa chọn interface vtnet0 làm interface WAN.

Tương tự bạn sẽ gặp thêm câu hỏi “Enter the LAN interface name or ‘a for auto-detection.”, tương tự như phần WAN, tại phần LAN mình sẽ lựa chọn interface vtnet1 làm interface LAN.

Câu hỏi tiếp theo bạn sẽ gặp là “Enter the Optional interface 1 name or ‘a’ for auto-detection (or nothing if finished).“ nhưng lần này mình sẽ không nhập gì vì mình đã có 1 card mạng WAN và card mạng LAN là quá đủ nên mình sẽ bấm Enter để bỏ qua phần thiết lập Optional interface. Sau này gắn thêm interface thì mình sẽ vào giao diện GUI mình sẽ thiết lập sau.

Bạn nhận được thông báo “The interfaces will be assigned as follows” để thông báo cho người dùng biết về cách gán các interface cho các vai trò của chúng trên OPNsense. Thông báo này sẽ cho bạn biết các giao diện được gán cho các vai trò sau:

• WAN interface: Được sử dụng để kết nối đến Internet hoặc mạng bên ngoài. OPNsense sẽ yêu cầu bạn nhập tên của interface được sử dụng làm WAN.
• LAN interface: Được sử dụng để kết nối đến mạng nội bộ. OPNsense sẽ yêu cầu bạn nhập tên của interface được sử dụng làm LAN hoặc để tìm và gán interface tự động.

Sau khi xác nhận các interface được gán cho các vai trò tương ứng, OPNsense sẽ tiếp tục với các bước cấu hình khác để hoàn tất cài đặt.

Nếu bạn lựa chọn Y thì tiến trình sẽ bắt đầu như hình dưới.

Và bạn sẽ có cài đặt thông tin card mạng mới.

Ngược lại nếu bạn chọn N thì bạn sẽ phải thiết lập lại từ đầu.

3. Thực hành đặt IP cho các interface.

3.1. Đặt IP cho mạng LAN.

Sau khi gán chức năng cho interface, chúng ta hãy đặt lại IP tĩnh cho các interface này. Bạn bấm phím 2 để lựa chọn chức năng Set interface IP address. Nó sẽ liệt kê danh sách interface. mà chúng ta đã thiết lập ở phần trên, mình lựa chọn số 1 để cài đặt mạng LAN trước.

Câu hỏi “Configure IPv4 address LAN interface via DHCP? [y/N] để hỏi bạn có muốn lựa chọn thiết lập IP bằng DHCP không, do mình muốn thiết lập IP tĩnh nên mình sẽ lựa chọn N.

Chúng ta có các thiết lập như sau:

– Bạn hãy điền IP bạn muốn thiết lập cho card mạng LAN tại “Enter the new LAN IPv4 address Press ‹ENTER> for none” và bấm Enter.

Lưu ý: Địa chỉ IP 172.16.1.254/24 mình sẽ không gán vlanid cho nó mà sẽ gán trực tiếp vào interface vtnet1 của card mạng LAN, mình sử dụng nó như một IP Management để login vào giao diện GUI của OPNSense, IP này sẽ không sử dụng để chạy trong local, sau này mình cũng có thể gỡ IP này ra mà không ảnh hưởng gì đến hoạt động của hệ thống).

– Tại phần “Enter the new LAN IPv4 subnet bit count (1 to 32)” bạn hãy lựa chọn Prefix và bấm Enter (2).

– Tại phần “For a WAN enter the new LAN IPv4 upstream gateway address. For or a LAN, press ‹ENTER> for none” co ý nghĩa như sau:

