Latest evidence-based health information
Sitemap
Ipad

ガイド: Opnsense で独自のルーター/ファイアウォールを構築する

Otpoo
Otpoo xumh
ガイド: Opnsense で独自のルーター/ファイアウォールを構築する
ガイド: Opnsense で独自のルーター/ファイアウォールを構築する

コンピューターをいじるのが好きで、もっと高度なプロジェクトに挑戦してみたいと思いませんか?それなら、ルーターやファイアウォールを自分で作ってみませんか?

一般的なコンシューマー向けルーターよりも高性能なハードウェアと、より高度なオペレーティングシステムを搭載したルーターがあれば、全く新しい可能性の世界が開けます。最初は学習曲線があり、複雑に感じるかもしれませんが、実際には、例えばASUSのルーターでは可能でも非常に複雑な操作が、より簡単にできるようになります。

選択できるオペレーティング システムは多数あり、コンシューマー ルーターにもインストールできる Openwrt から、Clear OS や IP Fire などのさまざまな Linux ベースのシステム、PF Sense や Opnsense などの Unix システムまであります。

ヘムラブ
私の小さな自宅ラボ。左はIntel NUCでOpnsenseルーターなどが動作しています。右はUnifiのスイッチです。

アンダース・ルンドバーグ

後者の 2 つが最も人気があるようです。私自身も Opnsense を搭載したルーターを数年間使用していたため、このガイドではそのシステムを選択しました。

このシリーズの他の記事:

  • 新しいルーターの選び方と重要な設定方法
  • スマートルーター設定でWi-Fiの問題を解決しましょう
  • ルーターの基本的な調整でホームネットワークを保護する
  • インターネット以上のもの:ホームネットワークを最大限に活用するための9つのヒント
  • ホームネットワークをもっと活用する:ハードコアな人のための5つの高度なヒント

なぜ自分で作るのでしょうか?

多くの人にとって、「可能だから」「面白くてためになるから」と答えるだけで十分でしょう。しかし、好奇心だけが動機である必要はありません。実用的かつ技術的な利点もいくつかあります。

一度始めて基本を学べば、異なるファイアウォール ルールを持つ複数の VLAN を設定する (たとえば、スマート ホーム ガジェットがインターネットにアクセスできないようにする)、ダイナミック DNS を使用する、独自の再帰 DNS サーバーを実行する、ゲストがワイヤレス ネットワークに接続したときにウェルカム メッセージを表示するなど、さまざまなことがすぐに簡単にできるようになります。

しかし、おそらく最大のメリットはセキュリティです。メーカーによるアップデートのリリースやルーターのセキュリティ維持に頼るのではなく、ほぼ毎週新しいアップデートが提供されるため、システムのあらゆる部分に最新のセキュリティ修正が適用されます。また、一般消費者向け製品よりも高度なネットワーク保護を提供するアドオンも用意されています。

ルーター用ミニPC

フンスン

適切なハードウェアを選択する

Opnsense には古いコンピューターを再利用することもできます。その場合、通常はネットワークカードを1枚か2枚購入するだけで済みます。しかし、そのようなコンピューターは通常、不必要に電力を消費し、大型の機器となるため、家庭に設置するのが難しい場合があります。

OpnsenseはUnixシステムであるFreeBSDをベースにしています。そのため、Linuxと比べてハードウェアへの依存度が少し高くなります。特にネットワークカードが問題となる場合があります。システムはIntelベースのカードを推奨し、最適な動作をします。そのため、新しく購入する場合は、選択したコンピューターにIntelネットワークチップが搭載されているかどうかを確認することをお勧めします。

イーサネットコネクタを2つ備えたミニPCの方が良い選択肢かもしれません。実際、OpnsenseやPF Sense専用に設計されたコンピューターが販売されています。例えば、AmazonではHunsnのこのモデルが200ドル強で販売されており、Intelネットワークチップを搭載しています。メモリは安価なので、最初から16GB、SSDは少なくとも128GB搭載することをお勧めします。

