Introducción y primeros pasos con Opnsense
#1
En el "mundo nas" la seguridad es algo que no debemos despreciar y uno de los mejores métodos para aumentar esa seguridad es el uso de firewalls también llamados cortafuegos. Los operadores de internet que contratamos nos ofrecen en la mayoría de los casos un firewall extremádamente básico en los routers que nos proporcionan. En el caso de los nas de Qnap podemos también utilizar uno que es Qufirewall que también es muy básico. Una de las formas para obtener mucho más respecto a esto es Opnsense que es un sistema operativo completo que actúa como router - firewall con una amplia cantidad de funciones y complementos suplementarios como pueden ser Detectores de Intrusiones, implementacion de VPN tanto con OpenVPN como con Wireguard, uso de proxys, etc, etc, sin olvidar que también nos ofrece un control excepcional sobre todos y cada uno de los dispositivos que tengamos en nuestra red local.

Opnsense se puede instalar en los nas de Qnap mediante máquina virtual, el problema está en que no todos los nas tienen la potencia suficiente para ejecutar con soltura máquinas virtuales eso sin contar que también es necesario que el nas tenga un mínimo de dos tarjetas de red para uso exclusivo de Opnsense. En cualquier caso en algunos nas se puede instalar sin problemas. Otros sistemas de instalación consistirian en hacerlo en algún ordenador que tengamos tirado por casa y que tenga dos tarjetas de red y otra opción sería comprar un mini-pc dedicado para ello de los que se venden en Aliexpress que es una excelente opción ya que no tienen un coste elevado. Sea cual sea el sistema elegido para su instalación tenemos que tener en cuenta que Opnsense actúa como router - firewall y por tanto sustituye al router de la operadora de internet que tengamos. Para conseguir eso lo primero que hay que hacer es conseguir las claves de acceso a internet de nuestro operador, y para conseguirlas podemos encontrar mucha información buscando en Youtube, Google o en algunos canales especializados de Telegram. Una vez conseguidas esas claves de acceso el router de nuestra operadora de internet se configura en bridge ( modo puente ) para que deje de actuar como router y a continuación conectamos Opnsense que pasa tanto a darnos acceso a internet como a proteger y controlar nuestra red local y sus dispositivos.

Este post y los siguientes que voy a publicar sobre Opnsense no van a tratar sobre su instalación que se va a dar por hecha sino que van a tratar sobre su configuración para obtener de este sistema el mejor rendimiento y la mayor seguridad centrándome en los aspectos primordiales que en mi caso utilizo. Opnsense para el usuario novel puede resultar abrumador cuando uno mira la cantidad de opciones, complementos y configuraciones a su disposición. El que haya mucho donde elegir no significa que sea ni necesario ni obligatorio utilizarlo todo y una vez que uno se pone con el podrá comprobar que su utilización es mucho más sencilla de lo que parece sin olvidar que una vez que esté configurado prácticamente nos vamos a olvidar de el. 

Para empezar con esta serie de post voy a comentar y explicar unas primeras configuraciones básicas y sencillas:

1 - Configurar ips fijas para los dispositivos de nuestra red local

Una de las mejores cosas que podemos hacer es asignar ips fijas a los dispositivos que tengamos de tal manera que los tengamos siempre localizables fácilmente. A la hora de hacerlo en Opnsense se puede conseguir de varias formas y voy a explicar la forma en la que lo hago yo que funciona perféctamente.

En Opnsense nos vamos a Servicios - DHCPv4 - LAN y nos fijamos en el rango DHCP que tengamos puesto y que podemos configurar como queramos

   

Las ips fijas para nuestros dispositivos las vamos a configurar con ips fuera de ese rango DHCP que tengamos establecido así que es conveniente reducirlo para dejar ips libres sin asignar. Hecho eso y en la misma sección de Opnsense en la que estamos pero un poco más abajo vamos a activar la opción Activar entradas ARP Estaticas

   

Para añadir una ip estática a uno de nuestros dispositivos le vamos a dar al símbolo + que se ve en la anterior imagen abajo a la derecha, al hacerlo nos lleva a una nueva ventana

   

Aquí ponemos la dirección MAC del dispositivo, le asignamos una ip fija que esté fuera del rango DHCP que tengamos configurado, le ponemos un nombre identificativo y marcamos la opción Entrada Estática Tabla ARP, hecho todo esto guardamos los cambios.

