هل تحب العبث بأجهزة الكمبيوتر وتتوهم فكرة القيام بمشروع أكثر تقدمًا؟ ثم لدي اقتراح: قم ببناء جهاز التوجيه/جدار الحماية الخاص بك.
مع جهاز توجيه يعمل بنظام تشغيل أكثر تقدمًا على أجهزة أكثر قوة من أجهزة التوجيه الاستهلاكية القياسية، ينفتح عالم كامل من الإمكانيات الجديدة. على الرغم من وجود منحنى تعليمي ويمكن أن يبدو معقدًا في البداية، إلا أنه يصبح من الأسهل فعل الأشياء التي قد تكون ممكنة باستخدام جهاز توجيه من شركة Asus، على سبيل المثال، ولكنها معقدة حقًا.
هناك عدد من أنظمة التشغيل للاختيار من بينها، بدءًا من Openwrt، والذي يمكن تثبيته أيضًا على أجهزة توجيه المستهلك، إلى الأنظمة المختلفة المستندة إلى Linux مثل Clear OS وIP Fire، إلى أنظمة Unix مثل PF Sense وOpnsense.
يبدو أن الأخيرين هما الأكثر شعبية، وأنا شخصياً أملك جهاز توجيه مزودًا بـ Opnsense لبضع سنوات، لذا اخترت هذا النظام لهذا الدليل.
مقالات أخرى في هذه السلسلة:
لماذا تبنيها بنفسك؟
بالنسبة للكثيرين، يكفي الإجابة: لأنه ممكن ولأنه مثير للاهتمام ومفيد. لكن ليس من الضروري أن يكون دافعك هو الفضول وحده. هناك العديد من المزايا العملية والتقنية أيضًا.
بمجرد البدء وتعلم الأساسيات، يصبح من الأسهل على الفور القيام بأشياء مثل إعداد شبكات VLAN متعددة بقواعد مختلفة لجدار الحماية (لمنع الأدوات المنزلية الذكية من الوصول إلى الإنترنت، على سبيل المثال)، واستخدام DNS الديناميكي، وتشغيل DNS المتكرر الخاص بك الخادم، وعرض رسالة ترحيب عندما يتصل الضيوف بالشبكة اللاسلكية، وغير ذلك الكثير.
ربما تكون الفائدة الأكبر هي الأمن. بدلاً من الاعتماد على الشركة المصنعة لإصدار التحديثات والحفاظ على جهاز التوجيه آمنًا، فإنك تحصل على تحديثات جديدة أسبوعيًا تقريبًا بحيث تتمتع جميع أجزاء النظام بأحدث الإصلاحات الأمنية. هناك أيضًا إضافات تمنح الشبكة حماية أكثر تقدمًا من المعتاد في المنتجات الاستهلاكية.
اختر الأجهزة المناسبة
يمكنك إعادة استخدام جهاز كمبيوتر قديم لـ Opnsense، وفي هذه الحالة تكون بطاقة شبكة واحدة أو بطاقتان هي كل ما تحتاج عادةً إلى شرائه. لكن مثل هذا الكمبيوتر عادةً ما يكون متعطشًا للطاقة بشكل غير ضروري وقطعة كبيرة من المعدات التي قد يكون من الصعب وضعها في المنزل.
يعتمد Opnsense على نظام Unix Freebsd. هذا يعني أنه أكثر صعوبة قليلاً فيما يتعلق بالأجهزة مقارنةً بنظام Linux. قبل كل شيء، فإن بطاقات الشبكة هي التي يمكن أن تكون مشكلة. يفضل النظام البطاقات المستندة إلى Intel ويعمل بشكل أفضل، لذا إذا كنت تشتري جديدًا، فقد يكون من المفيد التحقق من أن الكمبيوتر الذي تختاره يحتوي على شرائح شبكات Intel.
قد يكون الكمبيوتر الشخصي الصغير المزود بموصلي Ethernet خيارًا أفضل، وفي الواقع هناك أجهزة كمبيوتر معروضة للبيع مصممة خصيصًا للاستخدام مع Opnsense أو PF Sense. على سبيل المثال، تبيع أمازون هذا الطراز من شركة Hunsn والذي يكلف ما يزيد قليلاً عن 200 دولار ويحتوي على شرائح شبكات Intel. نظرًا لأن الذاكرة رخيصة، فإنني أوصي بـ 16 جيجابايت من البداية وما لا يقل عن 128 جيجابايت من SSD.