ルーターとパソコンに加えて、例えば古いルーターを接続するためのマネージドスイッチを強くお勧めします。このスイッチは、ルーターではなくWi-Fi専用のアクセスポイントとして動作するように設定できます。仮想ネットワーク(VLAN)の使用を開始する場合にも必要です。

Opnsenseのインストール

まず、Opnsenseの最新バージョンをダウンロードしてください(事前に選択されたオプションの「ダウンロード」ボタンを直接クリックしてください)。また、USBスティックに.isoファイルと.imgファイルを書き込むためのシンプルなプログラム、Balena Etcherもダウンロードしてインストールしてください。

USB-minneまでSkriv iso-filen

鋳造所

ダウンロードした.bz2ファイルを解凍して.imgファイルを作成します。USBメモリを接続し、Etcherを起動し、「ファイルからフラッシュ」をクリックして該当のファイルを選択します。ターゲットとしてUSBメモリを選択し、「フラッシュ」をクリックします。

完了したら、フラッシュドライブを取り出し、ルーターのコンピューターに接続します。ルーターのコンピューターには、まずモニターとキーボードが接続されている必要があります。ブートメニューまたはBIOSからUSBスティックからコンピューターを起動します。

i インストール プログラムにログインする

鋳造所

システムはテキストのみで起動し、しばらくスクロール表示されます。表示が終わるとログインプロンプトが表示されます。ユーザー名「installer」とパスワード「opnsense」を入力してください。インストールプログラムが起動します。

インストーラ

鋳造所

キーボードで言語を選択し、次へ進みます。現在推奨されている通常の方法である「インストール(ZFS)」を選択します。 「ストライプ」を選択し、スペースバーで対象のSSDを選択します。「承認」をクリックすると、ディスクがフォーマットされ、すべてのファイルがコピーされます。完了したら、「完全インストール」を選択します(次の手順でルートパスワードを簡単に変更できます)。

基本設定

ルーターのコンピュータが再起動したら、USBスティックを取り出してSSDから起動できます。以前と同様に、起動中にログインプロンプトが表示されるまで、一連のテキストがスクロール表示されます。

インターネット接続を Opnsense に移行する準備ができる前に、両方に同時に接続したい場合は、Opnsense が古いルーターに干渉しないように、まず LAN インターフェイスのアドレスを変更することをお勧めします。

Ändra ip på LAN

鋳造所

ユーザー名root、パスワードopnsenseでログインします。IPアドレスを変更するには2を押します。LANの場合は正しい番号(通常は1)を押します。DHCPを使用しない場合はReturnを押します。適切なアドレス(例:10.1.1.1)を入力し、10.1.1.x形式のアドレスを使用する場合は24を入力します。残りの質問では、Returnを押して事前に選択されたオプションを受け入れます。

他の操作を行う前に、Opnsense マシンと通常のコンピューターをネットワーク ケーブルで直接またはスイッチ経由で接続する必要があります。

普段お使いのパソコンで「設定」を開き、 「ネットワークとインターネット」>「イーサネット」に進みます。Opnsenseと同じ形式(例:10.1.1.2)のアドレスが表示され、ゲートウェイとして先ほど選択したアドレスとマスク(255.255.255.0)が設定されているはずです。IPアドレスが自動的に表示されない場合は、 「IPアドレス割り当て」の右側にある「編集」をクリックして、ご自身で入力してください。

ブラウザを開いて「10.1.1.1」と入力すると、無効な証明書に関するセキュリティ警告が表示されるはずです。この警告を無視してOpnsenseのWebインターフェースにアクセスしてください。ユーザー名はroot、デフォルトのパスワードは opnsense です

基本方針

鋳造所

Opnsenseのガイド付き基本設定画面が表示されます。まずはDNS設定です。DNSサーバーのフィールドは空白のままにし、「DNSのオーバーライド」のチェックを外し「Unbound DNS」の下の3つのボックスにチェックを入れることをお勧めします。