• Nếu bạn đang cấu hình một cổng mạng trên OPNsense, có thể bạn sẽ được yêu cầu nhập địa chỉ gateway cho cổng mạng đó. Cụ thể hơn, nếu bạn đang cấu hình cổng WAN, câu hỏi sẽ yêu cầu bạn nhập địa chỉ gateway mới cho cổng LAN IPv4 lên trên (upstream), hoặc nếu bạn đang cấu hình cổng LAN, bạn có thể nhấn Enter để không nhập gì cả.
• Nếu bạn đang cấu hình cổng WAN, địa chỉ gateway mới sẽ được sử dụng để định tuyến các gói tin từ mạng của bạn đến Internet thông qua cổng WAN. Nếu bạn đang cấu hình cổng LAN, việc nhập địa chỉ gateway mới sẽ xác định địa chỉ của thiết bị định tuyến sẽ được sử dụng để định tuyến các gói tin từ mạng LAN của bạn đến các mạng khác. Nếu bạn không biết địa chỉ gateway mới nào phù hợp, hãy liên hệ với nhà cung cấp dịch vụ Internet của bạn hoặc người quản trị hệ thống để được hỗ trợ.
• Do mình đang thiết lập cổng LAN nên mình sẽ bấm Enter để bỏ qua phần thiết lập Gateway (3).
• Câu hỏi “Configure IPv6 address LAN interface via WAN tracking? [Y/n]” liên quan đến cấu hình địa chỉ IPv6 trên giao diện LAN của OPNsense firewall, một hệ thống tường lửa mã nguồn mở.
• Nếu bạn chọn “Y” để cấu hình địa chỉ IPv6 cho giao diện LAN thông qua theo dõi WAN (WAN tracking), OPNsense sẽ tự động cấu hình địa chỉ IPv6 cho giao diện LAN dựa trên địa chỉ IPv6 của WAN. Nếu địa chỉ IPv6 của WAN thay đổi, OPNsense sẽ cập nhật địa chỉ IPv6 của giao diện LAN để đảm bảo rằng các thiết bị trên mạng LAN có thể truy cập Internet qua IPv6.
• Nếu bạn chọn “N”, bạn sẽ phải cấu hình địa chỉ IPv6 cho giao diện LAN bằng tay. Điều này có thể phức tạp hơn và đòi hỏi kiến thức về IPv6.
• WAN tracking là một tính năng tiện lợi để tự động cập nhật địa chỉ IPv6 của giao diện LAN dựa trên địa chỉ IPv6 của WAN. Tuy nhiên, nó chỉ hoạt động khi địa chỉ IPv6 của WAN được cung cấp bởi nhà cung cấp dịch vụ Internet và được cập nhật động. Nếu bạn không sử dụng IPv6 hoặc không muốn sử dụng tính năng này, bạn có thể chọn “N” để cấu hình địa chỉ IPv6 cho giao diện LAN bằng tay.

Nhưng trong tất cả các cài đặt IPv6 mình đều bỏ qua hết (1) vì mình không muốn sử dụng IPv6 trong lúc này.

Ở câu hỏi “Do you want to enable the DHCP server on LAN? [y/N] n” (2) ý muốn hỏi bạn có muốn thiết lập DHCP Server cho cổng này không, mình sẽ lựa chọn là N để bỏ qua nó.

Tiếp theo, câu hỏi “Do you want to change the web GUI protocol from HTTPS to HTTP? [y/N]y” (3) ý muốn hỏi bạn có thiết lập Web Console cho cổng LAN này không, mình lựa chọn y để đồng ý.

Tiếp theo, câu hỏi “Restore web GUI access defaults? [y/N]” liên quan đến việc khôi phục cài đặt mặc định cho truy cập giao diện người dùng web (web GUI) của OPNsense firewall, một hệ thống tường lửa mã nguồn mở. Nếu bạn chọn “u” để khôi phục các cài đặt mặc định cho truy cập giao diện người dùng web, OPNsense sẽ xóa tất cả các cài đặt tùy chỉnh của bạn cho truy cập giao diện người dùng web và khôi phục các cài đặt mặc định. Điều này có nghĩa là tất cả các thông tin đăng nhập, chứng chỉ SSL, cấu hình HTTPS và các cài đặt khác của truy cập giao diện người dùng web sẽ được đặt lại về cài đặt mặc định. Nếu bạn chọn “N”, OPNsense sẽ không thực hiện bất kỳ thay đổi nào cho cài đặt truy cập giao diện người dùng web của bạn. Việc khôi phục cài đặt mặc định cho truy cập giao diện người dùng web sẽ giúp bạn xóa các cài đặt tùy chỉnh không mong muốn và trở về cài đặt mặc định. Tuy nhiên, việc này cũng sẽ xóa tất cả các thông tin đăng nhập và cấu hình HTTPS đã được cài đặt trước đó, do đó bạn sẽ phải đăng nhập lại và cấu hình lại các thông tin này sau khi thực hiện khôi phục cài đặt mặc định. Và ở phần này mình sẽ lựa chọn “Y” để cài đặt.