بالإضافة إلى جهاز التوجيه، أوصي بشدة باستخدام مفتاح مُدار للاتصال، على سبيل المثال، جهاز التوجيه القديم الخاص بك والذي يمكنك ضبطه للعمل كنقطة وصول بدلاً من جهاز توجيه، فقط لشبكة Wi-Fi. إنه ضروري أيضًا إذا كنت تريد البدء في استخدام الشبكات الافتراضية (VLAN).
تثبيت Opnsense
ابدأ بتنزيل أحدث إصدار من Opnsense (انقر مباشرة على زر التنزيل مع الخيارات المحددة مسبقًا). قم أيضًا بتنزيل وتثبيت Balena Etcher، وهو برنامج بسيط لكتابة ملفات .iso و.img على أجهزة USB.
قم بفك ضغط ملف .bz2 الذي تم تنزيله حتى تحصل على ملف .img. قم بتوصيل محرك أقراص USB، ثم ابدأ تشغيل Etcher، ثم انقر فوق فلاش من الملف وحدد هذا الملف. حدد عصا USB الخاصة بك كهدف ثم انقر فوق فلاش.
بمجرد الانتهاء من ذلك، يمكنك إخراج محرك الأقراص المحمول وتوصيله بجهاز الكمبيوتر الموجه، والذي ستحتاج إلى توصيل شاشة ولوحة مفاتيح به للبدء. قم بتمهيد الكمبيوتر من محرك أقراص USB عبر قائمة التمهيد أو BIOS.
يبدأ النظام بالنص فقط، والذي سيتم تمريره لفترة من الوقت. عند الانتهاء، سيتم نقلك إلى مطالبة تسجيل الدخول. أدخل اسم المستخدم المثبت وكلمة المرور com.opensense. سيبدأ برنامج التثبيت الآن.
حدد اللغة على لوحة المفاتيح وانتقل. يختار التثبيت (ZFS) وهي الآن الطريقة العادية الموصى بها. يختار شريط ثم استخدم شريط المسافة لتحديد SSD الهدف. قم بالمضي قدمًا واقبل وسيقوم بتهيئة القرص ونسخ كافة الملفات. بمجرد الانتهاء من ذلك، يمكنك الاختيار التثبيت الكامل (يمكنك تغيير كلمة مرور الجذر بشكل أسهل في الخطوة التالية).
الإعدادات الأساسية
عند إعادة تشغيل جهاز التوجيه، يمكنك إخراج محرك أقراص USB والسماح له بالتمهيد من SSD. كما كان من قبل، سيتم تمرير مجموعة من النصوص أثناء التمهيد، حتى تصل إلى مطالبة تسجيل الدخول.
أوصي بأن تبدأ بتغيير عنوان واجهة الشبكة المحلية، حتى لا يعبث Opnsense بجهاز التوجيه القديم الخاص بك إذا كنت تريد الاتصال بكليهما في نفس الوقت قبل أن تكون مستعدًا لنقل اتصال الإنترنت إلى Opnsense.
تسجيل الدخول باستخدام اسم المستخدم جذر وكلمة المرور com.opensense. يضعط 2 لتغيير عنوان IP. اضغط على الرقم الصحيح لشبكة LAN (عادةً 1). اضغط على “رجوع” لاختيار عدم استخدام DHCP. أدخل عنوانًا مناسبًا، على سبيل المثال 10.1.1.1، ثم 24 للالتزام بالعناوين بالتنسيق 10.1.1.x. بالنسبة لبقية الأسئلة يمكنك الضغط على رجوع لقبول الخيار المحدد مسبقا.
قبل أن تتمكن من القيام بأي شيء آخر، تحتاج إلى توصيل جهاز Opnsense وجهاز الكمبيوتر العادي الخاص بك باستخدام كابل الشبكة، إما مباشرة أو عبر مفتاح.
يفتح إعدادات على جهاز الكمبيوتر العادي الخاص بك وانتقل إلى الشبكة والإنترنت > إيثرنت. يجب أن يكون لديك عنوان بنفس تنسيق Opnsense (على سبيل المثال 10.1.1.2)، مع العنوان الذي اخترته للتو بوابة و قناع 255.255.255.0. إذا لم يظهر من تلقاء نفسه، يمكنك النقر عليه يحرر على يمين تعيين IP واملأ بياناتك بنفسك.
ثم افتح المتصفح واكتب 10.1.1.1 ونأمل أن تتلقى تحذيرًا أمنيًا بشأن الشهادة غير الصالحة، والتي يتعين عليك النقر فوقها للوصول إلى واجهة ويب Opnsense. اسم المستخدم هو جذر وكلمة المرور الافتراضية هو كلام فارغ.