残りの手順は、ルートアカウントのパスワード変更に関する質問が表示されるまでクリックして進みます。新しい安全なパスワードを設定し、書き留めてください。

インターネットに接続する

Opnsense をインターネットに接続し、ルーター/ファイアウォールとして動作させるには、イーサネットケーブルを接続する必要があります。古いルーターのブロードバンドソケットからケーブルを取り出し、Opnsense に接続することもできます。あるいは、古いルーターのソケット、またはスイッチ(お持ちの場合)に接続することもできますが、こちらは少し複雑になります。

DHCP接続による通常の光ファイバーブロードバンドをご利用の場合、Opnsenseは自動的に接続し、外部IPアドレスを取得します。これは、Webインターフェースで「インターフェース」>「概要」を選択することで確認できます。

更新

鋳造所

WANにアドレスが割り当てられている場合は、アップデートを確認してすべてが正常に動作しているかどうかをテストできます。「システム」>「ファームウェア」>「ステータス」を選択し、「アップデートの確認」をクリックします。正常に動作している場合は、今後予定されている多くのアップデートの最初のものをインストールする良い機会です。

次に、普段使っているパソコンで任意のウェブサイトにアクセスしてみてください。それでも問題が解決すれば、Opnsenseルーターは正常に動作しています。システムのその他の設定は、今のところそのままにしておいてください。システムには安全でないデフォルト設定はありません。

オプセンス

鋳造所

インターフェースを学び、ファイアウォールを理解する

Opnsenseのウェブインターフェースは、他のルーターとは少し構造が異なります。左側には階層型のメニューがあり、様々なカテゴリーに分類されたすべての設定項目が表示されます。右上には検索バーがあり、階層の奥にある設定項目を見つけるのに非常に便利です。

システム メニューには主に Opnsense 自体の設定がありますが、プラグインの更新とインストールもあります。これは、スマート機能を備えたルーターの構築を開始するときに重要な機能です。

インターフェースは、さまざまなネットワーク インターフェース (通常は LAN と WAN) に関するものですが、インターネット オペレータがログインを要求する場合は VLAN、PPPoE、VPN サーバーのインターフェースもここにあります。

ファイアウォールは、トラフィックのブロックと許可のルールだけでなく、ポート転送も管理します。「エイリアス」では、例えば個々のデバイスのエイリアスを作成して、ファイアウォールルールで使いやすくすることができます。

VPN メニューは、外部からローカル ネットワークに接続するための VPN サーバーと、ネットワーク全体を外部 VPN サービスに接続するための VPN サーバーの両方に使用されます。

サービスは、DHCP や DNS (Unbound) などの他の組み込み機能や、インストールされたプラグインの機能のコレクション メニューです。

スマートホーム向けインターネットなしのVLAN

Opnsenseのようなより高度なルーターの一般的な使用例は、接続されたデバイスの一部を、異なるファイアウォールルールを持つ別のネットワークに配置することです。例えば、インターネットにアクセスできず、ネットワークの他の部分へのアクセスが制限されているスマートホームガジェット用のネットワークなどです。

スカパ・ヴラン

鋳造所

そのためには、まず「インターフェース」>「その他のタイプ」>「VLAN」を開きます。プラスボタンをクリックして新しいVLANを作成します。「SMART」などの短い名前を付け、 VLANタグに1~4,094の数字を入力します。私は通常、10(例えば10)を選択します。「保存」をクリックします。

ヴラン

フルンドリー

次に、「インターフェース」>「割り当て」に移動し、新しいインターフェースの説明に同じ名前を入力します。 「追加」をクリックします。

VLANのIPアドレス

鋳造所

次に、「インターフェース」>「SMART」をクリックし、「インターフェースの有効化」「インターフェースの削除を防止」にチェックを入れます。「IPv4設定タイプ」で「静的IPv4」を選択します。一番下までスクロールして適切なIPアドレスを入力し、アドレスの右側にある「32」ではなく「24」を選択します。通常のネットワークにアドレス10.1.1.1を割り当てた場合は、VLANネットワークに10.1.10.1を選択できます(私は通常、3番目のグループでVLANタグと同じ番号を使用するため、タグ20のゲストネットワークにはアドレス10.1.20.1が割り当てられます)。変更を保存して適用します。