Và bạn có kết quả như sau:

• Ở đánh dấu (1) là kết quả url để truy cập Web GUI OPNSense.
• Ở đánh dấu (2) là kết quả cổng LAN đã nhận IP mới.

3.2. Đặt IP cho mạng WAN.

Tương tự mình sẽ đặt IP cho mạng Wan với các lựa chọn như dưới, bạn để ý phần mình bôi đỏ thì ở phần thiết lập này mình sẽ gán gateway cho card mạng WAN.

Mình sẽ gắn IP cho card WAN như dưới, khác với card mạng LAN thì ở mạng WAN mình sẽ gắn thêm gateway 192.168.12.5.

Tiếp theo bạn sẽ gặp câu hỏi “you want to use the gateway as the IPv4 name server, too? [Y/n]” có ý nghĩa hỏi bạn có muốn sử dụng gateway (cổng mạng) hiện tại làm máy chủ tên (name server) cho IPv4 không. Máy chủ tên là một dịch vụ trên mạng cung cấp thông tin về tên miền và địa chỉ IP tương ứng của chúng.

Nếu bạn chọn “Y” (Yes), thì gateway sẽ được đặt làm máy chủ tên cho IPv4, điều này có nghĩa là các máy tính trong mạng sẽ sử dụng gateway hiện tại của mình để tìm kiếm thông tin về tên miền và địa chỉ IP tương ứng.

Nếu bạn chọn “n” (No), gateway sẽ không được sử dụng làm máy chủ tên cho IPv4. Thay vào đó, bạn sẽ cần cung cấp một máy chủ tên khác để sử dụng trong mạng của bạn.

Mình sẽ lựa chọn N trong trường hợp này để tự đặt name server cho OPNSense (mình thiết lập name server là 8.8.8.8), đồng thời bỏ qua phần thiết lập IPv6 và phần Web GUI.

Như vậy sau khi thiết lập xong, bạn sẽ có các thông tin như hình dưới.

Hãy thử kiểm tra kết nối đến internet bằng cách bấm số 7 để lựa chọn chức năng Ping host và nhập vào host bạn muốn kiểm tra.

Như vậy việc kết nối internet đã thành công.

4. Truy cập vào GUI.

4.1. Kết nối với GUI bằng IP LAN.

Mình lựa chọn Windows, sau đó nối port mạng windows này với cổng LAN của OPNSense và đặt IP sử dụng subnet 172.16.1.0/24 (ví dụ của mình sử dụng IP 172.16.1.1/24).

Kiếm tra kết quả ping tới gateway 172.16.1.254 (đây chính là IP cổng LAN của OPNSense).

Bạn sử dụng trình duyệt để login vào Web GUI OPNSense, nếu gặp lỗi truy cập như dưới, lỗi này thường xảy ra khi bạn khôi phục cài đặt gốc của OPNSense. Bạn hãy giải quyết nó bằng cách làm theo các bước dưới.Hãy sử dụng trình duyệt login theo thông tin http://ipaddr_opnsense thông tin tài khoản root/opnsense hoặc nếu bạn đã đổi password khi cài đặt OPNSense thì bạn hãy sử dụng mật khẩu đó nhé.

Kết quả login thành công.

4.1. Kết nối với GUI bằng IP WAN.

Nếu bạn muốn kết nối tới Web GUI bằng IP Wan thì bạn có thể thao tác thêm các bước như sau, lý do là mặc định OPNSense sẽ ngắt kết nối với WAN vì lý do bảo mật.

Dưới đây là mình có một máy tính chạy MacOS ở ngoài mạng Internet, kiểm tra ping tới card WAN của OPNSense thì cho kết quả timeout.

hoanghd@Has-iMac-Pro ~ % ping -c 4 192.168.13.231
PING 192.168.13.231 (192.168.13.231): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2

--- 192.168.13.231 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss

Nếu bạn sử dụng telnet để check port 80 thì kết quả cũng tương tự.

hoanghd@Has-iMac-Pro ~ % telnet 192.168.13.231 80
Trying 192.168.13.231...
telnet: connect to address 192.168.13.231: Operation timed out
telnet: Unable to connect to remote host

Đơn giản bạn chỉ cần truy cập vào Web GUI bằng IP LAN. Hãy vào Firewall (1) -> Rules (2) -> WAN (3), bạn hãy để ý bạn nhận được thông báo No WAN rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule. Exceptions for automatically generated rules may apply tức là hiện tại ở card WAN chưa có rules nào tác động nên mặc định nó đang bị chặn all. Bạn hãy bấm vào dấu (+) hình dưới để thêm rule mới.