سيتم نقلك الآن إلى الإعدادات الأساسية الموجهة لـ Opnsense. أول شيء يجب فعله هو إعدادات DNS. أوصي هنا بترك حقول خوادم DNS فارغة، قم بإلغاء تحديدها تجاوز DNS وحدد المربعات الثلاثة ضمن Unbound DNS.
يمكنك النقر فوق الخطوات المتبقية حتى تصل إلى سؤال حول تغيير كلمة المرور لحساب الجذر. اختر كلمة مرور آمنة جديدة واكتبها.
احصل على شبكة الإنترنت
لكي يتمكن Opnsense من الوصول إلى الإنترنت والعمل كجهاز توجيه/جدار حماية، تحتاج إلى توصيل كابل Ethernet به. يمكنك إما أخذ الكابل من مقبس النطاق العريض لجهاز التوجيه القديم الخاص بك وتوصيله بـ Opnsense بدلاً من ذلك. بدلًا من ذلك، يمكنك الاتصال بمقبس في جهاز التوجيه القديم أو بمحول إذا كان لديك واحدًا، لكن هذا سيكون أكثر تعقيدًا بعض الشيء.
إذا كان لديك نطاق عريض عادي عبر الألياف التي تتصل بـ DHCP، فيجب أن يتصل Opnsense تلقائيًا ويحصل على عنوان IP خارجي. يمكنك التحقق من ذلك عن طريق التحديد واجهات > نظرة عامة في واجهة الويب.
إذا تم إعطاء عنوان لشبكة WAN، فيمكنك اختبار أن كل شيء يعمل عن طريق التحقق من وجود تحديثات. يختار النظام> البرامج الثابتة> الحالة وانقر التحقق من وجود تحديثات. إذا نجح الأمر، فهذا هو الوقت المناسب لتثبيت الإصدار الأول من العديد من التحديثات القادمة.
ثم حاول الانتقال إلى أي موقع ويب على جهاز الكمبيوتر العادي لديك. إذا نجح ذلك أيضًا، فلديك جهاز توجيه Opnsense يعمل. يمكن ترك الإعدادات الأخرى في النظام كما هي في الوقت الحالي – لا يحتوي النظام على خيارات افتراضية غير آمنة.
التعرف على الواجهة وفهم جدار الحماية
تم تصميم واجهة الويب Opnsense بشكل مختلف قليلاً عن معظم أجهزة التوجيه. على اليسار، توجد قائمة هرمية حيث ستجد جميع الإعدادات، مقسمة إلى فئات مختلفة. في الجزء العلوي الأيمن، يوجد أيضًا شريط بحث يعمل بشكل جيد جدًا للعثور على الإعدادات في أسفل التسلسل الهرمي.
قائمة النظام يحتوي بشكل أساسي على إعدادات Opnsense نفسها، ولكنه يحتوي أيضًا على تحديثات وتثبيت المكونات الإضافية – وهي ميزة مهمة عندما تريد البدء في إنشاء جهاز التوجيه بميزات ذكية.
واجهات يتعلق الأمر بواجهات الشبكة المختلفة، عادةً LAN وWAN، ولكن ستجد هنا أيضًا VLAN وPPPoE إذا كان مشغل الإنترنت يتطلب تسجيل الدخول وواجهات لخادم VPN.
جدار الحماية يتعلق الأمر بالطبع بقواعد حظر حركة المرور والسماح بها، ولكنه يتعلق أيضًا بإعادة توجيه المنفذ. تحت الأسماء المستعارة، يمكنك إنشاء أسماء مستعارة للأجهزة الفردية، على سبيل المثال، لتسهيل استخدامها في قواعد جدار الحماية.
قائمة VPN مخصص لكل من خوادم VPN للاتصال من الخارج بشبكتك المحلية ولتوصيل الشبكة بأكملها بخدمة VPN خارجية.
خدمات عبارة عن قائمة تجميع للوظائف المضمنة الأخرى مثل DHCP وDNS (غير منضم) وأيضًا وظائف من المكونات الإضافية المثبتة.
VLAN بدون إنترنت للمنزل الذكي
إحدى حالات الاستخدام الشائعة لجهاز توجيه أكثر تقدمًا مثل Opnsense هي وضع بعض الأجهزة المتصلة على شبكة منفصلة بقواعد مختلفة لجدار الحماية. على سبيل المثال، شبكة للأدوات المنزلية الذكية التي لا يمكنها الوصول إلى الإنترنت وإمكانية الوصول المحدودة إلى بقية الشبكة.
