適用對象:網管人員、IT 維運、虛擬化環境使用者
實作環境:Proxmox VE + OPNsense(FreeBSD-based firewall)
📘 一、為什麼選擇 OPNsense?
OPNsense 是一款基於 FreeBSD 的開源防火牆系統,由 Deciso 公司維護,擁有企業級功能(如 IDS/IPS、流量監控、VPN、QoS、Proxy 等)。
與 pfSense 相比,它的介面更現代化、套件更穩定,且更新頻率高。
如果你的公司正在使用 Proxmox VE(PVE) 進行虛擬化,OPNsense 是最理想的虛擬防火牆解決方案之一。
⚙️ 二、在 Proxmox 上安裝 OPNsense
1️⃣ 系統需求建議
| 項目 | 最低需求 | 建議配置 |
|---|---|---|
| CPU | 2 Core | 2~4 Core(支援 VT-x / AMD-V) |
| RAM | 2GB | 4~8GB(視流量與 IDS 功能而定) |
| Disk | 10GB | 20GB 以上 |
| NIC | 2 張 | 一張 WAN、一張 LAN(可加 DMZ) |
2️⃣ 建立網路橋接
在 PVE 主機上確認網路:
| 用途 | 介面 | 備註 |
|---|---|---|
| WAN | vmbr0 | 對外連線(Internet) |
| LAN | vmbr1 | 內部虛擬網段 |
3️⃣ 上傳安裝 ISO
從 https://opnsense.org/download/ 下載最新版 ISO,
並上傳至:
/var/lib/vz/template/iso/
4️⃣ 使用 CLI 建立 VM
qm create 101 \
--name opnsense \
--memory 4096 \
--cores 2 \
--cpu host \
--machine q35 \
--bios ovmf \
--ostype l26 \
--scsihw virtio-scsi-pci \
--bootdisk scsi0 \
--boot order=scsi0;ide2;net0 \
--agent 1 \
--rng0 source=/dev/urandom
新增磁碟與網卡:
qm set 101 --scsi0 local-lvm:20
qm set 101 --ide2 local:iso/OPNsense-25.1.iso,media=cdrom
qm set 101 --net0 virtio,bridge=vmbr0 # WAN
qm set 101 --net1 virtio,bridge=vmbr1 # LAN
qm set 101 --vga serial0 --serial0 socket
最後啟動 VM:
qm start 101
5️⃣ 安裝過程
開機後選擇:
Login: installer
Password: opnsense
- 選擇「Install」模式
- 分割磁碟(全自動)
- 設定 root 密碼
- 安裝完成後重啟
預設:
LAN IP: 192.168.1.1/24
User: root
Pass: opnsense
🌐 三、第一次登入 Web GUI
1️⃣ 連線網址:
https://192.168.1.1
2️⃣ 使用預設帳密登入。
3️⃣ 跟隨設定精靈:
- 設定主機名稱、DNS、NTP
- 設定 WAN (DHCP / PPPoE / 靜態 IP)
- 設定 LAN IP
- 儲存並重啟服務
🧩 四、設定 WAN Gateway
若使用靜態 IP:
Interfaces → [WAN] → Static IPv4 → Gateway
或建立新的:
System → Routing → Gateways → +Add
填寫:
Interface: WAN
Gateway IP: <你的上游閘道>
Default Gateway: ✔
🧠 五、啟動 Web Service(如 GUI 無法開啟)
若登入 console 時無法開 GUI,可手動啟動:
service configd start
service nginx start
或在主控台選:
12) Restore the web GUI configuration
🔐 六、設定 OpenVPN
1️⃣ 建立 CA:
System → Trust → Authorities → +Add → “Create an internal CA”
2️⃣ 建立伺服器憑證:
System → Trust → Certificates → +Add → “Server Certificate”
- 指定剛建立的 CA。
3️⃣ 建立 OpenVPN Server:
VPN → OpenVPN → Servers → +Add
主要設定:
Server Mode: Remote Access (SSL/TLS + User Auth)
Protocol: UDP
Device Mode: tun
Local Network: 192.168.1.0/24
IPv4 Tunnel Network: 10.8.0.0/24
4️⃣ 建立使用者帳號與憑證
System → Access → Users → +Add → Create Certificate
5️⃣ 匯出使用者設定檔
VPN → OpenVPN → Client Export → 選擇帳號 → 下載 .ovpn
🧱 七、多網段存取設定
若公司內有多個網段:
LAN1: 192.168.1.0/24
LAN2: 192.168.2.0/24
在 VPN Server 的:
Routing → Local Network
輸入:
192.168.1.0/24,192.168.2.0/24
再在 Firewall → Rules → OpenVPN 新增:
Source: 10.8.0.0/24
Destination: any
Action: Pass
🧠 八、L7 流量控制(應用層管理)
OPNsense 原生 pf 僅支援 L3/L4,但可透過下列方式支援 L7 控制:
| 工具 | 功能 | 備註 |
|---|---|---|
| Zenarmor (Sensei) | DPI 應用層分析與阻擋 | 一鍵封鎖 YouTube、VPN、P2P |
| Suricata | IDS/IPS 深度封包檢測 | 可偵測惡意流量、VPN、Proxy |
| Squid Proxy | HTTP/HTTPS 過濾 | 適合細部 URL 控制 |
推薦:
Zenarmor + Suricata 組合 = 可視化 + 安全防護。
🧰 九、常見問題整理
| 問題 | 解法 |
|---|---|
| GUI 無法開啟 | service nginx restart |
| VPN 無法連線 | 檢查防火牆 UDP/1194 是否開放 |
| 憑證錯誤 | 確認 CA 與憑證關聯正確 |
| 多內部網段無法通 | Firewall → Rules → OpenVPN 允許多子網 |
| Gateway Offline | 檢查 Monitor IP 或上游網路 |
✅ 十、結語
在 Proxmox VE 上安裝 OPNsense,可以快速建立一個靈活、安全、集中管理的虛擬防火牆。
它不僅支援多 WAN、多 VLAN、VPN、L7 管控與 IDS/IPS,更能與虛擬環境完美整合。
對中小企業而言,這是一個 免授權費、可擴展、安全可控 的網路中樞解決方案。