Hãy thêm rule mới với thông tin như sau, lưu ý do mình đang demo nên mình sẽ để là any (cho phép tất cả các IP truy cập vào IP WAN của OPNSense không giới hạn giao thức), trong môi trường thực tế bạn phải siết lại để bảo mật hệ thống nhé.

Sau khi bấm Save, bạn tiếp tục bấm Apply changes để áp dụng thay đổi.

Đây là kết quả sau khi bấm Apply changes.

Tiếp theo, bạn hãy truy cập vào Interface -> WAN và bỏ tích 2 phần Block private networks và Block bogon networks. Tại IPv4 Upstream Gateway bạn hãy để chế độ tự động tìm gateway là Auto-detect (thực ra đáng lẽ chỗ này có thể chọn đúng gateway của card mạng WAN nhưng không hiểu sau phải chọn Auto-detect mới có thể kết nối được, không biết phải do lỗi version hay không thì mình cũng không rõ).

Mình giải thích 2 tuỳ chọn Block private networks và Block bogon networks chút xíu. Chúng có tác dụng như sau:

• Block bogon networks: Bogon networks là các phạm vi địa chỉ IP không hợp lệ hoặc chưa được phân bổ cho mạng Internet. Các mạng bogon có thể bao gồm các phạm vi địa chỉ IP không được đăng ký hoặc sử dụng chung, và thường không nên xuất hiện trong giao thông mạng thực tế.Khi bạn bật tùy chọn “Block bogon networks” trong OPNsense, nó sẽ cấu hình tường lửa để chặn các gói tin từ các địa chỉ IP bogon. Điều này giúp ngăn chặn truy cập từ các địa chỉ IP không hợp lệ và bảo vệ mạng của bạn khỏi các hoạt động đáng ngờ hoặc không mong muốn.
• Block private networks: Mạng riêng tư (private networks) là các phạm vi địa chỉ IP được dành riêng cho mạng nội bộ và không được sử dụng cho mạng Internet công cộng. Ví dụ, các mạng địa phương như 192.168.0.0/16, 10.0.0.0/8, hay 172.16.0.0/12 là các phạm vi địa chỉ IP riêng tư. Khi bạn bật tùy chọn “Block private networks” trong OPNsense, nó sẽ chặn các gói tin từ các địa chỉ IP thuộc các phạm vi mạng riêng tư. Điều này đảm bảo rằng các địa chỉ IP nội bộ trong mạng của bạn không thể được truy cập từ Internet công cộng, bảo vệ dữ liệu và thông tin quan trọng trong mạng nội bộ.

Giờ hãy dùng máy tính MacOS lúc này check ping về IP WAN của OPNSense và cho kết quả thành công.

hoanghd@Has-iMac-Pro ~ % ping -c 4 192.168.13.231
PING 192.168.13.231 (192.168.13.231): 56 data bytes
64 bytes from 192.168.13.231: icmp_seq=0 ttl=63 time=5.032 ms
64 bytes from 192.168.13.231: icmp_seq=1 ttl=63 time=5.417 ms
64 bytes from 192.168.13.231: icmp_seq=2 ttl=63 time=4.785 ms
64 bytes from 192.168.13.231: icmp_seq=3 ttl=63 time=4.782 ms

--- 192.168.13.231 ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 4.782/5.004/5.417/0.259 ms

Kết quả tương tự khi chúng ta sử dụng telnet để check port 80 IP này.

hoanghd@Has-iMac-Pro ~ % telnet 192.168.13.231 80
Trying 192.168.13.231...
Connected to 192.168.13.231.
Escape character is '^]'.

Đây là kết quả khi login thành công bằng IP WAN của OPNSense.

Và đây là kết quả khi login thành công.

Chúc các bạn thành công, hẹn gặp các bạn ở bài sau.