DHCP

鋳造所

「サービス」>「ISC DHCPv4」>「[SMART]」に移動します。「DHCPサーバーを有効にする… 」にチェックを入れ、アドレス範囲を入力します(例:10.1.10.100-10.1.10.254)。変更を保存して適用します。

ファイアウォール > ルール > SMARTを見ると、ルールがないことがわかります。これは、すべてのトラフィックが停止していることを意味します。LAN のルールを見ると、Opnsense がそのネットワークから発信されるすべてのトラフィックを通過させるルールを自動的に追加していることがわかります。したがって、スマートホームガジェットにインターネットを許可したい場合は、そのためのルールを作成する必要があります。

VLAN i スイッチ

鋳造所

実際にガジェットをVLANネットワークに接続して使用するには、マネージドスイッチが必要です。このスイッチの設定で、1つまたは複数のイーサネットコネクタに対してVLANタグを有効にすると、これらのコネクタに接続したガジェットはVLANネットワークのみを「認識」するようになります。隣の画像は、Unifiのスイッチでの設定例です。D-LinkやTP-Linkなどの他のメーカーでも同様の設定が可能です。Opnsenseマシンに複数のネットワークコネクタがある場合は、それらを「タグ付け」して代わりに使用できます。

助けが必要ですか?

何か困ったことがあれば、役立つリソースがたくさんあります。Home Network Guyのブログには、Opnsenseに関するガイドがいくつか掲載されており、インストールからVLANなどの高度なトピックまで幅広く紹介されています。また、非常に優れたYouTubeチャンネルも運営しており、強くお勧めします。Redditでは、r/opnsenseやr/homelabなどのグループでサポートを受けることができます。

Opnsense i en virtuell maskin

鋳造所

ヒント: 仮想ルーター

Opnsenseを試してインターフェースの使い勝手を確かめたい場合は、物理コンピュータではなく仮想マシンで実行できます。例えば、WindowsでVirtualboxを直接使用すれば、インターフェースや設定方法に慣れることができます。また、Linux(通常はProxmox)を搭載したサーバーコンピュータでシステムを恒久的に実行することも可能です。Home Network Guyに分かりやすいガイドがあります。

この記事はもともと当社の姉妹誌 PC för Alla に掲載され、スウェーデン語から翻訳およびローカライズされました。

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.

Recommended Reading

Boseの防水Bluetoothスピーカーを史上最安値で今すぐ手に入れよう

Boseの防水Bluetoothスピーカーを史上最安値で今すぐ手に入れよう

同社は50台のAppleテストタブレットの証拠を主張

同社は50台のAppleテストタブレットの証拠を主張

サイバーパワーの奇抜な3点支持型PC「Trinity」、先行予約開始で「プロトタイプ」を放棄

サイバーパワーの奇抜な3点支持型PC「Trinity」、先行予約開始で「プロトタイプ」を放棄

You Might Also Enjoy

Google、超高速ギガビットネットワークを開始

Google、超高速ギガビットネットワークを開始

レゴのようなモジュール式PCが見た目ほど面白くない5つの理由

レゴのようなモジュール式PCが見た目ほど面白くない5つの理由

巨大グローバルペイメントのクレジットカード詐欺に巻き込まれたかどうかを見分ける方法

巨大グローバルペイメントのクレジットカード詐欺に巻き込まれたかどうかを見分ける方法

Popular Articles

ガイド: Opnsense で独自のルーター/ファイアウォールを構築する
レゴのようなモジュール式PCが見た目ほど面白くない5つの理由
Google、超高速ギガビットネットワークを開始
Intuitの新しいブレインストーミングソフトウェアは便利そうだが高価
メカニカルキーボード総まとめ:RGB照明、ソフトウェア、キーの組み合わせで、ボタンの塊を特別なものに

Categories

Trending Topics

Health Nutrition Fitness Wellness Mental Health Diet Medical Research