للقيام بذلك، ابدأ بالفتح الواجهات > الأنواع الأخرى > VLAN. انقر فوق زر الزائد لإنشاء شبكة VLAN جديدة. أعطه اسمًا قصيرًا، على سبيل المثال SMART واملأ رقمًا لـ علامة شبكة محلية ظاهرية (VLAN). بين 1 و4094، عادةً ما أختار الرقم 10، على سبيل المثال 10. احفظ.
اذهب الآن إلى واجهات > المهام واملأ نفس الاسم تحت وصف للواجهة الجديدة. انقر يضيف.
انقر الآن واجهات > (ذكية) والقراد تمكين الواجهة و منع إزالة الواجهة. يختار IPv4 ثابت تحت نوع تكوين IPv4. قم بالتمرير للأسفل وقم بملء عنوان IP المناسب وحدد 24 بدلاً من 32 على يمين العنوان. إذا اخترت إعطاء الشبكة العادية العنوان 10.1.1.1، فيمكنك اختيار 10.1.10.1 لشبكة VLAN (عادةً ما أستخدم نفس الرقم في المجموعة الثالثة مثل علامة VLAN، لذا فإن شبكة الضيف التي تحمل العلامة 20 تحصل على العنوان 10.1.20.1 وهكذا). حفظ وتطبيق التغييرات.
اذهب الى الخدمات > ISC DHCPv4 > (SMART). ضع علامة تمكين خادم DHCP… واملأ نطاق العناوين، على سبيل المثال 10.1.10.100-10.1.10.254 (عادةً ما أترك العناوين أقل من 100 للأجهزة التي يجب أن يكون لها عنوان IP ثابت). حفظ وتطبيق التغييرات.
إذا نظرت في جدار الحماية > القواعد > SMART سترى أنه لا توجد قواعد، مما يعني أن كل حركة المرور متوقفة. إذا نظرت إلى قواعد الشبكة المحلية (LAN)، سترى أن Opnsense أضاف قواعد تلقائيًا للسماح بمرور جميع حركة المرور الناشئة على تلك الشبكة. لذا، إذا كنت تريد السماح بالإنترنت للأدوات المنزلية الذكية، فأنت بحاجة إلى إنشاء قاعدة لذلك.
لاستخدام الأجهزة الذكية وتوصيلها فعليًا بشبكة VLAN، تحتاج إلى مفتاح مُدار. في إعداداته، يمكنك تمكين وضع علامات VLAN لواحد أو أكثر من موصلات إيثرنت، وسوف “تشاهد” الأدوات الذكية التي تتصل بهذه الموصلات شبكة VLAN فقط. في الصورة المجاورة، يمكنك رؤية ما يبدو عليه المحول من Unifi – لدى الشركات المصنعة الأخرى مثل D-Link وTP-Link إعدادات مماثلة. إذا كان جهاز Opnsense الخاص بك يحتوي على المزيد من موصلات الشبكة، فيمكنك “وضع علامة” عليها واستخدامها بدلاً من ذلك.
هل تحتاج إلى مساعدة؟
إذا واجهتك مشكلة في مكان ما، فهناك العديد من الموارد لمساعدتك. تحتوي مدونة Home Network Guy على العديد من الأدلة حول Opnsense، بدءًا من التثبيت وحتى الموضوعات الأكثر تقدمًا مثل VLAN. كما أن لديها قناة يوتيوب جيدة جدًا أوصي بها بشدة. على موقع Reddit، تتوفر المساعدة في عدة مجموعات، مثل r/opnsense وr/homelab.
نصيحة: جهاز التوجيه الظاهري
إذا كنت تريد تجربة Opnsense ومعرفة كيفية عمل الواجهة، فيمكنك القيام بذلك على جهاز افتراضي بدلاً من جهاز كمبيوتر فعلي. يمكنك القيام بذلك، على سبيل المثال، باستخدام Virtualbox مباشرة في Windows، فقط للتعرف على الواجهة وكيفية إعداد الأشياء. يمكنك أيضًا تشغيل النظام بشكل دائم على كمبيوتر خادم يعمل بنظام التشغيل Linux، وعادةً ما يكون متغير Proxmox. لدى Home Network Guy دليل جيد لذلك.
ظهر هذا المقال في الأصل على منشورنا الشقيق PC för Alla وتمت ترجمته وتعريبه من اللغة السويدية.