Con esto ya tenemos asignada una ip fija a un dispositivo, como lo lógico es que en la red local tengamos más dispositivos repetimos la misma operación con los demás

   

Una vez configurados todos los dispositivos tenemos la opción de aumentar la seguridad habilitando la opción Denegar clientes desconocidos

   

Activando esta opción sólo tendrán acceso tanto a internet como a nuestra red local los dispositivos que hayamos configurado con ip fija, si quisiéramos dar acceso a un nuevo dispositivo tendríamos que asígnarle primero una ip fija tal como hemos hecho antes. Como esta configuración segúramente la estamos haciendo desde un ordenador que préviamente opnsense le habrá otorgado una ip por DHCP al asignarle a ese ordenador una ip fija distinta y marcar la opción de Denegar clientes desconocidos nos quedaremos tanto sin acceso a internet como a la red local. Reiniciando el ordenador se solventa el problema ya que al hacerlo Opnsense le asignará la nueva ip fija que le hayamos configurado.


2 - Aumentar la seguridad del propio Opnsense

Cuando instalamos Opnsense viene permitido por defecto el acceso al propio Opnsense desde la Wan y lo mismo ocurre con el acceso por SSH y por seguridad ninguna de esas dos configuraciones son recomendables así que vamos a desactivarlo dejando activos esos dos accesos sólamente accesibles desde la LAN, para ello nos vamos a Sistema - Ajustes - Administración

   

En los dos apartados Interfaces de Escucha sólo dejamos habilitado el acceso desde la LAN
  Responder
#2
Sinceramente un muy buen aporte.

Esperemos que mucha gente sepa usarlo y valorarlo.

Efectivamente, tal como dices, pocas nas de qnap pueden soportarlo tanto a nivel de potencia, como a nivel hardware.
Para ello creo que la nas debería tener más de dos tarjetas de red ?. Una para la wan, una para la lan  y otra para gestionar la nas de forma independiente.

En su momento estuve jugueteando con la VM de pfsense en la tvs673 que tiene 4 tarjetas de red, pero no me encajaba con lo que esperaba o no supe entenderlo.

El caso es que veo mucho mejor Opnsense y externalizarlo a la nas en un minipc como has dicho en el hilo.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#3
Gracias por tus aportes, como dice el compañero nunca esta demas el agradecerlo. Respecto a esto hay un pequeño problema, en los dispositivos moviles tienen por defecto una configuracion de mac aleatoria, sabes eso como se podría solucionar?
  Responder
#4
(09-09-2023, 12:25 PM)osk4r escribió: Gracias por tus aportes, como dice el compañero nunca esta demas el agradecerlo. Respecto a esto hay un pequeño problema, en los dispositivos moviles tienen por defecto una configuracion de mac aleatoria, sabes eso como se podría solucionar?
Se puede desactivar esa mac aleatoria para determinadas wifi.
yo lo haría en las de confianza como la de casa ?
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#5
(09-09-2023, 12:28 PM)Ganekogorta escribió:
(09-09-2023, 12:25 PM)osk4r escribió: Gracias por tus aportes, como dice el compañero nunca esta demas el agradecerlo. Respecto a esto hay un pequeño problema, en los dispositivos moviles tienen por defecto una configuracion de mac aleatoria, sabes eso como se podría solucionar?
Se puede desactivar esa mac aleatoria para determinadas wifi.
yo lo haría en las de confianza como la de casa ?
Gracias por la aclaracion, no lo sabia, saludos
  Responder




Usuarios navegando en este tema: 1 invitado(s)